(1)

I Kommissionens meddelelse af 19. februar 2020 med titlen »Europas digitale fremtid i støbeskeen« bebudes en revision af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (4) for at forbedre dens effektivitet, lade dens fordele omfatte den private sektor og fremme pålidelige digitale identiteter for alle europæere.

(2)

I sine konklusioner af 1.-2. oktober 2020 opfordrede Det Europæiske Råd Kommissionen til at foreslå, at der udvikles en EU-dækkende ramme for sikker offentlig elektronisk identifikation, herunder interoperable digitale signaturer, for at give borgerne kontrol over deres onlineidentitet og -data og muliggøre adgang til offentlige, private og grænseoverskridende digitale tjenester.

(3)

I politikprogrammet for det digitale årti 2030, der blev etableret ved Europa-Parlamentets og Rådets afgørelse (EU) 2022/2481 (5), fastsættes målsætningerne og de digitale mål for en EU-ramme, som senest i 2030 har til formål at føre til en bred indførelse af en pålidelig, frivillig og brugerkontrolleret digital identitet, der er anerkendt i hele Unionen, og som giver alle brugere kontrol over deres data i onlineinteraktioner.

(4)

I »Europæisk erklæring om digitale rettigheder og principper for det digitale årti«, som Europa-Parlamentet, Rådet og Kommissionen har proklameret (6) (»erklæringen«), understreges det, at alle har ret til at få adgang til digitale teknologier, produkter og tjenester, der er udformet således, at de er sikre og trygge og beskytter privatlivets fred. Dette omfatter sikring af, at alle personer, der bor i Unionen, tilbydes en tilgængelig, sikker og pålidelig digital identitet, der giver adgang til en bred vifte af online- og offlinetjenester, der er beskyttet mod cybersikkerhedsrisici og cyberkriminalitet, herunder brud på datasikkerheden og identitetstyveri eller -manipulation. I erklæringen fastsættes det også, at enhver har ret til beskyttelse af sine personoplysninger. Denne ret omfatter kontrol over, hvordan oplysningerne anvendes, og hvem de deles med.

(5)

Unionsborgere og indbyggere i Unionen bør have ret til en digital identitet, som er under deres enekontrol, og som sætter dem i stand til at udøve deres rettigheder i det digitale miljø og deltage i den digitale økonomi. For at nå dette mål bør der etableres en europæisk ramme for digital identitet, der gør det muligt for unionsborgere og indbyggere i Unionen at få adgang til offentlige og private online- og offlinetjenester i hele Unionen.

(6)

En harmoniseret ramme for digital identitet bør bidrage til at skabe en mere digitalt integreret Union ved at mindske de digitale barrierer mellem medlemsstaterne og ved at sætte unionsborgere og indbyggerne i Unionen i stand til at nyde godt af fordelene ved digitalisering, samtidig med at gennemsigtigheden og beskyttelsen af deres rettigheder øges.

(7)

En mere harmoniseret tilgang til elektronisk identifikation bør mindske risiciene og omkostningerne ved den nuværende fragmentering som følge af divergerende nationale løsninger eller, i nogle medlemsstater, manglen på sådanne elektroniske identifikationsløsninger. En sådan tilgang bør styrke det indre marked ved at gøre det muligt for unionsborgere, indbyggere i Unionen som defineret i national ret og virksomheder at identificere sig selv og sørge for autentifikation af deres identitet online og offline på en sikker, pålidelig, brugervenlig, bekvem, tilgængelig og harmoniseret måde i hele Unionen. Den europæiske digitale identitetstegnebog bør give fysiske og juridiske personer i hele Unionen et harmoniseret elektronisk identifikationsmiddel, der muliggør autentifikation og deling af data, der er knyttet til deres identitet. Alle bør kunne få adgang til offentlige og private tjenester på sikker vis ved hjælp af et forbedret økosystem for tillidstjenester og verificerede identitetsbeviser og elektroniske attesteringer af attributter, såsom akademiske kvalifikationer, herunder universitetsgrader, eller andre uddannelses- eller erhvervsmæssige kvalifikationer. Den europæiske ramme for digital identitet har til formål at opnå et skifte fra benyttelse af udelukkende nationale digitale identitetsløsninger til leveringen af elektroniske attesteringer af attributter, der er gyldige og juridisk anerkendte i hele Unionen. Udbydere af elektroniske attesteringer af attributter bør drage fordel af et klart og ensartet regelsæt, samtidig med at offentlige forvaltninger bør kunne forlade sig på elektroniske dokumenter i et givet format.

(8)

Flere medlemsstater har indført og anvender elektroniske identifikationsmidler, som accepteres af tjenesteudbydere i Unionen. Desuden er der foretaget investeringer i både nationale og grænseoverskridende løsninger på grundlag af forordning (EU) nr. 910/2014, herunder anmeldte elektroniske identifikationsordningers interoperabilitet i henhold til nævnte forordning. For at sikre komplementaritet og at de nuværende brugere af anmeldte elektroniske identifikationsmidler hurtigt tager europæiske digitale identitetstegnebøger til sig, og for at minimere indvirkningen på eksisterende tjenesteudbydere forventes det, at de europæiske digitale identitetstegnebøger kan nyde godt af at bygge videre på de indhøstede erfaringer med eksisterende elektroniske identifikationsmidler og fra den infrastruktur for anmeldte elektroniske identifikationsordninger, der anvendes på EU-plan og nationalt plan.

(9)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 (7) og, hvor det er relevant, Europa-Parlamentets og Rådets direktiv 2002/58/EF (8) finder anvendelse på alle behandlingsaktiviteter vedrørende personoplysninger i henhold til forordning (EU) nr. 910/2014. Løsningerne inden for den interoperabilitetsramme, der fastsættes i denne forordning, er også i overensstemmelse med de pågældende regler. Unionens databeskyttelsesret indeholder databeskyttelsesprincipper såsom princippet om dataminimering og formålsbegrænsning og forpligtelser såsom databeskyttelse gennem design og gennem standardindstillinger.

(10)

For at støtte EU-virksomheders konkurrenceevne bør både online- og offlinetjenesteudbydere kunne benytte digitale identitetsløsninger, der er anerkendt i hele Unionen, uanset i hvilken medlemsstat disse løsninger er leveret, og således drage fordel af en harmoniseret EU-tilgang til tillid, sikkerhed og interoperabilitet. Både brugere og tjenesteudbydere bør kunne nyde godt af, at elektroniske attesteringer af attributter tillægges samme juridiske værdi i hele Unionen. En harmoniseret ramme for digital identitet har til formål at skabe økonomisk værdi ved at give lettere adgang til varer og tjenester og ved i væsentlig grad at reducere de driftsomkostninger, der er forbundet med elektroniske identifikations- og autentifikationsprocedurer, f.eks. i forbindelse med onboarding af nye kunder, ved at reducere muligheden for cyberkriminalitet, f.eks. identitets- og datatyveri og onlinesvindel, og dermed fremme effektivitetsgevinster og en sikker digital omstilling af Unionens mikrovirksomheder og små og mellemstore virksomheder (SMV'er).

(11)

Europæiske digitale identitetstegnebøger bør lette anvendelsen af engangsprincippet og dermed mindske den administrative byrde og støtte grænseoverskridende mobilitet for unionsborgere, indbyggere i Unionen og virksomheder i hele Unionen og fremme udviklingen af interoperable e-forvaltningstjenester i hele Unionen.

(12)

Forordning (EU) 2016/679 og Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (9) samt direktiv 2002/58/EF finder anvendelse på behandling af personoplysninger i forbindelse med gennemførelsen af nærværende forordning. Derfor bør der i nærværende forordning fastsættes specifikke garantier for at forhindre udbydere af elektroniske identifikationsmidler og elektroniske attesteringer af attributter i at kombinere personoplysninger, der er indhentet ved levering af andre tjenester, med personoplysninger, som behandles med henblik på at levere de tjenester, der er omfattet af nærværende forordnings anvendelsesområde. Personoplysninger vedrørende levering af europæiske digitale identitetstegnebøger bør opbevares logisk adskilt fra alle andre data, der opbevares af udbyderen af den europæiske digitale identitetstegnebog. Nærværende forordning bør ikke forhindre udbydere af europæiske digitale identitetstegnebøger i at anvende yderligere tekniske foranstaltninger, der bidrager til at beskytte personoplysninger, såsom fysisk adskillelse af personoplysninger vedrørende leveringen af europæiske digitale identitetstegnebøger fra andre oplysninger, som udbyderen er i besiddelse af. Uden at det berører forordning (EU) 2016/679 præciserer nærværende forordning anvendelsen af principperne om formålsbegrænsning, dataminimering og databeskyttelse gennem design og gennem standardindstillinger.

