(1)

Komisjoni 19. veebruari 2020. aasta teatises „Euroopa digituleviku kujundamine“ teatatakse Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (4) läbivaatamisest, et muuta selle toimimine tõhusamaks, laiendada selle positiivset mõju erasektorile ja edendada usaldusväärseid digiidentiteete kõigi eurooplaste jaoks.

(2)

Euroopa Ülemkogu kutsus oma 1.–2. oktoobri 2020. aasta järeldustes komisjoni üles tegema ettepanekut töötada välja kogu liitu hõlmav turvalise avaliku elektroonilise identimise raamistik, sealhulgas koostalitlusvõimelised digiallkirjad, et anda inimestele kontroll oma internetiidentiteedi ja andmete üle ning võimaldada juurdepääsu avalikele, eraõiguslikele ja piiriülestele digiteenustele.

(3)

Euroopa Parlamendi ja nõukogu otsusega (EL) 2022/2481 (5) loodud digikümnendi poliitikaprogrammis 2030 on kindlaks määratud liidu raamistiku eesmärgid ja digisihid, mille eesmärk on 2030. aastaks viia usaldusväärse, vabatahtliku ja kasutaja kontrolli all oleva digiidentiteedi ulatusliku kasutuselevõtuni, mida tunnustatakse kogu liidus ja mis võimaldab igal kodanikul kontrollida enda andmeid internetitoimingute käigus.

(4)

Euroopa Parlamendi, nõukogu ja komisjoni välja kuulutatud „Euroopa deklaratsioonis digiõiguste ja -põhimõtete kohta digikümnendiks“ (6) (edaspidi „deklaratsioon“) rõhutatakse igaühe õigust pääseda juurde digitehnoloogiale, -toodetele ja -teenustele, mis on sisseprojekteeritult ohutud, turvalised ja privaatsust kaitsvad. Muu hulgas tagatakse, et kõigile liidus elavatele inimestele pakutakse juurdepääsetavat, turvalist ja usaldusväärset digiidentiteeti, mis annab juurdepääsu mitmesugustele internetipõhistele ja võrguvälistele teenustele, mis on kaitstud kõigi küberriskide ja küberkuritegevuse, sealhulgas andmetega seotud rikkumiste ja identiteedivarguse või identiteediga manipuleerimise eest. Deklaratsioonis märgitakse ka, et igaühel on õigus sellele, et tema isikuandmed oleksid kaitstud. See õigus tähendab muu hulgas kontrolli selle üle, kuidas neid andmeid kasutatakse ja kellega neid jagatakse.

(5)

Liidu kodanikel ja elanikel peaks olema õigus digiidentiteedile, mis on nende ainukontrolli all ja mis võimaldab neil kasutada oma õigusi digikeskkonnas ja osaleda digimajanduses. Selle eesmärgi saavutamiseks tuleks luua Euroopa digiidentiteedi raamistik, mis võimaldab liidu kodanikele ja elanikele juurdepääsu avalikele ja eraõiguslikele internetipõhistele ja võrguvälistele teenustele kogu liidus.

(6)

Ühtlustatud digiidentiteedi raamistik peaks aitama luua digitaalsemalt integreeritud liitu, vähendades liikmesriikidevahelisi digitõkkeid ning andes liidu kodanikele ja elanikele võimaluse kasutada digitaliseerimise eeliseid, suurendades samal ajal läbipaistvust ja nende õiguste kaitset.

(7)

Ühtsem e-identimise käsitus peaks vähendama riske ja kulusid, mille põhjus on praegune erinevate riiklike lahenduste kasutamisest tulenev killustatus või mõnes liikmesriigis selliste e-identimise lahenduste puudumine. Selline käsitus peaks tugevdama siseturgu, võimaldades liidu kodanikel, liidu elanikel, nagu on määratletud riigisiseses õiguses, ja ettevõtjatel end kogu liidus internetis ja väljaspool seda turvalisel, usaldusväärsel, kasutajasõbralikul, mugaval, ligipääsetaval ja ühtlustatud viisil identifitseerida ja oma identiteeti autentida. Euroopa digiidentiteedikukkur peaks andma füüsilistele ja juriidilistele isikutele kogu liidus ühtlustatud e-identimise vahendi, mis võimaldab neil oma identiteediga seotud andmeid autentida ja jagada. Igaühel peaks olema turvaline juurdepääs avalikele ja erasektori teenustele, tuginedes usaldusteenuste täiustatud ökosüsteemile ning kontrollitud isikut tõendavatele dokumentidele ja elektroonilistele tõenditele, nagu akadeemiline kvalifikatsioon, sealhulgas ülikoolikraadid või muud haridus- või kutsealased õigused. Euroopa digiidentiteedi raamistiku eesmärk on minna üksnes riiklikele digitaalse identiteedi lahendustele tuginemiselt üle kogu liidus kehtivate ja õiguslikult tunnustatud elektrooniliste tõendite esitamisele. Elektrooniliste tõendite pakkujate suhtes tuleks kohaldada selgeid ja ühtseid normistikke, samal ajal kui haldusasutused peaksid saama tugineda teatavas vormingus e-dokumentidele.

(8)

Mitu liikmesriiki on rakendanud ja kasutavad e-identimise vahendeid, mida liidu teenuseosutajad aktsepteerivad. Lisaks on määruse (EL) nr 910/2014 alusel investeeritud nii riiklikesse kui ka piiriülestesse lahendustesse, sealhulgas teavitatud e-identimise süsteemide koostalitlusvõimesse vastavalt kõnealusele määrusele. Selleks et tagada Euroopa digiidentiteedikukrute vastastikune täiendavus ja kiire kasutuselevõtt teatatud e-identimise vahendite praeguste kasutajate poolt ning minimeerida mõju olemasolevatele teenuseosutajatele, peaksid Euroopa digiidentiteedikukrud oodatavalt toetuma kogemustele, mis on saadud seoses olemasolevate e-identimise vahendite ning liidu ja riiklikul tasandil kasutusele võetud teavitatud e-identimise süsteemide taristuga.

(9)

Kõigi määruse (EL) nr 910/2014 kohaste isikuandmete töötlemise toimingute suhtes kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 (7) ning vajaduse korral Euroopa Parlamendi ja nõukogu direktiivi 2002/58/EÜ (8). Käesolevas määruses sätestatud koostalitlusvõime raamistiku lahendused järgivad samuti kõnealuseid norme. Liidu andmekaitseõiguses on sätestatud andmekaitse põhimõtted, nagu võimalikult väheste andmete kogumise ja eesmärgi piiritlemise põhimõte, ning kohustused, nagu lõimitud ja vaikimisi andmekaitse.

(10)

Liidu ettevõtjate konkurentsivõime toetamiseks peaks nii internetipõhiste kui veebiväliste teenuste osutajatel olema võimalik tugineda digiidentiteedi lahendustele, mida tunnustatakse kogu liidus, olenemata liikmesriigist, kus neid lahendusi osutatakse, ning saada seega kasu ühtlustatud liidu käsitusest usaldusele, turvalisusele ja koostalitlusvõimele. Nii kasutajatel kui ka teenuseosutajatel peaks olema kindlus, et elektroonilistel tõenditel on sama õigusjõud kogu liidus. Ühtlustatud digiidentiteedi raamistiku eesmärk on luua majanduslikku väärtust, võimaldades hõlpsamat juurdepääsu kaupadele ja teenustele ning vähendades märkimisväärselt e-identimise ja e-autentimise menetlustega seotud tegevuskulusid, näiteks uute klientide aktiveerimisel, vähendades selliste küberkuritegude nagu identiteedivargus, andmevargus ja internetipettus esinemisvõimalusi, edendades seeläbi tõhusust ning liidu mikro-, väikeste ja keskmise suurusega ettevõtjate (VKEd) turvalist digiüleminekut.

(11)

Euroopa digiidentiteedikukrud peaksid hõlbustama andmete ühekordse küsimise põhimõtte kohaldamist, vähendades seeläbi liidu kodanike ja elanike ning ettevõtjate halduskoormust ja toetades nende piiriülest liikuvust kogu liidus ning edendades koostalitlusvõimeliste e-valitsuse teenuste arendamist kogu liidus.

(12)

Käesoleva määruse rakendamisel toimuva isikuandmete töötlemise suhtes kohaldatakse Euroopa Parlamendi ja nõukogu määrusi (EL) 2016/679 ja (EL) 2018/1725 (9) ning direktiivi 2002/58/EÜ. Seepärast tuleks käesolevas määruses sätestada konkreetsed kaitsemeetmed, et e-identimise vahendite ja elektrooniliste tõendite pakkujad ei saaks kombineerida muude teenuste osutamisel saadud isikuandmeid käesoleva määruse kohaldamisalasse kuuluvate teenuste osutamise eesmärgil töödeldud isikuandmetega. Euroopa digiidentiteedikukrute pakkumisega seotud isikuandmeid tuleks hoida loogiliselt lahus kõigist muudest Euroopa digiidentiteedikukru pakkuja valduses olevatest andmetest. Käesolev määrus ei tohiks takistada Euroopa digiidentiteedikukrute pakkujatel kohaldamast täiendavaid tehnilisi meetmeid, mis aitavad kaitsta isikuandmeid, nagu Euroopa digiidentiteedikukrute pakkumisega seotud isikuandmete füüsiline eraldamine muudest pakkuja valduses olevatest andmetest. Ilma et see piiraks määruse (EL) 2016/679 kohaldamist, täpsustatakse käesolevas määruses eesmärgi piiritlemise, võimalikult väheste andmete kogumise ning lõimitud ja vaikimisi andmekaitse põhimõtete kohaldamist.

