European flag

Euroopan unionin
virallinen lehti

FI

L-sarja


2025/848

7.5.2025

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2025/848,

annettu 6 päivänä toukokuuta 2025,

Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä lompakkoon luottavien osapuolten rekisteröinnin osalta

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (1) ja erityisesti sen 5 b artiklan 11 kohdan,

sekä katsoo seuraavaa:

(1)

Jotta voidaan rekisteröidä luottavat osapuolet, jotka aikovat luottaa eurooppalaisiin digitaalisen identiteetin lompakoihin, jäljempänä ’lompakot’, digitaalisten julkisten tai yksityisten palvelujen tarjoamiseksi, kuten asetuksessa (EU) N:o 910/2014 edellytetään, jäsenvaltioiden olisi perustettava ja ylläpidettävä kansallisia rekistereitä alueelleen sijoittautuneista lompakkoon luottavista osapuolista.

(2)

Komissio arvioi säännöllisesti uusia teknologioita, käytäntöjä, standardeja ja teknisiä eritelmiä. Jotta lompakoiden kehittämisessä ja sertifioinnissa voidaan varmistaa mahdollisimman suuri yhdenmukaistaminen jäsenvaltioiden kesken, tässä asetuksessa vahvistetut tekniset eritelmät perustuvat työhön, jota on tehty komission suosituksen (EU) 2021/946 (2) nojalla, ja erityisesti siihen kuuluvaan arkkitehtuuriin ja viitekehykseen. Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1183 (3) johdanto-osan 75 kappaleen mukaan komission olisi tarkasteltava uudelleen ja tarvittaessa päivitettävä tätä asetusta sen pitämiseksi maailmanlaajuisen kehityksen ja arkkitehtuurin ja viitekehyksen mukaisena sekä sisämarkkinoiden parhaiden käytäntöjen noudattamiseksi.

(3)

Jotta voidaan varmistaa rekisterien laaja käytettävyys ja saavuttaa yhteentoimivuus, jäsenvaltioiden olisi perustettava sekä ihmisen että koneellisesti luettavissa olevia rajapintoja, jotka täyttävät tässä asetuksessa vahvistetut tekniset eritelmät. Lompakkoon luottavan osapuolen pääsyvarmenteiden ja, jos niitä on saatavilla, lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajien olisi myös voitava käyttää näitä rajapintoja kyseisten varmenteiden myöntämiseksi.

(4)

Rekisteröintiperiaatteissa lompakkoon luottaville osapuolille annetaan selkeää ohjeistusta rekisteröintiprosessista, joten jäsenvaltioiden olisi laadittava ja julkaistava alueellaan perustettuihin kansallisiin rekistereihin sovellettavat rekisteröintiperiaatteet.

(5)

Lompakkoon luottavien osapuolten rekisteröinnin tarkoituksena on lisätä luottamusta lompakoiden käyttöön suuremman avoimuuden avulla. Sen vuoksi jäsenvaltioiden olisi asetettava asiaankuuluvat tiedot yleisön saataville sekä ihmisen että koneellisesti luettavassa muodossa. Tätä varten lompakkoon luottavien osapuolten olisi toimitettava kansallisiin rekistereihin tarvittavat tiedot, mukaan lukien valtuutuksensa.

(6)

Lisäksi lompakkoon luottavien osapuolten olisi avoimuuden vuoksi ilmoitettava, aikovatko ne käyttää luonnollisten henkilöiden sähköistä tunnistamista.

(7)

Jotta voidaan varmistaa, että rekisteröintiprosessi on kustannustehokas ja oikeassa suhteessa riskiin, rekisterinpitäjien olisi tarjottava lompakkoon luottaville osapuolille verkossa toteutettuja ja tarvittaessa automatisoituja rekisteröintiprosesseja, joita on helppo käyttää. Rekisterinpitäjien olisi tarkistettava rekisteröintihakemukset ilman aiheetonta viivytystä.

(8)

Jäsenvaltioiden olisi varmistettava, että lompakot voivat todentaa lompakkoon luottavat osapuolet riippumatta siitä, mihin ne ovat sijoittautuneet unionissa. Lompakkoon luottavien osapuolten olisi käytettävä tähän tarkoitukseen lompakkoon luottavan osapuolen pääsyvarmenteita, kun ne tunnistautuvat lompakkoyksiköille. Jotta voidaan taata näiden varmenteiden yhteentoimivuus kaikissa unionissa tarjottavissa lompakoissa, lompakkoon luottavan osapuolen pääsyvarmenteiden olisi oltava liitteessä vahvistettujen yhteisten vaatimusten mukaisia. Komission olisi kehitettävä yhdenmukaistettuja varmennepolitiikkoja ja varmennuskäytäntöjä, jotka jäsenvaltioiden olisi pantava täytäntöön. Komission olisi yhteistyössä jäsenvaltioiden kanssa seurattava tiiviisti sellaisten uusien tai vaihtoehtoisten standardien kehittämistä, joiden pohjalta luottavan osapuolen pääsyvarmenteet voitaisiin toteuttaa. Erityisesti olisi arvioitava luottamusmalleja, joiden toimivuus ja turvallisuus on osoitettu jäsenvaltioissa.

(9)

Kuten asetuksessa (EU) N:o 910/2014 säädetään, lompakkoon luottavat osapuolet saavat pyytää käyttäjiltä ainoastaan niitä tietoja, jotka on ilmoitettu rekisteröintiprosessissa lompakoiden aiottua käyttötarkoitusta varten. Lompakon käyttäjien olisi voitava tarkistaa lompakkoon luottavien osapuolten rekisteröintitiedot. Jotta lompakon käyttäjät voisivat tarkistaa, että lompakkoon luottavan osapuolen pyytämät attribuutit kuuluvat tämän rekisteröityihin attribuutteihin, jäsenvaltiot voivat edellyttää lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämistä rekisteröidyille lompakkoon luottaville osapuolille. Lompakkoon luottavan osapuolen rekisteröintivarmenteiden yhteentoimivuuden varmistamiseksi jäsenvaltioiden olisi varmistettava, että kyseiset varmenteet täyttävät liitteessä vahvistetut vaatimukset ja standardit. Avoimuuden vuoksi lompakkoon luottavien osapuolten olisi erityisesti ilmoitettava, aikovatko ne käyttää luonnollisten henkilöiden sähköistä tunnistamista täyttääkseen jonkin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (4) 6 artiklan 1 kohdassa säädetyistä edellytyksistä. Lisäksi luottavat osapuolet eivät saisi kieltää pseudonyymien käyttöä, jos unionin oikeudessa tai kansallisessa lainsäädännössä ei edellytetä käyttäjän tunnistamista.

(10)

Jotta käyttäjiä voidaan suojella tietojen liialliselta jakamiselta lompakkoon luottavien osapuolten kanssa ja varoittaa heitä tällaisissa tapauksissa, jäsenvaltioiden olisi sisällytettävä varmennepolitiikkoihinsa yhteiset käyttöperiaatteet, joiden mukaisesti lompakkoratkaisu voisi ilmoittaa lompakon käyttäjälle aina, kun lompakkoon luottava osapuoli pyytää enemmän tietoja kuin mitä se on rekisteröinyt tai on saanut luvan käyttää.