(13)

Europæiske digitale identitetstegnebøger bør have en funktion bestående af et fælles dashboard, der er indbygget i designet, for at sikre brugerne en højere grad af gennemsigtighed, privatlivsbeskyttelse og kontrol over deres personoplysninger. Denne funktion bør give en let og brugervenlig grænseflade med overblik over alle modtagerparter, som brugeren deler data med, herunder attributter, og typen af data, der deles med hver modtagerpart. Den vil gøre det muligt for brugerne at spore alle transaktioner, der udføres gennem den europæiske digitale identitetstegnebog, med følgende data som minimum: transaktionstidspunktet og -datoen, modpartens identifikation, de personoplysninger, der er anmodet om og de delte data. Disse oplysninger bør lagres, også selv om transaktionen ikke blev gennemført. Det bør ikke være muligt at afvise ægtheden af oplysningerne i transaktionshistorikken. En sådan funktion bør være aktiv som standard. Det bør gøre det let for brugerne at anmode om en modtagerparts omgående sletning af personoplysninger i henhold til artikel 17 i forordning (EU) 2016/679 og nemt at indberette modtagerparten til den kompetente nationale databeskyttelsesmyndighed, hvis der modtages en angiveligt ulovlig eller mistænkelig anmodning om personoplysninger, direkte via den europæiske digitale identitetstegnebog.

(14)

Medlemsstaterne bør integrere forskellige teknologier til beskyttelse af privatlivets fred såsom nulvidenbevis i den europæiske digitale identitetstegnebog. Disse kryptografiske metoder bør gøre det muligt for en modtagerpart at validere, hvorvidt en given erklæring baseret på personens identifikationsdata og attestering af attributter er sand, uden at afsløre nogen af de data, som erklæringen er baseret på, således at brugerens privatliv beskyttes.

(15)

Denne forordning fastsætter harmoniserede betingelser for fastlæggelsen af en ramme for europæiske digitale identitetstegnebøger, der skal stilles til rådighed af medlemsstaterne. Alle unionsborgere og indbyggere i Unionen som defineret i national ret bør have beføjelse til på sikker vis at anmode om, udvælge, kombinere, lagre, slette, dele og fremlægge data vedrørende deres identitet og anmode om sletning af deres personoplysninger på en brugervenlig og bekvem måde under brugerens enekontrol, samtidig med at der gives mulighed for selektiv videregivelse af personoplysninger. Denne forordning afspejler fælles europæiske værdier og respekterer grundlæggende rettigheder, retsgarantier og ansvar og beskytter dermed demokratiske samfund, unionsborgere og indbyggere i Unionen. Der bør udvikles teknologier, der anvendes til at nå disse mål, med det sigte at opnå det højeste niveau af sikkerhed, privatlivsbeskyttelse, brugerbekvemmelighed, tilgængelighed, udbredt anvendelighed og gnidningsløs interoperabilitet. Medlemsstaterne bør sikre lige adgang til elektronisk identifikation for alle deres borgere og indbyggere. Medlemsstaterne bør ikke direkte eller indirekte begrænse adgangen til offentlige eller private tjenester for fysiske eller juridiske personer, som vælger ikke at anvende europæiske digitale identitetstegnebøger, og bør stille passende alternative løsninger til rådighed.

(16)

Medlemsstaterne bør gøre brug af de muligheder, som denne forordning giver, for under deres ansvar at levere europæiske digitale identitetstegnebøger til brug for fysiske og juridiske personer, der er hjemmehørende på deres område. For at give medlemsstaterne fleksibilitet og udnytte den nyeste teknologi bør denne forordning give mulighed for levering af europæiske digitale identitetstegnebøger direkte af en medlemsstat, på grundlag af et mandat fra en medlemsstat eller uafhængigt af en medlemsstat, men anerkendt af denne medlemsstat.

(17)

Med henblik på registrering bør modtagerparter give de oplysninger, der er nødvendige for at muliggøre elektronisk identifikation og autentifikation af dem med henblik på europæiske digitale identitetstegnebøger. Når modtagerparterne angiver deres påtænkte anvendelse af den europæiske digitale identitetstegnebog, bør de give oplysninger om de data, som de vil anmode om, hvis sådanne forefindes, med henblik på levering af deres tjenester, og begrundelsen for anmodningen. Registrering af modtagerparter letter medlemsstaternes kontrol for så vidt angår lovligheden af modtagerparternes aktiviteter i overensstemmelse med EU-retten. Forpligtelsen til at registrere sig, der fastsættes i denne forordning, bør ikke berøre de forpligtelser, der er fastsat i anden EU-ret eller national ret, såsom de oplysninger, der skal gives til de registrerede i henhold til forordning (EU) 2016/679. Modtagerparterne bør overholde de garantier, der er fastsat i nævnte forordnings artikel 35 og 36, navnlig ved at foretage konsekvensanalyser vedrørende databeskyttelse og ved at høre de kompetente databeskyttelsesmyndigheder forud for databehandlingen, hvis konsekvensanalyserne vedrørende databeskyttelse viser, at behandlingen indebærer en høj risiko. Sådanne garantier bør understøtte modtagerparternes lovlige behandling af personoplysninger, navnlig for så vidt angår særlige kategorier af oplysninger såsom sundhedsoplysninger. Registreringen af modtagerparter har til formål at øge gennemsigtigheden af og tilliden til brugen af europæiske digitale identitetstegnebøger. Registreringen bør være omkostningseffektiv og stå i et rimeligt forhold til de dermed forbundne risici for at sikre udbredelsen blandt tjenesteudbydere. I den forbindelse bør registreringen omfatte anvendelse af automatiserede procedurer, herunder medlemsstaternes benyttelse og anvendelse af eksisterende registre, og bør ikke indebære en forhåndsgodkendelsesproces. Registreringsprocessen bør muliggøre en række forskellige brugstilfælde, der kan variere med hensyn til betjeningsmåde, uanset om det er online eller offline, eller med hensyn til kravet om at autentificere enheder med henblik på at kommunikere med den europæiske digitale identitetstegnebog. Registrering bør udelukkende finde anvendelse på modtagerparter, der leverer tjenester ved hjælp af digital interaktion.

(18)

Beskyttelse af unionsborgere og indbyggere i Unionen mod uautoriseret eller svigagtig brug af europæiske digitale identitetstegnebøger er af stor betydning for at sikre tilliden til og den brede udbredelse af europæiske digitale identitetstegnebøger. Brugerne bør sikres effektiv beskyttelse mod et sådant misbrug. Navnlig når en national judiciel myndighed i forbindelse med en anden procedure konstaterer forhold, der danner grundlag for svigagtig eller anden ulovlig brug af en europæisk digital identitetstegnebog, bør de tilsynsorganer, der er ansvarlige for udstedere af europæiske digitale identitetstegnebøger, efter anmeldelse træffe de nødvendige foranstaltninger til at sikre, at registreringen af modtagerparten og medtagelsen af modtagerparter i autentifikationsmekanismen trækkes tilbage eller suspenderes, indtil den anmeldende myndighed bekræfter, at de konstaterede uregelmæssigheder er afhjulpet.

(19)

Alle europæiske digitale identitetstegnebøger bør give brugerne mulighed for elektronisk identifikation af dem selv og autentifikation online og offline på tværs af grænser for at få adgang til en bred vifte af offentlige og private tjenester. Europæiske digitale identitetstegnebøger kan også imødekomme institutionelle behov hos offentlige forvaltninger, internationale organisationer og Unionens institutioner, organer, kontorer og agenturer, uden at det berører medlemsstaternes beføjelser med hensyn til identifikation af deres borgere og indbyggere. Autentifikation offline vil være vigtig i mange sektorer, herunder i sundhedssektoren, hvor tjenester ofte leveres gennem personlig interaktion, og der bør i forbindelse med e-recepter kunne benyttes QR-koder eller lignende teknologier til at kontrollere autenticiteten. Idet de forlader sig på sikringsniveauet »høj« for så vidt angår elektroniske identifikationsordninger, bør de europæiske digitale identitetstegnebøger for at opfylde sikkerhedskravene i denne forordning nyde godt af det potentiale, som manipulationssikrede løsninger såsom sikre elementer indeholder. Europæiske digitale identitetstegnebøger bør også give brugerne mulighed for at oprette og anvende kvalificerede elektroniske signaturer og segl, der accepteres i hele Unionen. Når fysiske personer er onboarded i en europæisk digital identitetstegnebog, bør de som standard og gratis kunne bruge den til at underskrive med kvalificerede elektroniske signaturer uden at skulle igennem yderligere administrative procedurer. Brugerne bør kunne underskrive eller forsegle erklæringer eller attributter, som de selv påberåber sig. For at give personer og virksomheder i hele Unionen fordele med hensyn til forenkling og besparelse af omkostninger, herunder ved at give mulighed for repræsentationsbeføjelser og e-mandater, bør medlemsstaterne levere europæiske digitale identitetstegnebøger, der benytter fælles standarder og tekniske specifikationer, for at sikre gnidningsløs interoperabilitet og for at højne IT-sikkerhedsniveauet tilstrækkeligt, styrke robustheden mod cyberangreb og dermed væsentligt reducere de potentielle risici ved den igangværende digitalisering for unionsborgere, indbyggere i Unionen og virksomheder. Kun medlemsstaternes kompetente myndigheder kan give en høj grad af tillid, når en persons identitet skal fastslås, og dermed garantere, at den person, der påberåber sig eller gør en bestemt identitet gældende, faktisk er den person, som vedkommende hævder at være. Det er derfor nødvendigt, at leveringen af europæiske digitale identitetstegnebøger er baseret på den juridiske identitet af unionsborgere, indbyggere i Unionen eller juridiske personer. Benyttelse af den juridiske identitet bør ikke hindre brugere af europæiske digitale identitetstegnebøger i at få adgang til tjenester under et pseudonym, hvis der ikke er noget retligt krav om en juridisk identitet med henblik på autentifikation. Tillid til europæiske digitale identitetstegnebøger vil blive styrket, hvis de udstedende og forvaltende parter er forpligtede til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre det højest mulige sikkerhedsniveau, der står i et rimeligt forhold til risiciene for fysiske personers rettigheder og frihedsrettigheder i overensstemmelse med forordning (EU) 2016/679.

