Επίσημη Εφημερίδα
της Ευρωπαϊκής Ένωσης
EL
Σειρά L
|
|
Επίσημη Εφημερίδα |
EL Σειρά L |
|
2025/2160 |
28.10.2025 |
ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2025/2160 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 27ης Οκτωβρίου 2025
για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα πρότυπα αναφοράς, τις προδιαγραφές και τις διαδικασίες διαχείρισης των κινδύνων για την παροχή μη εγκεκριμένων υπηρεσιών εμπιστοσύνης
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (1), και ιδίως το άρθρο 19α παράγραφος 2,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης διαδραματίζουν σημαντικό ρόλο στο ψηφιακό περιβάλλον, παρέχοντας υπηρεσίες εμπιστοσύνης που διευκολύνουν τις ασφαλείς ηλεκτρονικές συναλλαγές. Ο κανονισμός (ΕΕ) αριθ. 910/2014 θέτει λιγότερες κανονιστικές απαιτήσεις στους μη εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης απ’ ό,τι στους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης. Ωστόσο, όλοι οι πάροχοι υπηρεσιών εμπιστοσύνης υπόκεινται σε απαιτήσεις σχετικά με την ασφάλεια και την ευθύνη ώστε να διασφαλίζεται η δέουσα επιμέλεια, διαφάνεια και λογοδοσία στις δραστηριότητες και τις υπηρεσίες τους. |
|
(2) |
Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης μπορούν να θεωρηθούν σημαντικές ή βασικές οντότητες σύμφωνα με το άρθρο 3 της οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2). Επομένως, στους εν λόγω παρόχους εφαρμόζεται ο εκτελεστικός κανονισμός (ΕΕ) 2024/2690 της Επιτροπής (3) για τον καθορισμό τεχνικών και μεθοδολογικών απαιτήσεων των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας. Ωστόσο, το πεδίο εφαρμογής των απαιτήσεων που ορίζονται στο άρθρο 19α παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) αριθ. 910/2014 αφορά τις διαδικασίες διαχείρισης νομικών, επιχειρηματικών, λειτουργικών και άλλων άμεσων ή έμμεσων κινδύνων για την παροχή μη εγκεκριμένων υπηρεσιών εμπιστοσύνης. Για να συμπληρωθεί το πλαίσιο διαχείρισης κινδύνων που ορίζεται στον εκτελεστικό κανονισμό (ΕΕ) 2024/2690 και να καταστεί δυνατή μια συνεκτική προσέγγιση για τη διαχείριση όλων των συναφών τύπων κινδύνων, θα πρέπει να καθοριστούν προδιαγραφές και διαδικασίες διαχείρισης των εν λόγω κινδύνων εκ μέρους των μη εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης. Κατά τον σχεδιασμό και την εφαρμογή κατάλληλων πολιτικών διαχείρισης κινδύνων, οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης μπορούν να υποστηριχθούν από την καθοδήγηση την οποία παρέχουν ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) ή οι εθνικές αρμόδιες αρχές βάσει της οδηγίας (ΕΕ) 2022/2555. |
|
(3) |
Το τεκμήριο συμμόρφωσης που προβλέπεται στο άρθρο 19α παράγραφος 2 του κανονισμού (ΕΕ) αριθ. 910/2014 θα πρέπει να εφαρμόζεται μόνον όταν μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης συμμορφώνονται προς τις απαιτήσεις του παρόντος κανονισμού. Τα πρότυπα αναφοράς που αναφέρονται στο παράρτημα θα πρέπει να αποτυπώνουν καθιερωμένες πρακτικές και να χαίρουν ευρείας αναγνώρισης στους σχετικούς τομείς. Προκειμένου οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης να διαχειρίζονται νομικούς, επιχειρηματικούς, λειτουργικούς και άλλους άμεσους ή έμμεσους κινδύνους για την παροχή της μη εγκεκριμένης υπηρεσίας εμπιστοσύνης σύμφωνα με το άρθρο 19α παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 910/2014, θα πρέπει να συμμορφώνονται προς τα παρατιθέμενα στο παράρτημα στοιχεία των προτύπων και προς τις απαιτήσεις διαχείρισης κινδύνου που προβλέπει ο παρών κανονισμός για το τεκμήριο συμμόρφωσης. |
