KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2025/1569

af 29. juli 2025

om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der leveres af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (1), særlig artikel 45d, stk. 5, artikel 45e, stk. 2, artikel 45f, stk. 6, og artikel 45f, stk. 7, og

ud fra følgende betragtninger:

(1)

Forordning (EU) nr. 910/2014 skaber en retlig ramme for udstedelse og validering af elektroniske attesteringer af attributter, herunder en forpligtelse for udbydere af elektroniske attesteringer af attributter til at give brugere af europæiske digitale identitetstegnebøger (»tegnebøger«) mulighed for at anmode om, indhente, lagre og forvalte den elektroniske attestering af attributter, uanset i hvilken medlemsstat tegnebøgerne leveres. Elektroniske attesteringer af attributter er afgørende komponenter i etableringen af et sikkert og interoperabelt økosystem for europæiske digitale identitetstegnebøger (»økosystem for tegnebøger«). De gør det muligt for brugerne at dele oplysninger med modtagerparter på en pålidelig måde i en række forskellige brugstilfælde.

(2)

De grænseflader med europæiske digitale identitetstegnebøger, som udbydere af kvalificerede elektroniske attesteringer af attributter skal stille til rådighed i henhold til artikel 45g i forordning (EU) nr. 910/2014, understreger, hvor vigtige elektroniske attesteringer af attributter er for økosystemet for tegnebøger, og faciliterer deres udbredelse.

(3)

Kommissionen vurderer regelmæssigt nye teknologier, praksisser, standarder og tekniske specifikationer. For at sikre den højeste grad af harmonisering mellem medlemsstaterne med hensyn til udvikling og certificering af tegnebøgerne er de tekniske specifikationer, der er fastsat i nærværende forordning, baseret på det arbejde, der er udført i henhold til Kommissionens henstilling (EU) 2021/946 af 3. juni 2021 om en fælles EU-værktøjskasse for en koordineret tilgang til en ramme for en europæisk digital identitet (2) og navnlig den tekniske struktur og referencerammen, som er en del af den. I overensstemmelse med betragtning 75 i Europa-Parlamentets og Rådets forordning 2024/1183 (3) bør Kommissionen revidere og om nødvendigt ajourføre nærværende forordning for at sikre, at den er i overensstemmelse med udviklingen på verdensplan, den tekniske struktur og referencerammen samt følger bedste praksis på det indre marked, navnlig med hensyn til udstedelse af elektroniske attesteringer af attributter og kontrol af attributter i forhold til autentiske kilder eller udpegede mellemmænd.

(4)

Hvis udbydere af kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, udsteder attesteringer, som hævdes at opfylde kravene i de ordninger for attestering af attributter, der er registreret i kataloget, bør politikker og procedurer for overholdelse af kravene i disse ordninger indgå i den overensstemmelsesvurdering, der er fastsat i forordning (EU) nr. 910/2014.

(5)

Beskyttelse mod upålidelige oplysninger er af stor betydning for digitaliseringen af attesteringer. Derfor bør kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, kunne tilbagekaldes, eller der bør gennemføres alternative foranstaltninger for at opveje de risici, der er forbundet med manglende tilbagekaldelse. Visse omstændigheder bør føre til, at udbyderen tilbagekalder en elektronisk attestering af attributter, f.eks. en udtrykkelig anmodning fra den person, som den elektroniske attestering af attributter blev udstedt til, eller hvis udbyderen er bekendt med, at der er sket en kompromittering af sikkerheden eller troværdigheden af de kvalificerede elektroniske attesteringer af attributter, eller hvis det kræves i henhold til EU-retten eller national ret. For at beskytte brugerens grundlæggende ret til privatlivets fred og databeskyttelse, navnlig ved på passende vis at minimere risiciene for sammenkædelighed og sporbarhed, bør udbydere af kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, indføre politikker for forvaltning af tilbagekaldelse, der beskytter privatlivets fred.