(20)

Anvendelsen af en kvalificeret elektronisk signatur bør være gratis for alle fysiske personer til ikkeerhvervsmæssige formål. Det bør være muligt for medlemsstaterne at træffe foranstaltninger til at forhindre fysiske personers gratis anvendelse af kvalificerede elektroniske signaturer til erhvervsmæssige formål, samtidig med at det sikres, at sådanne foranstaltninger står i et rimeligt forhold til de identificerede risici og er berettigede.

(21)

Det er gavnligt at lette udbredelsen og anvendelsen af europæiske digitale identitetstegnebøger ved gnidningsløst at integrere dem i det økosystem af offentlige og private digitale tjenester, der allerede er indført på nationalt, lokalt eller regionalt plan. For at nå dette mål bør det være muligt for medlemsstaterne at fastsætte retlige og organisatoriske foranstaltninger med henblik på at øge fleksibiliteten for udbydere af europæiske digitale identitetstegnebøger og for at give mulighed for yderligere funktionaliteter i europæiske digitale identitetstegnebøger udover dem, der er fastsat i denne forordning, herunder gennem øget interoperabilitet med eksisterende nationale elektroniske identifikationsmidler. Sådanne yderligere funktionaliteter bør på ingen måde være til skade for leveringen af europæiske digitale identitetstegnebøgers centrale funktioner, der er fastsat i denne forordning, eller fremme eksisterende nationale løsninger frem for europæiske digitale identitetstegnebøger. Da sådanne yderligere funktionaliteter rækker ud over, hvad der er fastsat i denne forordning, er de ikke omfattet af forordningens bestemmelser om grænseoverskridende benyttelse af europæiske digitale identitetstegnebøger.

(22)

Europæiske digitale identitetstegnebøger bør indeholde en funktionalitet til generering af brugervalgte og -forvaltede pseudonymer, der autentificeres ved adgang til onlinetjenester.

(23)

For at opnå et højt sikkerheds- og pålidelighedsniveau fastsætter denne forordning kravene til europæiske digitale identitetstegnebøger. De europæiske digitale identitetstegnebøgers overensstemmelse med disse krav bør certificeres af akkrediterede overensstemmelsesvurderingsorganer, som udpeges af medlemsstaterne.

(24)

For at undgå divergerende tilgange og harmonisere gennemførelsen af de krav, der fastsættes i denne forordning, bør Kommissionen med henblik på certificering af europæiske digitale identitetstegnebøger vedtage gennemførelsesretsakter for at fastlægge en liste af referencestandarder og, hvor det er nødvendigt, fastlægge specifikationer og procedurer med henblik på at angive detaljerede tekniske specifikationer for disse krav. I det omfang certificeringen af europæiske digitale identitetstegnebøgers overensstemmelse med relevante cybersikkerhedskrav ikke er omfattet af eksisterende cybersikkerhedscertificeringsordninger, der er omhandlet i denne forordning, og for så vidt angår ikkecybersikkerhedsrelaterede krav, der er relevante for europæiske digitale identitetstegnebøger, bør medlemsstaterne indføre nationale certificeringsordninger i henhold til de harmoniserede krav, der er fastsat i og vedtaget i henhold til denne forordning. Medlemsstaterne bør fremsende deres udkast til nationale certificeringsordninger til den europæiske samarbejdsgruppe for digital identitet, som bør kunne afgive udtalelser og udstede henstillinger.

(25)

Certificering af overensstemmelse med de cybersikkerhedskrav, der er fastsat i denne forordning, bør, hvor det er muligt, baseres på de relevante europæiske cybersikkerhedscertificeringsordninger, der er fastlagt i henhold til Europa-Parlamentets og Rådets forordning (EU) 2019/881 (10), som fastlægger en frivillig europæisk ramme for cybersikkerhedscertificering af IKT-produkter, -processer og -tjenester.

(26)

For løbende at vurdere og afbøde sikkerhedsrelaterede risici bør certificerede europæiske digitale identitetstegnebøger underkastes regelmæssige sårbarhedsvurderinger, der sigter mod afdækning af eventuelle sårbarheder i den europæiske digitale identitetstegnebogs certificerede produkt-, proces- og tjenesterelaterede komponenter.

(27)

Ved at beskytte brugere og virksomheder mod cybersikkerhedsrisici bidrager de grundlæggende cybersikkerhedsrelaterede krav i denne forordning også til at forbedre beskyttelsen af personoplysninger og privatlivets fred for enkeltpersoner. Synergier med hensyn til både standardisering og certificering af cybersikkerhedsaspekter bør overvejes inden for rammerne af samarbejdet mellem Kommissionen, de europæiske standardiseringsorganisationer, Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), Det Europæiske Databeskyttelsesråd oprettet ved forordning (EU) 2016/679 og de nationale databeskyttelsestilsynsmyndigheder.

(28)

Onboarding af unionsborgere og indbyggere i Unionen til den europæiske digitale identitetstegnebog bør lettes ved hjælp af elektroniske identifikationsmidler, der er udstedt på sikringsniveauet »høj«. Elektroniske identifikationsmidler, der er udstedt på sikringsniveauet »betydelig«, bør kun anvendes, hvis harmoniserede tekniske specifikationer og procedurer, der benytter elektroniske identifikationsmidler udstedt på sikringsniveauet »betydelig« i kombination med supplerende identitetskontrolmidler, vil gøre det muligt at opfylde kravene i nærværende forordning for så vidt angår sikringsniveauet »høj«. Sådanne supplerende midler bør være pålidelige og lette at anvende og kunne bygge på muligheden for at anvende onboardingprocedurer på afstand, kvalificerede certifikater understøttet af kvalificerede elektroniske signaturer, kvalificeret elektronisk attestering af attributter eller en kombination heraf. For at sikre en tilstrækkelig udbredelse af europæiske digitale identitetstegnebøger bør der i gennemførelsesretsakter fastsættes harmoniserede tekniske specifikationer og procedurer for onboarding af brugere ved hjælp af elektroniske identifikationsmidler, herunder dem, der udstedes på sikringsniveauet »betydelig«.

(29)

Formålet med denne forordning er at forsyne brugeren med en fuldt mobil, sikker og brugervenlig europæisk digital identitetstegnebog. Som en overgangsforanstaltning, indtil certificerede manipulationssikrede løsninger er tilgængelige såsom sikre elementer i brugernes enheder, bør europæiske digitale identitetstegnebøger kunne benytte certificerede eksterne sikre elementer til at beskytte kryptografisk materiale og andre følsomme oplysninger eller anmeldte elektroniske identifikationsmidler på sikringsniveauet »høj« med henblik på at påvise overensstemmelse med denne forordnings relevante krav for så vidt angår den europæiske digitale identitetstegnebogs sikringsniveau. Denne forordning bør ikke berøre nationale betingelser for så vidt angår udstedelsen og anvendelsen af et certificeret eksternt sikkert element, hvor overgangsforanstaltningen afhænger af det.

(30)

Europæiske digitale identitetstegnebøger bør sikre det højeste databeskyttelses- og sikkerhedsniveau med henblik på elektronisk identifikation og autentifikation for at lette adgangen til offentlige og private tjenester, uanset om sådanne data lagres lokalt eller i cloudbaserede løsninger, under behørig hensyntagen til de forskellige risikoniveauer.

(31)

Europæiske digitale identitetstegnebøger bør have sikkerhed gennem design og bør indføre avancerede sikkerhedselementer for at beskytte mod identitetstyveri og andet datatyveri, nægtelse af tjeneste og enhver anden cybertrussel. Sådan sikkerhed bør omfatte de nyeste krypterings- og lagringsmetoder, som er tilgængelige udelukkende for, og kan dekrypteres udelukkende af, brugeren, og som benytter end-to-end-krypteret kommunikation med andre europæiske digitale identitetstegnebøger og modtagerparter. Desuden bør europæiske digitale identitetstegnebøger kræve sikker, udtrykkelig og aktiv brugerbekræftelse for de operationer, der udføres via europæiske digitale identitetstegnebøger.

(32)

Den gratis anvendelse af europæiske digitale identitetstegnebøger bør ikke føre til behandling af data ud over data, der er nødvendige for at levere europæiske digitale identitetstegnebogstjenester. Denne forordning bør ikke give mulighed for, at udbyderen af den europæiske digitale identitetstegnebog behandler personoplysninger, der er lagret i eller er et resultat af anvendelsen af den europæiske digitale identitetstegnebog, til andre formål end levering af europæiske digitale identitetstegnebogstjenester. For at sikre privatlivsbeskyttelse bør udbydere af europæiske digitale identitetstegnebøger sikre ikkeobserverbarhed ved ikke at indsamle data og ikke at have indsigt i transaktioner foretaget af brugerne af den europæiske digitale identitetstegnebog. Sådan ikkeobserverbarhed betyder, at udbyderne ikke er i stand til at se nærmere oplysninger om de transaktioner, som brugeren har foretaget. I særlige tilfælde baseret på brugerens udtrykkelige forudgående samtykke i hvert af disse særlige tilfælde og i fuld overensstemmelse med forordning (EU) 2016/679 vil udbydere af europæiske digitale identitetstegnebøger dog kunne få adgang til de oplysninger, der er nødvendige for at levere en bestemt tjeneste i forbindelse med europæiske digitale identitetstegnebøger.