(11)

Lompakon käyttäjien suojelemiseksi rekisterinpitäjien olisi voitava keskeyttää tai peruuttaa lompakkoon luottavan osapuolen rekisteröinti ilman ennakkoilmoitusta, jos rekisterinpitäjillä on syytä uskoa, että rekisteröinti sisältää virheellisiä, vanhentuneita tai harhaanjohtavia tietoja, että lompakkoon luottava osapuoli ei noudata rekisteröintiperiaatteita tai että lompakkoon luottava osapuoli muutoin rikkoo unionin tai kansallista lainsäädäntöä tai digitaalisen vuosikymmenen digitaalisia oikeuksia ja periaatteita koskevaa eurooppalaista julistusta (5) tavalla, joka liittyy sen rooliin lompakkoon luottavana osapuolena, esimerkiksi jos lompakkoon luottava osapuoli ei ole oikealla tavalla minimoinut niiden attribuuttien joukkoa, joihin se pyytää pääsyä. Eurooppalaisen digitaalisen identiteetin lompakon ekosysteemin, jäljempänä ’lompakkoekosysteemi’, vakauden turvaamiseksi rekisteröinnin keskeyttämistä tai peruuttamista koskevan päätöksen olisi oltava oikeassa suhteessa keskeyttämisen tai peruuttamisen aiheuttamaan palvelukeskeytykseen ja siihen liittyviin palveluntarjoajalle ja käyttäjälle aiheutuviin kustannuksiin ja haittoihin. Asetuksen (EU) N:o 910/2014 46 a artiklan 4 kohdan f alakohdan mukaisesti valvontaelimillä olisi myös oltava valtuudet keskeyttää ja peruuttaa rekisteröinti tarvittaessa.

(12)

Rekisterinpitäjien olisi säilytettävä kaikki lompakkoon luottavien osapuolten kansallisiin rekistereihin toimittamat tiedot kymmenen vuoden ajan jälkiseurantaa, lainvalvontaviranomaisten suorittamaa tutkintaa ja riitojen käsittelyä varten.

(13)

Tämän asetuksen mukaisiin henkilötietojen käsittelytoimiin sovelletaan asetusta (EU) 2016/679 ja tarvittaessa Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY (6).

(14)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (7) 42 artiklan 1 kohdan mukaisesti, ja hän antoi lausuntonsa 31 päivänä tammikuuta 2025.

(15)

Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Kohde ja soveltamisala

Tässä asetuksessa vahvistetaan lompakkoon luottavien osapuolten rekisteröintiä koskevat säännöt.

2 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

1)

’lompakkoon luottavalla osapuolella’ luottavaa osapuolta, joka aikoo luottaa lompakkoyksikköihin julkisten tai yksityisten palvelujen tarjoamiseksi digitaalisen vuorovaikutuksen avulla;

2)

’lompakkoyksiköllä’ lompakkoratkaisun ainutlaatuista konfiguraatiota, johon kuuluvat lompakon ilmentymät, lompakon suojatut salaussovellukset ja lompakon suojatut salauslaitteet ja jonka lompakon tarjoaja tarjoaa yksittäiselle lompakon käyttäjälle;

3)

’lompakkoratkaisulla’ ohjelmistojen, laitteiden, palvelujen, asetusten ja konfiguraatioiden yhdistelmää, mukaan lukien lompakon ilmentymät, yksi tai useampi lompakon suojattu salaussovellus ja yksi tai useampi lompakon suojattu salauslaite;

4)

’lompakon ilmentymällä’ sovellusta, joka on asennettu ja konfiguroitu lompakon käyttäjän laitteeseen tai ympäristöön ja on osa lompakkoyksikköä ja jota lompakon käyttäjä käyttää ollakseen vuorovaikutuksessa lompakkoyksikön kanssa;

5)

’lompakon suojatulla salaussovelluksella’ sovellusta, joka hallitsee kriittisiä resursseja linkittymällä lompakon suojatun salauslaitteen tarjoamiin salausteknisiin ja muihin toimintoihin ja käyttämällä näitä toimintoja;

6)

’lompakon suojatulla salauslaitteella’ väärinkäytöltä suojattua laitetta, joka tarjoaa lompakon suojattuun salaussovellukseen liitetyn ja sen käyttämän ympäristön kriittisten resurssien suojaamiseksi ja salaustoimintojen tarjoamiseksi kriittisten toimintojen turvallista suorittamista varten;

7)

’kriittisillä resursseilla’ lompakkoyksikössä olevia tai siihen liittyviä resursseja, jotka ovat niin merkittäviä, että niiden saatavuuden, luottamuksellisuuden tai eheyden vaarantuminen erittäin vakavasti heikentäisi kykyä luottaa lompakkoyksikköön;

8)

’lompakon tarjoajalla’ lompakkoratkaisuja tarjoavaa luonnollista henkilöä tai oikeushenkilöä;

9)

’lompakon käyttäjällä’ käyttäjää, jonka hallinnassa lompakkoyksikkö on;

10)

’lompakkoon luottavien osapuolten kansallisella rekisterillä’ kansallista sähköistä rekisteriä, jota jäsenvaltio käyttää asettaakseen julkisesti saataville kyseisessä jäsenvaltiossa rekisteröityjä lompakkoon luottavia osapuolia koskevat tiedot asetuksen (EU) N:o 910/2014 5 b artiklan 5 kohdan mukaisesti;

11)

’lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, jonka jäsenvaltio on valtuuttanut myöntämään lompakkoon luottavan osapuolen pääsyvarmenteita kyseisessä jäsenvaltiossa rekisteröidyille lompakkoon luottaville osapuolille;

12)

’lompakkoon luottavan osapuolen pääsyvarmenteella’ lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajan myöntämää sähköisten leimojen tai allekirjoitusten varmennetta, jolla todennetaan ja validoidaan lompakkoon luottava osapuoli;

13)

’henkilön tunnistetietojen tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka on vastuussa henkilön tunnistetietojen myöntämisestä ja peruuttamisesta sekä sen varmistamisesta, että käyttäjälle kuuluvat henkilön tunnistetiedot on salausteknisesti sidottu lompakkoyksikköön;

14)

’lompakkoon luottavien osapuolten rekisterinpitäjällä’ jäsenvaltion nimeämää elintä, joka on vastuussa jäsenvaltion alueelle sijoittautuneiden rekisteröityjen lompakkoon luottavien osapuolten luettelon laatimisesta ja ylläpitämisestä;

15)

’lompakkoon luottavan osapuolen rekisteröintivarmenteella’ dataobjektia, jossa kuvataan luottavan osapuolen aiottu käyttötarkoitus ja joka ilmaisee attribuutit, jotka luottava osapuoli on rekisteröinyt aikoakseen pyytää niitä käyttäjiltä;

16)

’lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, jonka jäsenvaltio on valtuuttanut myöntämään lompakkoon luottavan osapuolen rekisteröintivarmenteita kyseisessä jäsenvaltiossa rekisteröidyille lompakkoon luottaville osapuolille.