(13)

Euroopa digiidentiteedikukrute üks integreeritud funktsioon peaks olema ühine töölaud, et tagada kasutajatele suurem läbipaistvus, privaatsus ja kontroll oma isikuandmete üle. Kõnealune funktsioon peaks pakkuma lihtsat ja kasutajasõbralikku liidest ülevaate saamiseks kõigist tuginevatest isikutest, kellega kasutaja andmeid jagab, sealhulgas atribuutidest, ja andmete liigist, mida iga tugineva isikuga jagatakse. See peaks võimaldama kasutajatel jälgida kõiki Euroopa digiidentiteedikukru kaudu tehtud tehinguid, hõlmates vähemalt järgmiseid andmeid: tehingu kellaaeg ja kuupäev, vastaspoole identiteet, taotletud isikuandmed ja jagatud andmed. Need andmed tuleks salvestada ka juhul, kui tehingut ei sõlmitud. Tehingu ajaloos sisalduva teabe autentsust ei tohiks olla võimalik kahtluse alla seada. Selline funktsioon peaks olema vaikimisi aktiivne. See peaks võimaldama kasutajatel lihtsalt taotleda tuginevalt isikult isikuandmete viivitamatut kustutamist vastavalt määruse (EL) 2016/679 artiklile 17 ja lihtsalt teatada tuginevast isikust pädevale riiklikule andmekaitseasutusele, kui Euroopa digiidentiteedikukru kaudu on otse saadud väidetavalt ebaseaduslik või kahtlane isikuandmete taotlus.

(14)

Liikmesriigid peaksid integreerima Euroopa digiidentiteedikukrusse erinevad privaatsust säilitavad tehnoloogiad, näiteks teabetu tõestus. Need krüptomeetodid peaksid võimaldama tugineval isikul kontrollida, kas isikutuvastusandmetel ja atribuutide tõenditel põhinev kinnitus on tõene, avaldamata andmeid, millel see kinnitus põhineb, säilitades seeläbi kasutaja privaatsuse.

(15)

Käesolevas määruses sätestatakse ühtlustatud tingimused liikmesriikide poolt kättesaadavaks tehtavate Euroopa digiidentiteedikukrute raamistiku loomiseks. Kõigil liidu kodanikel ja riigisiseses õiguses määratletud liidu elanikel peaks olema õigus turvaliselt taotleda, valida, kombineerida, salvestada, kustutada, jagada ja esitada oma identiteediga seotud andmeid ning taotleda oma isikuandmete kustutamist kasutajasõbralikul ja mugaval viisil kasutaja ainukontrolli all, võimaldades samal ajal isikuandmete valikulist avaldamist. Käesolev määrus kajastab ühiseid Euroopa väärtusi ja austab põhiõigusi, õiguslikke tagatisi ja vastutust, kaitstes seeläbi demokraatlikke ühiskondi, liidu kodanikke ja elanikke. Nende eesmärkide saavutamiseks kasutatava tehnoloogia väljatöötamisel tuleks sihiks seada kõrgeimal tasemel turvalisus, privaatsus, kasutajamugavus, juurdepääsetavus, lai kasutatavus ja sujuv koostalitlusvõime. Liikmesriigid peaksid tagama kõigile oma kodanikele ja elanikele võrdse juurdepääsu e-identimisele. Liikmesriigid ei tohiks otse ega kaudselt piirata nende füüsiliste või juriidiliste isikute juurdepääsu avalikele või erateenustele, kes ei otsusta kasutada Euroopa digiidentiteedikukruid, ning peaksid tegema kättesaadavaks asjakohased alternatiivsed lahendused.

(16)

Liikmesriigid peaksid kasutama käesoleva määrusega pakutavaid võimalusi, et teha oma vastutusel Euroopa digiidentiteedikukruid kättesaadavaks nende territooriumil elavatele füüsilistele ja juriidilistele isikutele kasutamiseks. Selleks et pakkuda liikmesriikidele paindlikkust ja kasutada ära tipptasemel tehnoloogiat, peaks käesolev määrus võimaldama Euroopa digiidentiteedikukrute pakkumist otse liikmesriigi poolt, liikmesriigi volitusel või liikmesriigist sõltumatult, viimasel juhul peab liikmesriik selliselt pakutuid kukruid tunnustama.

(17)

Registreerimiseks peaksid tuginevad isikud esitama teabe, mida on vaja nende e-identimiseks ja e-autentimiseks Euroopa digiidentiteedikukrute jaoks. Kui tuginevad isikud teatavad Euroopa digiidentiteedikukru kavandatavast kasutusest, peaksid nad esitama teabe andmete kohta, mida nad oma teenuste osutamiseks taotlevad, ja taotluse põhjuse. Tuginevate isikute registreerimine hõlbustab liikmesriikide poolset kontrolli tuginevate isikute tegevuse seaduslikkuse üle, mida tehakse kooskõlas liidu õigusega. Käesolevas määruses sätestatud registreerimiskohustus ei tohiks piirata muus liidu või riigisiseses õiguses sätestatud kohustuste täitmist, näiteks määruse (EL) 2016/679 kohaselt andmesubjektidele teabe esitamise kohustuse täitmist. Tuginevad isikud peaksid järgima kõnealuse määruse artiklites 35 ja 36 sätestatud kaitsemeetmeid, eelkõige tehes andmekaitsealaseid mõjuhinnanguid ja konsulteerides enne andmete töötlemist pädevate andmekaitseasutustega, kui andmekaitsealased mõjuhinnangud näitavad, et töötlemine tooks kaasa suure riski. Sellised kaitsemeetmed peaksid toetama isikuandmete seaduslikku töötlemist tuginevate isikute poolt, eelkõige andmete eriliikide, näiteks terviseandmete puhul. Tuginevate isikute registreerimise eesmärk on suurendada läbipaistvust ja usaldust Euroopa digiidentiteedikukrute kasutamise vastu. Registreerimine peaks olema kulutõhus ja seotud riskidega proportsionaalne, et tagada teenuse kasutuselevõtt teenuseosutajate poolt. Sellega seoses tuleks registreerimise käigus ette näha automatiseeritud menetluste kasutamine, sealhulgas olemasolevatele registritele tuginemine ja nende kasutamine liikmesriikide poolt, ning see ei tohiks hõlmata eelneva loa andmise menetlust. Registreerimisprotsess peaks võimaldama arvesse võtta erinevaid kasutusjuhte, mis võivad erineda registreerimisnõuete, töörežiimi, s.t ka võrgus toimuv või võrguväline, või Euroopa digiidentiteedikukruga liidestamist võimaldavate seadmete autentimise nõude poolest. Registreerimist tuleks kohaldada üksnes selliste tuginevate isikute suhtes, kes osutavad teenuseid digitaalse suhtluse kaudu.

(18)

Liidu kodanike ja elanike kaitsmine Euroopa digiidentiteedikukrute loata või petturliku kasutamise eest on väga oluline, et tagada usaldus Euroopa digiidentiteedikukrute vastu ja nende laialdane kasutuselevõtt. Kasutajatele tuleks tagada toimiv kaitse sellise väärkasutuse eest. Eelkõige juhul, kui liikmesriigi õigusasutus tuvastab muu menetluse raames asjaolud, mis on Euroopa digiidentiteedikukru petturliku või muul viisil ebaseadusliku kasutamise aluseks, peaksid Euroopa digiidentiteedikukru väljastajate eest vastutavad järelevalveasutused pärast teavitamist võtma vajalikud meetmed tagamaks, et tugineva isiku registreerimine ja tuginevate isikute lisamine autentimismehhanismi tunnistatakse kehtetuks või peatatakse seni, kuni teavitav asutus kinnitab, et tuvastatud rikkumised on kõrvaldatud.

(19)

Kõik Euroopa digiidentiteedikukrud peaksid võimaldama kasutajatel end piiriüleselt elektrooniliselt identida ja autentida nii võrgus kui ka võrguväliselt, et pääseda juurde mitmesugustele avalikele ja erasektori teenustele. Ilma et see piiraks liikmesriikide eelisõigusi oma kodanike ja elanike identimisel, võivad Euroopa digiidentiteedikukrud täita ka haldusasutuste, rahvusvaheliste organisatsioonide ning liidu institutsioonide, organite ja asutuste institutsioonilisi vajadusi. Võrguväline autentimine oleks oluline paljudes sektorites, sealhulgas tervishoiusektoris, kus teenuseid osutatakse sageli inimesega vahetult suheldes, ning digiretseptide puhul peaks autentsuse kontrollimiseks olema võimalik tugineda ruutkoodile või sarnasele tehnoloogiale. E-identimise süsteemide kõrgele usaldusväärsuse tasemele tuginevad Euroopa digiidentiteedikukrud peaksid käesoleva määruse kohaste turvanõuete täitmiseks kasutama ära võltsimiskindlate lahenduste, näiteks turvaelementide potentsiaali. Euroopa digiidentiteedikukrud peaksid samuti võimaldama kasutajatel luua ja kasutada kogu liidus aktsepteeritavaid kvalifitseeritud e-allkirju ja e-templeid. Kui Euroopa digiidentiteedikukkur on aktiveeritud, peaks füüsilistel isikutel olema võimalik seda kasutada vaikimisi ja tasuta kvalifitseeritud e-allkirjaga allkirjastamiseks, ilma et nad peaksid läbima täiendavaid haldusmenetlusi. Kasutajad peaksid saama allkirjastada või tembeldada enda esitatud avaldusi või atribuute. Lihtsustamise eesmärgil ning inimeste ja ettevõtjate kulude vähendamiseks kogu liidus, sealhulgas võimaldades esindusõiguste ja e-volituse andmist, peaksid liikmesriigid pakkuma ühistele standarditele ja tehnilistele kirjeldustele tuginevaid Euroopa digiidentiteedikukruid, et tagada sujuv koostalitlusvõime ja parandada piisavalt IT-turvalisust, tugevdada vastupidavust küberrünnete vastu ning seega vähendada märkimisväärselt liidu kodanike ja elanike ning ettevõtjate võimalikke riske, mis tulenevad käimasolevast digiteerimisest. Ainult liikmesriikide pädevad asutused saavad tagada usaldusväärsuse kõrge taseme isikusamasuse tuvastamisel ja anda seega kindluse, et ennast teatud isikuna esitlev isik on tõepoolest isik, kes ta väidab end olevat. Seepärast peaks Euroopa digiidentiteedikukrute pakkumine tuginema liidu kodanike, elanike või juriidiliste isikute õiguslikult määratletud identiteedile. Õiguslikult määratletud identiteedile tuginemine ei tohiks takistada Euroopa digiidentiteedikukru kasutajate juurdepääsu teenustele varjunime all, kui õiguslikult määratletud identiteedi autentimiseks puudub õiguslik nõue. Usaldust Euroopa digiidentiteedikukrute vastu suurendaks asjaolu, et neid väljastavad ja haldavad isikud peavad rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada kooskõlas määrusega (EL) 2016/679 turvalisuse kõrgeim tase, mis vastab füüsiliste isikute õigusi ja vabadusi ähvardavatele ohtudele.