|
(4) |
Εάν ένας μη εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης συμμορφώνεται προς τις απαιτήσεις του παρόντος εκτελεστικού κανονισμού, οι εποπτικοί φορείς θα πρέπει να τεκμαίρουν συμμόρφωση προς τις σχετικές απαιτήσεις του κανονισμού (ΕΕ) αριθ. 910/2014. Ωστόσο, ένας μη εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης μπορεί ούτως ή άλλως να βασιστεί σε άλλες πρακτικές για να αποδείξει τη συμμόρφωση προς τις απαιτήσεις του κανονισμού (ΕΕ) αριθ. 910/2014. |
|
(5) |
Για να διασφαλιστεί η επαρκής αντιμετώπιση των εντοπιζόμενων κινδύνων, οι πολιτικές διαχείρισης κινδύνου που ακολουθούν οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να περιλαμβάνουν διαδικασίες για την τεκμηρίωση και την αξιολόγηση των κινδύνων, καθώς και για τον προσδιορισμό, την επιλογή και την εφαρμογή κατάλληλων μέτρων αντιμετώπισής τους. Η εφαρμογή των μέτρων αντιμετώπισης κινδύνων θα πρέπει να παρακολουθείται συνεχώς. Όσον αφορά τις πληροφορίες που καταγράφουν και διατηρούν οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης στο πλαίσιο των μέτρων αντιμετώπισης κινδύνων που εφαρμόζουν, οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να διασφαλίζουν την ακεραιότητα και την εμπιστευτικότητα των εν λόγω δεδομένων. Επιπλέον, για να ενισχυθεί η διαφάνεια και να υποστηριχθούν οι εποπτικές δραστηριότητες, οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να δημοσιεύουν τις μεθόδους επαλήθευσης της ταυτότητας που εφαρμόζουν. Δεδομένου ότι δεν είναι δυνατή η πλήρης αντιμετώπιση όλων των εντοπιζόμενων κινδύνων μέσω της αποφυγής, του μετριασμού ή της μεταβίβασής τους σε άλλες οντότητες, οι τυχόν υπολειπόμενοι κίνδυνοι θα πρέπει να εγκρίνονται από τα διοικητικά όργανα των μη εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης. Τα κριτήρια αποδοχής των υπολειπόμενων κινδύνων θα πρέπει να αιτιολογούνται με κατανοητό τρόπο. |
|
(6) |
Η Επιτροπή αξιολογεί τακτικά νέες τεχνολογίες, πρακτικές, πρότυπα ή τεχνικές προδιαγραφές. Σύμφωνα με την αιτιολογική σκέψη 75 του κανονισμού (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), η Επιτροπή θα πρέπει να επανεξετάζει και, εάν χρειαστεί, να επικαιροποιεί τον παρόντα εκτελεστικό κανονισμό, ώστε να συμβαδίζει με τις διεθνείς εξελίξεις, τις νέες τεχνολογίες, πρακτικές, πρότυπα ή τεχνικές προδιαγραφές και να ακολουθεί τις βέλτιστες πρακτικές στην εσωτερική αγορά. |
|
(7) |
Στις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5) και, κατά περίπτωση, η οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6). |
|
(8) |
Σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7), ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε στις 8 Αυγούστου 2025 (8). |
|
(9) |
Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 48 του κανονισμού (ΕΕ) αριθ. 910/2014, |
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Άρθρο 1
Πρότυπα αναφοράς
Τα πρότυπα αναφοράς που αναφέρονται στο άρθρο 19α παράγραφος 2 του κανονισμού (ΕΕ) αριθ. 910/2014 παρατίθενται στο παράρτημα του παρόντος κανονισμού.
