KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) …/…,

annettu 27.10.2025,

Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä ei-hyväksyttyjen luottamuspalvelujen tarjoamiseen kohdistuvien riskien hallintaa koskevien viitestandardien, eritelmien ja menettelyjen osalta

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 1 ja erityisesti sen 19 a artiklan 2 kohdan,

sekä katsoo seuraavaa:

(1)Ei-hyväksytyillä luottamuspalvelun tarjoajilla on tärkeä rooli digitaalisessa ympäristössä, sillä ne tarjoavat luottamuspalveluja, jotka helpottavat turvallisia sähköisiä transaktioita. Asetuksessa (EU) N:o 910/2014 asetetaan ei-hyväksytyille luottamuspalvelun tarjoajille vähemmän sääntelyvaatimuksia kuin hyväksytyille luottamuspalvelun tarjoajille. Kaikkiin luottamuspalvelun tarjoajiin sovelletaan kuitenkin turvallisuutta ja vastuuta koskevia vaatimuksia, joilla varmistetaan asianmukainen huolellisuus, läpinäkyvyys ja vastuuvelvollisuus niiden toiminnoissa ja palveluissa.

(2)Ei-hyväksyttyjä luottamuspalvelun tarjoajia voidaan pitää tärkeinä tai keskeisinä toimijoina Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 2 3 artiklan mukaisesti. Näin ollen niihin sovelletaan kyberturvallisuusriskien hallintatoimenpiteiden teknisistä ja menetelmiin liittyvistä vaatimuksista annettua komission täytäntöönpanoasetusta (EU) 2024/2690 3 . Asetuksen (EU) N:o 910/2014 19 a artiklan 1 kohdan a alakohdassa säädettyjen vaatimusten soveltamisala liittyy kuitenkin riskinhallintamenettelyihin, jotka koskevat ei-hyväksyttyjen luottamuspalvelujen tarjoamiseen liittyviä oikeudellisia, liiketoiminnallisia, operatiivisia ja muita suoria tai välillisiä riskejä. Jotta voidaan täydentää täytäntöönpanoasetuksessa (EU) 2024/2690 vahvistettua riskinhallintakehystä ja mahdollistaa johdonmukainen lähestymistapa kaikentyyppisten merkityksellisten riskien hallintaan, olisi vahvistettava eritelmät ja menettelyt, jotka koskevat ei‑hyväksyttyjen luottamuspalvelun tarjoajien suorittamaa kyseisten riskien hallintaa. Euroopan unionin kyberturvallisuusviraston (ENISA) tai direktiivin (EU) 2022/2555 mukaisten kansallisten toimivaltaisten viranomaisten antamilla ohjeilla voidaan tukea ei-hyväksyttyjä luottamuspalvelun tarjoajia asianmukaisten riskinhallintaperiaatteiden suunnittelussa ja täytäntöönpanossa.

(3)Asetuksen (EU) N:o 910/2014 19 a artiklan 2 kohdassa säädettyä vaatimustenmukaisuusolettamaa olisi sovellettava ainoastaan, jos ei-hyväksytyt luottamuspalvelun tarjoajat noudattavat tässä asetuksessa vahvistettuja standardeja. Liitteessä tarkoitettujen viitestandardien olisi heijastettava vakiintuneita käytäntöjä, ja niiden olisi oltava laajasti tunnustettuja kyseessä olevilla aloilla. Sen varmistamiseksi, että ei-hyväksytyt luottamuspalvelun tarjoajat hallitsevat ei-hyväksytyn luottamuspalvelun tarjoamiseen kohdistuvia oikeudellisia, liiketoiminnallisia, operatiivisia ja muita suoria tai välillisiä riskejä asetuksen (EU) N:o 910/2014 19 a artiklan 1 kohdan mukaisesti, ei-hyväksyttyjen luottamuspalvelujen tarjoajien olisi noudatettava liitteessä viitattuja standardien osia ja tässä asetuksessa säädettyjä riskinhallintavaatimuksia vaatimustenmukaisuusolettamaa varten.

