РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) .../… НА КОМИСИЯТА

от 27.10.2025 година

за определяне на правила за прилагането на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета по отношение на референтните стандарти, спецификациите и процедурите за управление на рисковете при предоставянето на неквалифицирани удостоверителни услуги

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО 1 , и по-специално член 19а, параграф 2 от него,

като има предвид, че:

(1)Доставчиците на неквалифицирани удостоверителни услуги играят важна роля в цифровата среда, като предоставят удостоверителни услуги, които улесняват сигурните електронни трансакции. Регламент (ЕС) № 910/2014 поставя по-малко регулаторни изисквания за доставчиците на неквалифицирани удостоверителни услуги, отколкото за доставчиците на квалифицирани удостоверителни услуги. Всички доставчици на удостоверителни услуги обаче подлежат на изисквания за сигурност и отговорност, за да се гарантира комплексна проверка, прозрачност и отчетност на техните операции и услуги.

(2)Доставчиците на неквалифицирани удостоверителни услуги могат да се считат за важни или съществени субекти в съответствие с член 3 от Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета 2 . Поради това за тях се прилага Регламент за изпълнение (ЕС) 2024/2690 на Комисията 3 за определяне на технически и методологични изисквания относно мерките за управление на риска в областта на киберсигурността. Обхватът на изискванията, определени в член 19а, параграф 1, буква а) от Регламент (ЕС) № 910/2014, обаче е свързан с процедурите за управление на риска, свързани с правни, стопански, оперативни и други преки или непреки рискове за предоставянето на неквалифицирани удостоверителни услуги. За да се допълни рамката за управление на риска, установена в Регламент за изпълнение (ЕС) 2024/2690, и да се даде възможност за съгласуван подход към управлението на всички съответни видове рискове, следва да се определят спецификации и процедури относно управлението на тези рискове от страна на доставчиците на неквалифицирани удостоверителни услуги. Насоките, предоставени от Агенцията на Европейския съюз за киберсигурност (ENISA) или националните компетентни органи съгласно Директива (ЕС) 2022/2555, могат да подпомагат доставчиците на неквалифицирани удостоверителни услуги при разработването и прилагането на подходящи политики за управление на риска.

(3)Презумпцията за съответствие, предвидена в член 19а, параграф 2 от Регламент (ЕС) № 910/2014, следва да се прилага само когато доставчиците на неквалифицирани удостоверителни услуги спазват изискванията, определени в настоящия регламент. Референтните стандарти, посочени в приложението, следва да отразяват установените практики и да бъдат широко признати в съответните сектори. За да се гарантира, че доставчиците на неквалифицирани удостоверителни услуги управляват правни, стопански, оперативни и други преки или непреки рискове за предоставянето на неквалифицираната удостоверителна услуга в съответствие с член 19а, параграф 1 от Регламент (ЕС) № 910/2014, доставчиците на неквалифицирани удостоверителни услуги следва да спазват посочените в приложението елементи на стандартите и изискванията за управление на риска, определени в настоящия регламент, за презумпцията за съответствие.

(4)Ако доставчик на неквалифицирани удостоверителни услуги спазва изискванията, определени в настоящия регламент за изпълнение, надзорните органи следва да приемат, че са спазени съответните изисквания на Регламент (ЕС) № 910/2014. Същевременно доставчиците на неквалифицирани удостоверителни услуги може все пак да използват други практики, за да докажат съответствие с изискванията на Регламент (ЕС) № 910/2014.

(5)За да се гарантира, че установените рискове получават адекватен отговор, политиките за управление на риска, следвани от доставчиците на неквалифицирани удостоверителни услуги, следва да включват процедури за документиране и оценка на риска, както и за установяване, подбор и прилагане на подходящи мерки за въздействие върху риска. Изпълнението на мерките за въздействие върху риска следва да се наблюдава непрекъснато. Що се отнася до информацията, която доставчиците на неквалифицирани удостоверителни услуги записват и съхраняват като част от своите мерки за въздействие върху риска, те следва да гарантират целостта и поверителността на тези данни. Освен това, за повече прозрачност и за да се подпомогнат надзорните дейности, доставчиците на неквалифицирани удостоверителни услуги следва да публикуват методите за проверка на самоличността, които прилагат. Тъй като не всички установени рискове могат да бъдат изцяло преодолени чрез тяхното избягване, смекчаване или прехвърляне към други субекти, всички остатъчни рискове следва да бъдат приети от управителните органи на доставчиците на неквалифицирани удостоверителни услуги. Критериите за приемане на остатъчните рискове следва да бъдат обосновани по разбираем начин.

