KOMISJONI RAKENDUSMÄÄRUS (EL) …/…,

27.10.2025,

millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 rakenduseeskirjad seoses kvalifitseerimata usaldusteenuste osutamisega seotud riskide juhtimise võrdlusstandardite, nõuete ja menetlustega

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrust (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ 1 , eriti selle artikli 19a lõiget 2,

ning arvestades järgmist:

(1)Kvalifitseerimata usaldusteenuse osutajad etendavad digikeskkonnas olulist rolli, pakkudes usaldusteenuseid, mis hõlbustavad turvalisi e-tehinguid. Määrusega (EL) nr 910/2014 kehtestatakse kvalifitseerimata usaldusteenuse osutajatele vähem regulatiivseid nõudeid kui kvalifitseeritud usaldusteenuse osutajatele. Kõigi usaldusteenuse osutajate suhtes kohaldatakse siiski turvalisuse ja vastutusega seotud nõudeid, et tagada nende tegevuse ja teenuste nõuetekohane hoolsus, läbipaistvus ja vastutavus.

(2)Kvalifitseerimata usaldusteenuse osutajaid võib kooskõlas Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 2 artikliga 3 pidada olulisteks või elutähtsateks üksusteks. Seega kohaldatakse nende suhtes komisjoni rakendusmäärust (EL) 2024/2690 3 , milles sätestatakse küberturvalisuse riskijuhtimismeetmete tehnilised ja metoodilised nõuded. Määruse (EL) nr 910/2014 artikli 19a lõike 1 punktis a sätestatud nõuete kohaldamisala hõlmab siiski riskijuhtimismenetlusi, mis on seotud õiguslike, ärialaste, tegevus- ja muude otseste või kaudsete riskidega, mis seonduvad mittekvalifitseeritud usaldusteenuste osutamisega. Et täiendada rakendusmääruses (EL) 2024/2690 sätestatud riskijuhtimisraamistikku ja võimaldada kõigi asjakohaste riskide juhtimise ühtset käsitlusviisi, tuleks kehtestada nõuded ja menetlused seoses nende riskide juhtimisega kvalifitseerimata usaldusteenuse osutajate poolt. Euroopa Liidu Küberturvalisuse Ameti (ENISA) või direktiivi (EL) 2022/2555 kohaste riiklike pädevate asutuste suunised võivad toetada kvalifitseerimata usaldusteenuse osutajaid asjakohaste riskijuhtimispõhimõtete väljatöötamisel ja rakendamisel.

(3)Määruse (EL) nr 910/2014 artikli 19a lõikes 2 sätestatud vastavuse eeldust tuleks kohaldada üksnes juhul, kui kvalifitseerimata usaldusteenuse osutajad täidavad käesolevas määruses sätestatud nõudeid. Lisas osutatud võrdlusstandardid peaksid kajastama väljakujunenud tavasid ja olema asjaomastes sektorites laialdaselt tunnustatud. Tagamaks, et kvalifitseerimata usaldusteenuse osutajad haldavad õiguslikke, ärialaseid, tegevus- ja muid otseseid või kaudseid riske, mis on seotud kvalifitseerimata usaldusteenuse osutamisega kooskõlas määruse (EL) nr 910/2014 artikli 19a lõikega 1, peaksid kvalifitseerimata usaldusteenuse osutajad vastavuseelduseks järgima lisas esitatud standardite viidatud elemente ja käesolevas määruses sätestatud riskijuhtimisnõudeid.

(4)Kui kvalifitseerimata usaldusteenuse osutaja täidab käesolevas rakendusmääruses sätestatud nõudeid, peaksid järelevalveasutused eeldama vastavust määruse (EL) nr 910/2014 asjakohastele nõuetele. Määruse (EL) nr 910/2014 nõuetele vastavuse tõendamiseks võib kvalifitseerimata usaldusteenuste osutaja siiski tugineda ka muudele tavadele.

(5)Kindlakstehtud riskide piisava käsitlemise tagamiseks peaksid kvalifitseerimata usaldusteenuse osutajate järgitavad riskijuhtimispõhimõtted hõlmama menetlusi riskide dokumenteerimiseks ja hindamiseks ning asjakohaste riskikäsitlusmeetmete kindlakstegemiseks, valimiseks ja rakendamiseks. Riskikäsitlusmeetmete rakendamist tuleks pidevalt jälgida. Kvalifitseerimata usaldusteenuse osutajad peaksid tagama selliste andmete tervikluse ja konfidentsiaalsuse, mida nad registreerivad ja säilitavad oma riskikäsitlusmeetmete osana. Lisaks peaksid kvalifitseerimata usaldusteenuse osutajad läbipaistvuse suurendamiseks ja järelevalvetegevuse toetamiseks avaldama, milliseid isikusamasuse kontrollimise meetodeid nad kohaldavad. Kuna kõiki tuvastatud riske ei saa täielikult maandada nende vältimise, maandamise või teistele üksustele ülekandmise teel, peaksid kvalifitseerimata usaldusteenuse osutajate juhtorganid kõik jääkriskid heaks kiitma. Jääkriskide aktsepteerimise kriteeriume tuleks põhjendada arusaadaval viisil.