3 artikla

Kansalliset rekisterit

1.   Jäsenvaltioiden on perustettava vähintään yksi lompakkoon luottavien osapuolten kansallinen rekisteri, jossa on tiedot kyseiseen jäsenvaltioon sijoittautuneista rekisteröidyistä lompakkoon luottavista osapuolista, ja ylläpidettävä sitä.

2.   Rekisterin on sisällettävä vähintään liitteessä I esitetyt tiedot.

3.   Jäsenvaltioiden on nimettävä vähintään yksi rekisterinpitäjä hallinnoimaan ja ylläpitämään vähintään yhtä lompakkoon luottavien osapuolten kansallista rekisteriä.

4.   Jäsenvaltioiden on asetettava liitteessä I esitetyt tiedot rekisteröidyistä lompakkoon luottavista osapuolista julkisesti saataville verkossa sekä ihmisen luettavissa olevassa että automaattiseen käsittelyyn soveltuvassa muodossa.

5.   Edellä 2 kohdassa tarkoitettujen tietojen on oltava saatavilla yhden yhteisen sovellusrajapinnan ja kansallisen verkkosivuston kautta. Rekisterinpitäjän on allekirjoitettava tai leimattava ne sähköisesti tai ne on allekirjoitettava ja leimattava tämän puolesta liitteessä II olevassa 1 jaksossa vahvistettujen sovellusrajapintaa koskevien yhteisten vaatimusten mukaisesti.

6.   Jäsenvaltioiden on varmistettava, että 5 kohdassa tarkoitettu sovellusrajapinta on liitteessä II olevassa 2 jaksossa vahvistettujen yhteisten vaatimusten mukainen.

7.   Jäsenvaltioiden on varmistettava, että rekisterit ovat 4 artiklassa säädettyjen asiaankuuluvien yhteisten rekisteröintiperiaatteiden mukaisia.

4 artikla

Rekisteröintiperiaatteet

1.   Jäsenvaltioiden on vahvistettava ja julkaistava yhdet tai useammat kansalliset rekisteröintiperiaatteet, joita sovelletaan niiden alueella perustettuihin kansallisiin rekistereihin.

2.   Jäsenvaltiot voivat hyödyntää tai käyttää uudelleen olemassa olevia alakohtaisia tai kansallisia rekisteröintiperiaatteita.

3.   Kansallisiin rekisteröintiperiaatteisiin on sisällyttävä tiedot vähintään seuraavista:

a)

lompakkoon luottaviin osapuoliin rekisteröintiprosessin aikana sovellettavat tunnistamis- ja todentamismenettelyt;

b)

vaaditut asiakirjat henkilöllisyydestä, yritysrekisteröinnistä, sovellettavasta valtuutuksesta tai sovellettavista valtuutuksista sekä muut merkitykselliset tiedot lompakkoon luottavasta osapuolesta;

c)

viralliset lähteet tai muut viralliset sähköiset rekisterit ja se, voidaanko kyseisten lähteiden tai rekisterien luottaa tuottavan täsmällisiä tietoja;

d)

mahdolliset muut rekisteröintiprosessin yhteydessä vaadittavat tiedot tai todisteet;

e)

tarvittaessa automatisoidut keinot, joiden avulla lompakkoon luottavat osapuolet voivat rekisteröityä tai päivittää olemassa olevaa rekisteröintiä;

f)

lompakkoon luottavien osapuolten käytettävissä oleva muutoksenhakumekanismi sen jäsenvaltion lainsäädännön ja menettelyjen mukaisesti, jossa kansallinen rekisteri sijaitsee;

g)

säännöt ja menettelyt, jotka koskevat rekisteröityjen lompakkoon luottavien osapuolten henkilöllisyyden ja muiden kyseisten osapuolten toimittamien merkityksellisten tietojen todentamista.

4.   Edellä 3 kohdan a ja b alakohdassa tarkoitettujen menettelyjen ja asiakirjojen on mahdollistettava se, että lompakkoon luottavat osapuolet voivat ilmoittaa, minkä erityisen valtuutuksen tai valtuutusten nojalla ne toimivat, kuten liitteessä I esitetään.

5.   Kansallisissa rekisteröintiperiaatteissa vahvistetut vaatimukset eivät saa tarvittaessa estää automaattista rekisteröintiprosessia.

5 artikla

Kansallisiin rekistereihin toimitettavat tiedot

1.   Lompakkoon luottavien osapuolten on toimitettava kansallisiin rekistereihin vähintään liitteessä I esitetyt tiedot.

2.   Lompakkoon luottavien osapuolten on varmistettava, että annetut tiedot ovat paikkansapitäviä rekisteröintihetkellä.

3.   Lompakkoon luottavien osapuolten on päivitettävä kaikki lompakkoon luottavien osapuolten kansalliseen rekisteriin aiemmin rekisteröidyt tiedot ilman aiheetonta viivytystä.

6 artikla

Rekisteröintiprosessi

1.   Rekisterinpitäjien on perustettava lompakkoon luottaville osapuolille helppokäyttöiset sähköiset ja mahdollisuuksien mukaan automatisoidut rekisteröintiprosessit.

2.   Rekisterinpitäjien on käsiteltävä rekisteröintihakemukset ilman aiheetonta viivytystä ja annettava hakijalle vastaus rekisteröintihakemukseen sovellettavissa rekisteröintiperiaatteissa määritellyssä määräajassa käyttäen asianmukaisia keinoja ja noudattaen sen jäsenvaltion lakeja ja menettelyjä, jossa kansallinen rekisteri sijaitsee.

3.   Rekisterinpitäjien on mahdollisuuksien mukaan tarkistettava automaattisesti:

a)

5 artiklan mukaisesti vaadittujen tietojen oikeellisuus, voimassaolo, aitous ja eheys;

b)

tarvittaessa lompakkoon luottavien osapuolten edustajien valtakirjat, jotka on laadittu ja toimitettu sen jäsenvaltion lakien ja menettelyjen mukaisesti, jossa kansallinen rekisteri sijaitsee;

c)

lompakkoon luottavien osapuolten valtuutukset tai valtuutusten tyyppi liitteen I mukaisesti;

d)

se, ettei rekisteröintiä ole tehty toiseen kansalliseen rekisteriin.

4.   Rekisterinpitäjien on tarkistettava 3 kohdassa tarkoitetut tiedot lompakkoon luottavien osapuolten toimittamien asiakirjatodisteiden perusteella tai käyttäen asianmukaisia virallisia lähteitä tai muita virallisia sähköisiä rekistereitä siinä jäsenvaltiossa, jossa kansallinen rekisteri sijaitsee, ja joihin rekisterinpitäjillä on pääsy sovellettavien kansallisten lakien ja menettelyjen mukaisesti.