(6)

For at lette samarbejdet mellem medlemsstaterne og etableringen af et sikkert og interoperabelt økosystem for digital identitet, herunder grænseoverskridende anerkendelse af og interoperabilitet mellem kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der leveres af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, er det nødvendigt at indføre forenklede kommunikative procedurer blandt de relevante interessenter, herunder offentliggørelse af information til hurtig identifikation af de relevante offentlige myndigheder. Medlemsstaterne bør anmelde de pågældende attributter til Kommissionen. For at sikre rettidig, effektiv og interoperabel kontrol af disse attributter bør de pågældende anmeldelser til Kommissionen derfor som minimum være på engelsk, da dette fremmer anmeldelsernes brede tilgængelighed, letter vurderingen og forståelsen af dem og samtidig styrker samarbejdet mellem de relevante interessenter. Oversættelse af allerede eksisterende dokumentation bør dog ikke medføre urimelige administrative eller finansielle byrder.

(7)

For at gøre det muligt for brugere og tjenesteudbydere at kontrollere, at elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, rent faktisk er udstedt af eller på vegne af den pågældende offentlige myndighed, bør medlemsstaterne anmelde de relevante offentlige myndigheder til Kommissionen. Når medlemsstaterne anmelder offentlige myndigheder, der udsteder elektroniske attesteringer af attributter i overensstemmelse med artikel 45f og bilag VII til forordning (EU) nr. 910/2014, skal de forelægge en overensstemmelsesvurderingsrapport, der viser et niveau af pålidelighed og troværdighed svarende til kvalificerede tillidstjenesteudbydere. I modsætning til kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, er det for disse offentlige myndigheders vedkommende imidlertid op til medlemsstaterne, hvordan de sikrer, at udbyderne opfylder kravene over tid. For at opretholde en høj grad af tillid til attesteringer i den offentlige sektor i hele Unionen opfordres medlemsstaterne derfor til at dele deres bedste praksis for, hvordan de sikrer fortsat pålidelighed og troværdighed, gennem den europæiske samarbejdsgruppe for digital identitet, der er nedsat i henhold til artikel 46e, stk. 1, i forordning (EU) nr. 910/2014 (»samarbejdsgruppen«). Kommissionen bør oprette, føre og offentliggøre en liste over udbydere og sørge for, at listen er let tilgængelig for offentligheden.

(8)

Kommissionen bør med bistand fra samarbejdsgruppen oprette et katalog over attributter for at gøre det lettere for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, at kontrollere attributter i forhold til autentiske kilder. Registrering i kataloget over attributter bør være obligatorisk for attributter, der er opført i bilag VI til forordning (EU) nr. 910/2014. For andre attributter vil registreringen være valgfri.

(9)

Kommissionen bør med bistand fra samarbejdsgruppen oprette et katalog over ordninger for attestering af attributter for at lette udstedelsen af attesteringer for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, og for at lette harmoniseringen af disse attesteringer og deres grænseoverskridende interoperabilitet. Registrering af ordninger i kataloget over ordninger bør være frivillig. Anmodninger om registrering eller ændringer i kataloget bør foretages af ejeren af ordningen for attestering af attributter og kan omfatte attributter, der ikke er opført i kataloget over attributter. Kommissionen bør vurdere sådanne anmodninger under hensyntagen til interoperabilitets- og harmoniseringsbehov.

(10)

For at sikre, at kataloget over attributter giver meningsfulde oplysninger og når et højt niveau af interoperabilitet inden for økosystemet for elektronisk attestering af attributter, bør det som det mindste indeholde et minimum af oplysninger som f.eks. en semantisk beskrivelse af attributten, navnemellemrummet for dens identifikator og attributtens datatype. Med samme formål bør kataloget over ordninger for attestering af attributter indeholde beskrivelser af almindelige typer af elektroniske attesteringer af attributter og en beskrivelse af tillidsmodellen og de forvaltningsmekanismer, der anvendes i attesteringsordningen. Oplysningerne i katalogerne bør omfatte versionering af attributter og ordninger, så attesteringer, der udstedes i henhold til specifikke versioner, ikke påvirkes af ændringer i disse attributter og ordninger.

