KOMISJONI RAKENDUSMÄÄRUS (EL) 2025/1569,

29. juuli 2025,

millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 rakenduseeskirjad seoses autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel pakutavate kvalifitseeritud elektrooniliste tõendite ja elektrooniliste tõenditega

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrust (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ, (1) eriti selle artikli 45d lõiget 5, artikli 45e lõiget 2, artikli 45f lõiget 6 ja artikli 45f lõiget 7,

ning arvestades järgmist:

(1)

Määrusega (EL) nr 910/2014 luuakse elektrooniliste tõendite väljastamise ja valideerimise õigusraamistik, millega kehtestatakse elektrooniliste tõendite pakkujatele kohustus pakkuda Euroopa digiidentiteedikukru kasutajatele võimalust taotleda, hankida, säilitada ja hallata elektroonilisi tõendeid olenemata liikmesriigist, kus kukruid pakutakse. Elektroonilised tõendid on turvalise ja koostöövõimelise Euroopa digiidentiteedikukrute ökosüsteemi loomisel kesksed elemendid. Need võimaldavad kasutajatel vahetada teavet tuginevate isikutega usaldusväärsel moel paljudes eri kasutuskontekstides.

(2)	Euroopa digiidentiteedikukru liidesed, mida kvalifitseeritud elektrooniliste tõendite pakkujad peavad pakkuma vastavalt määruse (EL) nr 910/2014 artiklile 45g, rõhutavad elektrooniliste tõendite tähtsust kukru ökosüsteemi jaoks ning hõlbustavad nende kiiret kasutuselevõttu.

(3)

Komisjon hindab regulaarselt uusi tehnoloogialahendusi, tavasid, standardeid ja tehnilisi spetsifikatsioone. Selleks et tagada kukrute arendamise ja sertifitseerimise jaoks kõrgeimal tasemel ühtlustamine liikmesriikide vahel, tuginevad käesolevas rakendusmääruses esitatud tehnilised spetsifikatsioonid tööle, mida on tehtud komisjoni 3. juuni 2021. aasta soovituse (EL) 2021/946 (mis käsitleb ühiseid liidu tööriistu Euroopa digiidentiteedi raamistiku koordineeritud käsitlusviisi jaoks) (2) põhjal, ja eeskätt selle osaks olevale arhitektuurile ja võrdlusraamistikule. Vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) 2024/1183 (3) põhjendusele 75 peaks komisjon käesoleva määruse läbi vaatama ja seda vajaduse korral ajakohastama, et säilitada kooskõla üleilmsete arengusuundumustega, arhitektuuriga ja võrdlusraamistikuga ning järgida siseturu parimaid tavasid, eelkõige seoses elektrooniliste tõendite väljastamisega ning atribuutide kontrollimisega autentsete allikate alusel või määratud vahendajate kaudu.

(4)

Kui kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad väljastavad tõendeid, mis väidetavalt vastavad kataloogis registreeritud atribuutide tõendamise kavade nõuetele, peaksid nende kavade nõuetele vastavuse põhimõtted ja menetlused kuuluma määrusega (EL) nr 910/2014 kehtestatud vastavushindamise juurde.

(5)

Kaitse ebausaldusväärse teabe eest on tõendite digiteerimise juures väga tähtis. Seepärast peaks kvalifitseeritud elektroonilisi tõendeid ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektroonilisi tõendeid olema võimalik kehtetuks tunnistada või tuleks rakendada alternatiivseid meetmeid, et kompenseerida riske, mis on seotud kehtetuks tunnistamise võimaluse puudumisega. Teatavatel asjaoludel, näiteks sellise isiku sõnaselgel taotlusel, kellele elektrooniline tõend väljastati, või kui teenuseosutajale on teada, et kvalifitseeritud elektrooniliste tõendite turvalisus või usaldusväärsus on ohustatud või kui see on nõutav liidu või liikmesriigi õigusega, peaks pakkuja elektroonilise tõendi tühistama. Selleks et kaitsta kukrukasutaja põhiõigusi eraelu puutumatusele ja andmekaitsele ning vähendada asjakohaselt eelkõige seostatavuse ja jälgitavuse ohtu, peaksid kvalifitseeritud elektrooniliste tõendite pakkujad ning autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud tõendite pakkujad kasutusele võtma kehtetuks tunnistamise korra, mis võimaldab säilitada privaatsust.