(33)

Europæiske digitale identitetstegnebøgers gennemsigtighed og deres udbyderes ansvarlighed er centrale faktorer for at skabe social tillid og afstedkomme accept af rammen. De europæiske digitale identitetstegnebøger bør derfor fungere på en gennemsigtig måde og navnlig give mulighed for kontrollerbar behandling af personoplysninger. For at opnå dette bør medlemsstaterne offentliggøre kildekoden til brugerapplikationens softwarekomponenter i europæiske digitale identitetstegnebøger, herunder dem, der vedrører behandling af personoplysninger og data om juridiske personer. Offentliggørelse af denne kildekode med en open source-licens bør give samfundet, herunder brugere og udviklere, mulighed for at forstå, hvordan den fungerer, og revidere og gennemgå koden. Dette vil øge brugernes tillid til økosystemet og bidrage til europæiske digitale identitetstegnebøgers sikkerhed ved at give alle mulighed for at rapportere om sårbarheder og fejl i koden. Samlet set bør dette tilskynde udbyderne til at levere og opretholde et meget sikkert produkt. I visse tilfælde vil videregivelse af kildekoden til de anvendte biblioteker, kommunikationskanaler eller andre elementer, der ikke hostes på brugerenheden, dog kunne begrænses af medlemsstaterne af behørigt begrundede årsager, navnlig af hensyn til den offentlige sikkerhed.

(34)

Brugen af europæiske digitale identitetstegnebøger og ophør heraf bør udelukkende være brugernes ret og valg. Medlemsstaterne bør udvikle enkle og sikre procedurer, så brugerne kan anmode om øjeblikkelig tilbagekaldelse af gyldigheden af europæiske digitale identitetstegnebøger, herunder i tilfælde af tab eller tyveri. Ved brugerens død eller ved ophør af en juridisk persons aktivitet bør der indføres en mekanisme, der gør det muligt for den myndighed, der er ansvarlig for at opgøre boet efter den fysiske person eller den juridiske persons aktiver, at anmode om den øjeblikkelige tilbagekaldelse af en europæisk digital identitetstegnebog.

(35)

For at fremme udbredelsen af europæiske digitale identitetstegnebøger og den bredere anvendelse af digitale identiteter bør medlemsstaterne ikke blot fremme fordelene ved de relevante tjenester, men bør i samarbejde med den private sektor, forskere og den akademiske verden også udvikle uddannelsesprogrammer, der har til formål at styrke deres borgeres og indbyggeres digitale færdigheder, navnlig for sårbare grupper såsom personer med handicap og ældre. Medlemsstaterne bør øge bevidstheden om fordelene og risiciene ved europæiske digitale identitetstegnebøger ved hjælp af kommunikationskampagner.

(36)

For at sikre, at den europæiske ramme for digital identitet er åben for innovation og teknologisk udvikling og er fremtidssikret, tilskyndes medlemsstaterne til i fællesskab at oprette sandkasser til afprøvning af innovative løsninger i et kontrolleret og sikkert miljø, navnlig for at forbedre løsningernes funktionalitet, beskyttelse af personoplysninger, sikkerhed og interoperabilitet og bidrage til fremtidige ajourføringer af tekniske referencer og retlige krav. Dette miljø bør fremme inddragelsen af SMV'er, nystartede virksomheder og individuelle innovatorer og forskere samt relevante interessenter i industrien. Sådanne initiativer bør bidrage til og styrke den reguleringsmæssige overholdelse og tekniske robusthed af europæiske digitale identitetstegnebøger, der skal leveres til unionsborgere og indbyggere i Unionen, og dermed forhindre udviklingen af løsninger, der ikke er overholder EU-retten om databeskyttelse, eller som er åbne for sikkerhedsmæssige sårbarheder.

(37)

Europa-Parlamentet og Rådets forordning (EU) 2019/1157 (11) styrker sikkerheden af identitetskort med forbedrede sikkerhedselementer senest i august 2021. Medlemsstaterne bør overveje muligheden for at anmelde dem som led i elektroniske identifikationsordninger for at udvide den grænseoverskridende adgang til elektroniske identifikationsmidler.

(38)

Proceduren for anmeldelse af elektroniske identifikationsordninger bør forenkles og fremskyndes for at fremme adgangen til bekvemme, pålidelige, sikre og innovative autentifikations- og identifikationsløsninger og, hvor det er relevant, tilskynde private identitetsudbydere til at udbyde elektroniske identifikationsordninger til medlemsstaternes myndigheder til anmeldelse som nationale elektroniske identifikationsordninger i henhold til forordning (EU) nr. 910/2014.

(39)

En strømlining af de nuværende procedurer for anmeldelse og peerevaluering vil forhindre uensartede tilgange til vurdering af forskellige anmeldte elektroniske identifikationsordninger og gøre det lettere at opbygge tillid mellem medlemsstaterne. Nye, forenklede mekanismer har til formål at fremme medlemsstaternes samarbejde om sikkerhed og interoperabilitet i deres anmeldte elektroniske identifikationsordninger.

(40)

Medlemsstaterne bør nyde godt af nye, fleksible værktøjer til at sikre overholdelse af kravene i denne forordning og i de relevante gennemførelsesretsakter, der er vedtaget i medfør heraf. Denne forordning bør give medlemsstaterne mulighed for at anvende rapporter og vurderinger, der er udarbejdet eller udført af akkrediterede overensstemmelsesvurderingsorganer, som fastsat inden for rammerne af certificeringsordninger, der skal oprettes på EU-plan i henhold til forordning (EU) 2019/881, til at understøtte deres påstande om tilpasning af ordningerne eller dele heraf til forordning (EU) nr. 910/2014.

(41)

Offentlige tjenesteudbydere anvender de personidentifikationsdata, der er tilgængelige fra elektroniske identifikationsmidler i henhold til forordning (EU) nr. 910/2014, til at matche den elektroniske identitet af brugere fra andre medlemsstater med de personidentifikationsdata, der gives til disse brugere i den medlemsstat, der udfører processen for identitetssammenkobling på tværs af grænserne. På trods af anvendelsen af det minimumsdatasæt, der stilles til rådighed i henhold til de anmeldte elektroniske identifikationsordninger, kræver det imidlertid i mange tilfælde yderligere oplysninger om brugeren og specifikke supplerende entydige identifikationsprocedurer, der skal gennemføres på nationalt plan, for at sikre en nøjagtig identitetssammenkobling, når medlemsstaterne fungerer som modtagerparter. For yderligere at støtte anvendeligheden af elektroniske identifikationsmidler, sikre bedre offentlige onlinetjenester og øge retssikkerheden i forbindelse med brugernes elektroniske identitet bør forordning (EU) nr. 910/2014 kræve, at medlemsstaterne skal træffe specifikke onlineforanstaltninger for at sikre utvetydig identitetssammenkobling, når brugerne agter at få adgang til grænseoverskridende offentlige onlinetjenester.

(42)

Når der udvikles europæiske digitale identitetstegnebøger, er det afgørende at tage hensyn til brugernes behov. Meningsfulde brugstilfælde og onlinetjenester, der benytter europæiske digitale identitetstegnebøger bør stilles til rådighed. Af hensyn til brugernes bekvemmelighed og for at sikre sådanne tjenesters tilgængelighed på tværs af grænserne er det vigtigt at træffe tiltag med henblik på at fremme en ensartet tilgang til udformning, udvikling og gennemførelse af onlinetjenester i alle medlemsstater. Ikkebindende retningslinjer for udformning, udvikling og gennemførelse af onlinetjenester, der benytter europæiske digitale identitetstegnebøger, har potentiale til at blive et nyttigt redskab til at nå dette mål. Sådanne retningslinjer bør udarbejdes under hensyntagen til Unionens interoperabilitetsramme. Medlemsstaterne bør have en fremtrædende rolle i forbindelse med vedtagelsen af disse retningslinjer.

(43)

I overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2019/882 (12) skal personer med handicap kunne anvende europæiske digitale identitetstegnebøger, tillidstjenester og de slutbrugerprodukter, der anvendes til levering af sådanne tjenester, på lige fod med andre brugere.

(44)

For at sikre en effektiv håndhævelse af denne forordning bør der fastsættes et minimumsniveau for de maksimale administrative bøder for både kvalificerede og ikkekvalificerede tillidstjenesteudbydere. Medlemsstaterne bør fastsætte sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning. Ved fastsættelsen af sanktionerne bør der tages behørigt hensyn til de berørte enheders størrelse, deres forretningsmodeller og alvoren af overtrædelsen.

(45)

Medlemsstaterne bør fastsætte regler om sanktioner for overtrædelser såsom direkte eller indirekte praksis, der fører til forveksling mellem ikkekvalificerede og kvalificerede tillidstjenester eller til ikkekvalificerede tillidstjenesteudbyderes misbrug af EU-tillidsmærket. EU-tillidsmærket bør ikke anvendes på betingelser, der direkte eller indirekte fører til den opfattelse, at ikkekvalificerede tillidstjenester, der tilbydes af disse udbydere, er kvalificerede.