(20)

Kvalifitseeritud e-allkirja kasutamine muudel kui kutselistel eesmärkidel peaks olema kõigile füüsilistele isikutele tasuta. Liikmesriikidel peaks olema võimalik sätestada meetmed, mis takistavad füüsilistel isikutel kvalifitseeritud e-allkirjade tasuta kasutamist kutsealastel eesmärkidel, tagades samal ajal, et kõik sellised meetmed on tuvastatud riskidega proportsionaalsed ja põhjendatud.

(21)

Kasulik on hõlbustada Euroopa digiidentiteedikukrute kasutuselevõttu ja kasutamist, integreerides need sujuvalt riiklikul, kohalikul või piirkondlikul tasandil juba kasutatavate avaliku ja erasektori digiteenuste ökosüsteemi. Selle eesmärgi saavutamiseks peaks liikmesriikidel olema võimalik sätestada õiguslikud ja korralduslikud meetmed, et suurendada paindlikkust Euroopa digiidentiteedikukrute pakkujate jaoks ja võimaldada Euroopa digiidentiteedikukrute lisafunktsioone lisaks käesolevas määruses sätestatule, sealhulgas suurendades koostalitlusvõimet olemasolevate riiklike e-identimise vahenditega. Sellised lisafunktsioonid ei tohiks mingil juhul kahjustada käesolevas määruses sätestatud Euroopa digiidentiteedikukrute põhifunktsioonide täitmist ega edendada Euroopa digiidentiteedikukrute asemel olemasolevaid riiklikke lahendusi. Kuna need lisafunktsioonid ulatuvad käesolevast määrusest kaugemale, ei kohaldata nende suhtes käesoleva määruse sätteid, mis käsitlevad piiriülest tuginemist Euroopa digiidentiteedikukrutele.

(22)

Euroopa digiidentiteedikukrutel peaks olema funktsioon, millega luuakse kasutaja valitud ja hallatavaid varjunimesid, mida kasutatakse autentimiseks internetipõhistele teenustele juurdepääsul.

(23)

Et saavutada turvalisuse ja usaldusväärsuse kõrge tase, kehtestatakse käesoleva määrusega Euroopa digiidentiteedikukrutele esitatavad nõuded. Euroopa digiidentiteedikukrute vastavust neile nõuetele peaksid sertifitseerima liikmesriikide määratud akrediteeritud vastavushindamisasutused.

(24)

Selleks et vältida erinevaid käsitusi ja ühtlustada käesolevas määruses sätestatud nõuete rakendamist, peaks komisjon Euroopa digiidentiteedikukrute sertifitseerimiseks vastu võtma rakendusakte, et kehtestada võrdlusstandardite loetelu ning vajaduse korral kehtestada kirjeldused ja menetlused kõnealuste nõuete üksikasjalike tehniliste kirjelduste esitamiseks. Kui käesolevas määruses osutatud olemasolevad küberturvalisuse sertifitseerimise kavad ei hõlma Euroopa digiidentiteedikukrute vastavuse sertifitseerimist asjakohastele küberturvalisuse nõuetele, ning seoses Euroopa digiidentiteedikukrutega seotud muude kui küberturvalisuse nõuetega, peaksid liikmesriigid kehtestama riiklikud sertifitseerimiskavad, tehes seda vastavalt käesolevas määruses sätestatud ja selle kohaselt vastu võetud ühtlustatud nõuetele. Liikmesriigid peaksid edastama oma riiklike sertifitseerimiskavade kavandid Euroopa digiidentiteedi koostöörühmale, kellel peaks olema võimalus esitada arvamusi ja soovitusi.

(25)

Käesolevas määruses sätestatud küberturvalisuse nõuetele vastavuse sertifitseerimine peaks võimaluse korral tuginema asjakohastele Euroopa küberturvalisuse sertifitseerimise kavadele, mis on kehtestatud vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2019/881 (10), millega kehtestatakse IKT toodete, protsesside ja teenuste Euroopa küberturvalisuse sertifitseerimise vabatahtlik raamistik.

(26)

Selleks et pidevalt hinnata ja leevendada turvalisusega seotud riske, tuleks sertifitseeritud Euroopa digiidentiteedikukrute suhtes korrapäraselt läbi viia nõrkuste hindamised, mille eesmärk on tuvastada Euroopa digiidentiteedikukru sertifitseeritud toodete, protsesside ja teenustega seotud komponentide nõrkusi.

(27)

Käesolevas määruses sätestatud olulised küberturvalisuse nõuded kaitsevad kasutajaid ja ettevõtteid küberriskide eest ning aitavad ühtlasi parandada isikuandmete kaitset ja üksikisikute privaatsust. Komisjoni, Euroopa standardiorganisatsioonide, Euroopa Liidu Küberturvalisuse Ameti (ENISA), määrusega (EL) 2016/679 loodud Euroopa Andmekaitsenõukogu ja riiklike andmekaitse järelevalveasutuste vahelises koostöös tuleks kaaluda koostoimet nii küberturvalisuse aspektide standardimise kui ka sertifitseerimise vallas.

(28)

Euroopa digiidentiteedikukru aktiveerimist tuleks hõlbustada liidu kodanike ja elanike jaoks, tuginedes kõrgel usaldusväärsuse tasemel väljastatud e-identimise vahenditele. Märkimisväärsel usaldusväärsuse tasemel väljastatud e-identimise vahenditele tuleks tugineda ainult juhul, kui märkimisväärsel usaldusväärsuse tasemel väljastatud e-identimise vahendeid kasutavad ühtlustatud tehnilised kirjeldused ja menetlused koos täiendavate identiteedi kontrollimise vahenditega võimaldavad täita käesolevas määruses kõrge usaldusväärsuse tasemega seoses sätestatud nõudeid. Sellised täiendavad vahendid peaksid olema usaldusväärsed ja kergesti kasutatavad ning need võiksid tugineda võimalusele kasutada kaugaktiveerimismenetlust, kvalifitseeritud e-allkirjadega toetatavaid kvalifitseeritud sertifikaate, kvalifitseeritud elektroonilisi tõendeid või nende kombinatsiooni. Selleks et tagada Euroopa digiidentiteedikukrute piisav kasutuselevõtt, tuleks rakendusaktides sätestada ühtlustatud tehnilised kirjeldused ja menetlused teenuse kasutajate jaoks aktiveerimiseks e-identimise vahendite, sealhulgas märkimisväärsel usaldusväärsuse tasemel väljastatud vahendite abil.

(29)

Käesoleva määruse eesmärk on pakkuda kasutajale täielikult mobiilset, turvalist ja kasutajasõbralikku Euroopa digiidentiteedikukrut. Kuni sertifitseeritud võltsimiskindlate lahenduste, näiteks kasutajate seadmetes sisalduvate turvaelementide kättesaadavuseni peaksid Euroopa digiidentiteedikukrud olema üleminekumeetmena võimelised tuginema sertifitseeritud välistele turvaelementidele krüptomaterjali ja muude tundlike andmete kaitsmisel või teavitatud e-identimise vahenditele kõrgel usaldusväärsuse tasemel, et tõendada vastavust käesoleva määruse asjakohastele nõuetele seoses Euroopa digiidentiteedikukru usaldusväärsuse tasemega. Kui üleminekumeede tugineb sertifitseeritud välisele turvaelemendile, ei tohiks käesolev määrus piirata selle väljastamise ja kasutamise riigisiseste tingimuste kohaldamist.

(30)

Euroopa digiidentiteedikukrud peaksid tagama avalikele ja erasektori teenustele juurdepääsu hõlbustamiseks vajaliku e-identimise ja e-autentimise läbiviimisel kasutatavate andmete kaitse ja turvalisuse kõrgeimal tasemel, olenemata sellest, kas neid andmeid säilitatakse lokaalselt või pilvepõhistes lahendustes, võttes igakülgselt arvesse erinevaid riskitasemeid.

(31)

Euroopa digiidentiteedikukrud peaksid olema lõimitud turbega ja peaksid rakendama täiustatud turvaelemente, et kaitsta identiteedivarguse, muu andmevarguse, teenusetõkestuse ja muude küberohtude eest. See turvalisus peaks hõlmama tipptasemel krüpteerimis- ja salvestusmeetodeid, mis on kättesaadavad üksnes kasutajale ja mida üksnes kasutaja saab dekrüpteerida, ning mis tuginevad otspunktkrüpteeritud sidele teiste Euroopa digiidentiteedikukrute ja tuginevate isikutega. Lisaks peaksid Euroopa digiidentiteedikukrud nõudma turvalist, selget ja aktiivset kasutaja kinnitust Euroopa digiidentiteedikukrute kaudu tehtavate toimingute kohta.

(32)

Euroopa digiidentiteedikukrute tasuta kasutamine ei tohiks kaasa tuua enamate andmete töötlemist, kui on vaja Euroopa digiidentiteedikukru teenuste osutamiseks. Käesolev määrus ei tohiks lubada Euroopa digiidentiteedikukru pakkujal töödelda muul eesmärgil kui Euroopa digiidentiteedikukru teenuste osutamiseks selliseid isikuandmeid, mis on salvestatud Euroopa digiidentiteedikukrusse või mis tulenevad Euroopa digiidentiteedikukru kasutamisest. Privaatsuse tagamiseks peaksid Euroopa digiidentiteedikukru pakkujad tagama mittejälgitavuse, mistõttu ei tohi nad koguda andmeid ega omada ülevaadet Euroopa digiidentiteedikukru kasutajate tehingute kohta. Selline mittejälgitavus tähendab, et kukru pakkujatel ei ole võimalik näha kasutaja tehtud tehingute üksikasju. Erijuhtudel, mis põhinevad kasutaja eelneval sõnaselgel nõusolekul iga konkreetse juhtumi puhul, ja täielikus kooskõlas määrusega (EL) 2016/679, võib Euroopa digiidentiteedikukrute pakkujatele siiski anda juurdepääsu teabele, mida on vaja Euroopa digiidentiteedikukrutega seotud konkreetse teenuse osutamiseks.