(6)

Selleks et hõlbustada liikmesriikide vahelist koostööd ning sellise turvalise ja koostalitlusvõimelise digiidentiteedisüsteemi loomist, mille üks komponente on kvalifitseeritud elektrooniliste tõendite või autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel pakutavate elektrooniliste tõendite piiriülene tunnustamine ja koostalitlusvõime, tuleb kehtestada lihtsustatud menetlused asjaomaste sidusrühmade haldusalaseks suhtluseks, muu hulgas avaldada teave, mis võimaldab kiiresti kindlaks teha asjaomased avaliku sektori asutused. Liikmesriigid peaksid tõendiga hõlmatud atribuudid komisjonile teatavaks tegema. Selleks et tagada nende atribuutide õigeaegne, tõhus ja koostalitluslik kontrollimine, peaksid asjakohased teated komisjonile olema vähemalt inglise keeles, kuna see hõlbustab nende laialdast kättesaadavust, hindamist ja mõistmist ning tõhustab samal ajal koostööd asjaomaste sidusrühmade vahel. Olemasolevate dokumentide tõlkimine ei tohiks aga põhjustada tarbetut haldus- või finantskoormust.

(7)

Selleks et kukrukasutajad ja teenuseosutajad saaksid kontrollida, kas autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektroonilised tõendid on tõepoolest väljastatud just selle avaliku sektori asutuse poolt või tema nimel, peaksid liikmesriigid need avaliku sektori asutused komisjonile teatavaks tegema. Kui liikmesriigid teavitavad avaliku sektori asutusi, kes väljastavad elektroonilisi tõendeid kooskõlas määruse (EL) nr 910/2014 artikliga 45f ja VII lisaga, peavad nad esitama vastavushindamisaruande, milles kinnitatakse kvalifitseeritud usaldusteenuse osutajatega samaväärset usaldusväärsuse taset. Erinevalt kvalifitseeritud usaldusteenuse osutajatest, kes väljastavad kvalifitseeritud elektroonilisi tõendeid, on kõnealuste avaliku sektori asutuste puhul siiski liikmesriikide otsustada, kuidas nad tagavad edaspidise nõuete täitmise teenuseosutajate poolt. Selleks et säilitada liidus kõrge usaldustase avaliku sektori asutuste väljastatud tõendite vastu, kutsutakse liikmesriike üles jagama määruse (EL) nr 910/2014 artikli 46e lõike 1 alusel loodud Euroopa digiidentiteedi koostöörühma (edaspidi „koostöörühm“) kaudu parimaid tavasid selle kohta, kuidas tagada jätkuv usaldusväärsus. Komisjon peaks koostama teenuseosutajate loetelu, seda haldama ja selle avaldama teenuseosutajate ning tagama, et see nimekiri on üldsusele kergesti kättesaadav.

(8)

Komisjon peaks koostöörühma abiga koostama atribuutide kataloogi, et kvalifitseeritud elektroonilisi tõendeid väljastavatel kvalifitseeritud usaldusteenuse osutajatel oleks hõlpsam atribuute autentsetest allikatest kontrollida. Registreerimine atribuutide kataloogis peaks olema kohustuslik määruse (EL) nr 910/2014 VI lisas loetletud atribuutide puhul. Muude atribuutide puhul oleks registreerimine vabatahtlik.

(9)

Komisjon peaks koostöörühma abiga looma atribuutide tõendamise kavade kataloogi, et kvalifitseeritud elektroonilisi tõendeid väljastavatel kvalifitseeritud usaldusteenuse osutajatel ning autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel välja antud elektrooniliste tõendite pakkujatel oleks hõlpsam tõendeid väljastada ning et hõlbustada nende tõendite ühtlustamist ja piiriülest koostalitlusvõimet. Kavade registreerimine kavade kataloogis peaks olema vabatahtlik. Registreerimist või muudatuste tegemist kataloogis peaks taotlema atribuutide tõendamise kava omanik ja selline taotlus võib sisaldada atribuutide kataloogis loetlemata atribuute. Komisjon peaks neid taotlusi hindama, võttes arvesse koostalitlusvõime ja ühtlustamise vajadusi.