(11)

For at sikre effektiviteten af den kontrol af attributter i forhold til autentiske kilder, som foretages af kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, herunder via udpegede mellemmænd, der stiller indirekte verifikationsmekanismer til rådighed for tjenesteudbydere, bør medlemsstaterne inden for den frist, der er fastsat i artikel 45e, stk. 1, i forordning (EU) nr. 910/2014, indføre mekanismer, der gør det muligt for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, at anmode om kontrol af attributter. Mekanismerne bør gøre det muligt for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, at afgøre, hvilke attributter der kan kontrolleres og hvordan. Disse mekanismer bør omfatte nærmere oplysninger om adgangspunkter og tjenesteprotokoller til kontrol af attributtens gyldighed og nøjagtighed og tage muligheden for at tilbyde et enkelt kontrolpunkt på nationalt plan i betragtning.

(12)

Nærmere bestemt bør medlemsstaterne stille mekanismerne for adgang til og anvendelse af kontrolpunkter på nationalt plan for hver af de attributter, der er opført i bilag VI til forordning (EU) nr. 910/2014, til rådighed for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter. Disse mekanismer bør gøre det muligt for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, efter anmodning fra brugeren at fremlægge specifikke attributter for et kontrolpunkt med henblik på udstedelse af attesteringen og i hele dens levetid. Kontrolmekanismerne bør anvende elektroniske midler, der egner sig til automatisk behandling og til at indhente svar så hurtigt som muligt fra kontrolpunktet. Svaret bør bekræfte, om de attributter, der fremlægges af de kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, svarer til de attributter, der er lagret for den pågældende bruger i den relevante autentiske kilde, og bør angive, i forhold til hvilken autentisk kilde kontrollen er blevet foretaget. For at undgå forseelser, som f.eks. ulovlige eller åbenbart overdrevne kontrolanmodninger, kan medlemsstaterne indføre mekanismer for kontrol af anvendelsen af kontrolpunkterne, hvis de finder det hensigtsmæssigt og under hensyntagen til relevante faktorer, bl.a. om de autentiske kilder indeholder oplysninger, der bør betragtes som personoplysninger eller på anden måde er fortrolige eller følsomme i henhold til EU-retten eller national ret.

(13)

I overensstemmelse med de principper, der er fastsat i forordningen om et interoperabelt Europa (4), og med henblik på at lette oprettelsen af katalog over attributter og katalog over ordninger for attestering af attributter og så vidt muligt genbruge eksisterende kataloger, ordninger og oplysninger bør Kommissionen, hvor det er relevant, udnytte synergier med de fælles tjenester i det tekniske system i henhold til Europa-Parlamentets og Rådets forordning (EU) 2018/1724 om oprettelse af en fælles digital portal og om ændring af forordning (EU) nr. 1024/2012 (5).

(14)

For at øge interoperabiliteten for elektroniske attesteringer af attributter udstedt af ikkekvalificerede tillidstjenesteudbydere kan de principper og krav, der er fastsat i denne forordning, følges af udstedere af attesteringer med hensyn til ikkekvalificeret elektronisk attestering af attributter.

(15)	Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6) og, hvor det er relevant, Europa-Parlamentets og Rådets direktiv 2002/58/EF (7) finder anvendelse på alle behandlingsaktiviteter vedrørende personoplysninger i henhold til nærværende forordning.

(16)

Med det formål at give Kommissionen og medlemsstaterne tilstrækkelig tid til at udarbejde listen over udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, bør kravene i denne forordning vedrørende kataloget over attributter, kataloget over ordninger for attesteringer af attributter og kontrolpunkterne for attributter finde anvendelse 12 måneder efter datoen for denne forordnings ikrafttræden.

(17)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (8) og afgav udtalelse den 31. januar 2025.