(33)

Euroopa digiidentiteedikukrute läbipaistvus ja nende pakkujate vastutus on sotsiaalse usalduse loomise ja raamistiku omaksvõtmise põhielemendid. Euroopa digiidentiteedikukrute toimimine peaks seetõttu olema läbipaistev ja eelkõige võimaldama isikuandmete kontrollitavat töötlemist. Selle saavutamiseks peaksid liikmesriigid avalikustama Euroopa digiidentiteedikukrute kasutajate rakendustarkvara komponentide lähtekoodi, sealhulgas selliste komponentide lähtekoodi, mis on seotud isikuandmete ja juriidiliste isikute andmete töötlemisega. Selle lähtekoodi avaldamine avatud lähtekoodi litsentsi alusel peaks võimaldama ühiskonnal, sealhulgas kasutajatel ja arendajatel, mõista selle toimimist ning seda auditeerida ja läbi vaadata. See suurendaks kasutajate usaldust digiidentiteedikukru ökosüsteemi vastu ja Euroopa digiidentiteedikukrute turvalisust, võimaldades igaühel teatada koodi nõrkustest ja vigadest. Üldiselt peaks see andma tarnijatele stiimuleid pakkuda ja hoida töös toodet, mis on väga turvaline. Teatavatel juhtudel võivad liikmesriigid, kui see on igakülgselt põhjendatud, eelkõige avaliku julgeoleku huvides piirata kasutatud teekide, sidekanali või muude, kasutajaseadmes mittemajutatavate elementide lähtekoodi avalikustamist.

(34)

Euroopa digiidentiteedikukrute kasutamine ja nende kasutamise lõpetamine peaks olema kasutajate ainuõigus ja valik. Liikmesriigid peaksid välja töötama lihtsa ja turvalise menetluse, et kasutajad saaksid taotleda Euroopa digiidentiteedikukrute kehtivuse viivitamatut kehtetuks tunnistamist, sealhulgas ka kaotuse või varguse korral. Seoses kasutaja surma või juriidilise isiku tegevuse lõpetamisega tuleks luua mehhanism, mis võimaldaks füüsilise isiku pärimisasjade või juriidilise isiku varaga seonduva lahendamise eest vastutaval asutusel või ametiisikul taotleda Euroopa digiidentiteedikukru viivitamatut kehtetuks tunnistamist.

(35)

Selleks et edendada Euroopa digiidentiteedikukrute kasutuselevõttu ja digiidentiteedi laiemat kasutamist, peaksid liikmesriigid mitte ainult propageerima asjaomaste teenuste eeliseid, vaid peaksid töötama koostöös erasektori, teadlaste ja akadeemiliste ringkondadega välja ka koolitusprogrammid, mille eesmärk on tugevdada oma kodanike ja elanike digioskusi, eelkõige kaitsetute rühmade, näiteks puuetega inimeste ja eakate inimeste jaoks. Liikmesriigid peaksid ka suurendama teavituskampaaniate abil teadlikkust Euroopa digiidentiteedikukrute kasulikkusest ja nendega seotud riskidest.

(36)

Et Euroopa digiidentiteedi raamistik oleks avatud innovatsioonile ja tehnoloogiaarendusele ning on tulevikukindel, innustatakse liikmesriike looma ühiselt testkeskkondi uuenduslike lahenduste testimiseks kontrollitud ja turvalises keskkonnas, eelkõige selleks, et parandada lahenduste funktsionaalsust, isikuandmete kaitset, turvalisust ja koostalitlusvõimet ning anda teavet tehniliste viidete ja õiguslike nõuete edaspidiseks ajakohastamiseks. Kõnealune keskkond peaks soodustama VKEde, iduettevõtjate, üksikisikutest novaatorite ja teadlaste ning asjaomaste tööstusharu sidusrühmade kaasamist. Sellised algatused peaksid aitama kaasa sellele, et liidu kodanikele ja elanikele pakutavad Euroopa digiidentiteedikukrud vastavad õigusnormidele ning on tehniliselt stabiilsed, samuti peaksid need algatused nõuetele vastavust ja tehnilist stabiilsust tugevdama, vältides seeläbi selliste lahenduste väljatöötamist, mis ei ole kooskõlas liidu andmekaitsealase õigusega või mis põhjustavad turvaauke.

(37)

Euroopa Parlamendi ja nõukogu määrusega (EL) 2019/1157 (11) suurendatakse 2021. aasta augustiks isikutunnistuste turvalisust täiustatud turvaelementidega. Liikmesriigid peaksid kaaluma võimalust teatada neist e-identimise süsteemide raames, et laiendada e-identimise vahendite piiriülest kättesaadavust.

(38)

E-identimise süsteemidest teatamise korda tuleks lihtsustada ja kiirendada, et edendada juurdepääsu hõlpsasti kasutatavatele, usaldusväärsetele, turvalistele ja uuenduslikele autentimis- ja identimislahendustele ning asjakohasel juhul julgustada eraõiguslikke identiteedilahenduste tarnijaid pakkuma liikmesriikide ametiasutustele e-identimise süsteeme, millest teatada määruse (EL) nr 910/2014 kohaselt kui riiklikest e-identimise süsteemidest.

(39)

Olemasolevate teatamis- ja vastastikuse hindamise menetluste ühtlustamine väldib ebaühtlast lähenemist erinevate teavitatud e-identimise süsteemide hindamisele ja hõlbustab usalduse suurendamist liikmesriikide vahel. Uute, lihtsustatud mehhanismide eesmärk on edendada liikmesriikide koostööd nende teavitatud e-identimise süsteemide turvalisuse ja koostalitlusvõime valdkonnas.

(40)

Liikmesriikidel peaksid olema uued, paindlikud vahendid, et tagada käesoleva määruse ja selle alusel vastu võetud asjakohaste rakendusaktide nõuete täitmine. Käesolev määrus peaks võimaldama liikmesriikidel kasutada akrediteeritud vastavushindamisasutuste koostatud aruandeid ja hinnanguid, mis on ette nähtud määruse (EL) 2019/881 alusel liidu tasandil kehtestatavate sertifitseerimise kavade kontekstis, et toetada oma väiteid selle kohta, et kavad või nende osad on kooskõlas määrusega (EL) nr 910/2014.

(41)

Avalike teenuste osutajad kasutavad määruse (EL) nr 910/2014 kohastest e-identimise vahenditest kättesaadavaid isikutuvastusandmeid, et ühitada teisest liikmesriigist pärit kasutajate e-identiteet isikutuvastusandmetega, mis omistatakse sellistele kasutajatele liikmesriigis, mis viib läbi piiriülest identiteedi ühitamise protsessi. Hoolimata teavitatud e-identimise süsteemide raames esitatud minimaalse andmekogumi kasutamisest tuleb paljudel juhtudel identiteedi ühitamise täpsuse tagamiseks juhul, kui liikmesriigid tegutsevad tuginevate isikutena, saada lisateavet kasutaja kohta ja riiklikul tasandil viia läbi konkreetseid täiendavaid menetlusi üheseks identimiseks. Selleks et veelgi toetada e-identimise vahendite kasutatavust, pakkuda paremaid internetipõhiseid avalikke teenuseid ja suurendada õiguskindlust seoses kasutajate e-identiteediga, tuleks määrusega (EL) nr 910/2014 nõuda liikmesriikidelt konkreetsete internetipõhiste meetmete võtmist, et tagada identiteedi ühene ühitamine, kui kasutajad kavatsevad saada ligipääsu piiriülestele avalikele teenustele internetis.

(42)

Euroopa digiidentiteedikukrute väljatöötamisel tuleb arvesse võtta kasutajate vajadusi. Tuleks teha kättesaadavaks Euroopa digiidentiteedikukrutel põhinevad sisukad kasutusjuhud ja internetipõhised teenused. Kasutajate mugavuse huvides ja selliste teenuste piiriülese kättesaadavuse tagamiseks on oluline võtta meetmeid, et soodustada sarnase käsituse kohaldamist internetipõhiste teenuste kavandamise, arendamise ja rakendamise suhtes kõigis liikmesriikides. Selle eesmärgi saavutamiseks võiks olla kasu mittesiduvatest suunistest Euroopa digiidentiteedikukrutel põhinevate internetipõhiste teenuste kavandamise, arendamise ja rakendamise kohta. Selliste suuniste koostamisel tuleks arvesse võtta liidu koostalitlusvõime raamistikku. Liikmesriikidel peaks olema suuniste vastuvõtmisel juhtroll.

(43)

Kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2019/882 (12) ja ÜRO puuetega inimeste õiguste konventsiooniga peaksid puuetega inimesed saama kasutada Euroopa digiidentiteedikukruid, usaldusteenuseid ja nende teenuste osutamisel kasutatavaid lõpptarbijale suunatud tooteid teiste kasutajatega võrdsetel alustel.

(44)

Käesoleva määruse tõhusa täitmise tagamiseks tuleks nii kvalifitseeritud kui ka kvalifitseerimata usaldusteenuse osutajatele kehtestada maksimaalsete haldustrahvide miinimummäärad. Liikmesriigid peaksid kehtestama mõjusad, proportsionaalsed ja hoiatavad karistused. Karistuste kindlaksmääramisel tuleks igakülgselt arvesse võtta mõjutatud üksuste suurust, nende ärimudeleid ja rikkumiste tõsidust.

(45)

Liikmesriigid peaksid kehtestama karistusnormid selliste rikkumiste puhuks nagu otsene või kaudne tegevus, mis põhjustab kvalifitseerimata ja kvalifitseeritud usaldusteenuste segiajamist või ELi usaldusmärgi kuritarvitamist kvalifitseerimata usaldusteenuse osutajate poolt. ELi usaldusmärki ei tohiks kasutada tingimustel, mis otse või kaudselt viivad arusaamani, et mis tahes selliste teenuseosutajate pakutavad kvalifitseerimata usaldusteenused on kvalifitseeritud.

(46)

Käesolev määrus ei peaks hõlmama lepingute sõlmimise ja kehtivusega või muude õiguslike kohustuste tekkimise ja kehtivusega seotud aspekte, kui vorminõuded on sätestatud liidu või riigisiseses õiguses. Samuti ei peaks käesolev määrus mõjutama riigisiseseid vorminõudeid avalike registrite, eelkõige äriregistri ja kinnistusraamatu kohta.