(10)

Selleks et atribuutide kataloog annaks sisulist teavet ja saavutaks elektrooniliste tõendite ökosüsteemis kõrgetasemelise koostalitlusvõime, peaks see sisaldama vähemalt miinimumteavet, näiteks atribuudi semantilist kirjeldust, atribuudi tunnuse nimeruumi ja atribuudi andmeliiki. Samal otstarbel peaks atribuutide tõendamise kavade kataloog sisaldama levinumate elektrooniliste tõendite kirjeldusi ning tõendamise kava raames rakendatava usaldusmudeli ja juhtimismehhanismide kirjeldust. Kataloogides sisalduv teave peaks hõlmama atribuutide ja kavade versioone, nii et nende atribuutide ja kavade muudatused ei mõjutaks konkreetsete versioonide alusel väljastatud tõendeid.

(11)

Selleks et kvalifitseeritud elektroonilisi tõendeid väljastavad kvalifitseeritud usaldusteenuse osutajad saaksid atribuutide vastavust autentsele allikale tõhusalt kontrollida, sealhulgas määratud vahendajate kaudu, kes pakuvad teenuseosutajatele kaudse kontrolli mehhanisme, peaksid liikmesriigid määruse (EL) nr 910/2014 artikli 45e lõikes 1 sätestatud tähtaja jooksul looma mehhanismid, mis võimaldavad kvalifitseeritud elektroonilisi tõendeid väljastavatel kvalifitseeritud usaldusteenuse osutajatel taotleda atribuutide kontrollimist. Mehhanismid peaksid võimaldama kvalifitseeritud elektroonilisi tõendeid väljastavatel kvalifitseeritud usaldusteenuse osutajatel kindlaks teha, milliseid atribuute saab kontrollida ja kuidas neid kontrollida. Need mehhanismid peaksid sisaldama üksikasjalikku teavet juurdepääsupunktide ja teenuseprotokollide kohta atribuutide kehtivuse ja täpsuse kontrollimiseks ning arvestama ühtse kontrollpunkti pakkumise võimalusega riiklikul tasandil.

(12)

Täpsemalt peaksid liikmesriigid tegema kvalifitseeritud elektroonilisi tõendeid väljastavatele kvalifitseeritud usaldusteenuse osutajatele kättesaadavaks mehhanismid, mille abil pääseda riigi tasandil juurde iga määruse (EL) nr 910/2014 VI lisas loetletud atribuudi kontrollpunktidele ja neid kasutada. Need mehhanismid peaksid võimaldama kvalifitseeritud elektroonilisi tõendeid väljastavatel kvalifitseeritud usaldusteenuse osutajatel esitada kasutaja taotlusel konkreetsed atribuudid tõendi väljastamise kontrollpunktile tõendi kehtivusaja jooksul. Kontrollimehhanismides tuleks kasutada elektroonilisi vahendeid, mis sobivad automaatseks töötlemiseks ja kontrollpunktist võimalikult kiiresti vastuste saamiseks. See vastus peaks kinnitama, kas kvalifitseeritud elektroonilisi tõendeid väljastavate kvalifitseeritud usaldusteenuse osutajate esitatud atribuudid vastavad selle kasutaja kohta asjakohases autentses allikas salvestatud atribuutidele, ning vastuses tuleks märkida autentne allikas, mille alusel kontroll tehti. Selleks et vältida rikkumisi, näiteks ebaseaduslikke või ilmselgelt ülemääraseid kontrollitaotlusi, võivad liikmesriigid kehtestada kontrollimehhanismid kontrollpunktide kasutamise suhtes, kui nad peavad seda kohaseks, võttes arvesse asjakohaseid tegureid, sh seda, kas autentsed allikad sisaldavad teavet, mida tuleks käsitada isikuandmetena või mis on liidu või liikmesriigi õiguse kohaselt muul viisil konfidentsiaalne või tundlik.

(13)

Koostalitleva Euroopa määruses (4) sätestatud põhimõtete kohaselt peaks komisjon selleks, et hõlbustada atribuutide kataloogi ja atribuutide tõendamise kavade kataloogi koostamist ja taaskasutada võimaluse korral olemasolevaid katalooge, kavasid ja teavet, kasutama asjakohasel juhul ära koostoimet tehnilise süsteemi ühisteenustega vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2018/1724, millega luuakse ühtne digivärav ja muudetakse määrust (EL) nr 1024/2012 (5).

(14)	Selleks et suurendada kvalifitseerimata usaldusteenuse osutajate väljastatud elektrooniliste tõendite koostalitlusvõimet, võivad tõendite väljastajad järgida kvalifitseerimata elektrooniliste tõendite puhul käesoleva määruse põhimõtteid ja nõudeid.

(15)	Isikuandmete selliste töötlemistoimingute suhtes, mis toimuvad käesoleva määruse alusel, kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 (6) ning vajaduse korral Euroopa Parlamendi ja nõukogu direktiivi 2002/58/EÜ (7).

