PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) …/...

ze dne 29.9.2025

kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o referenční normy pro postupy odesílání a přijímání dat v rámci kvalifikovaných služeb elektronického doporučeného doručování a pokud jde o interoperabilitu těchto služeb

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES 1 , a zejména na čl. 44 odst. 2 a čl. 44 odst. 2b uvedeného nařízení,

vzhledem k těmto důvodům:

(1)Kvalifikované služby elektronického doporučeného doručování poskytují bezpečný kanál pro přenos dokumentů, včetně dokladu o odeslání a přijetí dat. Jejich cílem je poskytnout jistotu při identifikaci příjemce a zajistit vysokou míru spolehlivosti při identifikaci odesílatele.

(2)Předpoklad shody stanovený v čl. 44 odst. 1a nařízení (EU) č. 910/2014 by měl platit pouze tehdy, pokud kvalifikované služby vytvářející důvěru pro poskytování kvalifikovaných služeb elektronického doporučeného doručování splňují normy stanovené v tomto nařízení. Tyto normy by měly odrážet zavedené postupy a měly by být v příslušných odvětvích široce uznávány. Měly by být upraveny tak, aby zahrnovaly další kontroly zajišťující bezpečnost a důvěryhodnost kvalifikovaných služeb vytvářejících důvěru.

(3)Pokud poskytovatel služeb vytvářejících důvěru splňuje požadavky stanovené v příloze I tohoto nařízení, měly by orgány dohledu předpokládat shodu s příslušnými požadavky nařízení (EU) č. 910/2014 a tento předpoklad řádně zohlednit při udělování nebo potvrzování statusu kvalifikované služby vytvářející důvěru. Kvalifikovaný poskytovatel služeb vytvářejících důvěru však může při prokazování shody s požadavky nařízení (EU) č. 910/2014 nadále využívat i jiných postupů.

(4)Podle čl. 44 odst. 2a nařízení (EU) č. 910/2014, pokud se kvalifikovaní poskytovatelé služeb vytvářejících důvěru dohodnou na interoperabilitě svých služeb, je důležité, aby dodržovali příslušné normy a specifikace stanovené v příloze II tohoto prováděcího nařízení, aby bylo možné snadno přenášet elektronicky doporučená data mezi dvěma nebo více kvalifikovanými poskytovateli služeb vytvářejících důvěru a podporovat spravedlivé postupy na vnitřním trhu.

(5)Komise pravidelně posuzuje nové technologie, postupy, normy nebo technické specifikace. V souladu se 75. bodem odůvodnění nařízení Evropského parlamentu a Rady (EU) 2024/1183 2 by Komise měla toto nařízení přezkoumávat a v případě potřeby ho aktualizovat, aby bylo v souladu s globálním vývojem, novými technologiemi, normami nebo technickými specifikacemi a aby byly dodržovány osvědčené postupy na vnitřním trhu.

(6)Na všechny činnosti zpracování osobních údajů podle tohoto nařízení se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679 3 a v příslušných případech směrnice Evropského parlamentu a Rady 2002/58/ES 4 .

(7)V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 5 byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 6. června 2025.

(8)Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného článkem 48 nařízení (EU) č. 910/2014,

PŘIJALA TOTO NAŘÍZENÍ:

Článek 1

Referenční normy a specifikace pro kvalifikované služby elektronického doporučeného doručování

Referenční normy a specifikace uvedené v čl. 44 odst. 2 nařízení (EU) č. 910/2014 jsou stanoveny v příloze I tohoto nařízení.

Článek 2

Referenční normy a specifikace pro interoperabilitu mezi kvalifikovanými službami elektronického doporučeného doručování

Referenční normy a specifikace uvedené v čl. 44 odst. 2b nařízení (EU) č. 910/2014 jsou stanoveny v příloze II tohoto nařízení.

Článek 3

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 29.9.2025

(1)    Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj .

(2)    Nařízení Evropského parlamentu a Rady (EU) 2024/1183 ze dne 11. dubna 2024, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu (Úř. věst. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj ).