(47)

Usaldusteenuste osutamine ja kasutamine ning kasu, mida saadakse piiriüleste tehingute mugavuse ja õiguskindluse tulemusel, eelkõige kvalifitseeritud usaldusteenuste kasutamise korral, muutuvad rahvusvahelises kaubanduses ja koostöös üha olulisemaks. Liidu rahvusvahelised partnerid loovad määrusest (EL) nr 910/2014 ajendatud usaldusraamistikke. Kvalifitseeritud usaldusteenuste ja nende osutajate tunnustamise hõlbustamiseks võib komisjon võtta vastu rakendusakte, et kehtestada tingimused, mille alusel võib kolmandate riikide usaldusraamistikke pidada samaväärseks käesolevas määruses sätestatud kvalifitseeritud usaldusteenuste ja nende teenuseosutajate usaldusraamistikuga. Selline käsitus peaks täiendama liidu ja kolmandate riikide usaldusteenuste ning liidus ja kolmandates riikides asutatud teenuseosutajate vastastikuse tunnustamise võimalust kooskõlas Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikliga 218. Kui kehtestatakse tingimused, mille alusel võib kolmandate riikide usaldusraamistikke pidada samaväärseks määruses (EL) nr 910/2014 sätestatud kvalifitseeritud usaldusteenuste ja nende teenuseosutajate usaldusraamistikuga, tuleks tagada vastavus Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (13) ning määruse (EL) 2016/679 asjakohastega sätetega ning usaldusnimekirjade kui usalduse loomise oluliste elementide kasutamine.

(48)

Käesolev määrus peaks edendama võimalust valida ja vahetada Euroopa digiidentiteedikukruid, kui liikmesriik on oma territooriumil heaks kiitnud rohkem kui ühe Euroopa digiidentiteedikukru lahenduse. Selleks et vältida sellistes olukordades ühe lahenduse kinnistumist, peaksid Euroopa digiidentiteedikukrute pakkujad, kui see on tehniliselt teostatav, tagama andmete tõhusa ülekantavuse Euroopa digiidentiteedikukru kasutajate taotlusel ning neil ei tohiks olla lubatud kasutada lepingulisi, majanduslikke või tehnilisi tõkkeid, et vältida või takistada Euroopa digiidentiteedikukrute tõhusat vahetamist.

(49)

Euroopa digiidentiteedikukrute nõuetekohase toimimise tagamiseks vajavad Euroopa digiidentiteedikukrute pakkujad toimivat koostalitlusvõimet ning õiglasi, mõistlikke ja mittediskrimineerivaid tingimusi, et Euroopa digiidentiteedikukrud saaksid kasutada mobiilseadmete konkreetseid riist- ja tarkvaraelemente. Need komponendid võiksid hõlmata eelkõige lähiväljaside antenne ja turvaelemente, sealhulgas universaalsed kiipkaardid, sisseehitatud turvaelemendid, mikroSD kaardid ja Bluetoothi madala energiatarbega protokoll. Juurdepääs nendele komponentidele võib olla mobiilsideoperaatorite ja seadmete tootjate kontrolli all. Seepärast ei tohiks mobiilseadmete originaalseadmete tootjad ega elektroonilise side teenuste osutajad keelata juurdepääsu sellistele komponentidele, kui seda on vaja Euroopa digiidentiteedikukrute teenuste osutamiseks. Lisaks tuleks nende ettevõtjate suhtes, kes on määratud põhiplatvormiteenuste pääsuvalitsejateks ja kelle komisjon on kandnud loetellu vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2022/1925, (14) jätkuvalt kohaldada kõnealuse määruse erisätteid, tuginedes nimetatud määruse artikli 6 lõikele 7.

(50)

Et ühtlustada usaldusteenuse osutajatele pandud küberturvalisuse kohustusi ning võimaldada neil teenuseosutajatel ja nende vastavatel pädevatel asutustel kohaldada direktiiviga (EL) 2022/2555 kehtestatud õigusraamistikku, peavad usaldusteenuse osutajad võtma kõnealuse direktiivi kohaselt asjakohaseid tehnilisi ja korralduslikke meetmeid, näiteks võtma meetmeid süsteemitõrgete, inimvigade, pahatahtliku tegevuse või loodusnähtuste käsitlemiseks, et juhtida riske, mis ohustavad selliste võrgu- ja infosüsteemide turvalisust, mida need teenuseosutajad kasutavad oma teenuste osutamisel, ning teatama olulistest intsidentidest ja küberohtudest kooskõlas kõnealuse direktiiviga. Mis puutub intsidentidest teatamisse, siis peaksid usaldusteenuse osutajad teatama kõigist intsidentidest, millel on oluline mõju nende teenuste osutamisele, sealhulgas sellistest intsidentidest, mis on põhjustatud seadmete vargusest või kaotsiminekust, võrgukaabli kahjustustest või isiku tuvastamise käigus toimunud intsidentidest. Direktiivi (EL) 2022/2555 kohaseid küberriskide juhtimise nõudeid ja teatamiskohustusi tuleks käsitada käesoleva määrusega usaldusteenuse osutajate suhtes kehtestatud nõuete täiendusena. Direktiivi (EL) 2022/2555 kohaselt määratud pädevad asutused peaksid asjakohasel juhul jätkuvalt kohaldama väljakujunenud riiklikke tavasid või suuniseid seoses turva- ja aruandlusnõuete rakendamisega ning selliste nõuete täitmise järelevalvega vastavalt määrusele (EL) nr 910/2014. Käesolev määrus ei piira kohustust teatada isikuandmetega seotud rikkumistest vastavalt määrusele (EL) 2016/679.

(51)

Igapidi tuleks arvesse võtta toimiva koostöö tagamist määruse (EL) nr 910/2014 artikli 46b kohaselt määratud järelevalveasutuste ja direktiivi (EL) 2022/2555 artikli 8 lõike 1 kohaselt määratud või asutatud pädevate asutuste vahel. Kui selline järelevalveasutus erineb sellisest pädevast asutusest, peaksid nad tegema tihedat ja õigeaegset koostööd, vahetades asjakohast teavet, et tagada tulemuslik järelevalve ja usaldusteenuse osutajate vastavus määruses (EL) nr 910/2014 ja direktiivis (EL) 2022/2555 sätestatud nõuetele. Eelkõige peaks määruse (EL) nr 910/2014 kohaselt määratud järelevalveasutustel olema õigus nõuda direktiivi (EL) 2022/2555 kohaselt määratud või asutatud pädevalt asutuselt, et ta esitaks kvalifitseeritud staatuse andmiseks vajaliku asjakohase teabe ja võtaks järelevalvemeetmeid, et kontrollida, kas usaldusteenuse osutajad täidavad direktiivi (EL) 2022/2555 asjakohaseid nõudeid, või nõuda, et nad kõrvaldaksid mittevastavuse.

(52)

Oluline on luua õigusraamistik registreeritud e-andmevahetusteenusega seotud olemasolevate riiklike õigussüsteemide piiriülese tunnustamise hõlbustamiseks. Selline raamistik võiks avada liidu usaldusteenuse osutajatele uued turuvõimalused ka uute kogu liitu hõlmavate registreeritud e-andmevahetusteenuste pakkumisel. Selle tagamiseks, et kvalifitseeritud registreeritud e-andmevahetusteenust kasutades edastatakse andmed õigele adressaadile, peaksid kvalifitseeritud registreeritud e-andmevahetusteenused tagama adressaadi tuvastamise täieliku kindluse, samal ajal kui saatja identifitseerimine vajaks kõrget usaldusväärsuse taset. Liikmesriigid peaksid julgustama kvalifitseeritud registreeritud e-andmevahetusteenuste osutajaid muutma oma teenused koostalitlusvõimeliseks teiste kvalifitseeritud usaldusteenuse osutajate osutatavate kvalifitseeritud registreeritud e-andmevahetusteenustega, et elektrooniliselt registreeritud andmeid ladusalt kahe või enama kvalifitseeritud usaldusteenuse osutaja vahel edastada ja siseturul õiglasi tavasid edendada.

(53)

Enamikul juhtudel ei ole liidu kodanikel ja elanikel võimalik piiriüleselt, turvaliselt ja kõrgetasemelise andmekaitse tingimustes vahetada digitaalselt sellist oma identiteediga seotud teavet nagu aadress, vanus, kutsekvalifikatsioon, juhiluba ja muud load ning makseandmed.

(54)

Peaks olema võimalik väljastada ja hallata usaldusväärseid elektroonilisi atribuute ning aidata vähendada halduskoormust, andes liidu kodanikele ja elanikele võimaluse kasutada neid oma era- ja avaliku sektori tehingutes. Liidu kodanikel ja elanikel peaks näiteks olema võimalik tõendada, et neil on ühe liikmesriigi ametiasutuse väljastatud kehtiv juhiluba, mida teiste liikmesriikide asjaomased ametiasutused saavad kontrollida ja millele nad võivad tugineda, ning kasutada piiriüleses kontekstis oma sotsiaalkindlustusõigusi või tulevasi elektroonilisi reisidokumente.

(55)

Elektrooniliste tõendite usaldusteenuse pakkujana tuleks käsitada iga teenuseosutajat, kes väljastab elektroonilisi tõendeid, nagu diplomid, litsentsid, sünnitunnistused või füüsiliste või juriidiliste isikute esindamise volitused. Elektroonilist tõendit ei tohiks tunnistada õiguslikult kehtetuks seetõttu, et see on elektroonilisel kujul või ei vasta kvalifitseeritud elektroonilistele tõenditele esitatavatele nõuetele. Tuleks sätestada üldnõuded, millega tagatakse, et kvalifitseeritud elektroonilisel tõendil on seaduslikult väljastatud paberil tõenditega samaväärne õiguslik toime. Neid nõudeid tuleks kohaldada, ilma et see piiraks sellise liidu või riigisisese õiguse kohaldamist, millega määratakse kindlaks täiendavad sektoripõhised vorminõuded, millel on õiguslik toime, ja eelkõige kvalifitseeritud elektrooniliste tõendite piiriülest tunnustamist, kui see on asjakohane.