(6)Komisjon hindab regulaarselt uusi tehnoloogialahendusi, tavasid, standardeid ja tehnilisi kirjeldusi. Kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2024/1183 4 põhjendusega 75 peaks komisjon käesoleva rakendusmääruse läbi vaatama ja vajaduse korral seda ajakohastama, et viia see kooskõlla ülemaailmsete suundumuste, uute tehnoloogiate, tavade, standardite või tehniliste kirjeldustega ning et järgida siseturu parimaid tavasid.

(7)Käesoleva määruse kohaste isikuandmete töötlemise toimingute suhtes kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 5 ning vajaduse korral Euroopa Parlamendi ja nõukogu direktiivi 2002/58/EÜ 6 .

(8)Kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 42 lõikega 1 7 konsulteeriti Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse 8. augustil 2025 8 .

(9)Käesoleva määrusega ettenähtud meetmed on kooskõlas määruse (EL) nr 910/2014 artikli 48 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

Artikkel 1

Võrdlusstandardid

Määruse (EL) nr 910/2014 artikli 19a lõikes 2 osutatud võrdlusstandardid on esitatud käesoleva määruse lisas.

Artikkel 2

Riskijuhtimispõhimõtted

1.Määruse (EL) nr 910/2014 artikli 19a lõikes 1 osutatud riskijuhtimispõhimõtetes määratakse selgelt kindlaks usaldusteenused, mille suhtes neid kohaldatakse, need peavad olema seotud asjaomaste usaldusteenustega ja need peab olema kvalifitseerimata usaldusteenuse osutaja juhtorgan heaks kiitnud.

2.Riskijuhtimispõhimõtted sisaldavad vähemalt kõiki järgmisi elemente:

(a)üldine riskitaluvustase vastavalt usaldusteenuste kriitilisele tähtsusele ja nõutavale turvalisuse tasemele, võttes arvesse uusimaid tehnoloogilisi arenguid;

(b)asjakohased riskikriteeriumid, sealhulgas vähemalt riski tõenäosus, mõju ja tase, arvestades küberohte käsitlevat teadmust ja nõrkusi;

(c)usaldusteenuste osutamisega seotud riskide tuvastamise ja dokumenteerimise metoodika, võttes arvesse kvalifitseerimata usaldusteenuse osutaja kasutatava infosüsteemi täielikku ulatust, sealhulgas riske, mis on seotud süsteemi komponentidega ning mis tahes aktiivsete või passiivsete isikutega, kes osalevad süsteemi rakendamises või usaldusteenuste osutamises;

(d)punktis b osutatud riskikriteeriumidel põhinev kindlakstehtud riskide hindamise protsess;

(e)asjakohaste riskikäsitlusmeetmete kindlaksmääramise, prioriseerimise ja rakendamise pideva jälgimise protsess;

(f)riskijuhtimispõhimõtete rakendamise pideva järelevalve protsess.

3.Kvalifitseerimata usaldusteenuse osutajad kehtestavad asjakohaseid menetlusi ja haldavad dokumente, et tagada kohaldatavates õigusaktides sätestatud nõuete rakendamine.

4.Kvalifitseerimata usaldusteenuse osutajad kehtestavad asjakohased dokumenteeritud menetlused, et tagada usaldusteenuste osutamist mõjutada võivate liidu ja liikmesriikide seadusandlike ja regulatiivsete muudatuste jälgimine.

Artikkel 3

Riskide kindlakstegemine, dokumenteerimine ja hindamine

Kvalifitseerimata usaldusteenuse osutajad teevad kindlaks kõik määruse (EL) nr 910/2014 artikli 19a lõikes 1 osutatud riskid, dokumenteerivad ja hindavad neid kooskõlas artiklis 2 osutatud riskijuhtimispõhimõtetega ning eelkõige:

(a)teevad kindlaks kolmandate isikutega seotud riskid;

(b)teevad kindlaks usaldusteenuste osutamise võimaliku nõrga lüli;

(c)hindavad kindlakstehtud riske artikli 2 lõike 2 punktis b osutatud riskikriteeriumide alusel.