5.   Edellä 3 kohdan c alakohdassa tarkoitettujen lompakkoon luottavien osapuolten valtuuksien tarkistus on suoritettava liitteen III mukaisesti.

6.   Jos rekisterinpitäjä ei voi tarkistaa tietoja 3–5 kohdan mukaisesti, rekisterinpitäjän on hylättävä rekisteröinti.

7.   Jos lompakkoon luottava osapuoli ei enää aio käyttää lompakkoyksiköitä julkisten tai yksityisten palvelujen tarjoamiseen tietyn rekisteröinnin nojalla, sen on ilmoitettava asiasta asianomaiselle rekisterinpitäjälle ilman aiheetonta viivytystä ja pyydettävä rekisteröinnin peruuttamista.

7 artikla

Lompakkoon luottavan osapuolen pääsyvarmenteet

1.   Jäsenvaltioiden on valtuutettava vähintään yksi varmentaja myöntämään lompakkoon luottavan osapuolen pääsyvarmenteita.

2.   Jäsenvaltioiden on varmistettava, että lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajat myöntävät lompakkoon luottavan osapuolen pääsyvarmenteita ainoastaan rekisteröidyille lompakkoon luottaville osapuolille.

3.   Jäsenvaltioiden on pantava täytäntöön lompakkoon luottavan osapuolen pääsyvarmenteita koskevat varmennepolitiikat ja varmennuskäytännöt syntaktisesti ja semanttisesti yhdenmukaisella tavalla liitteessä IV vahvistettujen vaatimusten mukaisesti.

8 artikla

Lompakkoon luottavan osapuolen rekisteröintivarmenteet

1.   Jäsenvaltioiden voivat valtuuttaa ainakin yhden varmentajan myöntämään lompakkoon luottavan osapuolen rekisteröintivarmenteita.

2.   Jos jäsenvaltio on antanut valtuutuksen lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämiseen, kyseisen jäsenvaltion on

a)

edellytettävä, että lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajat myöntävät lompakkoon luottavan osapuolen rekisteröintivarmenteita ainoastaan rekisteröidyille lompakkoon luottaville osapuolille;

b)

varmistettava, että lompakkoon luottavan osapuolen rekisteröintivarmenteessa ilmaistaan jokainen aiottu käyttötarkoitus;

c)

varmistettava, että lompakkoon luottavan osapuolen rekisteröintivarmenteisiin sisältyvät yleiset käyttöperiaatteet, jotka on syntaktisesti ja semanttisesti yhdenmukaistettu kaikkialla unionissa ja joissa käyttäjille ilmoitetaan, että lompakkoon luottava osapuoli voi pyytää rekisteröintivarmenteissa täsmennettyjä tietoja ainoastaan rekisteröintivarmenteisiin rekisteröityä aiottua käyttötarkoitusta varten;

d)

varmistettava, että kyseiseen jäsenvaltioon sijoittautuneet lompakkoratkaisujen tarjoajat noudattavat yleisiä käyttöperiaatteita ja ilmoittavat käyttäjille, jos lompakkoon luottava osapuoli pyytää tietoja, joita ei ole täsmennetty rekisteröintivarmenteessa;

e)

toteutettava lompakkoon luottavan osapuolen rekisteröintivarmenteet syntaktisesti ja semanttisesti yhdenmukaistetulla tavalla ja liitteessä V vahvistettujen vaatimusten mukaisesti;

f)

pantava täytäntöön lompakkoon luottavan osapuolen rekisteröintivarmenteita koskevat erityiset varmennepolitiikat ja varmennuskäytännöt liitteessä V vahvistettujen vaatimusten mukaisesti;

g)

varmistettava, että lompakkoon luottavat osapuolet antavat URL-osoitteen, josta löytyvät aiottua käyttötarkoitusta koskevat tietosuojaperiaatteet.

3.   Edellisen kohdan g alakohdassa tarkoitetut periaatteet on ilmaistava lompakkoon luottavan osapuolen rekisteröintivarmenteessa.

9 artikla

Rekisteröinnin keskeyttäminen ja peruuttaminen

1.   Rekisterinpitäjien on keskeytettävä tai peruutettava lompakkoon luottavan osapuolen rekisteröinti, jos valvontaelin pyytää tällaista keskeyttämistä tai peruuttamista asetuksen (EU) N:o 910/2014 46 a artiklan 4 kohdan f alakohdan nojalla.

2.   Rekisterinpitäjät voivat keskeyttää lompakkoon luottavan osapuolen rekisteröinnin tai peruuttaa sen, jos rekisterinpitäjillä on syytä epäillä jotain seuraavista:

a)

rekisteröinti sisältää virheellisiä, vanhentuneita tai harhaanjohtavia tietoja;

b)

lompakkoon luottava osapuoli ei noudata rekisteröintiperiaatteita;

c)

lompakkoon luottava osapuoli pyytää useampia attribuutteja kuin se on rekisteröinyt 5 ja 6 artiklan mukaisesti;

d)

lompakkoon luottava osapuoli toimii muutoin unionin tai kansallisen lainsäädännön vastaisesti tavalla, joka liittyy sen rooliin lompakkoon luottavana osapuolena.

3.   Rekisterinpitäjien on keskeytettävä tai peruutettava lompakkoon luottavan osapuolen rekisteröinti, jos peruutus- tai keskeyttämispyynnön esittää sama lompakkoon luottava osapuoli.

4.   Harkitessaan keskeyttämistä tai peruuttamista 2 kohdan mukaisesti rekisterinpitäjän on tehtävä oikeasuhteisuusarviointi, jossa otetaan huomioon vaikutus ekosysteemissä olevien käyttäjien perusoikeuksiin, tietosuojaan ja luottamuksellisuuteen sekä keskeyttämisestä tai peruuttamisesta oletetusti aiheutuvan häiriön vakavuus ja siihen liittyvät kustannukset sekä lompakkoon luottavalle osapuolelle että käyttäjälle. Tämän arvioinnin tulosten perusteella rekisterinpitäjä voi keskeyttää rekisteröinnin tai peruuttaa sen ilmoittamalla siitä etukäteen asianomaiselle lompakkoon luottavalle osapuolelle tai ilman etukäteisilmoitusta.

5.   Jos lompakkoon luottavan osapuolen rekisteröinti keskeytetään tai peruutetaan, rekisterinpitäjän on ilmoitettava tästä toimesta kyseessä olevien lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajalle, kyseessä olevien lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajalle ja asianomaiselle lompakkoon luottavalle osapuolelle ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluttua keskeyttämisestä tai peruuttamisesta. Ilmoituksessa on oltava tiedot keskeyttämisen tai peruuttamisen syistä sekä käytettävissä olevista muutoksenhaku- tai valituskeinoista.

6.   Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajan ja lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan on tarvittaessa peruutettava ilman aiheetonta viivytystä lompakkoon luottavan osapuolen pääsyvarmenteet ja lompakkoon luottavan osapuolen rekisteröintivarmenteet siltä lompakkoon luottavalta osapuolelta, jonka rekisteröinti on keskeytetty tai peruutettu.