(18)	Foranstaltningerne i denne forordning er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 48 i forordning (EU) nr. 910/2014 —

VEDTAGET DENNE FORORDNING:

Artikel 1

Genstand og anvendelsesområde

Ved denne forordning fastsættes referencestandarder, specifikationer og procedurer, som skal ajourføres regelmæssigt, så de er i overensstemmelse med den teknologiske udvikling og udviklingen af standarder og med det arbejde, der udføres på grundlag af henstilling (EU) 2021/946, navnlig den tekniske struktur og referencerammen, med hensyn til:

(1)	kvalificerede elektroniske attesteringer af attributter

(2)	elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde

(3)	listen over udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde

(4)	kataloget over attributter og kataloget over ordninger for attestering af attributter som omhandlet i punkt (1) og (2)

(5)	kontrol af attributter med henvisning til autentiske kilder eller udpegede mellemmænd.

Artikel 2

Definitioner

I denne forordning forstås ved:

(1)	»tegnebogsenhed«: en unik konfiguration af en tegnebogsløsning, der omfatter tegnebogsforekomster, sikre kryptografiske tegnebogsapplikationer og sikre kryptografiske tegnebogsanordninger, som en tegnebogsudbyder leverer til en individuel tegnebogsbruger

(2)	»tegnebogsbruger«: en bruger, der har kontrol over tegnebogsenheden

(3)	»katalog over attributter«: et digitalt register over attributter, der føres og offentliggøres online af Kommissionen

(4)	»ordning for attestering af attributter«: et sæt regler, der gælder for en eller flere typer af elektronisk attestering af attributter

(5)	»type af elektronisk attestering af attributter«: en specifikt navngivet og semantisk beskrevet gruppe af elektroniske attesteringer af attributter

(6)	»katalog over ordninger for attestering af attributter«: et digitalt register med lister over ordninger for attestering af attributter, der er registreret i overensstemmelse med denne forordning, og som føres [og offentliggøres online] af Kommissionen

(7)	»tegnebogsløsning«: en kombination af software, hardware, tjenester, indstillinger og konfigurationer, herunder tegnebogsforekomster, en eller flere sikre kryptografiske tegnebogsapplikationer og en eller flere sikre kryptografiske tegnebogsanordninger

(8)	»tegnebogsforekomst«: den applikation, der er installeret og konfigureret på en tegnebogsbrugers anordning eller miljø, som er en del af en tegnebogsenhed, og som tegnebogsbrugeren bruger til at interagere med tegnebogsenheden

(9)	»sikker kryptografisk tegnebogsapplikation«: en applikation, der forvalter kritiske aktiver ved at være knyttet til og anvende de kryptografiske og ikkekryptografiske funktioner, der leveres af en sikker kryptografisk tegnebogsanordning

(10)

»sikker kryptografisk tegnebogsanordning«: en anordning, der er sikret mod manipulation, og som tilvejebringer et miljø, der er knyttet til og anvendes af den sikre kryptografiske tegnebogsapplikation til at beskytte kritiske aktiver og tilvejebringe kryptografiske funktioner til sikker udførelse af kritiske operationer

(11)	»tegnebogsudbyder«: en fysisk eller juridisk person, der leverer tegnebogsløsninger

(12)	»kritiske aktiver«: aktiver i eller i forbindelse med en tegnebogsenhed af så ekstraordinær betydning, at det i alvorlig grad vil svække muligheden for at have tillid til tegnebogsenheden, hvis deres tilgængelighed, fortrolighed eller integritet kompromitteres

(13)	»ejer af ordning for attestering af attributter«: en enhed, der er ansvarlig for at oprette og vedligeholde en ordning for attestering af attributter.

Artikel 3

Udstedelse af kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde

1. Udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, skal være i overensstemmelse med listen over referencestandarder og specifikationer i bilag I og sikre, at de elektroniske attesteringer af attributter, de udsteder, er i overensstemmelse med de tekniske specifikationer, der er fastsat i bilag II.