(4)Jos ei-hyväksytty luottamuspalvelun tarjoaja noudattaa tässä täytäntöönpanoasetuksessa säädettyjä vaatimuksia, valvontaelinten olisi oletettava, että asetuksen (EU) N:o 910/2014 asiaankuuluvia vaatimuksia noudatetaan. Ei-hyväksytty luottamuspalvelun tarjoaja voi kuitenkin edelleen tukeutua muihin käytäntöihin osoittaakseen, että asetuksen (EU) N:o 910/2014 vaatimuksia noudatetaan.

(5)Sen varmistamiseksi, että tunnistettuihin riskeihin puututaan riittävällä tavalla, ei‑hyväksyttyjen luottamuspalvelun tarjoajien noudattamiin riskinhallintaperiaatteisiin olisi sisällyttävä menettelyt riskien dokumentointia ja arviointia sekä asianmukaisten riskinkäsittelytoimenpiteiden määrittämistä, valintaa ja toteuttamista varten. Riskinkäsittelytoimenpiteiden toteuttamista olisi seurattava jatkuvasti. Ei‑hyväksyttyjen luottamuspalvelun tarjoajien olisi varmistettava niiden tietojen eheys ja luottamuksellisuus, jotka ne kirjaavat ja säilyttävät osana riskinkäsittelytoimenpiteitään. Läpinäkyvyyden lisäämiseksi ja valvontatoimien tukemiseksi ei-hyväksyttyjen luottamuspalvelun tarjoajien olisi lisäksi julkaistava soveltamansa henkilöllisyyden tarkastusmenetelmät. Koska kaikkia tunnistettuja riskejä ei voida täysin käsitellä välttämällä tai lieventämällä niitä tai siirtämällä niitä muille yhteisöille, ei-hyväksyttyjen luottamuspalvelun tarjoajien hallintoelinten olisi hyväksyttävä mahdolliset jäännösriskit. Jäännösriskien hyväksymisperusteet olisi perusteltava ymmärrettävällä tavalla.

(6)Komissio arvioi säännöllisesti uusia teknologioita, käytäntöjä, standardeja tai teknisiä eritelmiä. Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1183 4 johdanto-osan 75 kappaleen mukaan komission olisi tarkasteltava uudelleen ja tarvittaessa päivitettävä tätä täytäntöönpanoasetusta sen pitämiseksi maailmanlaajuisen kehityksen ja uusien teknologioiden, käytäntöjen, standardien tai teknisten eritelmien mukaisena sekä sisämarkkinoiden parhaiden käytäntöjen noudattamiseksi.

(7)Tämän asetuksen mukaisiin henkilötietojen käsittelytoimiin sovelletaan Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 5 ja tarvittaessa Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY 6 .

(8)Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 7 42 artiklan 1 kohdan mukaisesti, ja hän antoi lausuntonsa 8 päivänä elokuuta 2025 8 .

(9)Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Viitestandardit

Asetuksen (EY) N:o 910/2014 19 a artiklan 2 kohdassa tarkoitetut viitestandardit esitetään tämän asetuksen liitteessä.

2 artikla

Riskienhallintaperiaatteet

1.Asetuksen (EU) N:o 910/2014 19 a artiklan 1 kohdassa tarkoitetuissa riskienhallintaperiaatteissa on yksilöitävä selkeästi luottamuspalvelut, joihin niitä sovelletaan, niiden on koskettava nimenomaan kyseistä luottamuspalvelua ja niiden on oltava ei-hyväksytyn luottamuspalvelun tarjoajan hallintoelimen hyväksymiä.

