KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2025/2164,

annettu 27 päivänä lokakuuta 2025,

täytäntöönpanopäätöksen (EU) 2015/1505 muuttamisesta luotettujen luettelojen yhteisen mallin perustana olevan standardin version osalta

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (1) ja erityisesti sen 22 artiklan 5 kohdan,

sekä katsoo seuraavaa:

(1)

Asetuksen (EU) N:o 910/2014 22 artiklan 1 kohdassa säädetyt luotetut luettelot ovat olennaisen tärkeitä markkinatoimijoiden välisen luottamuksen rakentamiseksi, koska ne mahdollistavat luottamuspalvelun tarjoajien ja niiden tarjoamien luottamuspalvelujen hyväksytyn aseman validoinnin. Hyväksytyt luottamuspalvelun tarjoajat voivat siten ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua vasta sen jälkeen, kun hyväksytty asema on merkitty luotettuihin luetteloihin.

(2)	Komission täytäntöönpanopäätöksessä (EU) 2015/1505 (2) säädetään luotettuihin luetteloihin liittyvistä teknisistä eritelmistä ja muotoseikoista. Näissä eritelmissä ja muotoseikoissa hyödynnetään standardin ETSI TS 119 612 versiossa 2.1.1 vahvistettuja eritelmiä ja vaatimuksia.

(3)

Asetusta (EU) N:o 910/2014 muutettiin Euroopan parlamentin ja neuvoston asetuksella (EU) 2024/1183 (3) lisäämällä siihen uusia hyväksyttyjä luottamuspalveluja, eli hyväksyttyjen sähköisen allekirjoituksen etäluontivälineiden hallinnointi, hyväksyttyjen sähköisen leiman etäluontivälineiden hallinnointi, hyväksyttyjen sähköisten attribuuttitodistusten myöntäminen, hyväksyttyjen sähköisten arkistointipalvelujen tarjoaminen ja sähköisten tietojen tallentaminen hyväksyttyyn sähköiseen tilikirjaan. Standardi ETSI TS 119 612 on päivitetty versioon 2.4.1, ja se sisältää nyt eritelmiä, joiden avulla luotettuihin luetteloihin voidaan merkitä nämä uudet hyväksytyt luottamuspalvelut ja ilmoittaa niiden tila. Päivitetyssä versiossa 2.4.1 on myös muutettu niiden allekirjoitusten tai leimojen muotoseikkoja koskevia eritelmiä, joita jäsenvaltioiden on käytettävä kansallisten luotettujen luetteloidensa allekirjoittamiseen tai leimaamiseen.

(4)

Sen vuoksi komission täytäntöönpanopäätöstä (EU) 2015/1505 olisi muutettava siten, että viittaus standardiin ETSI TS 119 612 päivitetään sen uudempaan versioon 2.4.1. Tämän muutoksen vuoksi mainittuun täytäntöönpanopäätökseen on tehtävä myös tiettyjä lisämuutoksia. Ensinnäkin luotetuissa luetteloissa mainittavia tietoja olisi selkeytettävä tällaisten luetteloiden sisällön tulkinnan osalta, jotta luottavat osapuolet voivat tulkita luotetuissa luetteloissa olevia tietoja. Toiseksi luotettuihin luetteloihin sovellettavien sähköisten allekirjoitusten tai leimojen luomiseen liittyviä eritelmiä olisi mukautettava tiettyjen tunnettujen ja ilmoitettujen haavoittuvuuksien estämiseksi.

(5)	Sen varmistamiseksi, että luottavilla osapuolilla on riittävästi aikaa mukautua liitteessä vahvistettuihin eritelmiin, tämän päätöksen soveltamista olisi lykättävä.

(6)	Kaikkiin tämän päätöksen mukaisiin henkilötietojen käsittelytoimiin sovelletaan Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (4) ja tarvittaessa Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY (5).

(7)	Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (6) 42 artiklan 1 kohdan mukaisesti, ja hän antoi lausuntonsa 8 päivänä elokuuta 2025 (7).

(8)	Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Muutetaan täytäntöönpanopäätöksen (EU) 2015/1505 liite I tämän päätöksen liitteen mukaisesti.

2 artikla

Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tätä päätöstä sovelletaan 29 päivästä huhtikuuta 2026.