(3)    Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj ) .

(4)    Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj ) .

(5)    Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj ).

PŘÍLOHA I

Seznam referenčních norem a specifikací uvedených v článku 1

Norma ETSI EN 319 521 V1.1.1 (2019-02) (dále jen „ETSI EN 319 521“) se použije s těmito úpravami:

1.Pro normu ETSI EN 319 521

1)2.1 Normativní odkazy:

–[1] ETSI EN 319 401 V3.1.1 (2024-06) „Elektronické podpisy a infrastruktury (ESI); Obecné politické požadavky na poskytovatele služeb vytvářejících důvěru“.

–[2] ETSI EN 319 411-1 V1.5.1 (2025-04) „Elektronické podpisy a infrastruktury (ESI); Politické a bezpečnostní požadavky na poskytovatele služeb vytvářejících důvěru vydávající certifikáty; Část 1: Obecné požadavky“.

–[3] ETSI EN 319 522-1 V1.2.1 (2024-01) „Elektronické podpisy a infrastruktury (ESI); Služby elektronického doporučeného doručování; Část 1: Rámec a architektura“.

–[4] ETSI EN 319 522-2 V1.2.1 (2024-01) „Elektronické podpisy a infrastruktury (ESI); Služby elektronického doporučeného doručování; Část 2: Sémantický obsah“.

–[5] Evropská skupina pro certifikaci kybernetické bezpečnosti, podskupina pro šifrování: „Dohodnuté kryptografické mechanismy“ zveřejněné Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) 1 .

–[6] ISO/IEC 15408-1:2022 – Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Kritéria hodnocení bezpečnosti IT.

–[7] Prováděcí nařízení Komise (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) 2 .

–[8] Prováděcí nařízení Komise (EU) 2024/3144 ze dne 18. prosince 2024, kterým se mění prováděcí nařízení (EU) 2024/482, pokud jde o použitelné mezinárodní normy, a kterým se uvedené prováděcí nařízení opravuje.

–[9] FIPS PUB 140-3 (2019) „Bezpečnostní požadavky na kryptografické moduly“.

2)3.1 Podmínky

–zaručená elektronická pečeť: podle definice v nařízení (EU) 910/2014 [i.1].

–zaručený elektronický podpis: podle definice v nařízení (EU) 910/2014 [i.1].

–kvalifikovaná elektronická pečeť: podle definice v nařízení (EU) 910/2014 [i.1].

–kvalifikovaný elektronický podpis: podle definice v nařízení (EU) 910/2014 [i.1].

–bezpečný kryptografický prostředek: prostředek, který uchovává soukromý klíč uživatele, chrání tento klíč před neoprávněným přístupem a provádí podepisování nebo dešifrovací funkce jménem uživatele.

3)5.1.1 Společná ustanovení

–REQ-ERDS-5.1.1-01 Služba elektronického doporučeného doručování musí zajistit, aby byla při zpracování uživatelského obsahu službou elektronického doporučeného doručování odpovídajícím způsobem zaručena jeho dostupnost, celistvost a důvěrnost, a to výběrem vhodných technik šifrování celistvosti a důvěrnosti, které jsou v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [5].

4)5.2.1.1 Obecně

–REQ-QERDS-5.2.1.1-01 Poskytovatel kvalifikované služby elektronického doporučeného doručování ověří s velmi vysokou mírou spolehlivosti totožnost příjemce buď přímo, nebo prostřednictvím třetí strany, a to s použitím jednoho z následujících prostředků nebo jejich kombinace podle potřeby:

a)na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby pomocí vhodných důkazů a postupů v souladu s vnitrostátním právem;

b)na dálku, s použitím prostředku pro elektronickou identifikaci, který splňuje požadavky stanovené v článku 8 nařízení (EU) č. 910/2014 [i.1], pokud jde o úroveň záruky „vysoká“, nebo prostřednictvím evropské peněženky digitální identity;

c)pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečetě;

d)použitím jiných metod identifikace, které zajišťují, že fyzickou osobu nebo oprávněného zástupce právnické osoby lze identifikovat s velmi vysokou mírou spolehlivosti. Ujištění, že tato identifikace je provedena s velmi vysokou mírou spolehlivosti, musí být potvrzeno subjektem posuzování shody.