(46)

Denne forordning bør ikke omfatte aspekter relateret til indgåelse og gyldighed af kontrakter eller andre retlige forpligtelser, som ifølge EU-retten eller national ret er undergivet formkrav. Den bør heller ikke berøre nationale formkrav til offentlige registre, navnlig handelsregistre og tingbøger.

(47)

Levering og anvendelse af tillidstjenester og fordelene i form af bekvemmelighed og retssikkerhed i forbindelse med grænseoverskridende transaktioner, navnlig når der anvendes kvalificerede tillidstjenester, er af stadig større betydning for international handel og internationalt samarbejde. Unionens internationale partnere fastlægger tillidsrammer inspireret af forordning (EU) nr. 910/2014. For at lette anerkendelsen af kvalificerede tillidstjenester og deres udbydere kan Kommissionen vedtage gennemførelsesretsakter for at fastsætte betingelser for, hvornår tredjelandes tillidsrammer kan anses for at svare til tillidsrammerne for kvalificerede tillidstjenester og udbydere heraf i denne forordning. En sådan tilgang bør supplere muligheden for gensidig anerkendelse af tillidstjenester og udbydere heraf, der er hjemmehørende i Unionen og i tredjelande i overensstemmelse med artikel 218 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Ved fastsættelsen af betingelserne for, hvornår tredjelandes tillidsrammer kan anses for at svare til tillidsrammerne for kvalificerede tillidstjenester og udbydere heraf i forordning (EU) nr. 910/2014, bør det sikres, at de relevante bestemmelser i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (13) og forordning (EU) 2016/679 overholdes, samt at der anvendes positivlister som grundlæggende elementer for opbygning af tillid.

(48)

Denne forordning bør fremme valgmuligheder og muligheden for at skifte mellem europæiske digitale identitetstegnebøger, hvis en medlemsstat har godkendt mere end én europæisk digital identitetstegnebogsløsning på sit område. For at undgå fastlåsning i sådanne situationer bør udbydere af europæiske digitale identitetstegnebøger, hvor det er teknisk muligt, sikre effektiv dataportabilitet efter anmodning fra brugere af europæiske digitale identitetstegnebøger og bør ikke kunne anvende kontraktlige, økonomiske eller tekniske hindringer for at forhindre eller afskrække fra effektive skift mellem forskellige europæiske digitale identitetstegnebøger.

(49)

For at sikre, at europæiske digitale identitetstegnebøger fungerer korrekt, har udbydere af europæiske digitale identitetstegnebøger behov for effektiv interoperabilitet og retfærdige, rimelige og ikkediskriminerende betingelser for, at de europæiske digitale identitetstegnebøger kan få adgang til specifikke hardware- og softwarefunktioner på mobile enheder. Disse komponenter vil navnlig kunne omfatte near-field-communication-antenner og sikre elementer, herunder universelle integrerede kredsløbskort, indbyggede sikre elementer, mikroSD-kort og Bluetooth Low Energy. Adgangen til disse komponenter vil kunne være kontrolleret af mobilnetoperatører og udstyrsfabrikanter. Hvor det er nødvendigt for at levere tjenester fra europæiske digitale identitetstegnebøger, bør fabrikanter af originaludstyr til mobile enheder eller udbydere af elektroniske kommunikationstjenester derfor ikke nægte adgang til sådanne komponenter. Desuden bør de virksomheder, der er udpeget som gatekeepere for centrale platformstjenester som anført af Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/1925 (14), fortsat være omfattet af de specifikke bestemmelser i nævnte forordning på grundlag af artikel 6, stk. 7, deri.

(50)

For at strømline de forpligtelser vedrørende cybersikkerhed, der pålægges tillidstjenesteudbydere, og for at gøre det muligt for disse udbydere og deres respektive kompetente myndigheder at drage fordel af den retlige ramme, der er fastlagt ved direktiv (EU) 2022/2555, er tillidstjenester forpligtet til at træffe passende tekniske og organisatoriske foranstaltninger i medfør af nævnte direktiv såsom foranstaltninger til håndtering af systemsvigt, menneskelige fejl, ondsindede handlinger eller naturfænomener med henblik på at styre risiciene for sikkerheden i de net- og informationssystemer, som disse udbydere anvender som led i deres levering af tjenester, samt foretage underretninger om væsentlige hændelser og cybertrusler i overensstemmelse med nævnte direktiv. For så vidt angår underretning om hændelser bør tillidstjenesteudbydere underrette om alle hændelser, der har en væsentlig indvirkning på leveringen af deres tjenester, herunder som følge af tyveri eller tab af udstyr, skader på netkabler eller hændelser, der indtræffer i forbindelse med identifikation af personer. Kravene vedrørende risikostyring i forbindelse med cybersikkerhed og rapporteringsforpligtelserne i henhold til direktiv (EU) 2022/2555 bør betragtes som værende et supplement til de krav, der pålægges tillidstjenesteudbydere i henhold til denne forordning. Hvis det er relevant, bør fastsatte nationale praksisser eller retningslinjer i forbindelse med gennemførelsen af sikkerheds- og rapporteringskrav og tilsyn med overholdelsen af sådanne krav i henhold til forordning (EU) nr. 910/2014 fortsat anvendes af de kompetente myndigheder, der er udpeget i henhold til direktiv (EU) 2022/2555. Nærværende forordning berører ikke forpligtelsen til i medfør af forordning (EU) 2016/679 at anmelde brud på persondatasikkerheden.

(51)

Der bør tages behørigt hensyn til at sikre et effektivt samarbejde mellem de tilsynsorganer, der er udpeget i henhold til artikel 46b i forordning (EU) nr. 910/2014, og de kompetente myndigheder, der er udpeget eller oprettet i henhold til artikel 8, stk. 1, i direktiv (EU) 2022/2555. Hvis et sådant tilsynsorgan er et andet end en sådan kompetent myndighed, bør de samarbejde tæt og på en rettidig måde ved at udveksle relevante oplysninger med henblik på at sikre et effektivt tilsyn med tillidstjenesteudbyderne og deres overholdelse af de krav, der er fastsat i forordning (EU) nr. 910/2014 og direktiv (EU) 2022/2555. Tilsynsorganer, der er udpeget i henhold til forordning (EU) nr. 910/2014, bør navnlig have ret til at anmode kompetente myndigheder, der er udpeget i henhold til direktiv (EU) 2022/2555, om at fremlægge de relevante oplysninger, der er nødvendige for at tildele status som kvalificeret og gennemføre tilsynsforanstaltninger for at kontrollere, at tillidstjenesteudbyderne overholder de i henhold til direktiv (EU) 2022/2555 relevante krav, eller pålægge dem at afhjælpe manglende overholdelse.

(52)

Det er afgørende at fastlægge en retlig ramme for at lette grænseoverskridende anerkendelse mellem eksisterende nationale retlige systemer vedrørende elektroniske registrerede leveringstjenester. Denne ramme vil også kunne åbne nye markedsmuligheder for tillidstjenesteudbydere i Unionen med hensyn til at udbyde nye EU-dækkende tjenester for elektroniske registrerede leveringstjenester. For at sikre, at data via en kvalificeret elektronisk registreret leveringstjeneste leveres til den korrekte modtager, bør kvalificerede elektroniske registrerede leveringstjenester med fuldstændig sikkerhed sikre identifikation af modtageren, mens en høj grad af tillid vil være tilstrækkelig for så vidt angår identifikation af afsenderen. Medlemsstaterne bør tilskynde udbydere af kvalificerede elektroniske registrerede leveringstjenester til at gøre deres tjenester interoperable med kvalificerede elektroniske registrerede leveringstjenester, der leveres af andre kvalificerede tillidstjenesteudbydere, for at der nemt kan overføres elektronisk registrerede data mellem to eller flere kvalificerede tillidstjenesteudbydere, og for at fremme fair praksis på det indre marked.

(53)

I de fleste tilfælde er unionsborgere og indbyggere i Unionen ikke i stand til at udveksle digitale oplysninger vedrørende deres identitet såsom deres adresser, alder, erhvervsmæssige kvalifikationer, kørekort og andre tilladelser og betalingsdata på tværs af grænserne på sikker vis og med et højt databeskyttelsesniveau.

(54)

Det bør være muligt at udstede og håndtere pålidelige elektroniske attributter og bidrage til at mindske den administrative byrde og derved give unionsborgere og indbyggere i Unionen mulighed for at anvende dem i deres private og offentlige transaktioner. Unionsborgere og indbyggere i Unionen bør for eksempel være i stand til at dokumentere, at de er i besiddelse af et gyldigt kørekort, der er udstedt af en myndighed i én medlemsstat, hvilket de relevante myndigheder i andre medlemsstater kan kontrollere og have tillid til, og til at forlade sig på deres socialsikringsoplysninger eller fremtidige digitale rejsedokumenter i grænseoverskridende sammenhæng.