2. Hvis udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, udsteder elektroniske attesteringer af attributter, som er omfattet af ordninger, der er registreret i kataloget over ordninger for attestering af attributter, skal de opfylde kravene i den pågældende ordning for attestering af attributter. Politikker og procedurer, som udstederne af attesteringer har fastlagt med henblik på opfyldelse af kravene i ordningerne for attestering af attributter, skal indgå i den overensstemmelsesvurdering, der er fastsat i forordning (EU) nr. 910/2014.

Artikel 4

Tilbagekaldelse af kvalificerede elektroniske attesteringer af attributter og elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde

1. Udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, skal have skriftlige og offentligt tilgængelige politikker vedrørende håndtering af gyldigheds- eller tilbagekaldelsesstatus. Disse politikker skal, hvor det er relevant, omfatte de betingelser, hvorunder elektroniske attesteringer af attributter uden ophold kan tilbagekaldes, og foranstaltninger til at sikre, at oplysninger om gyldighedsstatus tilgængelige.

2. Udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, er de eneste enheder, der må kunne tilbagekalde de elektroniske attesteringer af attributter, som de udsteder.

3. Udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, tilbagekalder disse attesteringer, når de er udstedt med en gyldighedsperiode på mere end 24 timer, som minimum i følgende tilfælde:

a)	efter udtrykkelig anmodning fra den person, til hvem den elektroniske attestering af attributter er udstedt, eller fra genstanden for attesteringen

hvis udbyderen er bekendt med, at der er sket en kompromittering af sikkerheden eller troværdigheden af de kvalificerede elektroniske attesteringer af attributter eller elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde

c)	i andre situationer som krævet i henhold til EU-retten eller national ret eller som fastsat af udbyderne i deres politikker som omhandlet i stk. 1.

4. Udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, indfører tilbagekaldelsesteknikker og forvaltningsmåder, der beskytter privatlivets fred og hindrer sammenkædelighed og sporbarhed.

5. Udbydere af kvalificerede elektroniske attesteringer af attributter og udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, stiller oplysninger om gyldigheds- eller tilbagekaldelsesstatus for de elektroniske attesteringer af attributter, som de har udstedt, til rådighed for modtagerparter på en måde, hvor oplysningernes integritet og ægthed sikres.

Artikel 5

Anmeldelse af offentlige myndigheder

1. Medlemsstaterne indgiver som minimum oplysningerne i bilag III om offentlige myndigheder som omhandlet i artikel 45f, stk. 3, i forordning (EU) nr. 910/2014 via et sikkert elektronisk anmeldelsessystem, som stilles til rådighed af Kommissionen.

2. Medlemsstaterne anmelder eventuelle ændringer af de meddelte oplysninger.

3. Medlemsstaterne fremsender som minimum anmeldelserne på engelsk. Medlemsstaterne er ikke forpligtede til at oversætte dokumenter til støtte for anmeldelserne, hvis dette vil medføre en urimelig administrativ eller finansiel byrde.

4. Kommissionen kan, hvis det er relevant, anmode medlemsstaterne om yderligere oplysninger.

Artikel 6

Offentliggørelse af listen over offentlige myndigheder

1. Kommissionen opretter, fører og offentliggør en liste over udbydere af elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, på grundlag af de oplysninger, som medlemsstaterne har anmeldt efter artikel 5.

2. Kommissionen sørger for, at den liste, der er omhandlet i stk. 1, er tilgængelig:

a)	både i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling, og via et websted, der kan læses af mennesker

b)	uden at det er nødvendigt at lade sig registrere eller autentificere

c)	på en sikker måde ved hjælp af avanceret transportlagssikkerhed.

3. Kommissionen offentliggør via en sikker kanal og uden unødigt ophold:

a)	de tekniske specifikationer for listen

b)	de nærmere oplysninger om den URL, hvor listen offentliggøres

c)	de certifikater, der skal anvendes til at kontrollere den elektroniske signatur eller det elektroniske segl på listen

d)	nærmere oplysninger om de mekanismer, der anvendes til at validere fremtidige ændringer af placeringen eller de certifikater, der er omhandlet i litra b) og c).