–REQ-QERDS-5.2.1.1-01A Poskytovatel kvalifikované služby elektronického doporučeného doručování ověří totožnost odesílatele vhodnými prostředky, a to buď přímo, nebo prostřednictvím třetí strany, na základě jedné z následujících metod nebo jejich kombinace:

a)na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby pomocí vhodných důkazů a postupů v souladu s vnitrostátním právem;

b)na dálku, prostřednictvím evropské peněženky digitální identity nebo oznámeného prostředku pro elektronickou identifikaci, který splňuje požadavky stanovené v článku 8 nařízení (EU) č. 910/2014 [i.1], pokud jde o úroveň záruky „značná“, za předpokladu, že byl vydán na základě předchozí fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby;

c)prostřednictvím certifikátu zaručeného elektronického podpisu nebo zaručené elektronické pečetě, pokud byl certifikát vydán fyzické osobě nebo oprávněnému zástupci právnické osoby podle normalizované certifikační politiky (NCP), jak je vymezena v normě ETSI EN 319 411-1 [2]; nebo

d)použitím jiných metod identifikace, které zajišťují, že fyzickou osobu nebo oprávněného zástupce právnické osoby lze identifikovat s velmi vysokou mírou spolehlivosti. Ujištění, že tato identifikace je provedena s vysokou mírou spolehlivosti, musí být potvrzeno subjektem posuzování shody.

–POZNÁMKA Třetí stranou ověřující totožnost odesílatele a příjemce může být jiný poskytovatel kvalifikované služby elektronického doporučeného doručování, pokud jsou odesílatel a příjemce přihlášeni k různým poskytovatelům kvalifikované služby elektronického doporučeného doručování.

5)5.2.1.2 Identifikace příjemce a předávání uživatelského obsahu

–REQ-QERDS-5.2.1.2-03 Pokud je identifikace příjemce založena na interním procesu kvalifikované služby elektronického doporučeného doručování, musí poskytovatel kvalifikované služby elektronického doporučeného doručování provádět celý proces v zabezpečeném a kontrolovaném prostředí.

6)5.2.2 Ustanovení pro ověřování kvalifikované služby elektronického doporučeného doručování EU

–REQ-QERDS-5.2.2-03 [PODMÍNĚNÉ] Pokud poskytovatel kvalifikované služby elektronického doporučeného doručování váže prostředky ověření na totožnost odesílatele ověřenou podle bodu 5.2.1, jde o jeden z následujících prostředků:

a)mechanismy dvoufaktorového ověřování;

b)evropská peněženka digitální identity nebo oznámený prostředek pro elektronickou identifikaci, který splňuje požadavky stanovené v článku 8 nařízení (EU) č. 910/2014 [i.1], pokud jde o úroveň záruky „vysoká“ nebo „značná“;

c)vzájemné ověřování totožnosti prostřednictvím protokolu zabezpečení transportní vrstvy (Transport Layer Security – TLS), které zahrnuje certifikát vydaný odesílateli v rámci normalizované certifikační politiky (NCP), jak je vymezeno v normě ETSI EN 319 411-1 [2];

d)digitální podpis podporovaný certifikátem vydaným podle normalizované certifikační politiky (NCP), jak je vymezeno v normě ETSI EN 319 411-1 [2];

e)jiné prostředky, které zajišťují ověření totožnosti identifikovaného odesílatele. Shodu vazby potvrdí subjekt posuzování shody. Příklad: Může to zahrnovat použití jednoho z prostředků uvedených v písmenech a), b) a d) k registraci klientského certifikátu protokolu TLS pro automatizované odesílání prostřednictvím vzájemného TLS nebo k registraci certifikátu digitální pečetě používaného k zapečetění tvrzení pro ověření se službou elektronického doporučeného doručování. Lze použít i jiné mechanismy, při nichž identifikovaní odesílatelé využívají pověřených služeb třetích stran.