(55)

Enhver tjenesteudbyder, der udsteder attesterede attributter i elektronisk form såsom eksamensbeviser, tilladelser og fødselsattester eller beføjelser og mandater til at repræsentere eller handle på vegne af fysiske eller juridiske personer bør betragtes som en tillidstjenesteudbyder af elektroniske attesteringer af attributter. En elektronisk attestering af attributter bør ikke nægtes retsvirkning alene af den grund, at den er i elektronisk form, eller at den ikke opfylder kravene til kvalificerede elektroniske attesteringer af attributter. Der bør fastsættes generelle krav for at sikre, at en kvalificeret elektronisk attestering af attributter har samme retsvirkning som lovligt udstedte attesteringer i papirform. Disse krav bør dog finde anvendelse, uden at det berører EU-ret eller national ret, der fastsætter yderligere sektorspecifikke krav for så vidt angår formkrav med underliggende retsvirkning og navnlig grænseoverskridende anerkendelse af kvalificerede elektroniske attesteringer af attributter, hvis det er relevant.

(56)

Den brede tilgængelighed og anvendelighed af europæiske digitale identitetstegnebøger bør øge accepten heraf og tilliden til dem både hos privatpersoner og private tjenesteudbydere. De private modtagerparter, der leverer tjenester, f.eks. inden for transport, energi, banktjenester, finansielle tjenesteydelser, social sikring, sundhed, drikkevand, posttjenester, digital infrastruktur, telekommunikation eller uddannelse, bør derfor acceptere anvendelsen af europæiske digitale identitetstegnebøger til levering af tjenester, hvor stærk brugerautentifikation til onlineidentifikation er påkrævet i henhold til EU-retten eller national ret eller i henhold til en kontraktlig forpligtelse. Enhver anmodning fra modtagerparten om oplysninger fra brugeren af en europæisk digital identitetstegnebog bør være nødvendig for og stå i et rimeligt forhold til den påtænkte anvendelse i et givent tilfælde, bør være i overensstemmelse med princippet om dataminimering og bør sikre gennemsigtighed med hensyn til, hvilke data der deles, og til hvilke formål. For at lette anvendelsen og accepten af europæiske digitale identitetstegnebøger bør der i forbindelse med deres udbredelse tages hensyn til bredt anerkendte industristandarder og -specifikationer.

(57)

Hvis meget store onlineplatforme i den i artikel 33, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2022/2065 (15) anvendte betydning kræver, at brugere autentificeres for at få adgang til onlinetjenester, bør disse platforme være forpligtet til at acceptere anvendelse af europæiske digitale identitetstegnebøger, når brugeren frivilligt anmoder herom. Brugere bør ikke være forpligtede til at anvende en europæisk digital identitetstegnebog for at få adgang til private tjenester, og deres adgang til tjenester bør ikke begrænses eller hindres med den begrundelse, at de ikke anvender en europæisk digital identitetstegnebog. Hvis brugerne imidlertid ønsker det, bør meget store onlineplatforme acceptere dem til dette formål, samtidig med at princippet om dataminimering og brugernes ret til frit valgte pseudonymer respekteres. I betragtning af den betydning, som meget store onlineplatforme har grundet deres rækkevidde, navnlig som udtrykt i antallet af modtagere af en tjeneste og økonomiske transaktioner, er forpligtelsen til at acceptere europæiske digitale identitetstegnebøger nødvendig for at øge beskyttelsen af brugerne mod svig og sikre et højt databeskyttelsesniveau.

(58)

Der bør udarbejdes adfærdskodekser på EU-plan med henblik på at bidrage til udbredt tilgængelighed og anvendelighed af elektroniske identifikationsmidler, herunder europæiske digitale identitetstegnebøger, inden for denne forordnings anvendelsesområde. Adfærdskodekserne bør lette en bred accept af elektroniske identifikationsmidler, herunder europæiske digitale identitetstegnebøger, hos de tjenesteudbydere, der ikke betragtes som meget store platforme, og som benytter tredjeparters elektroniske identifikationstjenester til brugerautentifikation.

(59)

Selektiv videregivelse er et begreb, der giver ejeren af data mulighed for kun at videregive visse dele af et større datasæt, således at den modtagende enhed kun modtager de oplysninger, som er nødvendige for leveringen af en tjeneste, som en bruger har anmodet om. Den europæiske digitale identitetstegnebog bør gøre selektiv videregivelse af attributter til modtagerparter teknisk mulig. Det bør være teknisk muligt for brugeren selektivt at videregive attributter, herunder fra flere særskilte elektroniske attesteringer, og kombinere og fremlægge dem gnidningsløst for modtagerparter. Denne funktion bør blive et grundlæggende element i udformningen af europæiske digitale identitetstegnebøger og derved styrke bekvemmeligheden og beskyttelsen af personoplysninger, herunder dataminimering.

(60)

Medmindre specifikke regler i EU-retten eller national ret kræver, at brugerne identificerer sig selv, bør adgang til tjenester ved hjælp af et pseudonym ikke forbydes.

(61)

Attributter, der leveres af kvalificerede tillidstjenesteudbydere som led i kvalificerede attesteringer af attributter, bør kontrolleres i forhold til autentiske kilder enten direkte af den kvalificerede tillidstjenesteudbyder eller ved hjælp af udpegede mellemmænd, der er anerkendt på nationalt plan i overensstemmelse med EU-retten eller national ret, med henblik på sikker udveksling af attesterede attributter mellem udbydere af identitetstjenester eller attesteringer af attributter og modtagerparter. Medlemsstaterne bør indføre passende mekanismer på nationalt plan for at sikre, at kvalificerede tillidstjenesteudbydere, der udsteder kvalificeret elektronisk attestering af attributter, er i stand til på grundlag af samtykke fra den person, som attesten er udstedt til, at kontrollere ægtheden af attributterne på grundlag af autentiske kilder. Det bør være muligt for passende mekanismer at omfatte anvendelsen af specifikke mellemmænd eller tekniske løsninger i overensstemmelse med national ret, der giver adgang til autentiske kilder. At sikre, at en mekanisme, der gør det muligt at kontrollere attributter i forhold til autentiske kilder, er til rådighed, har til formål at gøre det lettere for kvalificerede tillidstjenesteudbydere af kvalificeret elektronisk attestering af attributter at overholde deres forpligtelser i henhold til forordning (EU) nr. 910/2014. Et nyt bilag til nævnte forordning bør indeholde en liste over kategorier af attributter med hensyn til hvilke medlemsstaterne skal sikre, at der træffes foranstaltninger, der gør det muligt for kvalificerede udbydere af elektroniske attesteringer af attributter på brugerens anmodning elektronisk at kontrollere deres ægthed i forhold til den relevante autentiske kilde.

(62)

Sikker elektronisk identifikation og levering af attesteringer af attributter bør give sektoren for finansielle tjenesteydelser yderligere fleksibilitet og løsninger, således at det bliver muligt at identificere kunder og udveksle specifikke attributter for at overholde f.eks. kundekendskabskravene i henhold til en fremtidig forordning om oprettelse af myndigheden for bekæmpelse af hvidvask af penge eller egnethedskrav, der følger af investorbeskyttelsesret, eller for at støtte opfyldelsen af krav om stærk kundeautentifikation til onlineidentifikation med henblik på kontologin og iværksættelse af transaktioner inden for betalingstjenester.

(63)

Retsvirkningen af en elektronisk signatur skal ikke anfægtes, alene af den grund at den er i elektronisk form, eller at den ikke opfylder kravene til en kvalificeret elektronisk signatur. Elektroniske signaturers retsvirkning skal dog fastlægges i national ret, med undtagelse af kravene i denne forordning, der fastsætter, at retsvirkningen af en kvalificeret elektronisk signatur skal anses for at svare til en håndskreven underskrift. Ved fastlæggelsen af elektroniske signaturers retsvirkning bør medlemsstaterne tage hensyn til princippet om proportionalitet mellem den retlige værdi af et dokument, der skal underskrives, og det sikkerhedsniveau og de omkostninger, som en elektronisk signatur kræver. For at øge tilgængeligheden og anvendelsen af elektroniske signaturer opfordres medlemsstaterne til at overveje at anvende avancerede elektroniske signaturer i de daglige transaktioner, for hvilke de giver et tilstrækkeligt niveau af sikkerhed og tillid.

(64)

For at sikre ensartet certificeringspraksis i hele Unionen bør Kommissionen udstede retningslinjer for certificering og fornyet certificering af kvalificerede elektroniske signaturgenereringssystemer og af kvalificerede elektroniske seglgenereringssystemer, herunder deres gyldighed og tidsmæssige begrænsninger. Denne forordning forhindrer ikke offentlige eller private organer, der har certificerede kvalificerede elektroniske signaturgenereringssystemer, i midlertidigt at forny certificeringen af sådanne systemer for en kortvarig certificeringsperiode på grundlag af resultatet af den seneste certificeringsproces, hvor en sådan fornyet certificering ikke kan foretages inden for den lovbestemte tidsramme af andre årsager end et brud eller en sikkerhedshændelse, og uden at det berører forpligtelsen til at foretage en sårbarhedsvurdering, og uden at det berører gældende certificeringspraksis.