(16)

Selleks et anda komisjonile ja liikmesriikidele piisavalt aega autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujate loetelu koostamiseks, tuleks käesoleva määruse nõudeid, mis käsitlevad atribuutide kataloogi, atribuutide tõendamise kavade kataloogi ja atribuutide kontrollpunkte, hakata kohaldama 12 kuud pärast käesoleva määruse jõustumise kuupäeva.

(17)	Vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 (8) artikli 42 lõikele 1 on konsulteeritud Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse 31. jaanuaril 2025.

(18)	Käesoleva määrusega ette nähtud meetmed on kooskõlas määruse (EL) nr 910/2014 artikliga 48 loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

Artikkel 1

Reguleerimisese ja kohaldamisala

Käesoleva määrusega kehtestatakse võrdlusstandardid, kirjeldused ja menetlused, mida tuleb regulaarselt ajakohastada, et käia kaasas tehnika ja standardite arenguga ning tööga, mida tehakse, lähtudes soovitusest (EL) 2021/946 ning eeskätt arhitektuurist ja võrdlusraamistikust, ja mis käsitlevad järgmist:

1)	kvalifitseeritud elektroonilised tõendid;

2)	autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektroonilised tõendid;

3)	autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujate loetelu;

4)	atribuutide kataloog ning punktides 1 ja 2 osutatud atribuutide tõendamise kavade kataloog;

5)	atribuutide kontrollimine viitega autentsetele allikatele või määratud vahendajatele.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)	„kukrukomplekt“ – kukrulahenduse kordumatu konfiguratsioon, mis sisaldab kukrueksemplare, kukru turvalisi krüptorakendusi ja kukru turvalisi krüptoseadmeid ning mida kukruteenuse pakkuja pakub individuaalsele kukrukasutajale;

2)	„kukrukasutaja“ – kasutaja, kelle kontrolli all kukrukomplekt on;

3)	„atribuutide kataloog“ – atribuutide digihoidla, mida komisjon haldab ja mille ta internetis avaldab;

4)	„atribuutide tõendamise kava“ – eeskirjade kogum, mida kohaldatakse ühe või mitme elektroonilise tõendi liigi suhtes;

5)	„elektroonilise tõendi liik“ – spetsiaalse nimetuse ja semantilise kirjeldusega elektrooniliste tõendite rühm;

6)	„atribuutide tõendamise kavade kataloog“ – käesoleva määruse kohaselt registreeritud atribuutide tõendamise kavade digihoidla, mida komisjon haldab [ja mille ta internetis avaldab];

7)	„kukrulahendus“ – tarkvara, riistvara, teenuste, seadete ja konfiguratsioonide kombinatsioon, sealhulgas kukrueksemplar, üks või mitu kukru turvalist krüptorakendust ja üks või mitu kukru turvalist krüptoseadet;

8)	„kukrueksemplar“ – kukrukasutaja seadmesse või keskkonda paigaldatud ja seal konfigureeritud rakendus, mis on kukrukomplekti osa ja mida kukrukasutaja kasutab kukrukomplektiga toimuva interaktsiooni jaoks;

9)	„kukru turvaline krüptorakendus“ – rakendus, mis haldab kriitilise tähtsusega vara selle kaudu, et on lingitud kukru turvalise krüptoseadme pakutavate krüptofunktsioonide ja muude funktsioonidega ning kasutab neid;

10)	„kukru turvaline krüptoseade“ – muukimiskindel seade, mis pakub keskkonda, mis on lingitud kukru turvalise krüptorakendusega, mis seda seadet kasutab, et kaitsta kriitilise tähtsusega vara ja pakkuda krüptofunktsioone kriitilise tähtsusega toimingute turvaliseks teostamiseks;

11)	„kukruteenuse pakkuja“ – füüsiline või juriidiline isik, kes pakub kukrulahendusi;

12)	„kriitilise tähtsusega vara“ – kukrukomplektis olev või kukrukomplektiga seotud vara, mis on nii oluline, et selle käideldavuse, konfidentsiaalsuse või tervikluse rikkumine avaldaks väga tõsist nõrgestavat mõju suutlikkusele tugineda sellele kukrukomplektile;

13)	„atribuutide tõendamise kava omanik“ – üksus, kes vastutab atribuutide tõendamise kava koostamise ja haldamise eest.