(56)

Euroopa digiidentiteedikukrute laialdane kättesaadavus ja kasutatavus peaks suurendama nende omaksvõttu ja usaldust nende vastu nii eraisikute kui ka eraõiguslike teenuseosutajate seas. Erasektori tuginevad isikud, kes osutavad teenuseid näiteks transpordi, energia, pangandus- ja finantsteenuste, sotsiaalkindlustuse, tervishoiu, joogivee, postiteenuste, digitaristu, telekommunikatsiooni või hariduse valdkonnas, peaksid seetõttu aktsepteerima Euroopa digiidentiteedikukrute kasutamist selliste teenuste osutamisel, mille puhul nõutakse liidu või riigisisese õiguse või lepinguliste kohustuste alusel e-identimise korral tugevat kasutaja autentimist. Kõik tugineva isiku teabepäringud Euroopa digiidentiteedikukru kasutajalt peaksid olema vajalikud ja proportsionaalsed konkreetse juhtumi puhul kavandatud kasutusega, peaksid olema kooskõlas võimalikult väheste andmete kogumise põhimõttega ja peaksid tagama läbipaistvuse seoses sellega, milliseid andmeid jagatakse ja mis eesmärgil. Euroopa digiidentiteedikukrute kasutamise ja omaksvõtu hõlbustamiseks tuleks kukrute kasutuselevõtmisel arvesse võtta laialdaselt tunnustatud valdkondlikke standardeid ja kirjeldusi.

(57)

Kui väga suured digiplatvormid Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2065 (15) artikli 33 lõike 1 tähenduses nõuavad kasutajatelt enda autentimist, et saada juurdepääs internetipõhistele teenustele, peaks neil platvormidel olema kohustus aktsepteerida kasutaja vabatahtliku taotluse korral Euroopa digiidentiteedikukrute kasutamist. Kasutajatel ei tohiks olla kohustust kasutada erasektori teenustele juurdepääsuks Euroopa digiidentiteedikukrut ning nende juurdepääsu teenustele ei tohiks piirata ega takistada põhjusel, et nad ei kasuta Euroopa digiidentiteedikukrut. Kui aga kasutajad seda soovivad, peaksid väga suured digiplatvormid neid sel eesmärgil aktsepteerima, järgides võimalikult väheste andmete kogumise põhimõtet ja kasutajate õigust kasutada vabalt valitud varjunime. Võttes arvesse seda, kui tähtsat rolli mängivad väga suured digiplatvormid nende haardeulatuse tõttu, mis väljendub eelkõige teenusesaajate ja majandustehingute hulgas, on Euroopa digiidentiteedikukrute aktsepteerimise kohustus vajalik, et suurendada kasutajate kaitset pettuste eest ja tagada kõrgetasemeline andmekaitse.

(58)

Välja tuleks töötada liidu tasandi tegevusjuhendid, et soodustada e-identimise vahendite, sealhulgas käesoleva määruse kohaldamisalasse kuuluvate Euroopa digiidentiteedikukrute laialdast kättesaadavust ja kasutatavust. Tegevusjuhendid peaksid hõlbustama e-identimise vahendite, sealhulgas Euroopa digiidentiteedikukrute aktsepteerimist selliste teenuseosutajate poolt, kes ei kvalifitseeru väga suurteks digiplatvormideks ja kes tuginevad kasutajate autentimisel kolmandate isikute e-identimise teenustele.

(59)

Valikuline avaldamine on kontseptsioon, mis annab andmete omanikule õiguse avaldada ainult osa suuremast andmekogumist, et andmeid saav üksus saaks ainult sellist teavet, mida on vaja kasutaja soovitud teenuse osutamiseks. Euroopa digiidentiteedikukkur peaks tehniliselt võimaldama atribuutide valikulist avaldamist tuginevatele isikutele. Kasutajal peaks olema tehniliselt võimalik atribuute valikuliselt avaldada, sealhulgas mitme erineva elektroonilise tõendi atribuute, ning neid kombineerida ja sujuvalt tuginevatele isikutele esitada. See funktsioon peaks muutuma Euroopa digiidentiteedikukrute põhiomaduseks, mis suurendab mugavust ja isikuandmete kaitset, sealhulgas tagab võimalikult väheste andmete kogumise.

(60)

Välja arvatud juhul, kui liidu või riigisisesed õigusnormid nõuavad kasutajate identimist, ei tohiks keelata juurdepääsu teenustele varjunime kasutades.

(61)

Kvalifitseeritud usaldusteenuse osutajate poolt kvalifitseeritud tõendi osana pakutavaid atribuute peaksid autentsetest allikatest kontrollima kas kvalifitseeritud usaldusteenuse osutajad otse või määratud vahendajate abil, kes on vastavalt liidu või riigisisesele õigusele tunnustatud riiklikul tasandil tegema tõendatud atribuutide turvalist vahetamist identiteedi või atribuutide tõendamisteenuse osutajate ja tuginevate isikute vahel. Liikmesriigid peaksid riiklikul tasandil kehtestama asjakohased mehhanismid tagamaks, et kvalifitseeritud elektroonilist tõendit väljastavad kvalifitseeritud usaldusteenuse osutajad saavad selle isiku nõusolekul, kellele tõend on väljastatud, kontrollida atribuutide autentsust, tuginedes autentsetele allikatele. Asjakohastel mehhanismidel peaks olema võimalik hõlmata konkreetsete vahendajate või tehniliste lahenduste kasutamist kooskõlas riigisisese õigusega, mis võimaldab juurdepääsu autentsetele allikatele. Sellise mehhanismi kättesaadavuse tagamine, mis võimaldab atribuutide kontrollimist autentsete allikate alusel eesmärk on hõlbustada kvalifitseeritud elektrooniliste tõenditega tegelevate kvalifitseeritud usaldusteenuse osutajate määruses (EL) nr 910/2014 sätestatud kohustuste täitmist. Kõnealuse määruse uus lisa peaks sisaldama nende atribuudikategooriate loetelu, mille puhul liikmesriigid peavad tagama, et võetakse meetmeid, mis võimaldavad kvalifitseeritud elektrooniliste tõendite pakkujatel kasutaja taotlusel kontrollida elektrooniliselt nende autentsust asjakohase autentse allika alusel.

(62)

Turvaline e-identimine ja atribuutide tõendamine peaks pakkuma finantsteenuste sektorile täiendavat paindlikkust ja lahendusi, mis võimaldavad identida kliente ja vahetada konkreetseid atribuute, mida on vaja näiteks selleks, et täita tulevase Rahapesu ja Terrorismi Rahastamise Tõkestamise Ameti loomist käsitleva tulevase määruse kohaseid kliendi suhtes rakendatavaid hoolsuskohustuse nõudeid, investorite kaitset käsitlevast õigusest tulenevaid sobivusnõudeid, või selleks, et makseteenuste valdkonnas toetada kontole sisselogimise ja tehingute algatamise eesmärgil toimuva e-identimise puhul kliendi tugeva autentimise nõuete täitmist.

(63)

E-allkirja õiguslikku toimet ei saa vaidlustada põhjusel, et see on elektroonilisel kujul või et see ei vasta kvalifitseeritud e-allkirja nõuetele. E-allkirjade õiguslik toime tuleb kindlaks määrata riigisiseses õiguses, välja arvatud käesolevas määruses sätestatud nõue, mille kohaselt kvalifitseeritud e-allkirja õiguslik toime loetakse käsitsi kirjutatud allkirjaga samaväärseks. E-allkirjade õigusliku toime kindlaksmääramisel peaksid liikmesriigid arvesse võtma allkirjastatava dokumendi õigusliku väärtuse ning e-allkirja nõutava turvalisuse taseme ja kulude proportsionaalsuse põhimõtet. E-allkirjade kättesaadavuse ja kasutamise edendamiseks julgustatakse liikmesriike kaaluma igapäevastes tehingutes täiustatud e-allkirjade kasutamist, kuna need tagavad piisaval tasemel turvalisuse ja usaldusväärsuse.

(64)

Sertifitseerimistavade ühtsuse tagamiseks kogu liidus peaks komisjon välja andma suunised kvalifitseeritud e-allkirja andmise vahendite ja kvalifitseeritud e-templi loomise vahendite sertifitseerimise ja uuesti sertifitseerimise kohta, sealhulgas nende kehtivuse ja ajaliste piirangute kohta. Käesolev määrus ei takista avalik-õiguslikel või eraõiguslikel asutustel, kellel on sertifitseeritud kvalifitseeritud e-allkirja andmise vahendid, neid vahendeid ajutiselt uuesti sertifitseerimast lühiajaliseks sertifitseerimisperioodiks, võttes aluseks viimase sertifitseerimise tulemused, kui sellist sertifitseerimist ei ole võimalik õiguslikult kehtestatud aja jooksul uuesti teha muul põhjusel kui turvarikkumise või turvaintsidendi tõttu, ilma et see piiraks kohaldatavat sertifitseerimistava.