(65)

Udstedelsen af certifikater for webstedsautentifikation har til formål at give brugere en sikkerhed med en høj grad af tillid til identiteten af den enhed, der står bag et websted, uanset hvilken platform der anvendes til at vise denne identitet. Disse certifikater bør bidrage til at opbygge tillid til at drive forretning online, da brugerne vil have tillid til et websted, som er autentificeret. Websteders brug af sådanne certifikater bør være frivillig. For at sådanne certifikater kan blive et middel til at fremme tillid, give brugeren en bedre oplevelse og fremme vækst på det indre marked, fastsættes der ved denne forordning en tillidsramme inklusive minimumsforpligtelser med hensyn til sikkerhed og ansvar for udbydere af kvalificerede certifikater for webstedsautentifikation og krav til udstedelsen af disse certifikater. Webstedsautentifikationstjenesters og deres tillidstjenesteudbyderes status som kvalificeret bør bekræftes af nationale positivlister, herunder deres fulde overholdelse af denne forordnings krav med hensyn til udstedelse af kvalificerede certifikater for webstedsautentifikation. Anerkendelsen af kvalificerede certifikater for webstedsautentifikation betyder, at webbrowserudbydere ikke bør nægte autenticiteten af kvalificerede certifikater for webstedsautentifikation med det ene formål at attestere tilknytningen mellem webstedets domænenavn og den fysiske eller juridiske person, som certifikatet er udstedt til, eller bekræfte den pågældende persons identitet. Webbrowserudbydere bør vise de certificerede identitetsdata og de øvrige attesterede attributter for slutbrugeren på en brugervenlig måde i browsermiljøet ved tekniske midler efter eget valg. Med henblik herpå bør webbrowserudbydere sørge for støtte af og interoperabilitet med kvalificerede certifikater for webstedsautentifikation udstedt under fuld overholdelse af denne forordning. Forpligtelsen til anerkendelse af, interoperabilitet med og støtte til kvalificerede certifikater for webstedsautentifikation berører ikke webbrowserudbyderes frihed til at sikre websikkerhed, domæneautentifikation og kryptering af webtrafik på en måde og ved brug af teknologi, som de anser for at være den mest hensigtsmæssige. For at bidrage til slutbrugernes onlinesikkerhed bør webbrowserudbydere under ekstraordinære omstændigheder kunne træffe forebyggende foranstaltninger, der er både nødvendige og forholdsmæssige, som reaktion på en begrundet mistanke om sikkerhedsbrud eller tab af integritet i forbindelse med et identificeret certifikat eller sæt af certifikater. Hvor webbrowserudbydere træffer sådanne forebyggende foranstaltninger, bør de uden unødigt ophold underrette Kommissionen, det nationale tilsynsorgan og den enhed, som certifikatet er udstedt til, samt den kvalificerede tillidstjenesteudbyder, der udstedte det pågældende certifikat eller sæt af certifikater, om enhver mistanke med hensyn til et sådant sikkerhedsbrud eller tab af integritet samt om de foranstaltninger, der er truffet i forbindelse med det enkelte certifikat eller sættet af certifikater. Disse foranstaltninger bør ikke berøre webbrowserudbyderes forpligtelse til at anerkende kvalificerede certifikater for webstedsautentifikation i overensstemmelse med de nationale positivlister. For yderligere at beskytte unionsborgerne og indbyggerne i Unionen og fremme brugen af kvalificerede certifikater for webstedsautentifikation bør offentlige myndigheder i medlemsstaterne overveje at indføre kvalificerede certifikater for webstedsautentifikation for deres websteder. De foranstaltninger, der er fastsat i denne forordning med henblik på at skabe større sammenhæng mellem medlemsstaternes forskellige tilgange og praksis vedrørende tilsynsprocedurer, har til formål at bidrage til at øge tilliden til sikkerheden, kvaliteten og tilgængeligheden af kvalificerede certifikater for webstedsautentifikation.

(66)

Mange medlemsstater har indført nationale krav til tjenester, der leverer sikker og pålidelig elektronisk arkivering, for at gøre det muligt at opbevare elektroniske data og elektroniske dokumenter i lang tid, og tilknyttede tillidstjenester. For at sikre retssikkerhed, tillid og harmonisering på tværs af medlemsstaterne bør der fastlægges en retlig ramme for kvalificerede elektroniske arkiveringstjenester, der er inspireret af rammen for de andre tillidstjenester, der er fastsat i denne forordning. Denne retlige ramme for kvalificerede elektroniske arkiveringstjenester bør give tillidstjenesteudbydere og -brugere en effektiv værktøjskasse, der omfatter funktionelle krav til den elektroniske arkiveringstjeneste, samt klare retsvirkninger, når der anvendes en kvalificeret elektronisk arkiveringstjeneste. Disse bestemmelser bør gælde for elektroniske data og elektroniske dokumenter, der er oprettet i elektronisk form, og papirdokumenter, der er blevet scannet og digitaliseret. Når det kræves, bør det i henhold til disse bestemmelser være tilladt at overføre de opbevarede elektroniske data og elektroniske dokumenter til forskellige medier eller formater med henblik på at forlænge deres holdbarhed og læsbarhed ud over den teknologiske gyldighedsperiode og samtidig i videst mulige omfang forebygge tab og ændringer. Når elektroniske data og elektroniske dokumenter, der indgives til den elektroniske arkivtjeneste, indeholder én eller flere kvalificerede elektroniske signaturer eller kvalificerede elektroniske segl, bør tjenesten anvende procedurer og teknologier, der kan forlænge deres pålidelighed for opbevaringsperioden for sådanne data, eventuelt ved brug af andre kvalificerede tillidstjenester, der er oprettet ved denne forordning. Der bør anvendes kvalificerede tillidstjenester med henblik på at frembringe opbevaringsdokumentation, hvor der anvendes elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler. I det omfang elektroniske arkiveringstjenester ikke er harmoniseret ved denne forordning, bør det være muligt for medlemsstaterne i overensstemmelse med EU-retten at opretholde eller indføre nationale bestemmelser vedrørende disse tjenester såsom specifikke bestemmelser for tjenester, der er integreret i en organisation og udelukkende anvendes til denne organisations interne arkiver. I denne forordning bør der ikke skelnes mellem elektroniske data og elektroniske dokumenter, der er oprettet i elektronisk form, og fysiske dokumenter, der er blevet digitaliseret.

(67)

Nationale arkivers og hukommelsesinstitutioners aktiviteter er i deres egenskab af organisationer, der har til opgave at bevare den dokumenterede arv i offentlighedens interesse, normalt reguleret i national ret og ret, og de leverer ikke nødvendigvis tillidstjenester i den i denne forordning anvendte betydning. For så vidt sådanne institutioner ikke leverer sådanne tillidstjenester, berører denne forordning ikke deres drift.

(68)

Elektroniske hovedbøger er en sekvens af elektroniske dataposter, der bør sikre deres integritet og nøjagtigheden af deres kronologiske rækkefølge. Elektroniske hovedbøger bør fastlægge en kronologisk sekvens af dataposter. Sammen med andre teknologier bør de bidrage til løsninger med henblik på mere effektive og transformative offentlige tjenester såsom elektronisk afstemning, grænseoverskridende samarbejde mellem toldmyndighederne, grænseoverskridende samarbejde mellem akademiske institutioner og registrering af ejerskab til fast ejendom i decentrale matrikelregistre. Kvalificerede elektroniske hovedbøger bør indføre en retlig formodning for den entydige og nøjagtige kronologiske rækkefølge og integritet af dataposterne i hovedbogen. På grund af deres særtræk såsom den sekventielle kronologiske rækkefølge af dataposterne bør elektroniske hovedbøger adskilles fra andre tillidstjenester såsom elektroniske tidsstempler og elektroniske registrerede leveringstjenester. For at sikre retssikkerhed og fremme innovation bør der fastlægges en EU-dækkende retlig ramme, der fastsætter grænseoverskridende anerkendelse af tillidstjenester med hensyn til registrering af data i elektroniske hovedbøger. Dette bør i tilstrækkelig grad forhindre, at det samme digitale aktiv kopieres og sælges mere end én gang til forskellige parter. Processen med at oprette og ajourføre en elektronisk hovedbog afhænger af, hvilken type hovedbog der anvendes, navnlig hvorvidt den er centraliseret eller distribueret. Denne forordning bør sikre teknologisk neutralitet, dvs. at den hverken begunstiger eller forskelsbehandler nogen teknologi, som anvendes til at gennemføre den nye tillidstjeneste for elektroniske hovedbøger. Desuden bør Kommissionen tage højde for bæredygtighedsindikatorer med hensyn til eventuelle negative indvirkninger på klimaet eller andre miljørelaterede negative indvirkninger ved hjælp af hensigtsmæssige metoder, når den udarbejder de gennemførelsesretsakter, der præciserer kravene til kvalificerede elektroniske hovedbøger.

(69)

Tillidstjenesteudbyderes rolle i forbindelse med elektroniske hovedbøger bør være at fastslå den sekventielle registrering af data i hovedbogen. Denne forordning berører ikke eventuelle retlige forpligtelser, som brugere af elektroniske hovedbøger har i henhold til EU-retten eller national ret. F.eks. bør brugstilfælde, der involverer behandling af personoplysninger, overholde forordning (EU) 2016/679, og brugstilfælde, som vedrører finansielle tjenesteydelser, bør overholde relevant EU-ret om finansielle tjenesteydelser.