Artikel 7

Oprettelse og vedligeholdelse af kataloget over attributter

1. Kommissionen opretter og offentliggør et katalog over attributter og etablerer et sikkert system, der gør det muligt at anmode om at medtage eller ændre attributter i kataloget over attributter.

2. Kommissionen vurderer anmodninger, der fremsættes ved hjælp af det system, der er omhandlet i stk. 1, om at medtage eller ændre en attribut i kataloget over attributter og tager eventuel rådgivning fra samarbejdsgruppen i betragtning. Kommissionen tager i sin vurdering hensyn til, om medtagelsen af attributten bidrager til et fælles grundlag for sikker og privatlivsbevidst elektronisk interaktion mellem borgere, virksomheder og offentlige myndigheder og til at fremme interoperabilitet. Kommissionen tager også hensyn til sektorspecifikke forskrifter, hvor det er relevant.

3. Medlemsstaterne anmoder om, at attributter, der er opført i bilag VI til forordning (EU) nr. 910/2014, medtages i kataloget over attributter, når kvalificerede tillidstjenesteudbyderes kontrol af disse attributter er afhængig af autentiske kilder.

4. Medlemsstaterne kan også anmode om, at attributter, der ikke er opført i bilag VI, medtages i kataloget over attributter, når disse attributter er afhængige af autentiske kilder i den offentlige sektor. Private enheder, der anses for at være en primær kilde til oplysninger eller anerkendes som autentiske i overensstemmelse med EU-retten eller national ret, herunder administrativ praksis, kan anmode om, at attributter, der ikke er opført i bilag VI, medtages i kataloget over attributter, når den anmodende enhed er ansvarlig for de pågældende attributter.

5. Anmodningen om at medtage eller ændre en attribut i kataloget skal som minimum omfatte følgende oplysninger:

a)	identifikation af den enhed, der fremsætter anmodningen

b)	hvis det er relevant, en henvisning til EU-lovgivning eller national lovgivning eller administrativ praksis, i henhold til hvilken den enhed, der fremsætter anmodningen, anses for at være en primær kilde til oplysninger eller en anerkendt autentisk kilde

c)	om anmodningen vedrører en attribut, der allerede findes i kataloget, eller en ny attribut

d)	et navnemellemrum for identifikatoren for attributterne med en værdi, der er unik i kataloget over attributter

e)	en identifikator for attributten, der er entydig i navnemellemrummet, og versionen af attributten

f)	en semantisk beskrivelse af attributten

g)	attributtens datatype

h)	kontrolpunktet for attributten på nationalt plan eller et link til en beskrivelse af, hvordan kontrolanmodninger iværksættes.

6. Anmodningen om at medtage eller ændre en attribut underskrives eller forsegles af anmoderen ved hjælp af en kvalificeret elektronisk signatur eller et kvalificeret elektronisk segl eller en avanceret elektronisk signatur eller et avanceret elektronisk segl baseret på et kvalificeret certifikat.

7. Kommissionen kan efter den vurdering, der er omhandlet i stk. 2, og efter at have kontrolleret, at oplysningerne i anmodningen om medtagelse eller ændring af en attribut omfatter alle de oplysninger, der er anført i stk. 5, medtage den attribut eller ændring, der anmodes om, i kataloget over attributter.

8. Det af Kommissionen forseglede katalog over attributter skal være offentligt tilgængeligt via en sikker kanal, gratis og uden forudgående identifikation eller autentifikation, og det skal offentliggøres i både et maskinlæsbart og et menneskeligt læsbart format. Kataloget skal også indeholde en søgefunktion.

9. Kommissionen offentliggør de tekniske specifikationer, som den anvender til kataloget over attributter.

10. Kommissionen udsteder en entydig identifikator for hver registreret attribut.

Artikel 8

Oprettelse og vedligeholdelse af kataloget over ordninger for attestering af attributter

1. Kommissionen opretter og offentliggør et katalog over ordninger for attestering af attributter og etablerer et sikkert system, der gør det muligt at anmode om at medtage eller ændre ordninger for attestering af attributter i kataloget over ordninger for attestering af attributter.