Tehty Brysselissä 27 päivänä lokakuuta 2025.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN

(1) EUVL L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Komission täytäntöönpanopäätös (EU) 2015/1505, annettu 8 päivänä syyskuuta 2015, luotettujen luetteloiden teknisten eritelmien ja muotoseikkojen vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 22 artiklan 5 kohdan mukaisesti (EUVL L 235, 9.9.2015, s. 26, ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj).

(3) Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183, annettu 11 päivänä huhtikuuta 2024, asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (EUVL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(5) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(6) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) EDPS Formal comments on the draft regarding the version of the standard on which the common template of the trusted lists is based | Euroopan tietosuojavaltuutettu.

LIITE

Muutetaan täytäntöönpanopäätöksen (EU) 2015/1505 liite I seuraavasti:

1)	Korvataan II luvun ensimmäinen kohta seuraavasti: ”Näissä eritelmissä hyödynnetään ETSIn teknisessä eritelmässä 119 612 v2.4.1, jäljempänä ’ETSI TS 119 612’, esitettyjä eritelmiä ja vaatimuksia.”

Korvataan II luvussa otsikon ”Scheme type/community/rules (lauseke 5.3.9)” jälkeen tuleva jakso seuraavasti:

” Scheme type/community/rules (lauseke 5.3.9)

Tämä kenttä on pakollinen, ja siinä on noudatettava ETSI TS 119 612:n lausekkeen 5.3.9 eritelmiä.

Tämän kentän URI-tunnisteiden on oltava brittienglantia.

Tässä kentässä on oltava ainakin kaksi URI-tunnistetta seuraavasti:

kaikkien jäsenvaltioiden luotettujen luetteloiden yhteinen URI viittaa kuvaustekstiin, jota on sovellettava kaikkiin luotettuihin luetteloihin seuraavasti:

—	URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

—

Kuvaus:

”A. Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services they provide, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State’s trusted list, compiled by the European Commission.

B. Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services they provide meet the requirements laid down in that Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Implementing Decision (EU) 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State’s trusted list must provide information on the national supervisory scheme and, where applicable, national approval, including through accreditation scheme(s) under which the trust service providers and the trust services they provide are listed.

C. Interpretation of the trusted list

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

C.1 Qualified status of a trust service

The qualified status of a trust service is indicated by the combination of:

—	the ’Service type identifier’ (’Sti’) value in a service entry;

—

where applicable, the presence of one of the following values in all the fields ’additionalServiceInformation extension’ in the service entry:

—	’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/ForeSignatures ’: further specifying the ’Sti’ identified service as being provided for electronic signatures;

—	’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/ForeSeals ’: further specifying the ’Sti’ identified service as being provided for electronic seals; or

—	’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/ForWebSiteAuthentication ’: further specifying the ’Sti’ identified service as being provided for website authentication; and

—	the status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’.

Historical information about such a qualified status is similarly provided when applicable.

C.1.1 Service status under Regulation (EU) No 910/2014

Including and after 1st July 2016 (UTC+2), the value of the ’Service current status’ field used by the Supervisory Body designated in a Member State to indicate that a trust service entry is representing a qualified trust service is the URI ’ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/granted ’.

C.1.2 Service status under Directive 1999/93/EC

Strictly before 1st July 2016 (UTC+2), the value of the ’Service current status’ field used by the Supervisory Body designated in a Member State to indicate that a trust service entry is representing a certification-service-provider issuing qualified certificates is one of the following URIs:

—	’ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/undersupervision ’;

—	’ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/supervisionincessation ’; or

—	’ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/accredited ’.

C.2 Qualified status of a certificate

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication, a ’CA/QC’ ’Service type identifier’ (’Sti’) entry indicates that any end-entity certificate issued by or under the CA represented by the CA’s public key and CA’s name (both CA data to be considered as trust anchor input) present in the ’Service digital identifier’ (’Sdi’), is or was a qualified certificate (QC) at a certain date and time provided that the trust service entry indicates a granted qualified status (see clause C.1) and that the below requirements are met with reference to that date and time.

C.2.1 Default rules

C.2.1.1 Certificate status standardised rule

The end-entity certificate contains the ETSI standardised QcStatements extension as specified in standard ETSI EN 319 412–5 with the following requirements:

—	the id-etsi-qcs-QcCompliance (urn:oid:0.4.0.1862.1.1) QcStatement is present; and

—

where present, the id-etsi-qcs-QcType (urn:oid:0.4.0.1862.1.6) QcStatement contains exactly one of the following values:

—	the id-etsi-qct-esign (urn:oid:0.4.0.1862.6.1) ETSI defined QC type identifier;

—	the id-etsi-qct-eseal (urn:oid:0.4.0.1862.6.2) ETSI defined QC type identifier; or

—	the id-etsi-qct-web (urn:oid:0.4.0.1862.6.3) ETSI defined QC type identifier.