Artikkel 3

Kvalifitseeritud elektrooniliste tõendite ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite väljastamine

1. Kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad tagavad vastavuse I lisas esitatud võrdlusstandardite ja kirjelduste loetelule ning selle, et nende väljastatavad elektroonilised tõendid vastavad II lisas esitatud tehnilistele spetsifikatsioonidele.

2. Kui kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad väljastavad elektroonilisi tõendeid, mis kuuluvad atribuutide tõendamise kavade kataloogis registreeritud kavadesse, peavad nad täitma vastava atribuutide tõendamise kava nõudeid. Põhimõtted ja menetlused, mille tõendite väljastajad on kehtestanud, et tagada vastavus atribuutide tõendamise kavade nõuetele, on osa määrusega (EL) nr 910/2014 kehtestatud vastavushindamisest.

Artikkel 4

Kvalifitseeritud elektrooniliste tõendite ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite kehtetuks tunnistamine

1. Kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad peavad koostama kehtivuse või kehtetuks tunnistamise kohta kirjalikud ja avalikult kättesaadavad põhimõtted. Vajaduse korral sisaldavad need põhimõtted tingimusi, mille kohaselt saab elektroonilised tõendid viivitamata kehtetuks tunnistada, ja meetmeid kehtivust käsitleva teabe kättesaadavuse tagamiseks.

2. Kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad on ainsad üksused, kes võivad enda väljastatud elektroonilisi tõendeid kehtetuks tunnistada.

3. Kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad tunnistavad kõnealused tõendid kehtetuks, kui need on väljastatud kehtivusajaga üle 24 tunni ja vähemalt järgmistel asjaoludel:

a)	selle isiku selgesõnalisel taotlusel, kellele elektrooniline tõend väljastati, või kui see on asjakohane, tõendi subjekti selgesõnalisel taotlusel;

b)	kui pakkujale on teada, et kvalifitseeritud elektrooniliste tõendite või autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite turvalisust või usaldusväärsust on kahjustatud;

c)	muudes olukordades, mille puhul see on nõutav liidu või liikmesriigi õigusega, või nagu pakkujad on kindlaks määranud oma lõikes 1 osutatud põhimõtetes.

4. Kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujad peavad kehtestama kehtetuks tunnistamise metoodika ja haldusmeetodid, mis võimaldavad säilitada privaatsust ning takistada seostatavust ja jälgitavust.

5. Kvalifitseeritud elektrooniliste tõendite pakkujad ja autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel välja antud elektrooniliste tõendite pakkujad teevad tuginevatele isikutele kättesaadavaks teabe nende väljastatud elektrooniliste tõendite kehtivuse või kehtetuks tunnistamise kohta viisil, mis tagab kõnealuse teabe tervikluse ja autentsuse.

Artikkel 5

Avaliku sektori asutuste teavitamine

1. Määruse (EL) nr 910/2014 artikli 45f lõike 3 kohaselt esitavad liikmesriigid avaliku sektori asutuste kohta vähemalt III lisas sätestatud teabe komisjoni pakutava turvalise elektroonilise teavitussüsteemi kaudu.

2. Liikmesriigid teatavad kõigist muudatustest kõnealuses teabes.

3. Liikmesriigid esitavad teated vähemalt inglise keeles. Liikmesriikidel ei ole kohustust tõlkida teadetele lisatud dokumente, kui see tingiks põhjendamatu haldus- või finantskoormuse.

4. Komisjon võib vajaduse korral küsida liikmesriikidelt lisateavet.

Artikkel 6

Avaliku sektori asutuste loetelu avaldamine

1. Komisjon koostab autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatud elektrooniliste tõendite pakkujate loetelu ning haldab seda ja avaldab selle liikmesriikide poolt artikli 5 kohaselt esitatud teabe alusel.

2. Komisjon tagab, et lõikes 1 osutatud loetelu on kättesaadav:

a)	nii automaatseks töötlemiseks sobilikus vormingus ja e-allkirja või e-templiga varustatuna kui ka inimloetaval veebisaidil;

b)	ilma vajaduseta registreeruda või ennast autentida;

c)	kasutades üksnes transpordikihi tipptasemel turvet.

3. Komisjon avaldab turvalise kanali kaudu ja põhjendamatu viivituseta:

a)	loetelu tehnilised spetsifikatsioonid;

b)	täpse internetiaadressi, kus avaldatud loetelu asub;

c)	sertifikaadid, mida tuleb kasutada loetelude e-allkirja või -templi kontrolliks;

d)	selliste mehhanismide üksikasjad, mida kasutatakse asukoha või punktides b ja c osutatud sertifikaatide edaspidiste muudatuste kinnitamiseks.