2. Anmodninger om at medtage eller ændre ordninger for attestering af attributter i kataloget over ordninger for attestering af attributter skal vurderes af Kommissionen, som tager eventuel rådgivning fra samarbejdsgruppen i betragtning. Kommissionen tager i sin vurdering hensyn til, om ordningen bidrager til et fælles grundlag for sikker og privatlivsbevidst elektronisk interaktion mellem borgere, virksomheder og offentlige myndigheder og til at fremme interoperabilitet. Kommissionen tager også hensyn til sektorspecifikke forskrifter, hvor det er relevant.

3. Ejere af en ordning for attestering af attributter kan anmode om, at ordninger føjes til kataloget over ordninger. En anmodning om at medtage eller ændre en ordning i kataloget over ordninger for attestering af attributter skal som minimum omfatte:

a)	navnet på ordningen, som er valgt af ejeren af ordningen for attestering af attributter og er unikt i kataloget over ordninger for attestering af attributter

b)	navn og kontaktoplysninger på ejeren af ordningen for attestering af attributter

c)	ordningens status og version

d)	en henvisning til specifikke love, standarder eller retningslinjer, såfremt udstedelse, validering eller anvendelse af en elektronisk attestering af attributter inden for ordningens anvendelsesområde er underlagt disse

e)	formatet eller formaterne for elektronisk attestering af attributter inden for ordningens anvendelsesområde

et eller flere navnemellemrum, attributidentifikatorer, semantiske beskrivelser og datatyper for hver attribut, der indgår i en elektronisk attestering af attributter inden for ordningens anvendelsesområde, enten ved henvisning til en attribut i kataloget over attributter, jf. artikel 7, eller en attribut, der er defineret analogt inden for ordningens anvendelsesområde

g)	en beskrivelse af tillidsmodellen og de forvaltningsmekanismer, der anvendes i ordningen, herunder tilbagekaldelsesmekanismerne

h)	eventuelle krav, der vedrører udbyderne af elektroniske attesteringer af attributter eller de kilder til oplysninger, som disse udbydere anvender ved udstedelsen af elektroniske attesteringer af attributter, herunder eventuelle autentiske kilder, hvis det er relevant

en erklæring om, hvorvidt elektroniske attesteringer af attributter inden for ordningens anvendelsesområde skal udstedes som kvalificerede elektroniske attesteringer af attributter, som elektroniske attesteringer af attributter, der er udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, eller som begge dele.

4. Ordninger, for hvilke der anmodes om medtagelse i kataloget, må kun omfatte attributter, der er kan identificeres på grundlag af entydige identifikatorer. Anmodningen om at medtage eller ændre en ordning for attestering af attributter skal underskrives eller forsegles af anmoderen ved hjælp af en kvalificeret elektronisk signatur eller et kvalificeret elektronisk segl eller en avanceret elektronisk signatur eller et avanceret elektronisk segl baseret på et kvalificeret certifikat.

5. Kommissionen kan efter den vurdering, der er omhandlet i stk. 2, og efter at have kontrolleret, at oplysningerne i anmodningen om medtagelse eller ændring af en attesteringsordning indeholder alle de oplysninger, der er anført i stk. 3 og 4, medtage den ønskede ordning i kataloget over ordninger for attestering af attributter.

6. Det af Kommissionen forseglede katalog over ordninger for attestering af attributter skal være offentligt tilgængeligt via en sikker kanal, gratis og uden forudgående identifikation eller autentifikation, og det skal være maskinlæsbart og menneskeligt læsbart. Kataloget skal også indeholde en søgefunktion og være i et format, der garanterer integritet og autenticitet.

7. Kommissionen offentliggør de tekniske specifikationer, som den anvender til kataloget over ordninger for attestering af attributter.