Άρθρο 2
Πολιτικές διαχείρισης κινδύνου
1. Οι πολιτικές διαχείρισης κινδύνου που αναφέρονται στο άρθρο 19α παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 910/2014 προσδιορίζουν σαφώς σε ποιες υπηρεσίες εμπιστοσύνης εφαρμόζονται, είναι ειδικές για τις εν λόγω υπηρεσίες εμπιστοσύνης και εγκεκριμένες από το διοικητικό όργανο του μη εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης.
2. Οι πολιτικές διαχείρισης κινδύνου περιλαμβάνουν τουλάχιστον τα εξής στοιχεία:
|
α) |
το συνολικό επίπεδο ανοχής κινδύνου σύμφωνα με την κρισιμότητα και το απαιτούμενο επίπεδο ασφάλειας των υπηρεσιών εμπιστοσύνης, λαμβανομένων υπόψη των τελευταίων τεχνολογικών εξελίξεων· |
|
β) |
τα συναφή κριτήρια κινδύνου, συμπεριλαμβανομένων τουλάχιστον της πιθανότητας, του αντικτύπου και του επιπέδου του κινδύνου και λαμβανομένων υπόψη των πληροφοριών για κυβερνοαπειλές και των τρωτοτήτων· |
|
γ) |
μια προσέγγιση για τον εντοπισμό και την τεκμηρίωση των κινδύνων για την παροχή υπηρεσιών εμπιστοσύνης, η οποία λαμβάνει υπόψη ολόκληρο το πεδίο εφαρμογής του συστήματος πληροφοριών που χρησιμοποιεί ο μη εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης, συμπεριλαμβανομένων των κινδύνων που συνδέονται με τις συνιστώσες του συστήματος, καθώς και με τα όποια ενεργητικά ή παθητικά μέρη εμπλέκονται στην εφαρμογή του συστήματος ή στην παροχή των υπηρεσιών εμπιστοσύνης· |
|
δ) |
μια διαδικασία εκτίμησης των εντοπιζόμενων κινδύνων βάσει των κριτηρίων κινδύνου που αναφέρονται στο στοιχείο β)· |
|
ε) |
μια διαδικασία προσδιορισμού, ιεράρχησης και συνεχούς παρακολούθησης της εφαρμογής κατάλληλων μέτρων αντιμετώπισης κινδύνων· |
|
στ) |
μια διαδικασία συνεχούς παρακολούθησης της υλοποίησης των πολιτικών διαχείρισης κινδύνου. |
3. Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θεσπίζουν κατάλληλες διαδικασίες και διατηρούν έγγραφα για να διασφαλίζουν την εφαρμογή των απαιτήσεων της ισχύουσας νομοθεσίας.
4. Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θεσπίζουν κατάλληλες τεκμηριωμένες διαδικασίες για την παρακολούθηση των ενωσιακών και εθνικών νομοθετικών και κανονιστικών αλλαγών που ενδέχεται να επηρεάσουν την παροχή υπηρεσιών εμπιστοσύνης.