Optionally, the id-etsi-qct-QcSSCD (urn:oid:0.4.0.1862;4) QcStatement may be present.

C.2.1.2 Certificate status under Directive 1999/93/EC

Restricted to the context of Directive 1999/93/EC and as a legacy alternative to the above standardised rule, the end-entity certificate contains:

—	the ETSI standardised QcStatements extension (as specified in ETSI EN 319 412–5) with the id-etsi-qcs-QcCompliance (urn:oid:0.4.0.1862.1.1) QcStatement being present;

—	the legacy QCP+ (urn:oid:0.4.0.1456.1.1) ETSI defined certificate policy OID; or

—	the legacy QCP (urn:oid:0.4.0.1456.1.2) ETSI defined certificate policy OID.

C.2.2 Additional rules: Presence of Qualifications Extension

If ’Sie’ ’Qualifications Extension’ information as specified in clause 5.5.9.2 of standard ETSI TS 119 612 is present, then in addition to the above default rules, those certificates that are identified through the use of ’Sie’ ’Qualifications Extension’ information must be considered according to the associated qualifiers. Those qualifiers are used when necessary to compensate for a lack of standardised machine processable information in the corresponding certificate content. They are not to be used to compensate for a lack of machine processable information in certificates issued after 1 July 2016 where that lack would result in a non-compliance with Annex I, III or IV of Regulation (EU) No 910/2014. However, they can be used to provide further machine processable information when the information provided in the certificate, while compliant with the Regulation, does not align with the above default interpretation rules. Where used, they provide additional information regarding:

—

their qualified status:

—	’QCStatement’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCStatement ’) meaning the identified certificates are qualified under Directive 1999/93/EC or under Regulation (EU) No 910/2014; or

—	’NotQualified’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/NotQualified ’) meaning the identified certificates are not to be considered as qualified.

—

the nature of their qualification:

—	’QCForESig’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForESig ’) meaning the identified certificates, when claimed or stated as qualified, are qualified certificates for electronic signature under Regulation (EU) No 910/2014;

—	’QCForESeal’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForESeal ’) meaning the identified certificates, when claimed or stated as qualified, are qualified certificates for electronic seal under Regulation (EU) No 910/2014; or

—	’QCForWSA’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForWSA ’) meaning the identified certificates, when claimed or stated as qualified, are qualified certificates for website authentication under Regulation (EU) No 910/2014.

—

whether or not the private key resides in a qualified signature or qualified seal creation device (QSCD) and the nature thereof:

—	’QCWithQSCD’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCWithQSCD ’) meaning the identified certificates, when claimed or stated as qualified, have their private key residing in a QSCD;

—	’QCNoQSCD’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCNoQSCD ’) meaning the identified certificates, when claimed or stated as qualified, have not their private key residing in a QSCD;

—	’QCQSCDStatusAsInCert’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCQSCDStatusAsInCert ’) meaning the identified certificates, when claimed or stated as qualified, do contain proper machine processable information about whether or not their private key is residing in a QSCD; or

—

’QCQSCDManagedOnBehalf’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCQSCDManagedOnBehalf ’) meaning the identified certificates, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate;

Restricted to the context of certificates issued under Directive 1999/93/EC, the following qualifiers are defined and provide additional information regarding:

—

whether or not the private key resides in a secure signature creation device (SSCD):

—	’QCWithSSCD’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCWithSSCD ’) meaning the identified certificates, when claimed or stated as qualified, have their private key residing in an SSCD;

—	’QCNoSSCD’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCNoSSCD ’) meaning the identified certificates, when claimed or stated as qualified, do not have their private key residing in an SSCD; or

—	’QCSSCDStatusAsInCert’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCSSCDStatusAsInCert ’) meaning the identified certificates, when claimed or stated as qualified, do contain proper machine processable information about whether or not their private key is residing in an SSCD.