8. Kommissionen udsteder en entydig identifikator til hver registreret ordning for attestering af attributter.

Artikel 9

Kontrol af attributter i forhold til autentiske kilder eller udpegede mellemmænd

1. For at gøre det muligt for kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, efter anmodning fra brugeren at foretage elektronisk kontrol af de attributter, der er omhandlet i artikel 45e, stk. 1, i forordning (EU) nr. 910/2014, opretter medlemsstaterne mekanismer, der muliggør en sådan kontrol, og kan stille centrale kontrolpunkter til rådighed for de attributter, der er opført i bilag VI til nævnte forordning, når disse attributter er afhængige af autentiske kilder i den offentlige sektor. Medlemsstaterne offentliggør oplysninger om procedurerne for iværksættelse af kontrolanmodningerne og for modtagelse af kontrolresultaterne.

2. Kontrolmekanismen skal tilvejebringe et adgangspunkt, hvor kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter, elektronisk kan anmode om kontrol af de attributter, der er omhandlet i artikel 45e, stk. 1, i forordning (EU) nr. 910/2014, i forhold til autentiske kilder eller udpegede mellemmænd, der er anerkendt på nationalt plan. De attributter, der skal kontrolleres, stilles til rådighed for kontrolpunktet af den kvalificerede tillidstjenesteudbyder efter anmodning fra brugeren. Den offentlige myndighed eller den udpegede mellemmand deler gennem kontrolpunktet kontrolresultaterne med de kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter.

3. Attributterne og identifikationsdataene for genstanden for den attribut, for hvilken den kvalificerede tillidstjenesteudbyder anmoder om kontrol, skal fremgå af kontrolanmodningen.

4. Kontrolresultatet skal udelukkende angive, om attributten er blevet verificeret eller ej, og det skal fremgå, hvilken offentlig myndighed der er ansvarlig for den autentiske kilde, eller, hvis det er relevant, hvilken offentlig myndighed der er udpeget til at handle på vegne af den autentiske kilde, i forhold til hvilken attributten er blevet kontrolleret.

5. Medlemsstaterne kan indføre adgangskontrol eller andre kontrolmekanismer, der sikrer integritet, autenticitet og fortrolighed, for at fastslå, at anmoderen er en kvalificeret tillidstjenesteudbyder og handler efter anmodning fra en legitim bruger. Medlemsstaterne kan også indføre kontrolmekanismer for anvendelsen af kontrolmetoderne, hvis de finder det hensigtsmæssigt og under hensyntagen til relevante faktorer, herunder om de autentiske kilder indeholder personlige fortrolige eller følsomme oplysninger. Hvis medlemsstaterne indfører disse kontrolmekanismer, offentliggør de oplysninger om kontrolmekanismernes omfang som en del af de oplysninger, der er omhandlet i stk. 1.

Artikel 10

Interoperabilitet og genanvendelse

1. Med henblik på artikel 3-9 kan medlemsstaterne henvise til og genanvende de fælles tjenester i det tekniske system, der er fastsat i artikel 14 i forordning (EU) 2018/1724, samt de nationale komponenter, der er forbundet med dem.

2. Når Europa-Kommissionen opretter det sikre anmeldelsessystem og den liste over offentlige myndigheder, der er omhandlet i nærværende forordnings artikel 5 og 6, og de kataloger, der er omhandlet i artikel 7 og 8, henviser den til og genanvender, hvor det er relevant, de fælles tjenester i det tekniske system i henhold til forordning (EU) 2018/1724.

Artikel 11

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 6-9 finder anvendelse fra den 19. august 2026.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 29. juli 2025.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1) EUT L 257 af 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) EUT L 210 af 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(3) Europa-Parlamentets og Rådets forordning (EU) 2024/1183 af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Europa-Parlamentets og Rådets forordning (EU) 2024/903 af 13. marts 2024 om foranstaltninger til sikring af et højt niveau af interoperabilitet i den offentlige sektor i hele Unionen (forordningen om et interoperabelt Europa) (EUT L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).

(5) Europa-Parlamentets og Rådets forordning (EU) 2018/1724 af 2. oktober 2018 om oprettelse af en fælles digital portal, der giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012 (EUT L 295 af 21.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).

(6) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(7) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(8) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).