Artikkel 7

Atribuutide kataloogi loomine ja haldamine

1. Komisjon koostab ja avaldab atribuutide kataloogi ning loob turvalise süsteemi, mis võimaldab esitada taotlusi atribuutide lisamiseks atribuutide kataloogi või nende seal muutmiseks.

2. Komisjon hindab taotlusi, mis on esitatud lõikes 1 osutatud süsteemi kaudu atribuutide lisamiseks või nende seal muutmiseks pärast koostöörühma nõuannete kaalumist. Komisjon võtab hindamisel arvesse, kas atribuudi lisamine aitab luua ühtse aluse turvalisele ja privaatsust austavale elektroonilisele suhtlusele kodanike, ettevõtjate ja avaliku sektori asutuste vahel ning soodustada koostalitlusvõimet. Kui see on asjakohane, võtab komisjon arvesse ka valdkondlikke õigusnorme.

3. Liikmesriigid taotlevad määruse (EL) nr 910/2014 VI lisas loetletud atribuutide lisamist atribuutide kataloogi, kui need atribuudid tuginevad kvalifitseeritud usaldusteenuse osutajate poolsel kontrollimisel autentsetele allikatele.

4. Lisaks võivad liikmesriigid taotleda VI lisas loetlemata atribuutide lisamist atribuutide kataloogi, kui need atribuudid tuginevad avaliku sektori autentsetele allikatele. Eraõiguslikud üksused, keda peetakse peamiseks teabeallikaks või keda tunnustatakse autentse allikana liidu või liikmesriigi õiguse, sealhulgas haldustava kohaselt, võivad taotleda VI lisas loetlemata atribuutide lisamist atribuutide kataloogi, juhul kui nad on nende atribuutide eest vastutavad.

5. Atribuudi kataloogi lisamise või muutmise taotlus peab sisaldama vähemalt järgmist teavet:

a)	taotluse esitanud üksuse tunnusandmed;

b)	vajaduse korral viide liidu või liikmesriigi õigusele või haldustavale, mille kohaselt loetakse taotluse esitanud üksust peamiseks teabeallikaks või tunnustatud autentseks allikaks.

c)	teave selle kohta, kas taotluses viidatakse kataloogis juba olemasolevale atribuudile või on tegemist uue atribuudiga;

d)	atribuudi tunnuse nimeruum, mille väärtus on atribuutide kataloogis kordumatu;

e)	atribuudi tunnus, mis on nimeruumis kordumatu, ja atribuudi versioon;

f)	atribuudi semantiline kirjeldus;

g)	atribuudi andmeliik;

h)	atribuudi kontrollpunkt liikmesriigi tasandil või link kontrollitaotluste algatamise kirjelduse juurde.

6. Atribuudi lisamise või muutmise taotluse allkirjastab või varustab e-templiga taotleja, kasutades kvalifitseeritud e-allkirja või e-templit või kvalifitseeritud sertifikaadil põhinevat täiustatud e-allkirja või e-templit.

7. Pärast lõikes 2 osutatud hindamist ja olles kontrollinud, kas atribuudi lisamise või muutmise taotluses esitatud teave sisaldab kogu lõikes 5 loetletud teavet, võib komisjon lisada taotletud atribuudi või muudatuse atribuutide kataloogi.

8. Atribuutide kataloog, mille komisjon on e-templiga varustanud, peab olema turvalise kanali kaudu kättesaadav avalikult, tasuta ja ilma eelneva identimise või autentimiseta; samuti peab see olema avaldatud masin- ja inimloetaval kujul. Kataloogil peab olema ka otsifunktsioon.

9. Komisjon avaldab atribuutide kataloogi puhul kasutatavad tehnilised spetsifikatsioonid.

10. Komisjon väljastab igale registreeritud atribuudile kordumatu tunnuse.

Artikkel 8

Atribuutide tõendamise kavade kataloogi loomine ja haldamine

1. Komisjon koostab ja avaldab atribuutide tõendamise kavade kataloogi ning loob turvalise süsteemi, mille kaudu taotleda atribuutide tõendamise kavade lisamist atribuutide tõendamise kavade kataloogi või nende muutmist selles kataloogis.