(65)

Veebisaidi autentimise sertifikaatide väljastamine tagab kasutajatele kõrgel usaldusväärsuse tasemel andmed veebisaiti käitava üksuse identiteedi kohta, seda sõltumata sellest, millisel platvormil identiteeti kuvatakse. Sellised sertifikaadid peaksid aitama luua usaldust internetipõhise äritegevuse vastu, kuna autenditud veebisait on kasutajate jaoks usaldusväärne. Selliste sertifikaatide kasutamine peaks veebisaitide jaoks olema vabatahtlik. Selleks, et veebisaidi autentimisest saaks usalduse suurendamise, kasutajakogemuse parandamise ja majanduskasvu suurendamise vahend siseturul, sätestatakse käesolevas määruses usaldusraamistik, mis hõlmab kvalifitseeritud veebisaidi autentimise sertifikaatide pakkujate minimaalseid turvalisuse ja vastutusega seotud kohustusi ning nende sertifikaatide väljastamise tingimusi. Riigisisesed usaldusnimekirjad peaksid kinnitama veebisaidi autentimisteenuste ja nende usaldusteenuse osutajate kvalifitseeritud staatust, sealhulgas nende täielikku vastavust käesoleva määruse nõuetele seoses veebisaidi autentimise kvalifitseeritud sertifikaatide väljastamisega. Veebisaidi autentimise kvalifitseeritud sertifikaatide tunnustamine tähendab, et veebibrauserite pakkujad ei tohiks keelduda veebisaidi autentimise kvalifitseeritud sertifikaatide autentsuse tunnustamisest vaid selleks, et tõendada seost veebisaidi domeeninime ja selle füüsilise või juriidilise isiku vahel, kellele sertifikaat on väljastatud, või kinnitada selle isikusamasust. Veebibrauserite pakkujad peaksid lõppkasutajale kuvama enda valitud tehniliste vahenditega sertifitseeritud identiteediandmed ja muud tõendatud atribuudid kasutajasõbralikul viisil veebibrauseri keskkonnas. Selleks peaksid veebibrauserite pakkujad tagama toetuse ja koostalitlusvõime veebisaidi autentimise kvalifitseeritud sertifikaatidega, mis on väljastatud käesoleva määruse nõudeid täielikult järgides. Veebisaidi autentimise kvalifitseeritud sertifikaatide tunnustamise ja koostalitlusvõime ning toetamise kohustus ei mõjuta veebibrauserite pakkujate vabadust tagada veebiturvalisus, domeeni autentimine ja veebiliikluse krüpteerimine viisil ja tehnoloogia abil, mida nad peavad kõige sobivamaks. Selleks et aidata kaasa lõppkasutajate turvalisusele internetis, peaks veebibrauserite pakkujatel olema erandkorras võimalik võtta ettevaatusabinõusid, mis on vajalikud ja proportsionaalsed, et reageerida tuvastatud sertifikaadi või sertifikaatide kogumi turvarikkumise või tervikluse kadumisega seotud põhjendatud muredele. Kui veebibrauserite pakkujad võtavad selliseid ettevaatusabinõusid, peaksid nad põhjendamatu viivituseta teavitama komisjoni, riiklikku järelevalveasutust ja üksust, kellele sertifikaat väljastati, ja kõnealuse sertifikaadi või sertifikaatide kogumi väljastanud kvalifitseeritud usaldusteenuse osutajat igast turvarikkumisest või tervikluse kadumisest ning ühe sertifikaadi või sertifikaatide kogumiga seoses võetud meetmetest. Nimetatud abinõud ei tohiks piirata veebibrauserite pakkujate kohustust tunnustada veebisaidi autentimise kvalifitseeritud sertifikaate kooskõlas riigisiseste usaldusnimekirjadega. Selleks et veelgi enam kaitsta liidu kodanikke ja elanikke ning edendada veebisaidi autentimise kvalifitseeritud sertifikaatide kasutamist, peaksid liikmesriikide ametiasutused kaaluma veebisaidi autentimise kvalifitseeritud sertifikaatide lisamist oma veebisaitidele. Käesolevas määruses sätestatud meetmed, mille eesmärk on suurendada sidusust liikmesriikide eri käsituste ja tavade vahel seoses järelevalvemenetlustega, on ette nähtud selleks, et suurendada usaldust ja kindlustunnet veebisaidi autentimise kvalifitseeritud sertifikaatide turvalisuse, kvaliteedi ja kättesaadavuse vastu.

(66)

Paljud liikmesriigid on kehtestanud riiklikud nõuded elektroonilise arhiveerimise teenuste turvalisusele ja usaldusväärsusele, et võimaldada elektrooniliste andmete ja e-dokumentide ning nendega seotud usaldusteenuste pikaajalist säilitamist. Õiguskindluse, usalduse ja ühtlustamise tagamiseks kõigis liikmesriikides tuleks kehtestada kvalifitseeritud elektroonilise arhiveerimise teenuste õigusraamistik, mis oleks inspireeritud muude käesolevas määruses sätestatud usaldusteenuste raamistikust. Kvalifitseeritud elektroonilise arhiveerimise teenuste õigusraamistik peaks olema usaldusteenuse osutajatele ja kasutajatele tõhus töövahend, mis sisaldab elektroonilise arhiveerimise teenuse funktsionaalseid nõudeid ja kvalifitseeritud elektroonilise arhiveerimise teenuse kasutamisest tulenevaid selgeid õiguslikke tagajärgi. Neid sätteid tuleks kohaldada nii elektrooniliste andmete ja digitaalselt koostatud e-dokumentide kui ka skaneeritud ja digiteeritud paberdokumentide suhtes. Vajaduse korral peaksid need sätted võimaldama säilitatavate elektrooniliste andmete ja e-dokumentide portimist teistsugustele andmekandjatele või teistsugustesse vormingutesse, et tagada nende säilivus ja loetavus ka pärast nende tehnoloogilise kehtivusaja lõppemist, vältides samal ajal võimalikult suures ulatuses andmete kaotsiminekut ja muutmist. Kui elektroonilise arhiveerimise teenusele esitatud elektroonilised andmed ja e-dokumendid sisaldavad ühte või mitut kvalifitseeritud e-allkirja või kvalifitseeritud e-templit, tuleks teenuse puhul kasutada menetlusi ja tehnoloogiaid, millega on võimalik pikendada nende usaldusväärsust selliste andmete säilitusajaks, tuginedes võimaluse korral muude käesoleva määrusega loodud kvalifitseeritud usaldusteenuste kasutamisele. Säilitamistõendite loomiseks e-allkirjade, e-templite või e-ajatemplite kasutamise korral tuleks kasutada kvalifitseeritud usaldusteenuseid. Niivõrd kui elektroonilise arhiveerimise teenused ei ole käesoleva määrusega ühtlustatud, peaks liikmesriikidel olema võimalik kooskõlas liidu õigusega säilitada kõnealuseid teenuseid käsitlevad riigisisesed sätted või neid kehtestada, näiteks erisätted teenuste puhul, mis on integreeritud organisatsiooni ja mida kasutatakse üksnes kõnealuse organisatsiooni sisemiste arhiivide jaoks. Käesolevas määruses ei tohiks eristada elektroonilisi andmeid ja digitaalselt koostatud e-dokumente ning digiteeritud füüsilisi dokumente.

(67)

Riiklike arhiivide ja mäluasutuste kui organisatsioonide, mis tegelevad dokumentaalpärandi säilitamisega avalikes huvides, tegevus on tavaliselt reguleeritud riigisisese õigusega ning nad ei pruugi osutada usaldusteenuseid käesoleva määruse tähenduses. Kui need asutused selliseid usaldusteenuseid ei osuta, ei piira käesolev määrus nende toimimist.

(68)

Elektroonilised arvestusraamatud on elektrooniliste andmekirjete jada, mis peaksid tagama nende tervikluse ja kronoloogilise järjestuse täpsuse. Elektroonilised arvestusraamatud peaksid looma andmekirjete kronoloogilise järjestuse. Koos muude tehnoloogiatega peaksid need aitama leida lahendusi tõhusamateks ja murrangulisteks avalikeks teenusteks, nagu e-hääletamine, tolliasutuste piiriülene koostöö, akadeemiliste asutuste piiriülene koostöö ning kinnisvara omandiõiguse registreerimine detsentraliseeritud kinnistusregistrites. Kvalifitseeritud elektroonilised arvestusraamatud peaksid looma õigusliku eelduse registri andmekirjete kordumatu ja täpse kronoloogilise järjestuse ja tervikluse suhtes. Tulenevalt oma eripärast, nagu näiteks andmekirjete kronoloogiline järjestus, tuleks elektroonilisi arvestusraamatuid eristada muudest usaldusteenustest, nagu e-ajatemplid ja registreeritud e-andmevahetusteenused. Õiguskindluse tagamiseks ja innovatsiooni edendamiseks tuleks luua kogu liitu hõlmav õigusraamistik, mis näeb ette andmete kvalifitseeritud elektroonilistesse arvestusraamatutesse kandmiseks kasutatavate usaldusteenuste piiriülese tunnustamise. See peaks piisavalt suutma ära hoida, et sama digitaalset vara kopeeritakse ja müüakse eri isikutele rohkem kui üks kord. Elektroonilise arvestusraamatu loomise ja ajakohastamise protsess sõltub kasutatava arvestusraamatu liigist, nimelt sellest, kas tegemist on tsentraliseeritud või hajutatud arvestusraamatuga. Käesoleva määrusega tuleks tagada tehnoloogiline neutraalsus, nii et ei eelistata ega diskrimineerita mis tahes tehnoloogiat, mida kasutatakse elektrooniliste arvestusraamatute uue usaldusteenuse rakendamiseks. Lisaks peaks komisjon seoses kliimale avalduva kahjuliku mõjuga või muu kahjuliku keskkonnamõjuga võtma asjakohaste meetodite abil arvesse kestlikkusnäitajaid, kui ta valmistab ette rakendusakte, milles täpsustatakse kvalifitseeritud elektroonilistele arvestusraamatutele esitatavaid nõudeid.

(69)

Elektroonilistele arvestusraamatutele usaldusteenuse osutajate ülesanne on teha kindlaks, et andmed kantakse arvestusraamatusse kronoloogilises järjestuses. Käesolev määrus ei piira elektrooniliste arvestusraamatute kasutajate liidu või riigisisesest õigusest tulenevaid õiguslikke kohustusi. Näiteks isikuandmete töötlemisega seotud kasutusjuhud peaksid olema kooskõlas määrusega (EL) 2016/679 ja finantsteenustega seotud kasutusjuhtumid peaksid olema kooskõlas asjaomase liidu finantsteenuste valdkonna õigusega.