—

the issuance to a Legal Person:

—	’QCForLegalPerson’ (’ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForLegalPerson ’) meaning the identified certificates, when claimed or stated as qualified, are issued to a Legal Person under Directive 1999/93/EC.

Note:

The information provided in the trusted list is to be considered as accurate meaning that the certificate is not to be considered as qualified if the end-entity certificate does not follow any of the default rules defined above, and:

—	if no ’Sie’ ’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’QCStatement’ qualifier, or

—	a ’Sie’ ’Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ’NotQualified’ qualifier.

C.3 Trust anchors

’Service digital identifiers’ are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer’s or seal creator’s certificate is to be validated against information in the trusted list, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate represents the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

C.4 General rule for the interpretation of trust service entries

The general rule for interpretation of any ’Sti’ type entry, possibly further specified through a ’Sie’ ’additionalServiceInformation’, not corresponding to qualified trust services is that, for that ’Sti’ identified service type, and possibly in combination with a ’Sie’ ’additionalServiceInformation’ URI, the listed service named according to the ’Service name’ field value and uniquely identified by the ’Service digital identity’ field value has the current approval status according to the ’Service current status’ field value as from the date indicated in the ’Current status starting date and time’.

Specific interpretation rules for any additional information with regard to a listed service (e.g. ’Service information extensions’ field) may be found, when applicable, in the Member State specific URI as part of the present ’Scheme type/community/rules’ field.

Please refer to the implementing acts adopted pursuant to Article 22(5) of Regulation (EU) No 910/2014 for further details on the specifications of the fields of the Member States’ trusted lists.”

Kunkin jäsenvaltion luotetun luettelon erityinen URI viittaa kuvaustekstiin, jota on sovellettava kyseisen jäsenvaltion luotettuun luetteloon:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, jossa CC = ”Scheme territory” -kentässä käytetty standardin ISO 3166-1 (1) kaksimerkkinen maakoodi (lauseke 5.3.10)

—	Tästä URI:stä käyttäjät voivat saada selville kyseisen jäsenvaltion erityiset toimintatavat/säännöt, joiden suhteen luetteloon sisällytettyjä luottamuspalveluja arvioidaan jäsenvaltion valvontajärjestelmän ja tarvittaessa kelpuuttamisjärjestelmän mukaisesti.

—

Tästä URI:stä käyttäjät voivat saada selville kyseisen jäsenvaltion erityisen kuvauksen siitä, miten luotetun luettelon sisältöä käytetään ja tulkitaan suhteessa luettelossa oleviin ei-hyväksyttyihin luottamuspalveluihin ja/tai kansallisesti määriteltyihin luottamuspalveluihin. Sitä voidaan käyttää osoittamaan CSP/TSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, liittyvässä kansallisessa kelpuuttamisjärjestelmässä mahdollisesti esiintyvää tarkkuusastetta ja sitä, miten kenttiä ”Scheme service definition URI” (lauseke 5.5.6) ja ”Service information extension” (lauseke 5.5.9) käytetään tähän tarkoitukseen.

b)	Jäsenvaltiot voivat määritellä ja käyttää muita URI-tunnisteita yllä mainitusta jäsenvaltiokohtaisesta URI:stä alkaen (eli hierarkiakohtaisesta URI:stä lähtien määriteltyjä URI-tunnisteita).”

Lisätään II lukuun otsikon ”’Service current status (lauseke 5.5.4)” alla olevan jakson jälkeen jakso seuraavasti:

” The Signature element (lauseke B.1), General (lauseke B.1.0)

Tämä lauseke on pakollinen, ja siinä on noudatettava ETSI TS 119 612:n lausekkeen B.1.0 eritelmiä, kun 2 kohta korvataan seuraavasti:

”2)

Its ds:SignedInfo element shall contain a ds:Reference element with the URI attribute set to an empty string (i.e. URI=""), so as to refer to the entire document. This ds:Reference element shall satisfy the following requirements:

a)	It shall contain only one ds:Transforms element;

This ds:Transforms element shall contain two ds:Transform elements. The first one will be one whose Algorithm attribute indicates the enveloped transformation with the value: ’http://www.w3.org/2000/09/xmldsig#enveloped-signature’. The second one will be one whose Algorithm attribute instructs to perform the exclusive canonicalization ’http://www.w3.org/2001/10/xml-exc-c14n#’.””

(1) ISO 3166-1:2006: ”Codes for the representation of names of countries and their subdivisions. Part 1: Country codes”.