Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32025R1567

Komission täytäntöönpanoasetus (EU) 2025/1567, annettu 29 päivänä heinäkuuta 2025, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä siltä osin kuin on kyse hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden ja hyväksyttyjen sähköisen leiman etäluontivälineitä hallinnoinnista hyväksyttyinä luottamuspalveluina

C/2025/5044

EUVL L, 2025/1567, 30.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj

European flag

Euroopan unionin
virallinen lehti

FI

L-sarja

2025/1567

30.7.2025

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2025/1567,

annettu 29 päivänä heinäkuuta 2025,

Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä siltä osin kuin on kyse hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden ja hyväksyttyjen sähköisen leiman etäluontivälineitä hallinnoinnista hyväksyttyinä luottamuspalveluina

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (1) ja erityisesti sen 29 a artiklan 2 kohdan ja 39 a artiklan,

sekä katsoo seuraavaa:

(1)

Hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden ja hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnointiin tarkoitetuilla hyväksytyillä luottamuspalveluilla on keskeinen rooli digitaalisessa liiketoimintaympäristössä, sillä ne edistävät siirtymistä perinteisistä paperipohjaisista prosesseista sähköisiin vastineisiin. Nämä hyväksytyt luottamuspalvelut edistävät kyseisten etälaitteiden turvallista ja luotettavaa hallinnointia allekirjoittajien ja leimojen luojien puolesta tavalla, joka takaa, että hyväksyttyjä sähköisiä allekirjoituksia ja hyväksyttyjä sähköisiä leimoja koskevat edellytykset täyttyvät.

(2)

Jotta voidaan parantaa hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden ja hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnointiin tarkoitettujen hyväksyttyjen luottamuspalvelujen oikeusvarmuutta ja luotettavuutta, kyseisiä hyväksyttyjä palveluja tarjoavien hyväksyttyjen luottamuspalvelun tarjoajien olisi noudatettava tässä asetuksessa vahvistettuja standardeja.

(3)

Näiden standardien olisi heijastettava vakiintuneita käytäntöjä, ja niiden olisi oltava laajasti tunnustettuja kyseessä olevilla aloilla. Niitä olisi mukautettava siten, että niihin sisällytetään tarkastukset, joilla varmistetaan hyväksyttyjen luottamuspalvelujen turvallisuus ja luotettavuus sekä se, että sähköisen allekirjoituksen luontitietojen käyttö on allekirjoittajien yksinomaisessa hallinnassa korkealla luottamustasolla ja sähköisen leiman luontitietojen käyttö on leiman luojien hallinnassa.

(4)

Jotta voidaan varmistaa, että luottamuspalvelun tarjoajien tarkastamiseen uusien vaatimusten noudattamisen osalta on riittävästi aikaa, tätä asetusta olisi sovellettava 24 kuukauden kuluttua sen voimaantulosta.

(5)

Komissio arvioi säännöllisesti uusia teknologioita, käytäntöjä, standardeja tai teknisiä eritelmiä. Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1183 (2) johdanto-osan 75 kappaleen mukaan komission olisi tarkasteltava uudelleen ja tarvittaessa päivitettävä tätä asetusta sen pitämiseksi maailmanlaajuisen kehityksen ja uusien teknologioiden, standardien tai teknisten eritelmien mukaisena sekä sisämarkkinoiden parhaiden käytäntöjen noudattamiseksi.

(6)

Kaikkiin tämän asetuksen mukaisiin henkilötietojen käsittelytoimiin sovelletaan Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (3) ja tarvittaessa Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY (4).

(7)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (5) 42 artiklan 1 kohdan mukaisesti, ja hän antoi lausuntonsa 6 päivänä kesäkuuta 2025.

(8)

Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Viitestandardit ja eritelmät

Asetuksen (EU) N:o 910/2014 29 a artiklan 2 kohdassa ja 39 a artiklassa tarkoitetut hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden ja hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnointia koskevat viitestandardit ja eritelmät esitetään tämän asetuksen liitteessä.