(70)

Et vältida siseturu killustatust ja tõkkeid, mis tulenevad standardite lahknevusest ja tehnilistest piirangutest, ning tagada koordineeritud protsess, et mitte mõjutada Euroopa digiidentiteedi raamistiku rakendamist, on vaja komisjoni, liikmesriikide, kodanikuühiskonna, akadeemiliste ringkondade ja erasektori tihedat ja struktureeritud koostööd. Selle eesmärgi saavutamiseks peaksid liikmesriigid ja komisjon tegema koostööd komisjoni soovituses (EL) 2021/946 (16) sätestatud raamistikus, et määrata kindlaks ühised liidu tööriistad Euroopa digiidentiteedi raamistiku jaoks. Sellega seoses peaksid liikmesriigid leppima kokku põhjaliku tehnilise arhitektuuri ja võrdlusraamistiku, ühiste standardite ja tehniliste viidete kogumi, mis hõlmab olemasolevaid tunnustatud standardeid, ning juhiste ja heade tavade kirjelduste kogumi, mis peaks hõlmama vähemalt Euroopa digiidentiteedikukrute, sealhulgas e-allkirjade, ning elektrooniliste tõendite kvalifitseeritud usaldusteenuse osutajate kõiki funktsioone ja koostalitlusvõimet vastavalt käesolevas määruses sätestatule. Sellega seoses peaksid liikmesriigid samuti kokku leppima Euroopa digiidentiteedikukrute ärimudeli ja teenustasude struktuuri ühised elemendid, et hõlbustada nende kasutuselevõttu piiriülestes suhetes, eriti VKEde poolt. Tööriistad peaksid arenema paralleelselt Euroopa digiidentiteedi raamistiku üle peetava aruteluga ja raamistiku vastuvõtmise protsessiga ning kajastama nende tulemusi.

(71)

Käesolevas määruses sätestatakse kvalifitseeritud usaldusteenuste kvaliteedi, usaldusväärsuse ja turvalisuse ühtlustatud tase, olenemata sellest, kus neid toiminguid tehakse. Seega peaks kvalifitseeritud usaldusteenuse osutajal olema lubatud anda kvalifitseeritud usaldusteenuse osutamisega seotud toimingud edasi kolmandasse riiki, kui kõnealune kolmas riik esitab piisavad tagatised, millega kindlustatakse, et järelevalvetegevuse ja auditite läbiviimist saab tagada nii, nagu need oleksid tehtud liidus. Kui käesoleva määruse järgimist ei ole võimalik täielikult tagada, peaks järelevalveasutustel olema võimalik võtta proportsionaalseid ja põhjendatud meetmeid, sealhulgas osutatavalt usaldusteenuselt kvalifitseeritud staatuse äravõtmine.

(72)

Selleks et tagada õiguskindlus seoses kvalifitseeritud sertifikaatidel põhinevate täiustatud e-allkirjade kehtivusega, on väga oluline täpsustada, millise hinnangu annab tuginev isik, kes valideerib kõnealuse kvalifitseeritud sertifikaatidel põhineva täiustatud e-allkirja.

(73)

Usaldusteenuse osutajad peaksid kasutama krüptomeetodeid, mis kajastavad praegusi parimaid tavasid ja nende algoritmide usaldusväärset rakendamist, et tagada oma usaldusteenuste turvalisus ja usaldusväärsus.

(74)

Käesolevas määruses sätestatakse kvalifitseeritud usaldusteenuse osutajate kohustus kontrollida selliste füüsiliste või juriidiliste isikute identiteeti, kellele kvalifitseeritud sertifikaat või kvalifitseeritud elektrooniline tõend on väljastatud, kasutades erinevaid liidus ühtlustatud meetodeid. Tagamaks, et kvalifitseeritud sertifikaadid ja kvalifitseeritud elektroonilised tõendid väljastatakse isikule, kellele need kuuluvad, ning et need tõendavad õiget ja kordumatut andmekogumit, mis näitab selle isiku identiteeti, peaksid kvalifitseeritud sertifikaate või kvalifitseeritud elektroonilisi tõendeid väljastavad kvalifitseeritud usaldusteenuse osutajad kõnealuste sertifikaatide ja tõendite väljastamise ajal tagama selle isiku identimise täie kindlusega. Lisaks isiku identiteedi kohustuslikule kontrollimisele, kui see on kohaldatav kvalifitseeritud sertifikaatide ja kvalifitseeritud elektrooniliste tõendite väljastamiseks, peaksid kvalifitseeritud usaldusteenuse osutajad tagama täie kindlusega selle isiku tõendatud atribuutide õigsuse ja täpsuse, kellele kvalifitseeritud sertifikaat või kvalifitseeritud elektrooniline tõend on väljastatud. Kõnealuseid tulemuse saavutamise ja täieliku kindlusega seotud kohustusi tõendatud andmete kontrollimisel tuleks toetada asjakohaste vahenditega, sealhulgas kasutades käesolevas määruses ette nähtud erimeetodit või vajaduse korral mitme erimeetodi kombinatsiooni. Neid meetodeid peaks olema võimalik kombineerida, et luua sobiv alus selle isiku identiteedi kontrollimiseks, kellele kvalifitseeritud sertifikaat või kvalifitseeritud elektrooniline tõend väljastatakse. Selline kombinatsioon peaks hõlmama tuginemist e-identimise vahenditele, mis vastavad märkimisväärse usaldusväärsuse taseme nõuetele koos muude identiteedi kontrollimise vahenditega. E-identimine võimaldaks täita käesolevas määruses sätestatud kõrge usaldusväärsuse tasemega seotud ühtlustatud nõudeid sellise täiendava ühtlustatud kaugmenetluse osana, tagades identimise kõrgel usaldusväärsuse tasemel. Need meetodid peaksid hõlmama võimalust, et kvalifitseeritud elektroonilist tõendit väljastav kvalifitseeritud usaldusteenuse osutaja saaks kasutaja taotlusel, kooskõlas liidu või riigisisese õigusega kontrollida elektrooniliselt tõendatavaid atribuute, sealhulgas autentsete allikate põhjal.

(75)

Et tagada käesoleva määruse kooskõla üleilmsete arengusuundumustega ja järgida siseturu parimaid tavasid, tuleks komisjoni vastu võetud delegeeritud õigusaktid ja rakendusaktid korrapäraselt läbi vaadata ja vajaduse korral tuleks neid ajakohastada. Ajakohastamise vajalikkuse hindamisel tuleks arvesse võtta uusi tehnoloogiaid, tavasid, standardeid või tehnilisi kirjeldusi.

(76)

Kuna käesoleva määruse eesmärke, milleks on töötada välja kogu liitu hõlmav Euroopa digiidentiteedi raamistik ja usaldusteenuse raamistik, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(77)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EL) 2018/1725 artikli 42 lõikega 1.

(78)

Määrust (EL) nr 910/2014 tuleks seetõttu vastavalt muuta,

1)

Artikkel 1 asendatakse järgmisega:

2)

Artiklit 2 muudetakse järgmiselt:

3)

Artiklit 3 muudetakse järgmiselt.

4)

Artikkel 5 asendatakse järgmisega:

5)

II peatükki lisatakse järgmine jagu:

(*2)  Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta direktiiv (EL) 2019/882 toodete ja teenuste ligipääsetavusnõuete kohta (ELT L 151, 7.6.2019, lk 70)."

(*3)  Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15)."

(*4)  Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta (ELT L 124, 20.5.2003, lk 36)."

(*5)  Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrus (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus) (ELT L 277, 27.10.2022, lk 1).“ "

6)

Artikli 6 ette lisatakse järgmine pealkiri:

7)

Artikli 7 punkt g asendatakse järgmisega:

8)

Artikli 8 lõike 3 esimene lõik asendatakse järgmisega:

9)

Artikli 9 lõiked 2 ja 3 asendatakse järgmisega:

10)

Artikli 10 pealkiri asendatakse järgmisega:

„E-identimise süsteemide turvarikkumine“.

11)

Lisatakse järgmine artikkel:

12)

Artiklit 12 muudetakse järgmiselt:

13)

II peatükki lisatakse järgmised artiklid:

(*6)  Euroopa Parlamendi ja nõukogu 14. septembri 2022. aasta määrus (EL) 2022/1925, mis käsitleb konkurentsile avatud ja õiglaseid turge digisektoris ning millega muudetakse direktiive (EL) 2019/1937 ja (EL) 2020/1828 (digiturgude määrus) (ELT L 265, 12.10.2022, lk 1).“ "

14)

Artikli 13 lõige 1 asendatakse järgmisega:

15)

Artiklid 14, 15 ja 16 asendatakse järgmisega:

(*7)  Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80).“ "

16)

III peatüki 2. jao pealkiri asendatakse järgmisega:

„Kvalifitseerimata usaldusteenused“.

17)

Artiklid 17 ja 18 jäetakse välja.

18)

III peatüki 2. jakku lisatakse järgmine artikkel:

19)

Artiklit 20 muudetakse järgmiselt:

20)

Artiklit 21 muudetakse järgmiselt:

21)

Artiklit 24 muudetakse järgmiselt:

22)

III peatüki 3. jakku lisatakse järgmine artikkel:

23)

Artikli 25 lõige 3 jäetakse välja.

24)

Artiklit 26 muudetakse järgmiselt:

25)

Artikli 27 lõige 4 jäetakse välja.

26)

Artikli 28 lõige 6 asendatakse järgmisega:

27)

Artiklisse 29 lisatakse järgmine lõige:

28)

Lisatakse järgmine artikkel:

29)

Artiklisse 30 lisatakse järgmine lõige:

30)

Artikli 31 lõige 3 asendatakse järgmisega:

31)

Artiklit 32 muudetakse järgmiselt:

32)

Lisatakse järgmine artikkel:

33)

Artikli 33 lõige 2 asendatakse järgmisega:

34)

Artiklit 34 muudetakse järgmiselt:

35)

Artikli 35 lõige 3 jäetakse välja.

36)

Artiklit 36 muudetakse järgmiselt:

37)

Artikli 37 lõige 4 jäetakse välja.

38)

Artikli 38 lõige 6 asendatakse järgmisega:

39)

Lisatakse järgmine artikkel:

40)

III peatüki 5. jakku lisatakse järgmine artikkel:

41)

Artikli 41 lõige 3 jäetakse välja.

42)

Artiklit 42 muudetakse järgmiselt:

43)

Artiklit 44 muudetakse järgmiselt:

44)

Artikkel 45 asendatakse järgmisega:

45)

Lisatakse järgmine artikkel:

46)

III peatükki lisatakse järgmised jaod:

47)

Lisatakse järgmine peatükk:

48)

Artiklit 47 muudetakse järgmiselt:

49)

VI peatükki lisatakse järgmised artiklid:

50)

Artikkel 49 asendatakse järgmisega:

51)

Artikkel 51 asendatakse järgmisega:

52)

I–IV lisa muudetakse vastavalt käesoleva määruse I–IV lisale.

53)

Uute lisadena lisatakse käesoleva määruse V, VI ja VII lisas esitatud V, VI ja VII lisa.