Άρθρο 3
Εντοπισμός, τεκμηρίωση και εκτίμηση των κινδύνων
Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης εντοπίζουν, τεκμηριώνουν και εκτιμούν όλους τους κινδύνους που αναφέρονται στο άρθρο 19α παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 910/2014 σύμφωνα με τις πολιτικές διαχείρισης κινδύνων που αναφέρονται στο άρθρο 2, και ειδικότερα:
|
α) |
εντοπίζουν κινδύνους σε σχέση με τρίτους· |
|
β) |
εντοπίζουν ενδεχόμενα μοναδικά σημεία αστοχίας κατά την παροχή των υπηρεσιών εμπιστοσύνης· |
|
γ) |
αξιολογούν τους εντοπισθέντες κινδύνους βάσει των κριτηρίων κινδύνου που αναφέρονται στο άρθρο 2 παράγραφος 2 στοιχείο β). |
Άρθρο 4
Μετρα αντιμετώπισης κινδύνων
1. Σύμφωνα με τις πολιτικές που αναφέρονται στο άρθρο 2, οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης σχεδιάζουν, τεκμηριώνουν και εφαρμόζουν μέτρα αντιμετώπισης κινδύνων και, ειδικότερα, εκτελούν τα εξής καθήκοντα:
|
α) |
προσδιορίζουν και ιεραρχούν κατάλληλα μέτρα αντιμετώπισης κινδύνων· |
|
β) |
επιλέγουν, εγκρίνουν και τεκμηριώνουν τα επιλεγμένα μέτρα αντιμετώπισης κινδύνων, συμπεριλαμβανομένων των απαιτήσεων ασφαλείας και των επιχειρησιακών διαδικασιών τους, στο πλαίσιο ενός σχεδίου αντιμετώπισης κινδύνων, ορίζουν ποιος είναι υπεύθυνος για την εφαρμογή των μέτρων αντιμετώπισης κινδύνων και πότε αυτά πρέπει να εφαρμόζονται· |
|
γ) |
παρακολουθούν συνεχώς την εφαρμογή των μέτρων αντιμετώπισης κινδύνων. |
2. Το σχέδιο αντιμετώπισης κινδύνων που αναφέρεται στην παράγραφο 1 στοιχείο β) παραθέτει με κατανοητό τρόπο τους λόγους που αιτιολογούν την αποδοχή των υπολειπόμενων κινδύνων.
3. Στο πλαίσιο των μέτρων αντιμετώπισης κινδύνων που αναφέρονται στην παράγραφο 1, οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης:
|
α) |
επαληθεύουν, κατά περίπτωση, την ταυτότητα των χρηστών της υπηρεσίας εμπιστοσύνης απευθείας ή μέσω τρίτου και δημοσιεύουν πληροφορίες σχετικά με τις χρησιμοποιούμενες μεθόδους επαλήθευσης της ταυτότητας· |
|
β) |
για τους σκοπούς της παροχής αποδεικτικών στοιχείων σε νομικές διαδικασίες και της διασφάλισης της συνέχειας των υπηρεσιών, καταγράφουν και διατηρούν με ασφάλεια τις παρακάτω πληροφορίες για όσο χρόνο χρειάζεται σύμφωνα με το ενωσιακό ή το εθνικό δίκαιο, ακόμη και μετά την παύση των δραστηριοτήτων του μη εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης:
|
|
γ) |
Διασφαλίζουν, κατά περίπτωση, τη μοναδικότητα των δεδομένων επαλήθευσης της ταυτότητας που αποδίδονται στον χρήστη της υπηρεσίας εμπιστοσύνης. |
4. Κατά τον προσδιορισμό, την επιλογή, την έγκριση και την ιεράρχηση των κατάλληλων μέτρων αντιμετώπισης κινδύνων, οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης λαμβάνουν υπόψη τα παρακάτω στοιχεία:
|
α) |
τα αποτελέσματα της εκτίμησης κινδύνων που αναφέρεται στο άρθρο 3, |
|
β) |
την αποτελεσματικότητα των μέτρων αντιμετώπισης κινδύνων· |
|
γ) |
τις αξιολογήσεις της συμμόρφωσης· |
|
δ) |
σημαντικά περιστατικά· |
|
ε) |
το κόστος εφαρμογής τους σε σχέση με το αναμενόμενο όφελος· |
|
στ) |
την εφαρμοστέα και ενδεδεδειγμένη ταξινόμηση των περιουσιακών στοιχείων· |
|
ζ) |
την ανάλυση τυχόν επιχειρηματικών επιπτώσεων των προσδιορισθέντων σύμφωνα με το άρθρο 3 κινδύνων. |
5. Τα διοικητικά όργανα των μη εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης εγκρίνουν τους υπολειπόμενους κινδύνους που απομένουν μετά την εφαρμογή των μέτρων αντιμετώπισης κινδύνων, σύμφωνα με το σχέδιο αντιμετώπισης κινδύνων.
6. Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης επανεξετάζουν, τεκμηριώνουν και, κατά περίπτωση, επικαιροποιούν τα αποτελέσματα της εκτίμησης κινδύνων και το σχέδιο αντιμετώπισης κινδύνων ανά προγραμματισμένα χρονικά διαστήματα, τουλάχιστον ετησίως, καθώς και όταν προκύπτουν σημαντικά περιστατικά ή σημαντικές αλλαγές στην υποδομή, τις λειτουργίες ή τους κινδύνους.
7. Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης διασφαλίζουν τη διαθεσιμότητα, την ακεραιότητα και την εμπιστευτικότητα των πληροφοριών που αναφέρονται στην παράγραφο 3 στοιχείο β).
Άρθρο 5
Έναρξη ισχύος
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 27 Οκτωβρίου 2025.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 257 της 28.8.2014, σ. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2) (ΕΕ L 333 της 27.12.2022, σ. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) Εκτελεστικός κανονισμός (ΕΕ) 2024/2690 της Επιτροπής, της 17ης Οκτωβρίου 2024, για τη θέσπιση κανόνων εφαρμογής της οδηγίας (ΕΕ) 2022/2555 όσον αφορά τις τεχνικές και μεθοδολογικές απαιτήσεις των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τον περαιτέρω προσδιορισμό των περιπτώσεων στις οποίες ένα περιστατικό θεωρείται σημαντικό όσον αφορά τους παρόχους υπηρεσιών DNS, τα μητρώα ονομάτων TLD, τους παρόχους υπηρεσιών υπολογιστικού νέφους, τους παρόχους υπηρεσιών κέντρων δεδομένων, τους παρόχους δικτύων διανομής περιεχομένου, τους παρόχους διαχειριζόμενων υπηρεσιών, τους παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, τους παρόχους επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών υπηρεσιών κοινωνικής δικτύωσης και τους παρόχους υπηρεσιών εμπιστοσύνης (ΕΕ L, 2024/2690, 18.10.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj).
(4) Κανονισμός (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Απριλίου 2024, για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 όσον αφορά τη θέσπιση ευρωπαϊκού πλαισίου για την ψηφιακή ταυτότητα (ΕΕ L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(8) EDPS Formal comments on the draft Implementing Regulation as regards specifications and procedures for the management of risks to the provision of non-qualified trust services [Επίσημες παρατηρήσεις του ΕΕΠΔ σχετικά με το σχέδιο εκτελεστικού κανονισμού όσον αφορά τις προδιαγραφές και τις διαδικασίες διαχείρισης κινδύνων για την παροχή μη εγκεκριμένων υπηρεσιών εμπιστοσύνης] |Ευρωπαίος Επόπτης Προστασίας Δεδομένων.
ΠΑΡΑΡΤΗΜΑ
Κατάλογος προτύπων αναφοράς για τους μη εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης
Ισχύουν οι απαιτήσεις των εξής διατάξεων του προτύπου ETSI EN 319 401 V3.1.1 (2024-06) «Ηλεκτρονικές υπογραφές και υποδομές εμπιστοσύνης (ESI)· Απαιτήσεις γενικής πολιτικής για τους παρόχους υπηρεσιών εμπιστοσύνης»:
|
5. |
Εκτίμηση κινδύνου· |
|
6. |
Πολιτικές και πρακτικές· |
|
7.1 |
Εσωτερική οργάνωση |
|
7.2 |
Ανθρώπινοι πόροι |
|
7.3 |
Διαχείριση περιουσιακών στοιχείων· |
|
7.4 |
Έλεγχος πρόσβασης· |
|
7.6 |
Υλική και περιβαλλοντική ασφάλεια. |
ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj
ISSN 1977-0669 (electronic edition)