2 artikla

Voimaantulo ja soveltaminen

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tätä asetusta sovelletaan 19 päivästä elokuuta 2027.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 29 päivänä heinäkuuta 2025.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN

(1)   EUVL L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183, annettu 11 päivänä huhtikuuta 2024, asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (EUVL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

LIITE

Luettelo hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden ja hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnointia koskevista viitestandardeista ja eritelmistä

Kun arvioidaan EU Server Signing Application Service v2 -käytännön noudattamista standardin ETSI TS 119 431-1 V1.3.1 (2024-12) (’ETSI TS 119 431-1’) liitteen A mukaisesti, mainittua standardia sovelletaan seuraavin mukautuksin:

1)

2.1 Velvoittavat viittaukset

[1] ETSI EN 319 401 V3.1.1 (2024-06): ”Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers”;

[7] Euroopan kyberturvallisuuden sertifiointiryhmä, Salausta käsittelevä alaryhmä: Euroopan kyberturvallisuusviraston (ENISA) julkaisema asiakirja ”Agreed Cryptographic Mechanisms”  (1).

2)

6.1 Julkaisemista ja tallentamista koskevat velvollisuudet

OVR-6.1-04: Edellä OVR-6.1-01 kohdassa mainittujen tietojen on oltava julkisesti ja kansainvälisesti saatavilla.

3)

6.4.4 Henkilöstön valvonta

OVR-6.4.4-02: SSASP:n (palvelimen allekirjoitussovelluspalvelun tarjoajan) on palkattava luotettuihin rooleihin sellaista henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, kokemus ja pätevyys virallisen koulutuksen ja suositusten, työkokemuksen tai näiden yhdistelmän kautta.

OVR-6.4.4-03: Lausekkeen OVR-6.4.4-02 noudattamiseen on sisällyttävä säännöllisiä (vähintään 12 kuukauden välein) tehtäviä päivityksiä uusista uhkista ja nykyisistä turvakäytännöistä.

4)

6.4.9 SSASP:n palvelun lopettaminen

OVR-6.4.9-02: SSASP:n toiminnan lopettamissuunnitelman on oltava asetuksen (EU) N:o 910/2014 [i.1] 24 artiklan 5 kohdan nojalla hyväksytyn täytäntöönpanosäädöksen mukainen.

5)

6.5.5 Verkon turvatarkastukset

OVR-6.5.5-02: Standardin ETSI EN 319 401 [1] lausekkeessa REQ-7.8-13 edellytetty haavoittuvuuskartoitus on tehtävä vähintään neljännesvuosittain.

OVR-6.5.5-03: Palomuurit on konfiguroitava siten, että estetään kaikki protokollat ja liittymät, joita ei tarvita luottamuspalvelun tarjoajan toiminnassa.

6)

6.8.5 Salaustekniikka koskevat tarkastukset

OVR-6.8.5-01: SSASP:n kaikkien salaustekniikoiden hallintaa varten on oltava käytössä asianmukaiset turvatarkastukset niiden koko elinkaaren ajan.

OVR-6.8.5-02: SSASP:n on lausekkeen OVR-6.8.5-01 osalta valittava ja käytettävä sopivia salaustekniikoita, jotka ovat Euroopan kyberturvallisuuden sertifiointiryhmän hyväksymän ja ENISAn julkaiseman asiakirjan ”Agreed Cryptographic Mechanisms”[7] mukaisia.

7)

Liite A, kohta A.3 Yleiset vaatimukset

OVR-A.3-02 [EUSPv2]: Luottamuspalvelun tarjoajan käytäntöselostuksessa on oltava viittaus käytetyn hyväksytyn sähköisen allekirjoituksen tai leiman luontivälineen sertifiointiin asetuksen (EU) N:o 910/2014 [i.1] liitteen II vaatimusten mukaisesti.

(1)   https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.

ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj

ISSN 1977-0812 (electronic edition)

Top