(6)Комисията редовно оценява нови технологии, практики, стандарти или технически спецификации. В съответствие със съображение 75 от Регламент (ЕС) 2024/1183 на Европейския парламент и на Съвета 4 Комисията следва да преразгледа и при необходимост да актуализира настоящия регламент за изпълнение, за да бъде той в съответствие с глобалното развитие, новите технологии, практики, стандарти или технически спецификации и да следва най-добрите практики на вътрешния пазар.

(7)Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета 5 и, когато е целесъобразно, Директива 2002/58/ЕО на Европейския парламент и на Съвета 6 се прилагат по отношение на дейностите по обработване на лични данни съгласно настоящия регламент.

(8)Европейският надзорен орган по защита на данните беше консултиран в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета 7 и прие своето становище на 8 август 2025 г. 8

(9)Мерките, предвидени в настоящия регламент, са в съответствие със становището на комитета, създаден съгласно член 48 от Регламент (ЕС) № 910/2014,

ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:

Член 1

Референтни стандарти

Списъкът с референтните стандарти, посочен в член 19а, параграф 2 от Регламент (ЕС) № 910/2014, е поместен в приложението към настоящия регламент.

Член 2

Политики за управление на риска

1.Политиките за управление на риска, посочени в член 19а, параграф 1 от Регламент (ЕС) № 910/2014, ясно определят удостоверителните услуги, за които се отнасят: Te са специфични за съответните удостоверителни услуги и се одобряват от ръководния орган на доставчика на неквалифицирани удостоверителни услуги.

2.Политиките за управление на риска включват най-малко следните елементи:

а)общото равнище на толерантност към риска в зависимост от критичността и необходимото ниво на сигурност на удостоверителните услуги, като се вземат предвид най-новите технологични постижения;

б)съответните критерии за риска, включително най-малко вероятността, въздействието и равнището на риска, като се вземат предвид разузнавателните сведения за киберзаплахи и уязвимостите;

в)подход за установяване и документиране на рисковете при предоставянето на удостоверителни услуги, като се взема предвид пълният обхват на информационната система, използвана от доставчика на неквалифицирани удостоверителни услуги, включително рисковете при компонентите на системата, както и при всички активни или пасивни страни, участващи в прилагането на системата или в предоставянето на удостоверителните услуги;

г)процес за оценка на установените рискове въз основа на критериите за риска, посочени в буква б);

д)процес за установяване, приоритизиране и непрекъснато наблюдение на прилагането на подходящи мерки за въздействие върху риска;

е)процес за непрекъснато наблюдение на прилагането на политиките за управление на риска.

3.Доставчиците на неквалифицирани удостоверителни услуги установяват подходящи процедури и поддържат документи, за да гарантират изпълнението на изискванията, предвидени в приложимото законодателство.

4.Доставчиците на неквалифицирани удостоверителни услуги установяват подходящи документирани процедури, които гарантират наблюдение на законодателните и регулаторните промени на равнище Съюз и на национално равнище, които могат да окажат въздействие върху предоставянето на удостоверителни услуги.

Член 3

Установяване, документиране и оценка на рисковете

Доставчиците на неквалифицирани удостоверителни услуги установяват, документират и оценяват всички рискове, посочени в член 19а, параграф 1 от Регламент (ЕС) № 910/2014, в съответствие с политиките за управление на риска, посочени в член 2, и по-специално:

а)установяват рисковете по отношение на трети страни;

б)установяват онези елементи, чиято уязвимост е критична за предоставянето на удостоверителни услуги като цяло;

в)оценяват установените рискове въз основа на критериите за риска, посочени в член 2, параграф 2, буква б).

Член 4

Мерки за въздействие върху риска

1.В съответствие с политиките, посочени в член 2, доставчиците на неквалифицирани удостоверителни услуги планират, документират и прилагат мерки за въздействие върху риска, и по-специално изпълняват следните задачи:

а)определят и отдават приоритет на подходящи мерки за въздействие върху риска;

б)избират, одобряват и документират избраните мерки за въздействие върху риска, включително своите изисквания за сигурност и оперативни процедури, в план за въздействие върху риска, определят кой отговаря за прилагането на мерките за въздействие върху риска и кога те трябва да бъдат прилагани;

в)следят постоянно изпълнението на мерките за въздействие върху риска.