10 artikla

Tietojen säilyttäminen

Rekisterinpitäjien on säilytettävä tiedot, jotka lompakkoon luottavat osapuolet ovat toimittaneet ja jotka on rekisteröity liitteen I mukaisesti lompakkoon luottavan osapuolen rekisteröintiä ja lompakkoon luottavan osapuolen pääsyvarmenteiden ja lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämistä varten, sekä tiedot näihin tietoihin myöhemmin tehtävistä muutoksista kymmenen vuoden ajan.

11 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Sitä sovelletaan 24 päivästä joulukuuta 2026.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 6 päivänä toukokuuta 2025.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN


(1)   EUVL L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Komission suositus (EU) 2021/946, annettu 3 päivänä kesäkuuta 2021, unionin yhteisestä välineistöstä eurooppalaista digitaalisen identiteetin kehystä koskevaa koordinoitua lähestymistapaa varten (EUVL L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).

(3)  Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183, annettu 11 päivänä huhtikuuta 2024, asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (EUVL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(5)   EUVL C 23, 23.1.2023, s. 1.

(6)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data. europa.eu/eli/reg/2018/1725/oj).


LIITE I

Lompakkoon luottavia osapuolia koskevat tiedot

1.

Tapauksen mukaan lompakkoon luottavan osapuolen nimi virallisessa rekisterissä olevassa muodossa sekä kyseisen virallisen rekisterin tunnistetiedot.

a)

Jos mikään ei ole soveltuva, sovelletaan 2 kohtaa.

2.

Tapauksen mukaan lompakkoon luottavan osapuolen käyttäjäystävällinen nimi, joka voi olla käyttäjän tunnistettavissa oleva liikenimi tai palvelun nimi.

3.

Tapauksen mukaan yksi tai useampi seuraavista lompakkoon luottavan osapuolen tunnisteista, virallisessa rekisterissä olevassa muodossa sekä kyseisen virallisen rekisterin tunnistetiedot:

a)

komission täytäntöönpanoasetuksessa (EU) N:o 1352/2013 (1) tarkoitettu taloudellisen toimijan rekisteröinti- ja tunnistenumero (EORI-numero);

b)

kansalliseen kaupparekisteriin kirjattu rekisterinumero;

c)

komission täytäntöönpanoasetuksessa (EU) 2022/1860 (2) tarkoitettu oikeushenkilötunnus (LEI);

d)

arvonlisäverotunniste (alv-numero);

e)

neuvoston asetuksen (EU) N:o 389/2012 (3) 2 artiklan 12 alakohdassa tarkoitettu valmisteveronumero;

f)

verorekisterinumero;

g)

komission täytäntöönpanoasetuksessa (EU) 2021/1042 (4) tarkoitettu eurooppalainen yksilöivä tunniste (EUID);

h)

muut kansalliset tunnisteet.

4.

Fyysinen osoite, johon lompakkoon luottava osapuoli on sijoittautunut.

5.

Tarvittaessa lompakkoon luottavalle osapuolelle kuuluva URL-osoite.

6.

Jos tunniste ilmaistaan 3 kohdan a, d, f tai h alakohdan mukaisesti, merkitään etuliitteeksi sen jäsenvaltion maatunnus, johon lompakkoon luottava osapuoli on sijoittautunut, käyttäen ISO 3166–1 alpha-2 -standardin mukaista 2-kirjaimista koodia, lukuun ottamatta Kreikan maatunnusta, joka on ”EL”.

7.

Lompakkoon luottavan osapuolen yhteystiedot, vähintään yksi seuraavista:

a)

verkkosivusto, jolla lompakkoon luottavaan osapuoleen voidaan ottaa yhteyttä käyttäjätukeen liittyvissä asioissa;

b)

puhelinnumero, josta lompakkoon luottavaan osapuoleen voidaan ottaa yhteyttä sen rekisteröintiin ja lompakkoyksikköjen aiottuun käyttötarkoitukseen liittyvissä asioissa;

c)

sähköpostiosoite, josta lompakkoon luottavaan osapuoleen voidaan ottaa yhteyttä sen rekisteröintiin ja lompakkoyksikköjen aiottuun käyttötarkoitukseen liittyvissä asioissa.

8.

Kuvaus lompakkoon luottavan osapuolen tarjoamista palveluista.

9.

Kunkin aiotun käyttötarkoituksen osalta luettelo tiedoista, mukaan lukien todistukset ja attribuutit, joita luottava osapuoli aikoo pyytää, sekä käyttäjäystävällinen nimi ja tekninen nimi, todistustyyppi ja mahdolliset muut syntaksit, joihin tiedot on ryhmitelty koneellisesti luettavassa muodossa automaattista käsittelyä varten.

10.

Kunkin aiotun käyttötarkoituksen osalta kuvaus niiden tietojen aiotusta käytöstä, joita lompakkoon luottava osapuoli aikoo pyytää lompakkoyksiköiltä.

11.

Tieto siitä, onko lompakkoon luottava osapuoli julkisen sektorin elin.

12.

Lompakkoon luottavan osapuolen valtuutus tai valtuutukset, jotka on ilmaistava seuraavasti:

a)

’Service_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen palvelujen tarjoajana;

b)

’QEAA_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen hyväksyttynä luottamuspalvelun tarjoajana, joka myöntää hyväksyttyjä sähköisiä attribuuttitodistuksia;

c)

’Non_Q_EAA_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen luottamuspalvelun tarjoajana, joka myöntää ei-hyväksyttyjä sähköisiä attribuuttitodistuksia;

d)

’PUB_EAA_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen virallisesta lähteestä vastaavan julkisen sektorin elimen myöntämien tai sen puolesta myönnettyjen sähköisen attribuuttitodistusten tarjoajana;

e)

’PID_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen henkilön tunnistetietojen tarjoajana;

f)

’QCert_for_ESeal_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen hyväksyttynä luottamuspalvelun tarjoajana, joka myöntää sähköisten leimojen hyväksyttyjä varmenteita;

g)

’QCert_for_ESig_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen hyväksyttynä luottamuspalvelun tarjoajana, joka myöntää sähköisten allekirjoitusten hyväksyttyjä varmenteita;

h)

’rQSigCDs_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen hyväksyttynä luottamuspalvelun tarjoajana, joka tarjoaa hyväksyttyjä luottamuspalveluja hyväksytyn sähköisen allekirjoituksen etäluontivälineen hallinnointia varten;

i)

’rQSealCDs_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen hyväksyttynä luottamuspalvelun tarjoajana, joka tarjoaa hyväksyttyjä luottamuspalveluja hyväksytyn sähköisen leiman etäluontivälineen hallinnointia varten;

j)

’ESIG_eSeal_Creation_Provider’ ilmaisee lompakkoon luottavan osapuolen valtuutuksen ei-hyväksyttynä luottamuspalvelun tarjoajana, joka tarjoaa ei-hyväksyttyä luottamuspalvelua sähköisten allekirjoitusten tai sähköisten leimojen etäluontia varten.