2. Taotlusi atribuutide tõendamise kavade lisamiseks atribuutide tõendamise kavade kataloogi või nende seal muutmiseks hindab komisjon pärast koostöörühma nõuannete kaalumist. Komisjon võtab hindamisel arvesse, kas kava aitab luua ühtset alust turvalisele ja privaatsust austavale elektroonilisele suhtlusele kodanike, ettevõtjate ja avaliku sektori asutuste vahel ning soodustada koostalitlusvõimet. Kui see on asjakohane, võtab komisjon arvesse ka valdkondlikke õigusnorme.

3. Atribuutide tõendamise kava omanikud võivad taotleda kavade lisamist kavade kataloogi. Taotlus kava lisamiseks atribuutide tõendamise kavade kataloogi või kava muutmiseks selles kataloogis peab sisaldama vähemalt järgmist:

a)	kava nimetus, mille on valinud atribuutide tõendamise kava omanik ja mis on atribuutide tõendamise kavade kataloogis kordumatu;

b)	atribuutide tõendamise kava omaniku nimi ja kontaktandmed;

c)	kava staatus ja versioon;

d)	viide konkreetsetele õigusaktidele, standarditele või suunistele, kui neid kohaldatakse kava kohaldamisalasse kuuluvate elektrooniliste tõendite väljastamise, valideerimise või kasutamise suhtes;

e)	kava kohaldamisalasse kuuluvate elektrooniliste tõendite vorming või vormingud;

iga atribuudi puhul, mis on osa kava kohaldamisalasse kuuluvast elektroonilisest tõendist, üks või mitu nimeruumi, atribuudi tunnused, semantilised kirjeldused ja andmetüüp, tuginedes kas artikli 7 kohases atribuutide kataloogis sisalduvale atribuudile või kava kohaldamisalas analoogiliselt määratletud atribuudile;

g)	kava raames rakendatava usaldusmudeli ja juhtimismehhanismide, sealhulgas kehtetuks tunnistamise mehhanismide kirjeldus;

h)	nõuded, mis käsitlevad elektrooniliste tõendite pakkujaid või teabeallikaid, millele need pakkujad tuginevad elektrooniliste tõendite väljastamisel, sealhulgas autentsed allikad, kui see on asjakohane;

i)	avaldus selle kohta, kas kava kohaldamisalasse kuuluvaid elektroonilisi tõendeid väljastatakse kvalifitseeritud elektrooniliste tõenditena, autentse allika eest vastutava avaliku sektori asutuse poolt või tema nimel väljastatavate elektrooniliste tõenditena või mõlemana.

4. Kavad, mille kataloogi lisamist taotletakse, peavad sisaldama ainult selliseid atribuute, mis on kordumatute tunnuste alusel tuvastatavad. Atribuutide tõendamise kava lisamise või muutmise taotluse allkirjastab või varustab e-templiga taotleja, kasutades kvalifitseeritud e-allkirja või e-templit või kvalifitseeritud sertifikaadil põhinevat täiustatud e-allkirja või e-templit.

5. Pärast lõikes 2 osutatud hindamist ja olles kontrollinud, kas atribuutide tõendamise kava lisamise või muutmise taotluses esitatud teave sisaldab kogu lõigetes 3 ja 4 loetletud teavet, võib komisjon lisada taotletud kava või muudatuse atribuutide tõendamise kavade kataloogi.

6. Atribuutide tõendamise kavade kataloog, mille komisjon on e-templiga varustanud, peab olema turvalise kanali kaudu kättesaadav avalikult, tasuta ja ilma eelneva identimise või autentimiseta; samuti peab see olema masin- ja inimloetav. Kataloogil peab olema ka otsifunktsioon ning kataloogi vorming peab tagama tervikluse ja autentsuse.

7. Komisjon avaldab atribuutide tõendamise kavade kataloogi puhul kasutatavad tehnilised spetsifikatsioonid.

8. Komisjon väljastab igale atribuutide tõendamise registreeritud kavale kordumatu tunnuse.

Artikkel 9

Atribuutide kontrollimine autentsete allikate alusel või määratud vahendajate kaudu

1. Selleks et kvalifitseeritud elektroonilisi tõendeid väljastavad kvalifitseeritud usaldusteenuse osutajad saaksid määruse (EL) nr 910/2014 artikli 45e lõikes 1 osutatud atribuute elektrooniliselt kontrollida, kehtestavad liikmesriigid kasutaja taotlusel sellist kontrollimist võimaldavad mehhanismid ja võivad teha kättesaadavaks kõnealuse määruse VI lisas loetletud atribuutide ühtsed kontrollpunktid, kui need atribuudid tuginevad avaliku sektori autentsetele allikatele. Liikmesriigid avaldavad teabe kontrollitaotluste algatamise ja kontrolli tulemuste saamise korra kohta.