–REQ-QERDS-5.2.2-03A [PODMÍNĚNÉ] Pokud poskytovatel kvalifikované služby elektronického doporučeného doručování váže prostředky ověřování na totožnost příjemce ověřenou podle bodu 5.2.1, jde o jeden z následujících prostředků, pokud tento prostředek nebo jakákoli jejich kombinace zajišťují velmi vysokou úroveň spolehlivosti, pokud jde o totožnost ověřovaného příjemce:

a)mechanismusvícefaktorového ověřování;

b)evropská peněženka digitální identity nebo oznámený prostředek pro elektronickou identifikaci, který splňuje požadavky stanovené v článku 8 nařízení (EU) č. 910/2014 [i.1], pokud jde o úroveň záruky „vysoká“ nebo „značná“;

c)certifikát kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečetě;

d)jiné prostředky, které zajišťují ověření totožnosti identifikovaného příjemce. Shodu vazby potvrdí subjekt posuzování shody. Příklad: Může to zahrnovat použití jednoho z prostředků uvedených v písmenech a), až c) k registraci klientského certifikátu protokolu zabezpečení transportní vrstvy (Transport Layer Security – TLS) pro automatizované odesílání prostřednictvím vzájemného TLS nebo k registraci certifikátu digitální pečetě používaného k zapečetění tvrzení pro ověření se službou elektronického doporučeného doručování. Lze použít i jiné mechanismy, při nichž identifikovaní odesílatelé využívají pověřených služeb třetích stran.

–REQ-QERDS-5.2.2-04 [PODMÍNĚNÉ] Pokud se odesílatel připojuje ke kvalifikované službě elektronického doporučeného doručování zabezpečeným spojením, které vyžaduje vzájemné ověření mezi strojem odesílatele a serverem kvalifikované služby elektronického doporučeného doručování na základě certifikátů vydaných podle normalizované certifikační politiky (NCP), jak je vymezeno v normě ETSI EN 319 411-1 [2], pak po navázání tohoto zabezpečeného spojení mohou být pro druhou fázi ověření odesílatele použity mechanismy jednofaktorového ověření, pokud zavedené organizační postupy a bezpečnostní opatření zajišťují důvěru v ověření odesílatele.

7)5.4.1 Společná ustanovení

–REQ-ERDS-5.4.1-06 Služba elektronického doporučeného doručování generuje a zpřístupňuje oprávněným zainteresovaným stranám důkazy služby elektronického doporučeného doručování o událostech elektronického doporučeného doručování, jak je vymezeno v bodě 6 normy ETSI EN 319 522-1 [3].

–REQ-ERDS-5.4.1-07 Poskytovatel služby elektronického doporučeného doručování archivuje důkazy a/nebo přehledy důkazů pro každý vydaný důkaz.

–REQ-ERDS-5.4.1-08 Důkazy služby elektronického doporučeného doručování vygenerované službou elektronického doporučeného doručování jsou v souladu se sémantikou důkazů vymezenou v bodě 8 normy ETSI EN 319 522-2 [4].

8)7.2.1 Společná ustanovení

–REQ-ERDS-7.2.1-02 Pracovníci poskytovatele služby elektronického doporučeného doručování na důvěryhodných pozicích musí být schopni splnit požadavek na „odborné znalosti, zkušenosti a kvalifikaci“ prostřednictvím formální odborné přípravy a pověření nebo skutečných zkušeností nebo kombinace obojího.

–REQ-ERDS-7.2.1-03 Shoda s požadavkem REQ-ERDS-7.2.1-02 musí zahrnovat pravidelné aktuální informace (alespoň každých dvanáct měsíců) o nových hrozbách a stávajících bezpečnostních postupech.

9)7.3.2 Nakládání s médii

–REQ-ERDS-7.3.1-02 Uplatňují se všechny požadavky stanovené v normě ETSI EN 319 401 [1], bodě 7.3.3.

10)7.5 Kontroly šifrování

–REQ-ERDS-7.5-01A Služba elektronického doporučeného doručování musí zvolit a používat vhodné techniky šifrování v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [5].