13.

Jäsenvaltiot voivat 12 kohdan c alakohdan osalta antaa muita osavaltuutuksia ilmaistakseen, mitä todistuksia tietty sähköisten attribuuttitodistusten ei-hyväksytty myöntäjä myöntää.

14.

Tarvittaessa maininta siitä, että lompakkoon luottava osapuoli käyttää luottavan osapuolen puolesta toimivaa välittäjää, joka aikoo luottaa lompakkoon.

15.

Tarvittaessa kytkentä lompakkoon luottavan osapuolen käyttämään, luottavan osapuolen puolesta toimivaa välittäjää, joka aikoo luottaa lompakkoon.


(1)  Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, 18.12.2013, s. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).

(2)  Komission täytäntöönpanoasetus (EU) 2022/1860, annettu 10 päivänä kesäkuuta 2022, teknisistä täytäntöönpanostandardeista Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 soveltamiseksi ilmoitettavia tietoja koskevien vaatimusten ja muotojen, ilmoitusten antamistiheyden sekä ilmoittamista koskevien menetelmien ja järjestelyjen osalta (EUVL L 262, 7.10.2022, s. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).

(3)  Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, 8.5.2012, s. 1, ELI: http://data.europa.eu/eli/reg/2012/389/oj).

(4)  Komission täytäntöönpanoasetus (EU) 2021/1042, annettu 18 päivänä kesäkuuta 2021, Euroopan parlamentin ja neuvoston direktiivin (EU) 2017/1132 soveltamissäännöistä rekistereiden yhteenliittämisjärjestelmän edellyttämien teknisten eritelmien ja menettelyjen osalta ja komission täytäntöönpanoasetuksen (EU) 2020/2244 kumoamisesta (EUVL L 225, 25.6.2021, s. 7, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).


LIITE II

1.   VAATIMUKSET, JOTKA KOSKEVAT 3 ARTIKLASSA TARKOITETTUIHIN REKISTERÖIDYISTÄ LOMPAKKOON LUOTTAVISTA OSAPUOLISTA SAATAVILLE ASETETTAVIIN TIETOIHIN SOVELLETTAVIA SÄHKÖISIÄ ALLEKIRJOITUKSIA TAI LEIMOJA

JavaScript Object Notation (JSON)

IETF 7515 – JSON Web Signatures.

2.   3 ARTIKLASSA TARKOITETTUA YHTEISTÄ SOVELLUSRAJAPINTAA KOSKEVAT VAATIMUKSET

1.

Yhteisen sovellusrajapinnan on

a)

oltava REST API -rajapinta, joka tukee JSON-muotoa ja on allekirjoitettu 1 jaksossa täsmennettyjen asiaankuuluvien vaatimusten mukaisesti;

b)

annettava kenelle tahansa pyytäjälle mahdollisuus hakea ja pyytää rekisteristä ilman ennakkotodentamista täydellisiä luetteloja tietojen saamiseksi rekisteröidyistä lompakkoon luottavista osapuolista, sallien osittaiset osumat määriteltyjen parametrien perusteella, mukaan lukien tapauksen mukaan lompakkoon luottavan osapuolen virallinen numero tai yritysrekisterinumero, lompakkoon luottavan osapuolen nimi tai 8 artiklan 2 kohdan g alakohdassa ja liitteessä I olevassa 12, 13, 14 ja 15 kohdassa tarkoitetut tiedot;

c)

varmistettava, että b alakohdassa tarkoitettuihin pyyntöihin saadut vastaukset, jotka vastaavat vähintään yhtä lompakkoon luottavaa osapuolta, sisältävät yhden tai useamman kuvauksen rekisteröityjä lompakkoon luottavia osapuolia koskevista tiedoista ja liitteen I mukaisista tiedoista, mukaan lukien nykyiset ja aiemmat lompakkoon luottavan osapuolen pääsyvarmenteet ja lompakkoon luottavan osapuolen rekisteröintivarmenteet, mutta lukuun ottamatta liitteessä I olevassa 4 kohdassa tarkoitettuja yhteystietoja;

d)

oltava julkaistu OpenAPI Version 3 -muodossa yhdessä asianmukaisen dokumentaation ja teknisten eritelmien kanssa, joilla varmistetaan yhteentoimivuus koko unionissa;

e)

tarjottava turvatoimintoja, mukaan lukien oletusarvoinen ja sisäänrakennettu turvallisuus, joilla varmistetaan sovellusrajapinnan saatavuus ja eheys ja tietojen saatavuus sen kautta.

2.

Edellä c alakohdassa tarkoitetut kuvaukset on esitettävä sähköisesti allekirjoitettuina tai leimattuina JSON-tiedostoina, joiden muoto ja rakenne ovat 1 jaksossa vahvistettujen sähköisiä allekirjoituksia tai leimoja koskevien vaatimusten mukaiset.


LIITE III

6 artiklassa tarkoitettuun lompakkoon luottavien osapuolten valtuuksien tarkistamiseen tarvittavien asiakirjatodisteiden lähde

1.

Sen tarkistamisen, että lompakkoon luottava osapuoli on hyväksyttyjen sähköisten attribuuttitodistusten tarjoaja, sähköisten allekirjoitusten tai leimojen hyväksyttyjen varmenteiden tarjoaja tai hyväksytyn luottamuspalvelun tarjoaja hyväksytyn sähköisen allekirjoituksen tai leiman etäluontivälineiden hallinnointia varten, on perustuttava asetuksen (EU) N:o 910/2014 22 artiklan mukaisesti julkaistuihin kansallisiin luotettuihin luetteloihin.

2.

Sen tarkistamisen, että lompakkoon luottava osapuoli on ei-hyväksyttyjen sähköisten attribuuttitodistusten tarjoaja tai sähköisten allekirjoitusten tai leimojen etäluonnin tarjoaja ei-hyväksyttynä luottamuspalveluna, on perustuttava tapauksen mukaan asetuksen (EU) N:o 910/2014 22 artiklan mukaisesti julkaistuihin kansallisiin luotettuihin luetteloihin, tai sellaisten ei-hyväksyttyjen luottamuspalvelun tarjoajien osalta, joita ei ole rekisteröity tällaisiin kansallisiin luotettuihin luetteloihin, jäsenvaltioiden 4 artiklan mukaisissa rekisteröintiperiaatteissaan vahvistamiin todentamismenettelyihin.

3.

Sen tarkistamisen, että lompakkoon luottava osapuoli on henkilön tunnistetietojen tarjoaja, on perustuttava komission asetuksen (EU) N:o 910/2014 5 a artiklan 18 kohdan mukaisesti julkaisemaan henkilön tunnistetietojen tarjoajien luetteloon.

4.

Sen tarkistamisen, että lompakkoon luottava osapuoli on virallisesta lähteestä vastaavan julkisen sektorin elimen myöntämien tai sen puolesta myönnettyjen sähköisten attribuuttitodistusten tarjoaja, on perustuttava komission asetuksen (EU) N:o 910/2014 45 f artiklan 3 kohdan mukaisesti julkaisemaan luetteloon.