2. Kontrollimehhanism näeb ette juurdepääsupunkti, kus kvalifitseeritud elektroonilisi tõendeid väljastavad kvalifitseeritud usaldusteenuse osutajad saavad elektrooniliselt taotleda määruse (EL) nr 910/2014 artikli 45e lõikes 1 osutatud atribuutide kontrollimist autentsete allikate alusel või riiklikul tasandil tunnustatud määratud vahendajate kaudu. Kvalifitseeritud usaldusteenuse osutaja esitab kontrollpunktile kasutaja taotlusel kontrollitavad atribuudid. Avaliku sektori asutus või määratud vahendaja jagab kontrolli tulemusi kvalifitseeritud elektroonilisi tõendeid väljastavate kvalifitseeritud usaldusteenuse osutajatega kontrollpunkti kaudu.

3. Kontrollitaotluses esitatakse selle atribuudi subjekti atribuudid ja identifitseerimisandmed, mille kontrollimist kvalifitseeritud usaldusteenuse osutaja taotleb.

4. Kontrolli tulemuses märgitakse üksnes see, kas atribuuti on kontrollitud või mitte, ning märgitakse autentse allika eest vastutav avaliku sektori asutus või vajaduse korral avaliku sektori asutus, kes on määratud tegutsema selle autentse allika nimel, mille alusel atribuuti on kontrollitud.

5. Liikmesriigid võivad tervikluse, autentsuse ja konfidentsiaalsuse tagamiseks kehtestada juurdepääsukontrollid või muud kontrollimehhanismid, et teha kindlaks, kas taotleja on kvalifitseeritud usaldusteenuse osutaja ja tegutseb seadusliku kasutaja taotlusel. Liikmesriigid võivad kehtestada kontrollimehhanismid ka kontrollimeetodite kasutamise suhtes, kui nad peavad seda asjakohaseks, võttes arvesse asjakohaseid tegureid, sealhulgas seda, kas autentsed allikad sisaldavad konfidentsiaalseid või tundlikke isikuandmeid. Kui liikmesriigid need kontrollimehhanismid kehtestavad, avaldavad nad lõikes 1 osutatud teabe raames teabe kontrollimehhanismide ulatuse kohta.

Artikkel 10

Koostalitlusvõime ja taaskasutamine

1. Artiklite 3–9 kohaldamisel võivad liikmesriigid viidata määruse (EL) 2018/1724 artiklis 14 sätestatud tehnilise süsteemi ühisteenustele ja nendega ühendatud riiklikele komponentidele ning neid taaskasutada.

2. Käesoleva määruse artiklites 5 ja 6 osutatud turvalise teavitussüsteemi ja avaliku sektori asutuste loetelu ning artiklites 7 ja 8 osutatud kataloogide loomisel viitab Euroopa Komisjon tehnilise süsteemi ühisteenustele ja taaskasutab neid vastavalt määrusele (EL) 2018/1724.

Artikkel 11

Jõustumine ja kohaldamine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikleid 6–9 kohaldatakse alates 19. augustist 2026.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 29. juuli 2025

Komisjoni nimel

president

Ursula VON DER LEYEN

(1) ELT L 257, 28.8.2014, lk 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) ELT L 210, 14.6.2021, lk 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(3) Euroopa Parlamendi ja nõukogu 11. aprilli 2024. aasta määrus (EL) 2024/1183, millega muudetakse määrust (EL) nr 910/2014 seoses Euroopa digiidentiteedi raamistiku kehtestamisega (ELT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Euroopa Parlamendi ja nõukogu 13. märtsi 2024. aasta määrus (EL) 2024/903, millega kehtestatakse meetmed avaliku sektori koostalitlusvõime kõrge taseme tagamiseks kogu liidus (Koostalitleva Euroopa määrus) (ELT L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).

(5) Euroopa Parlamendi ja nõukogu 2. oktoobri 2018. aasta määrus (EL) 2018/1724, millega luuakse ühtne digivärav teabele ja menetlustele ning abi- ja probleemilahendamisteenustele juurdepääsu pakkumiseks ning millega muudetakse määrust (EL) nr 1024/2012 (ELT L 295, 21.11.2018, lk 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).

(6) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(7) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(8) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).