2.В плана за въздействие върху риска, посочен в параграф 1, буква б), по разбираем начин се посочват причините, поради които остатъчните рискове се приемат.

3.Като част от мерките за въздействие върху риска, посочени в параграф 1, доставчиците на неквалифицирани удостоверителни услуги също така:

а)проверяват, когато е приложимо, самоличността на ползвателите на удостоверителната услуга пряко или чрез трета страна и публикуват информация относно използваните методи за проверка на самоличността;

б)за целите на предоставянето на доказателства в съдебни производства и осигуряването на непрекъснатост на услугата, записват и съхраняват сигурно за толкова време, колкото е необходимо, в съответствие с правото на Съюза или националното право, включително след прекратяване на дейността на доставчика на неквалифицирани удостоверителни услуги, следната информация:

–цялата значима информация, събрана в процеса на регистрация и интегриране на ползвателите на удостоверителни услуги, включително, когато е приложимо, проверката на самоличността на ползвателите,

–удостоверителните данни, зададени на ползвателя на удостоверителната услуга, когато е приложимо, и

–всяка промяна в статуса на удостоверенията за публичен ключ или други криптографски елементи, използвани при предоставянето на удостоверителната услуга.

в)гарантират, когато е приложимо, че удостоверителните данни, зададени на ползвателя на удостоверителната услуга, са уникални.

4.При определянето, подбора, одобряването и приоритизирането на подходящи мерки за въздействие върху риска доставчиците на неквалифицирани удостоверителни услуги вземат предвид следното:

а)резултатите от оценката на риска, посочена в член 3;

б)ефективността на мерките за въздействие върху риска;

в)оценяването на съответствието;

г)значителни инциденти;

д)разходите за изпълнение спрямо очакваната полза;

е)приложимата подходяща класификация на активите;

ж)анализ на въздействието върху стопанската дейност на рисковете, установени в съответствие с член 3.

5.Управителните органи на доставчиците на неквалифицирани удостоверителни услуги приемат остатъчните рискове, които остават след прилагането на мерките за въздействие върху риска, посочени в плана за въздействие върху риска.

6.Доставчиците на неквалифицирани удостоверителни услуги преразглеждат, документират и, когато е целесъобразно, актуализират резултатите от оценката на риска и плана за въздействие върху риска през планирани интервали от време и поне веднъж годишно, както и при настъпване на значителни промени в инфраструктурата, операциите или рисковете, или при значителни инциденти.

7.Доставчиците на неквалифицирани удостоверителни услуги гарантират наличността, целостта и поверителността на информацията, посочена в параграф 3, буква б).

Член 5

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 27.10.2025 година.

За Комисията

Председател
Ursula VON DER LEYEN

(1) ОВ L 257, 28.8.2014 г., стр. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj .

(2) Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (ОВ L 333, 27.12.2022 г., стр. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj ).

(3) Регламент за изпълнение (ЕС) 2024/2690 на Комисията от 17 октомври 2024 година за определяне на правила за прилагане на Директива (ЕС) 2022/2555 по отношение на техническите и методологичните изисквания относно мерките за управление на риска в областта на киберсигурността и за доуточняване на случаите, в които даден инцидент се счита за значителен по отношение на доставчиците на DNS услуги, регистрите на имена на домейни от първо ниво, доставчиците на компютърни услуги в облак, доставчиците на услуги на центрове за данни, доставчиците на мрежи за доставяне на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн места за търговия, на онлайн търсачките и на платформите на услуги за социални мрежи и доставчиците на удостоверителни услуги (OВ L, 2024/2690, 18.10.2024 г., ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj ).

(4) Регламент (ЕС) 2024/1183 на Европейския парламент и на Съвета от 11 април 2024 г. за изменение на Регламент (ЕС) № 910/2014 по отношение на създаването на европейска рамка за цифрова самоличност (ОВ L, 2024/1183, 30.4.2024 г., ELI: http://data.europa.eu/eli/reg/2024/1183/oj ).

(5) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj ).

(6) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации), (ОВ L 201, 31.7.2002 г., стр. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj ).

(7) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8) Официални коментари на ЕНОЗД по проекта на регламент за изпълнение по отношение на спецификациите и процедурите за управление на рисковете при предоставянето на неквалифицирани удостоверителни услуги | Европейски надзорен орган по защита на данните .