(70)

For at undgå fragmentering af og hindringer på det indre marked som følge af divergerende standarder og tekniske restriktioner og for at sikre en koordineret proces, hvorved det undgås at påvirke gennemførelsen af den europæiske ramme for digital identitet, er der behov for en procedure for et tæt og struktureret samarbejde mellem Kommissionen, medlemsstaterne, civilsamfundet, den akademiske verden og den private sektor. For at nå dette mål bør medlemsstaterne og Kommissionen samarbejde inden for de rammer, der er fastsat i Kommissionens henstilling (EU) 2021/946 (16) om at udarbejde en fælles EU-værktøjskasse for den europæiske ramme for digital identitet. I den forbindelse bør medlemsstaterne nå til enighed om en omfattende teknisk struktur og referenceramme, et sæt fælles standarder og tekniske referencer, herunder anerkendte eksisterende standarder, og et sæt retningslinjer for og beskrivelser af bedste praksis, der som minimum dækker hele funktionaliteten og interoperabiliteten af europæiske digitale identitetstegnebøger, herunder e-signaturer, og af de kvalificerede tillidstjenesteudbydere af elektronisk attestering af attributter som fastsat i denne forordning. I den forbindelse bør medlemsstaterne også nå til enighed om fælles elementer med hensyn til en forretningsmodel og en gebyrstruktur for europæiske digitale identitetstegnebøger for at lette udbredelsen, navnlig blandt SMV'er, i en grænseoverskridende sammenhæng. Værktøjskassens indhold bør udvikles parallelt med og bør afspejle resultatet af drøftelserne af og processen for vedtagelsen af den europæiske ramme for digital identitet.

(71)

Denne forordning fastsætter et harmoniseret niveau af kvalitet, pålidelighed og sikkerhed for kvalificerede tillidstjenester, uanset hvor aktiviteterne udføres. En kvalificeret tillidstjenesteudbyder bør derfor have mulighed for at outsource sine aktiviteter i forbindelse med levering af en kvalificeret tillidstjeneste til et tredjeland, hvor dette tredjeland giver tilstrækkelige garantier, der sikrer, at tilsynsaktiviteter og revisioner kan håndhæves, som om de blev udført i Unionen. Når overholdelsen af denne forordning ikke kan sikres fuldt ud, bør tilsynsorganerne kunne vedtage forholdsmæssige og begrundede foranstaltninger, herunder inddragelse af status som kvalificeret for den udbudte tillidstjeneste.

(72)

For at sikre retssikkerhed for så vidt angår gyldigheden af avancerede elektroniske signaturer, der er baseret på kvalificerede certifikater, er det afgørende at angive vurderingen, som udføres af den modtagerpart, som foretager valideringen af den pågældende avancerede elektroniske signatur, der er baseret på kvalificerede certifikater.

(73)

Tillidstjenesteudbydere bør anvende kryptografiske metoder, der afspejler nuværende bedste praksis og pålidelige implementeringer af disse algoritmer, for at sikre deres tillidstjenesters sikkerhed og pålidelighed.

(74)

Denne forordning fastsætter en forpligtelse for kvalificerede tillidstjenesteudbydere til at kontrollere identiteten af en fysisk eller juridisk person, som det kvalificerede certifikat eller den kvalificerede elektroniske attestering af attributter er udstedt til, på grundlag af forskellige harmoniserede metoder i hele Unionen. For at sikre, at kvalificerede certifikater og kvalificerede elektroniske attesteringer af attributter udstedes til den person, de tilhører, og at de attesterer det korrekte og unikke sæt data, der repræsenterer den pågældende persons identitet, bør kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater eller udsteder kvalificerede elektroniske attesteringer af attributter, på tidspunktet for udstedelsen af disse certifikater og attesteringer med fuld sikkerhed sikre identifikationen af denne person. Ud over den obligatoriske kontrol af personens identitet, hvis det er relevant for udstedelse af kvalificerede certifikater, og når der udstedes en kvalificeret elektronisk attestering af attributter, bør kvalificerede tillidstjenesteudbydere desuden med fuld sikkerhed sikre korrektheden og nøjagtigheden af de attesterede attributter hos den person, som det kvalificerede certifikat eller den kvalificerede elektroniske attestering af attributter udstedes til. Disse forpligtelser til resultat og fuld sikkerhed i forbindelse med kontrollen af de attesterede data bør understøttes af passende midler, herunder ved hjælp af én metode eller, hvis det er nødvendigt, en kombination af specifikke metoder fastsat i denne forordning. Det bør være muligt at kombinere disse metoder for at skabe et passende grundlag for kontrol af identiteten af den person, som det kvalificerede certifikat eller en kvalificeret elektronisk attestering af attributter udstedes til. Det bør være muligt for en sådan kombination at omfatte benyttelse af elektroniske identifikationsmidler, der opfylder kravene til sikringsniveauet »betydelig«, kombineret med andre metoder til identitetskontrol. Sådan elektronisk identifikation vil gøre det muligt at opfylde de harmoniserede krav i denne forordning for så vidt angår sikringsniveauet »høj« som led i yderligere harmoniserede procedurer på afstand, hvilket sikrer identifikation med en høj grad af tillid. Disse metoder bør omfatte muligheden for, at den kvalificerede tillidstjenesteudbyder, som udsteder en kvalificeret elektronisk attestering af attributter, på brugerens anmodning kan kontrollere de attributter, der skal attesteres, herunder i forhold til autentiske kilder, ved hjælp af elektroniske midler i overensstemmelse med EU-retten eller national ret.

(75)

For at sikre denne forordnings overensstemmelse med den globale udvikling og følge bedste praksis på det indre marked bør de delegerede retsakter og gennemførelsesretsakter, som Kommissionen vedtager, revideres og om nødvendigt ajourføres regelmæssigt. Ved vurderingen af nødvendigheden af disse ajourføringer bør der tages hensyn til nye teknologier, praksisser, standarder eller tekniske specifikationer.

(76)

Målene for denne forordning, nemlig at udvikle den EU-dækkende europæiske ramme for digital identitet og en ramme for tillidstjenester, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af deres omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(77)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725.

(78)

Forordning (EU) nr. 910/2014 bør derfor ændres i overensstemmelse hermed —

1)

Artikel 1 affattes således:

2)

I artikel 2 foretages følgende ændringer:

3)

I artikel 3 foretages følgende ændringer:

4)

Artikel 5 affattes således:

5)

I kapitel II indsættes følgende afdeling:

(*2)  Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT L 151 af 7.6.2019, s. 70)."

(*3)  Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15)."

(*4)  Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36)."

(*5)  Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).« "

6)

Som overskrift indsættes før artikel 6:

7)

Artikel 7, litra g), affattes således:

8)

Artikel 8, stk. 3, første afsnit, affattes således:

9)

Artikel 9, stk. 2 og 3, affattes således:

10)

I artikel 10 affattes overskriften således:

»Sikkerhedsbrud i elektroniske identifikationsordninger«.

11)

Følgende artikel indsættes:

12)

I artikel 12 foretages følgende ændringer:

13)

I kapitel II indsættes følgende artikler:

(*6)  Europa-Parlamentets og Rådets forordning (EU) 2022/1925 af 14. september 2022 om åbne og fair markeder i den digitale sektor og om ændring af direktiv (EU) 2019/1937 og (EU) 2020/1828 (forordningen om digitale markeder) (EUT L 265 af 12.10.2022, s. 1).« "

14)

Artikel 13, stk. 1, affattes således:

15)

Artikel 14, 15 og 16 affattes således:

(*7)  Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80).« "

16)

I kapitel III, afdeling 2, affattes overskriften således:

»Ikkekvalificerede tillidstjenester«.

17)

Artikel 17 og 18 udgår.

18)

I kapitel III, afdeling 2, indsættes følgende artikel:

19)

I artikel 20 foretages følgende ændringer:

20)

I artikel 21 foretages følgende ændringer:

21)

I artikel 24 foretages følgende ændringer:

22)

I kapitel III, afdeling 3, indsættes følgende artikel:

23)

I artikel 25 udgår stk. 3.

24)

I artikel 26 foretages følgende ændringer:

25)

I artikel 27 udgår stk. 4.

26)

Artikel 28, stk. 6, affattes således:

27)

I artikel 29 indsættes følgende stykke:

28)

Følgende artikel indsættes:

29)

I artikel 30 indsættes følgende stykke:

30)

Artikel 31, stk. 3, affattes således:

31)

I artikel 32 foretages følgende ændringer:

32)

Følgende artikel indsættes:

33)

Artikel 33, stk. 2, affattes således:

34)

I artikel 34 foretages følgende ændringer:

35)

I artikel 35 udgår stk. 3.

36)

I artikel 36 foretages følgende ændringer:

37)

I artikel 37 udgår stk. 4.

38)

Artikel 38, stk. 6, affattes således:

39)

Følgende artikel indsættes:

40)

I kapitel III, afdeling 5, indsættes følgende artikel:

41)

I artikel 41 udgår stk. 3.

42)

I artikel 42 foretages følgende ændringer:

43)

I artikel 44 foretages følgende ændringer:

44)

Artikel 45 affattes således:

45)

Følgende artikel indsættes:

46)

I kapitel III tilføjes følgende afdelinger:

47)

Følgende kapitel indsættes:

48)

I artikel 47 foretages følgende ændringer:

49)

I kapitel VI indsættes følgende artikel:

50)

Artikel 49 affattes således:

51)

Artikel 51 affattes således:

52)

Bilag I-IV ændres i overensstemmelse med bilag I-IV til denne forordning.

53)

Der tilføjes nye bilag V, VI og VII som angivet i bilag V, VI og VII til denne forordning.