2.Riskienhallintaperiaatteisiin on sisällyttävä vähintään seuraavat osatekijät:

a)yleinen riskinsietotaso luottamuspalvelujen kriittisyyden ja vaaditun turvallisuustason mukaisesti ottaen huomioon uusin tekninen kehitys;

b)merkitykselliset riskikriteerit, mukaan lukien vähintään riskin todennäköisyys, vaikutus ja taso, ottaen huomioon kyberuhkatiedustelua ja haavoittuvuutta koskevat tiedot;

c)menettelytapa luottamuspalvelujen tarjoamiseen kohdistuvien riskien tunnistamiseksi ja dokumentoimiseksi, ottaen huomioon ei-hyväksytyn luottamuspalvelun tarjoajan käyttämän tietojärjestelmän koko laajuuden, mukaan lukien riskit, jotka liittyvät järjestelmän osiin sekä järjestelmän toteuttamiseen tai luottamuspalvelujen tarjoamiseen osallistuviin aktiivisiin tai passiivisiin osapuoliin;

d)tunnistettujen riskien arviointiprosessi, joka perustuu b alakohdassa tarkoitettuihin riskikriteereihin;

e)prosessi asianmukaisten riskinkäsittelytoimenpiteiden määrittämistä, priorisointia ja täytäntöönpanon jatkuvaa seurantaa varten;

f)prosessi riskienhallintaperiaatteiden täytäntöönpanon jatkuvaa seurantaa varten.

3.Ei-hyväksyttyjen luottamuspalvelun tarjoajien on otettava käyttöön asianmukaiset menettelyt ja ylläpidettävä asiakirjoja sen varmistamiseksi, että sovellettavassa lainsäädännössä asetetut vaatimukset pannaan täytäntöön.

4.Ei-hyväksyttyjen luottamuspalvelun tarjoajien on otettava käyttöön asianmukaiset dokumentoidut menettelyt, joilla varmistetaan luottamuspalvelujen tarjoamiseen mahdollisesti vaikuttavien unionin ja kansallisen lainsäädännön ja sääntelyn muutosten seuranta.

3 artikla

Riskien tunnistaminen, dokumentointi ja arviointi

Ei-hyväksyttyjen luottamuspalvelun tarjoajien on tunnistettava, dokumentoitava ja arvioitava kaikki asetuksen (EU) N:o 910/2014 19 a artiklan 1 kohdassa tarkoitetut riskit 2 artiklassa tarkoitettujen riskienhallintaperiaatteiden mukaisesti ja erityisesti

a)tunnistettava kolmansiin osapuoliin liittyvät riskit;

b)tunnistettava luottamuspalvelujen tarjonnassa mahdollisesti esiintyvä yksittäinen piste, jonka toimintahäiriö keskeyttää koko palvelun;

c)arvioitava tunnistetut riskit 2 artiklan 2 kohdan b alakohdassa tarkoitettujen riskikriteerien perusteella.

4 artikla

Riskinkäsittelytoimenpiteet

1.Ei-hyväksyttyjen luottamuspalvelun tarjoajien on 2 artiklassa tarkoitettujen toimintaperiaatteiden mukaisesti suunniteltava, dokumentoitava ja toteutettava riskinkäsittelytoimenpiteet ja suoritettava erityisesti seuraavat tehtävät:

a)määriteltävä asianmukaiset riskinkäsittelytoimenpiteet ja asetettava ne tärkeysjärjestykseen;

b)valittava, hyväksyttävä ja dokumentoitava valitut riskinkäsittelytoimenpiteet, mukaan lukien niiden turvallisuusvaatimukset ja toimintamenettelyt, riskienkäsittelysuunnitelmassa, ilmoitettava, kuka on vastuussa riskinkäsittelytoimenpiteiden toteuttamisesta ja milloin ne on määrä toteuttaa;

c)seurattava jatkuvasti riskinkäsittelytoimenpiteiden täytäntöönpanoa.

2.Edellä 1 kohdan b alakohdassa tarkoitetussa riskinkäsittelysuunnitelmassa on esitettävä ymmärrettävällä tavalla perustelut jäännösriskien hyväksymiselle.