Artikkel 4

Riskikäsitlusmeetmed

1.Kooskõlas artiklis 2 osutatud põhimõtetega kavandavad, dokumenteerivad ja rakendavad kvalifitseerimata usaldusteenuse osutajad riskikäsitlusmeetmeid ning täidavad eelkõige järgmisi ülesandeid:

(a)teevad kindlaks asjakohased riskikäsitlusmeetmed ja prioriseerivad need;

(b)valivad, kiidavad heaks ja dokumenteerivad riskikäsitluskavas valitud riskikäsitlusmeetmed, sealhulgas nende turvanõuded ja käitamisprotseduurid, määravad kindlaks, kes vastutab riskikäsitlusmeetmete rakendamise eest ja millal neid tuleb rakendada;

(c)jälgivad pidevalt riskikäsitlusmeetmete rakendamist.

2.Lõike 1 punktis b sätestatud riskikäsitluskavas esitatakse arusaadaval viisil põhjused, millega põhjendatakse jääkriskide aktsepteerimist.

3.Lõikes 1 osutatud riskikäsitlusmeetmete osana teevad kvalifitseerimata usaldusteenuse osutajad ka järgmist:

(a)kontrollivad vajaduse korral usaldusteenuse kasutajate isikusamasust otse või kolmanda isiku kaudu ning avaldavad teabe kasutatud isikusamasuse kontrollimise meetodite kohta;

(b)kohtumenetluses tõendite esitamise ja teenuse järjepidevuse tagamise eesmärgil salvestavad ja säilitavad nii kaua, kui see on liidu või liikmesriigi õiguse kohaselt vajalik (sealhulgas pärast kvalifitseerimata usaldusteenuse osutaja tegevuse lõpetamist), turvaliselt järgmist teavet:

–kogu asjakohane teave, mis on kogutud usaldusteenuse kasutajate registreerimise ja kaasamise käigus, sealhulgas vajaduse korral kasutajate isikusamasuse kontroll;

–usaldusteenuse kasutajale määratud autentimisandmed, kui see on asjakohane, ning

–usaldusteenuse osutamisel kasutatavate avaliku võtme sertifikaatide või muu krüptograafilise materjali staatuse muutumine;

(c)tagavad vajaduse korral, et usaldusteenuse kasutajale määratud autentimisandmed on kordumatud.

4.Asjakohaste riskikäsitlusmeetmete kindlaksmääramisel, valimisel, heakskiitmisel ja prioriseerimisel võtavad kvalifitseerimata usaldusteenuse osutajad arvesse järgmisi elemente:

(a)artiklis 3 osutatud riskihindamise tulemused;

(b)riskikäsitlusmeetmete tõhusus;

(c)vastavushindamised;

(d)olulised intsidendid;

(e)rakendamise kulud võrreldes eeldatava kasuga;

(f)kohaldatav asjakohane varade liigitus;

(g)artikli 3 kohaselt kindlaks tehtud riskide äritegevusele avalduva mõju analüüs.

5.Kvalifitseerimata usaldusteenuse osutajate juhtorganid kiidavad heaks jääkriskid, mis jäävad alles pärast riskikäsitluskavas sätestatud riskikäsitlusmeetmete rakendamist.

6.Kvalifitseerimata usaldusteenuse osutajad vaatavad riskihindamise tulemused ja riskikäsitluskava läbi, dokumenteerivad ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja vähemalt kord aastas ning juhul, kui taristus, tegevuses või riskides või olulistes intsidentides esineb olulisi muutusi.

7.Kvalifitseerimata usaldusteenuse osutajad tagavad lõike 3 punktis b osutatud teabe kättesaadavuse, tervikluse ja konfidentsiaalsuse.

Artikkel 5

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 27.10.2025

(1)    ELT L 257, 28.8.2014, lk 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj .

(2)    Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj ).

(3)    Komisjoni 17. oktoobri 2024. aasta rakendusmäärus (EL) 2024/2690, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks (ELT L, 2024/2690, 18.10.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj ).

(4)    Euroopa Parlamendi ja nõukogu 11. aprilli 2024. aasta määrus (EL) 2024/1183, millega muudetakse määrust (EL) nr 910/2014 seoses Euroopa digiidentiteedi raamistiku kehtestamisega (ELT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj ).

(5)    Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj ).

(6)    Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (ELT L 201, 31.7.2002, lk 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj ).

(7)    Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8)     EDPS Formal comments on the draft Implementing Regulation as regards specifications and procedures for the management of risks to the provision of non-qualified trust services | Euroopa Andmekaitseinspektor .

LISA

Kvalifitseerimata usaldusteenuse osutajate võrdlusstandardite nimekiri

Kohaldatakse standardi ETSI EN 319 401 V3.1.1 (2024–06) „Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers“ järgmiste punktide kohased nõudeid:

5. Riskide hindamine;

6. Tegevuspõhimõtted ja tavad;

7.1 Sisemine korraldus;

7.2 Inimressursid;

7.3 Varahaldus;

7.4 Juurdepääsu kontroll;

7.6 Füüsiline ja keskkonnaohutus.