LIITE IV

7 artiklassa tarkoitetut lompakkoon luottavan osapuolen pääsyvarmenteita koskevat vaatimukset

1.

Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoamiseen sovellettavassa varmennepolitiikassa on kuvattava lompakkoon luottavan osapuolen pääsyvarmenteeseen sovellettavat turvavaatimukset sekä säännöt, jotka ilmaisevat, milloin lompakkoon luottavan osapuolen pääsyvarmennetta voidaan käyttää, jotta kyseisiä varmenteita voidaan myöntää lompakkoon luottaville osapuolille ja nämä voivat käyttää niitä vuorovaikutuksessaan lompakkoratkaisujen kanssa.

2.

Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoamiseen sovellettavassa varmennuskäytännössä on kuvattava käytännöt, joita lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoaja soveltaa lompakkoon luottavan osapuolen pääsyvarmenteiden myöntämiseen, hallinnointiin, sulkemiseen ja avainten uudelleenluontiin.

3.

Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoamiseen sovellettavan varmennepolitiikan ja varmennuskäytännön on oltava syntaktisesti ja semanttisesti yhdenmukaistettuja koko unionissa ja niiden on soveltuvin osin täytettävä vähintään standardin ETSI EN 319411–1 versiossa 1.4.1 (2023–10) määritellyt normalisoidun varmennepolitiikan (NCP) vaatimukset, ja niihin on sisällyttävä:

a)

selkeä kuvaus julkisen avaimen järjestelmän hierarkiasta ja varmenneketjuista, jotka ulottuvat loppukäyttäjälle myönnetyistä lompakkoon luottavan osapuolen pääsyvarmenteista niiden myöntämiseen käytettävän hierarkian ylätasoon saakka; kuvauksessa on ilmaistava odotettu luottamusankkuri tai odotetut luottamusankkurit tällaisessa hierarkiassa ja ketjut, joiden olisi perustuttava asetuksen (EU) N:o 910/2014 5 a artiklan 18 kohdan mukaisesti toteutettuun luottamuskehykseen;

b)

kattava kuvaus menettelyistä, joita sovelletaan lompakkoon luottavan osapuolen pääsyvarmenteiden myöntämiseen, mukaan lukien sen lompakkoon luottavan osapuolen, jolle lompakkoon luottavan osapuolen varmenne on tarkoitus myöntää, henkilöllisyyden ja mahdollisten muiden attribuuttien tarkistaminen;

c)

lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajien velvollisuus tarkistaa lompakkoon luottavan osapuolen pääsyvarmenteen myöntämisen yhteydessä, että

lompakkoon luottava osapuoli on merkitty lompakkoon luottavien osapuolten kansalliseen rekisteriin siinä jäsenvaltiossa, johon lompakkoon luottava osapuoli on sijoittautunut, ja sen rekisteröinti on voimassa;

lompakkoon luottavan osapuolen pääsyvarmenteessa olevat tiedot ovat paikkansapitäviä ja yhdenmukaisia kyseisestä rekisteristä saatavilla olevien rekisteröintitietojen kanssa;

d)

kattava kuvaus lompakkoon luottavan osapuolen pääsyvarmenteiden sulkemismenettelyistä;

e)

lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajien velvollisuus toteuttaa toimenpiteitä ja prosesseja, joilla

seurataan jatkuvasti muutoksia siinä lompakkoon luottavien osapuolten kansallisessa rekisterissä, johon on rekisteröity lompakkoon luottavat osapuolet, joille ne ovat myöntäneet lompakkoon luottavan osapuolen pääsyvarmenteita;

jos muutokset sitä edellyttävät, suljetaan mikä tahansa lompakkoon luottavan osapuolen varmenne, jonka tarjoaja on myöntänyt vastaavalle lompakkoon luottavalle osapuolelle, erityisesti jos varmenteen sisältö ei ole enää paikkansapitävä eikä yhdenmukainen rekisteröityjen tietojen kanssa tai jos lompakkoon luottavan osapuolen rekisteröinti on keskeytetty tai peruutettu;

f)

kattava kuvaus menettelyistä ja mekanismeista lompakkoon luottavan osapuolen pääsyvarmenteiden yhdenmukaista validointia varten koko unionissa;

g)

lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajien velvollisuus antaa asianomaisille osapuolille, mukaan lukien lompakkoon luottavat osapuolet niiden omien varmenteiden osalta, toimivaltaiset valvontaelimet ja tietosuojaviranomaiset, mahdollisuus pyytää lompakkoon luottavan osapuolen pääsyvarmenteiden sulkemista;

h)

lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajien velvollisuus kirjata kaikki tällaiset sulkemiset varmennetietokantaansa ja julkaista varmenteen sulkemistila hyvissä ajoin ja joka tapauksessa 24 tunnin kuluessa sulkupyynnön vastaanottamisesta;

i)

lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajien velvollisuus antaa tieto kyseisen tarjoajan myöntämien lompakkoon luottavan osapuolen varmenteiden voimassaolo- tai sulkemistilasta;

j)

tarvittaessa kuvaus siitä, miten lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoaja kirjaa lokiin kaikki myöntämänsä lompakkoon luottavan osapuolen pääsyvarmenteet noudattaen Internet Engineering Task Forcen (IETF) RFC-asiakirjaa (Request for Comments) 9162 Certificate Transparency Version 2.0;

k)

velvollisuus, jonka mukaan lompakkoon luottavan osapuolen pääsyvarmenteisiin on sisällyttävä

paikka, jossa kyseisessä varmenteessa olevaa kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla koko varmenneketjun osalta aina tarjoajan käyttämän julkisen avaimen järjestelmän hierarkian odotettuun luottamusankkuriin asti;

koneellisesti käsiteltävissä oleva viittaus sovellettavaan varmennepolitiikkaan ja varmennuskäytäntöön;

liitteessä I olevassa 1, 2, 3, 5 ja 6 kohdassa ja 7 kohdan a, b ja c alakohdassa tarkoitetut tiedot.

4.

Edellä 3 kohdan g alakohdassa tarkoitettu sulkeminen tulee voimaan välittömästi kun se julkaistaan.

5.

Edellä 3 kohdan h alakohdassa tarkoitettu tieto on asetettava saataville ainakin varmennekohtaisesti milloin tahansa ja vähintään varmenteen voimassaolon päätyttyä automatisoidulla tavalla, joka on luotettava, maksuton ja tosiasiallisesti varmennepolitiikan mukainen.


LIITE V

8 artiklassa tarkoitetut lompakkoon luottavan osapuolen rekisteröintivarmenteita koskevat vaatimukset

1.

Lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoamiseen sovellettavassa varmennepolitiikassa on kuvattava lompakkoon luottavan osapuolen rekisteröintivarmenteeseen sovellettavat turvavaatimukset sekä säännöt, jotka ilmaisevat, milloin lompakkoon luottavan osapuolen rekisteröintivarmennetta voidaan käyttää, jotta kyseisiä varmenteita voidaan myöntää lompakkoon luottaville osapuolille ja ne voivat käyttää niitä vuorovaikutuksessaan lompakkoratkaisujen kanssa. Lompakkoon luottavan osapuolen rekisteröintivarmenteita koskeva varmennepolitiikka on julkaistava ihmisen luettavassa muodossa.

2.

Lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoamiseen sovellettavassa varmennuskäytännössä on kuvattava käytännöt, joita lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoaja soveltaa lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämiseen, hallinnointiin, sulkemiseen ja avainten uudelleenluontiin, ja tarvittaessa se, miten ne liittyvät lompakkoon luottaville osapuolille myönnettyihin lompakkoon luottavan osapuolen pääsyvarmenteisiin. Lompakkoon luottavan osapuolen rekisteröintivarmenteita koskeva varmennuskäytäntö on julkaistava ihmisen luettavassa muodossa.

3.

Lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoamiseen sovellettavan varmennepolitiikan ja varmennuskäytännön on oltava syntaktisesti ja semanttisesti yhdenmukaistettuja koko unionissa ja niiden on täytettävä vähintään standardin ETSI EN 319411–1 versiossa 1.4.1 (2023–10) määritellyt sovellettavat NCP-vaatimukset ja niihin on sisällyttävä:

a)

selkeä kuvaus julkisen avaimen järjestelmän hierarkiasta ja varmenneketjuista, jotka ulottuvat loppukäyttäjälle myönnetyistä lompakkoon luottavan osapuolen rekisteröintivarmenteista niiden myöntämiseen käytettävän hierarkian ylätasoon saakka; kuvauksessa on ilmaistava odotettu luottamusankkuri tai odotetut luottamusankkurit tällaisessa hierarkiassa ja ketjut;

b)

kattava kuvaus menettelyistä, joita sovelletaan lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämiseen, mukaan lukien sen lompakkoon luottavan osapuolen, jolle lompakkoon luottavan osapuolen varmenne on tarkoitus myöntää, henkilöllisyyden ja mahdollisten muiden attribuuttien tarkistaminen;

c)

lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan velvollisuus tarkistaa lompakkoon luottavan osapuolen rekisteröintivarmenteen myöntämisen yhteydessä, että

lompakkoon luottava osapuoli on merkitty lompakkoon luottavien osapuolten kansalliseen rekisteriin siinä jäsenvaltiossa, johon lompakkoon luottava osapuoli on sijoittautunut, ja sen rekisteröinti on voimassa;

lompakkoon luottavan osapuolen rekisteröintivarmenteessa olevat tiedot ovat paikkansapitäviä ja yhdenmukaisia kyseisestä rekisteristä saatavilla olevien rekisteröintitietojen kanssa;

lompakkoon luottavan osapuolen rekisteröintivarmenne on voimassa;

kuvaus lompakkoon luottavan osapuolen rekisteröintivarmenteiden sulkemismenettelyistä on kattava;

d)

lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan velvollisuus toteuttaa toimenpiteitä ja prosesseja, joilla

seurataan jatkuvasti ja automatisoidulla tavalla muutoksia siinä lompakkoon luottavien osapuolten kansallisessa rekisterissä, johon on rekisteröity lompakkoon luottavat osapuolet, joille se on myöntänyt lompakkoon luottavan osapuolen rekisteröintivarmenteita;

lompakkoon luottavan osapuolen rekisteröintivarmenne myönnetään uudelleen;

jos muutokset sitä edellyttävät, suljetaan mikä tahansa lompakkoon luottavan osapuolen rekisteröintivarmenne, jonka tarjoaja on myöntänyt vastaavalle lompakkoon luottavalle osapuolelle, erityisesti jos varmenteen sisältö ei ole enää paikkansapitävä eikä yhdenmukainen rekisteröityjen tietojen kanssa tai jos lompakkoon luottavan osapuolen rekisteröintiä on muutettu tai se on keskeytetty tai peruutettu;

e)

kattava kuvaus menettelyistä ja mekanismeista lompakkoon luottavan osapuolen rekisteröintivarmenteiden yhdenmukaistettua validointia varten;

f)

lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan velvollisuus antaa asianomaisille osapuolille, mukaan lukien lompakkoon luottavat osapuolet niiden omien varmenteiden osalta, toimivaltaiset valvontaelimet ja tietosuojaviranomaiset, mahdollisuus pyytää lompakkoon luottavan osapuolen rekisteröintivarmenteiden sulkemista;

g)

lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan velvollisuus kirjata kaikki tällaiset sulkemiset varmennetietokantaansa ja julkaista varmenteen sulkemistila hyvissä ajoin ja joka tapauksessa 24 tunnin kuluessa sulkupyynnön vastaanottamisesta;

h)

lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan velvollisuus antaa tieto kyseisen tarjoajan myöntämien lompakkoon luottavan osapuolen varmenteiden voimassaolo- tai sulkemistilasta;

i)

tarvittaessa kuvaus siitä, miten lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoaja kirjaa lokiin kaikki myöntämänsä lompakkoon luottavan osapuolen rekisteröintivarmenteet;

j)

velvollisuus, jonka mukaan lompakkoon luottavan osapuolen rekisteröintivarmenteisiin on sisällyttävä

paikka, jossa rekisteröintivarmenteen allekirjoittamiseen tai leimaamiseen käytetyssä varmenteessa olevan kehittyneen sähköisen allekirjoituksen tai kehittyneen sähköisen leiman validointitiedot ovat saatavilla koko luottamusketjun osalta odotettuun luottamusankkuriin asti;

koneellisesti luettava viittaus sovellettavaan varmennepolitiikkaan ja varmennuskäytäntöön;

liitteessä I olevassa 1, 2, 3, 5, 6, 8, 9, 10, 11, 12, 13, 14 ja 15 kohdassa tarkoitetut tiedot;

8 artiklan 2 kohdan g alakohdassa tarkoitettu tietosuojaperiaatteiden URL-osoite;

8 artiklan 3 kohdassa tarkoitetut yleiset käyttöperiaatteet.

4.

Luottavan osapuolen rekisteröintivarmenteiden tiedonsiirtomuodoissa on käytettävä allekirjoituksia JSON Web Tokens (IETF RFC 7519) ja CBOR Web Tokens (IETF RFC 8392).

5.

Edellä 3 kohdan g alakohdassa tarkoitettu sulkeminen tulee voimaan välittömästi kun se julkaistaan.

6.

Edellä 3 kohdan h alakohdassa tarkoitettu tieto on asetettava saataville ainakin varmennekohtaisesti milloin tahansa ja vähintään varmenteen voimassaolon päätyttyä automatisoidulla tavalla, joka on luotettava, maksuton ja tosiasiallisesti varmennepolitiikan mukainen.


ELI: http://data.europa.eu/eli/reg_impl/2025/848/oj

ISSN 1977-0812 (electronic edition)