3.Osana 1 kohdassa tarkoitettuja riskinkäsittelytoimenpiteitä ei-hyväksyttyjen luottamuspalvelun tarjoajien on myös

a)tarkastettava tarvittaessa luottamuspalvelun käyttäjien henkilöllisyys suoraan tai kolmannen osapuolen avulla ja julkaistava tiedot käytetyistä henkilöllisyyden tarkastusmenetelmistä;

b)todisteiden esittämiseksi oikeudellisissa menettelyissä ja palvelun jatkuvuuden varmistamiseksi kirjattava ja säilytettävä turvallisesti seuraavat tiedot niin kauan kuin se on tarpeen unionin tai kansallisen lainsäädännön mukaisesti, myös sen jälkeen, kun ei-hyväksytyn luottamuspalvelun tarjoajan toiminta on päättynyt:

–kaikki luottamuspalvelun käyttäjien rekisteröitymis- ja käyttösuhteen aloittamisprosessissa kerätyt merkitykselliset tiedot, mukaan lukien tarvittaessa käyttäjien henkilöllisyyden tarkastaminen,

–luottamuspalvelun käyttäjälle osoitetut todentamistiedot, jos sellaisia on, ja

–muutokset luottamuspalvelun tarjoamisessa käytettyjen julkisen avaimen varmenteiden tai muun salausmateriaalin tilassa;

c)varmistettava tarvittaessa, että luottamuspalvelun käyttäjälle osoitetut todentamistiedot ovat ainutlaatuisia.

4.Kun ei-hyväksytyt luottamuspalvelun tarjoajat määrittelevät, valitsevat ja hyväksyvät asianmukaisia riskinkäsittelytoimenpiteitä ja asettavat ne tärkeysjärjestykseen, niiden on otettava huomioon seuraavat seikat:

a)3 artiklassa tarkoitetun riskinarvioinnin tulokset;

b)riskinkäsittelytoimenpiteiden tehokkuus;

c)vaatimustenmukaisuuden arvioinnit;

d)merkittävät poikkeamat;

e)toteutuskustannukset suhteessa odotettuun hyötyyn;

f)sovellettava asianmukainen omaisuuserien turvallisuusluokittelu;

g)analyysi 3 artiklan mukaisesti tunnistettujen riskien mahdollisista vaikutuksista liiketoimintaan.

5.Ei-hyväksyttyjen luottamuspalvelun tarjoajien hallintoelinten on hyväksyttävä jäännösriskit, jotka jäävät jäljelle riskinkäsittelysuunnitelmassa esitettyjen riskinkäsittelytoimenpiteiden toteuttamisen jälkeen.

6.Ei-hyväksyttyjen luottamuspalvelun tarjoajien on arvioitava, dokumentoitava ja tarvittaessa päivitettävä riskinarvioinnin tulokset ja riskienkäsittelysuunnitelma suunnitelluin väliajoin ja vähintään kerran vuodessa ja kun infrastruktuurissa, toiminnassa tai riskeissä tapahtuu merkittäviä muutoksia tai esiintyy merkittäviä poikkeamia.

7.Ei-hyväksyttyjen luottamuspalvelun tarjoajien on varmistettava 3 kohdan b alakohdassa tarkoitettujen tietojen saatavuus, eheys ja luottamuksellisuus.

5 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 27.10.2025

Komission puolesta

Puheenjohtaja
Ursula VON DER LEYEN

(1) EUVL L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj .

(2) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj ).

(3) Komission täytäntöönpanoasetus (EU) 2024/2690, annettu 17 päivänä lokakuuta 2024, direktiivin (EU) 2022/2555 soveltamista koskevista säännöistä DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia varten siltä osin kuin on kyse kyberturvallisuusriskien hallintatoimenpiteiden teknisistä ja menetelmiin liittyvistä vaatimuksista ja sellaisten tapausten täsmentämisestä, joissa poikkeama katsotaan merkittäväksi (EUVL L, 2024/2690, 18.10.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj ).

(4) Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183, annettu 11 päivänä huhtikuuta 2024, asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (EUVL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj ).

(5) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj ).

(6) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj ).

(7) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8) EDPS Formal comments on the draft Implementing Regulation as regards specifications and procedures for the management of risks to the provision of non-qualified trust services | Euroopan tietosuojavaltuutettu .