–REQ-ERDSP-7.5-03 Soukromý podpisový klíč služby elektronického doporučeného doručování musí být uchováván a používán v rámci bezpečného kryptografického prostředku, který je důvěryhodným systémem certifikovaným v souladu se:

a)společnými kritérii pro hodnocení bezpečnosti informačních technologií stanovenými v normě ISO/IEC 15408 [6] nebo ve společných kritériích pro hodnocení bezpečnosti informačních technologií, verzi CC:2002, části 1 až 5, zveřejněných účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT a certifikovaných na úrovni EAL 4 nebo vyšší, nebo

b)evropským systémem certifikace kybernetické bezpečnosti založeným na společných kritériích (EUCC) [7][8] a certifikovaným na úrovni EAL 4 nebo vyšší, nebo

c)do 31. 12. 2030 s normou FIPS PUB 140-3 [9] úrovně 3.

Tato certifikace musí odpovídat bezpečnostnímu cíli nebo profilu ochrany nebo dokumentaci návrhu modulu a jeho bezpečnosti, která splňuje požadavky tohoto dokumentu na základě analýzy rizik a s přihlédnutím k fyzickým a jiným netechnickým bezpečnostním opatřením.

Pokud je bezpečný kryptografický prostředek certifikován podle EUCC [7][8], musí být tento prostředek nakonfigurován a používán v souladu s touto certifikací.

11)7.8 Bezpečnost sítí

–REQ-ERDSP-7.8-04 Poskytovatel služby elektronického doporučeného doručování musí používat nejmodernější protokoly a algoritmy pro šifrování na úrovni transportní vrstvy v souladu s dohodnutými kryptografickými mechanismy, které přijala Evropská skupina pro certifikaci kybernetické bezpečnosti a zveřejnila agentura ENISA [5].

–REQ-ERDSP-7.8-06 Skenování zranitelnosti požadované v rámci požadavku REQ-7.8-13 normy ETSI EN 319 401 [1] se provádí nejméně jednou za čtvrtletí.

–REQ-ERDSP-7.8-07 Penetrační test požadovaný v rámci požadavku REQ-7.8-17X normy ETSI EN 319 401 [1] se provádí nejméně jednou ročně.

–REQ-ERDSP-7.8-08 Firewally musí být nakonfigurovány tak, aby zabránily veškerým protokolům a přístupům, které nejsou nezbytné pro provoz poskytovatele služeb vytvářejících důvěru.

12)7.12 Plán ukončení činnosti poskytovatele služeb elektronického doporučeného doručování a plán ukončení služeb elektronického doporučeného doručování

–REQ-ERDS-7.12-03 Plán ukončení činnosti poskytovatele služeb elektronického doporučeného doručování musí splňovat požadavky stanovené v prováděcích aktech přijatých podle čl. 24 odst. 5 nařízení (EU) č. 910/2014 [i.1].

13)7.14 Dodavatelský řetězec

–REQ-ERDS-7.14-01 Uplatňují se požadavky stanovené v normě ETSI EN 319 401 [1], bodě 7.14.

PŘÍLOHA II

Seznam referenčních norem a specifikací uvedených v článku 2

Použijí se normy ETSI EN 319 522-1 V1.2.1 (2024-01) (dále jen „ETSI EN 319 522-1“), ETSI EN 319 522-2 V1.2.1 (2024-01) (dále jen „ETSI EN 319 522-2“), ETSI EN 319 522-3 V1.2.1 (2024-01) (dále jen „ETSI EN 319 522-3“), ETSI EN 319 522-4-1 V1.2.1 (2019-01) (dále jen „ETSI EN 319 522-4-1“), ETSI EN 319 522-4-2 V1.1.1 (2018-09) (dále jen „ETSI EN 319 522-4-2“) a ETSI EN 319 522-4-3 V1.1.1 (2018-09) (dále jen „ETSI EN 319 522-4-3“).

(1)     https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en .

(2)    Úř. věst. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj .