PROVEDBENA UREDBA KOMISIJE (EU) 2024/2980

оd 28. studenoga 2024.

o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu prijava Komisiji koje se odnose na ekosustav europskih lisnica za digitalni identitet

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 5.a stavak 23.,

budući da:

(1)

Europski okvir za digitalni identitet uspostavljen Uredbom (EU) br. 910/2014 važan je element za uspostavu sigurnog i interoperabilnog ekosustava digitalnog identiteta u cijeloj Uniji. Temelj okvira su europske lisnice za digitalni identitet („lisnice”), a cilj mu je olakšati pristup uslugama u svim državama članicama i zajamčiti zaštitu osobnih podataka i privatnosti.

(2)	Na sve aktivnosti obrade osobnih podataka na temelju ove Uredbe primjenjuju se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (2) ili Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća (3) i, prema potrebi, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (4).

(3)

Člankom 5.a stavkom 23. Uredbe (EU) br. 910/2014 Komisija se ovlašćuje da prema potrebi utvrđuje relevantne specifikacije i postupke. To će učiniti putem četiri provedbene uredbe, koje se odnose na protokole i sučelja Provedbena uredba Komisije (EU) 2024/2982 (5), cjelovitost i osnovne funkcionalnosti Provedbena uredba Komisije (EU) 2024/2979 (6), osobne identifikacijske podatke i elektroničku potvrdu atributa Provedbena uredba Komisije (EU) 2024/2977 (7) te prijave Komisiji Provedbena uredba Komisije (EU) 2024/2980 (8). Ovom se Uredbom utvrđuju relevantni zahtjevi za prijave koje države članice podnose o pouzdanim subjektima koji čine temelj vjerodostojnosti europskog okvira za digitalni identitet.

(4)

Komisija redovito ocjenjuje nove tehnologije, prakse, norme ili tehničke specifikacije. Kako bi države članice u najvećoj mogućoj mjeri usklađeno razvijale i certificirale lisnice, tehničke specifikacije utvrđene u ovoj Uredbi temelje se na Preporuci Komisije (EU) 2021/946 od 3. lipnja 2021. o zajedničkom Unijinu paketu alata za koordinirani pristup europskom okviru za digitalni identitet (9), osobito na njezinu arhitekturnom i referentnom okviru. U skladu s uvodnom izjavom 75. Uredbe (EU) 2024/1183 Europskog parlamenta i Vijeća (10) Komisija bi ovu Provedbenu uredbu trebala preispitivati i, prema potrebi, ažurirati kako bi bila u skladu s globalnim kretanjima, arhitekturnim i referentnim okvirom te provjerenim praksama na unutarnjem tržištu.

(5)

Kako bi se uspostavio transparentan i pouzdan izvor informacija za autentifikaciju subjekata u ekosustavu europske lisnice za digitalni identitet, kao što su pružatelji lisnice, pružatelji osobnih identifikacijskih podataka i pouzdajuće strane lisnice, države članice trebale bi dostavljati potrebne informacije putem elektroničkog sustava koji na raspolaganje stavi Komisija. U skladu s pristupom iz Provedbene odluke Komisije (EU) 2015/1984 (11) o utvrđivanju okolnosti, oblika i postupaka prijave koji se odnose na sustave elektroničke identifikacije za sredstva elektroničke identifikacije, države članice bi Komisiji informacije trebale dostavljati na engleskom jeziku. Na taj će način opisi svih sustava elektroničke identifikacije biti dostupni na engleskom jeziku, neovisno o tome odnose li se na sredstva elektroničke identifikacije ili na lisnice.

(6)

U istu svrhu uspostave izvora informacija koji omogućuju autentifikaciju subjekata u ekosustavu europske lisnice za digitalni identitet Komisija bi trebala uspostaviti infrastrukturu za stavljanje informacija na raspolaganje javnosti na siguran, ljudima čitljiv, jasan i lako dostupan način te u elektronički potpisanom ili zapečaćenom obliku prikladnom za automatiziranu obradu, među ostalim pružanjem aplikacijskog programskog sučelja.

(7)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 te je on dao mišljenje 30. rujna 2024.

(8)	Mjere predviđene ovom Uredbom u skladu su s mišljenjem Odbora iz članka 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU UREDBU:

Članak 1.

Predmet i područje primjene

Ovom se Uredbom utvrđuju obveze prijavljivanja kako bi se omogućila validacija:

elektroničkih registara u kojima država članica objavljuje informacije o pouzdajućim stranama lisnice registriranima u toj državi članici u skladu s člankom 5.b stavkom 5. Uredbe (EU) br. 910/2014 („registri pouzdajućih strana lisnice”), lokacija registara pouzdajućih strana lisnice i identifikacije voditelja registara pouzdajućih strana lisnice;

2.	identiteta registriranih pouzdajućih strana lisnice;

3.	autentičnosti i valjanosti jedinica lisnice;

4.	identifikacije pružatelja lisnice;

5.	autentičnosti osobnih identifikacijskih podataka;

6.	identifikacije pružatelja osobnih identifikacijskih podataka; te će se obveze redovito ažurirati kako bi bile u skladu s razvojem tehnologije i normi te s radom na temelju Preporuke (EU) 2021/946, osobito na temelju arhitekturnog i referentnog okvira.

Članak 2.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.	„pružatelj lisnice” znači fizička ili pravna osoba koja stavlja na raspolaganje izvedbe lisnice;

2.	„pružatelj osobnih identifikacijskih podataka” znači fizička ili pravna osoba odgovorna za izdavanje i opoziv osobnih identifikacijskih podataka i kriptografsko povezivanje osobnih identifikacijskih podataka određenog korisnika s određenom jedinicom lisnice;

3.	„pouzdajuća strana lisnice” znači pouzdajuća strana koja se namjerava pouzdati u jedinice lisnice radi pružanja javnih ili privatnih usluga putem digitalne interakcije;

4.	„registar pouzdajućih strana lisnice” znači elektronički registar u kojem država članica objavljuje informacije o pouzdajućim stranama lisnice registriranima u toj državi članici, kako je utvrđeno u članku 5.b stavku 5. Uredbe (EU) br. 910/2014;

5.	„voditelj registra pouzdajućih strana lisnice” znači tijelo odgovorno za sastavljanje i vođenje popisa registriranih pouzdajućih strana lisnice s poslovnim nastanom na njegovu državnom području koje je imenovala država članica;

6.	„jedinica lisnice” znači jedinstvena konfiguracija izvedbe lisnice koja obuhvaća instance lisnice, sigurne kriptografske aplikacije lisnice i sigurne kriptografske uređaje lisnice i koju pružatelj lisnice daje pojedinačnom korisniku lisnice;

7.	„izvedba lisnice” znači kombinacija softvera, hardvera, usluga, postavki i konfiguracija, uključujući instance lisnice, najmanje jednu sigurnu kriptografsku aplikaciju lisnice i najmanje jedan sigurni kriptografski uređaj lisnice;

8.	„instanca lisnice” znači aplikacija koja je instalirana i konfigurirana na uređaju ili u okruženju korisnika lisnice, dio je jedinice lisnice i korisniku lisnice služi za interakciju s jedinicom lisnice;

9.	„sigurna kriptografska aplikacija lisnice” znači aplikacija za upravljanje ključnim resursima povezana sa sigurnim kriptografskim uređajem lisnice čije kriptografske i nekriptografske funkcije koristi;

10.

„sigurni kriptografski uređaj lisnice” znači uređaj zaštićen od neovlaštenih radnji koji osigurava okruženje povezano sa sigurnom kriptografskom aplikacijom lisnice koje ona koristi za zaštitu ključnih resursa i u kojem se za nju izvršavaju kriptografske funkcije za sigurno izvođenje ključnih operacija;

11.	„ključni resursi” znači resursi unutar lisnice ili povezani s njom koji su toliko izvanredno važni da bi zbog ugrožavanja njihove dostupnosti, povjerljivosti ili cjelovitosti mogućnost pouzdavanja u jedinicu lisnice bila ozbiljno narušena;

12.	„korisnik lisnice” znači korisnik koji ima kontrolu nad jedinicom lisnice;

13.	„pružatelj pristupnih certifikata pouzdajućih strana lisnice” znači fizička ili pravna osoba koju je država članica ovlastila za izdavanje pristupnih certifikata pouzdajućih strana pouzdajućim stranama lisnice koje su registrirane u toj državi članici;

14.	„pristupni certifikat pouzdajuće strane lisnice” znači certifikat za elektroničke pečate ili potpise kojim se autentificira i validira pouzdajuća strana lisnice, a koji izdaje pružatelj pristupnih certifikata pouzdajućih strana lisnice.

Članak 3.

Sustav za prijave

1. Komisija državama članicama najkasnije 12 mjeseci nakon objave ove Uredbe u Službenom listu Europske unije na raspolaganje stavlja siguran elektronički sustav za prijave koji im omogućuje dostavljanje informacija o tijelima i mehanizmima iz članka 5.a stavka 18. Uredbe (EU) br. 910/2014.

2. Sigurni elektronički sustav za prijave mora ispunjavati tehničke zahtjeve iz Priloga I.

Članak 4.

Prijave koje podnose države članice

1. Države članice putem sigurnog elektroničkog sustava za prijave iz članka 3. stavka 1. dostavljaju barem informacije navedene u Prilogu II.

2. Države članice prijave podnose barem na engleskom jeziku. Države članice nisu obvezne prevoditi dokumente kojima potkrepljuju prijave ako bi to stvorilo neopravdano administrativno ili financijsko opterećenje.

3. Komisija može od država članica zatražiti dodatne informacije ili pojašnjenja kako bi provjerila potpunost i dosljednost dostavljenih informacija.

Članak 5.

Objave Komisije

1. Komisija sastavlja, vodi i objavljuje popis informacija koje države članice dostave o voditeljima registara pouzdajućih strana lisnice i registrima pouzdajućih strana lisnice kako je navedeno u odjeljku 1. Priloga II.

2. Komisija sastavlja, vodi i objavljuje popis informacija koje države članice dostave o pružateljima lisnice, pružateljima osobnih identifikacijskih podataka i pružateljima pristupnih certifikata pouzdajućih strana lisnice kako je navedeno u odjeljcima 2., 3. i 4. Priloga II.

3. Komisija je dužna osigurati da se popisima iz stavaka 1. i 2. ovog članka može pristupiti:

(a)	i u elektronički potpisanom ili zapečaćenom obliku prikladnom za automatiziranu obradu i na ljudima čitljivoj internetskoj stranici dostupnoj barem na engleskom jeziku;

(b)	bez potrebe za registracijom ili autentifikacijom da bi se popisi pribavili ili pročitali;

(c)	na siguran način, upotrebom najsuvremenije enkripcije na transportnom sloju.

4. Uz popise iz stavaka 1. i 2. Komisija objavljuje:

(a)	tehničke specifikacije koje koristi za strukturu popisa;

(b)	pojedinosti o URL-u na kojem su popisi objavljeni;

(c)	certifikate koji se koriste za provjeru potpisa ili pečata na popisima;

(d)	pojedinosti o mehanizmima koji se koriste za validaciju promjena lokacije iz točke (b) ili certifikata iz točke (c).

Članak 6.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 28. studenoga 2024.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 257, 28.8.2014., str. 73., ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Provedbena uredba Komisije (EU) 2024/2982 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu protokola i sučelja koje treba podržavati europski okvir za digitalni identitet (SL L, 2024/2982, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(6) Provedbena uredba Komisije (EU) 2024/2979 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu cjelovitosti i osnovnih funkcionalnosti europskih lisnica za digitalni identitet (SL L, 2024/2979, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(7) Provedbena uredba Komisije (EU) 2024/2977 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu osobnih identifikacijskih podataka i elektroničkih potvrda atributa koji se izdaju europskim lisnicama za digitalni identitet (SL L, 2024/2977, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(8) Provedbena uredba Komisije (EU) 2024/2980 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu prijava Komisiji koje se odnose na ekosustav europskih lisnica za digitalni identitet (SL L, 2024/2980, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(9) SL L 210, 14.6.2021., str. 51., ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(10) Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024. o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet (SL L, 2024/1183, 30.4.2024., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(11) Provedbena odluka Komisije (EU) 2015/1984 оd 3. studenog 2015. o utvrđivanju okolnosti, oblika i postupaka prijave u skladu s člankom 9. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (SL L 289, 5.11.2015., str. 18., ELI: http://data.europa.eu/eli/dec_impl/2015/1984/oj).

PRILOG II.

ZAHTJEVI ZA PRIJAVE KOJE PODNOSE DRŽAVE ČLANICE

1. Prijava informacija o voditeljima registara i registrima

Države članice Komisiji dostavljaju sljedeće informacije o svojim voditeljima registara i registrima:

(a)	ime registra;

(b)	najmanje jedan URL na kojem se može pristupiti registru i koji koristi najsuvremenije šifriranje transportnog sloja;

(c)	ime voditelja registra koji je odgovoran za taj registar;

(d)	ako je to primjenjivo, registracijski broj voditelja registra;

(e)	državu članicu u kojoj voditelj registra ima poslovni nastan;

(f)	e-adresu i telefonski broj voditelja registra za pitanja povezana s registrom;

(g)	ako je to primjenjivo, URL internetske stranice za dodatne informacije o voditelju registra i registru;

(h)	URL internetske stranice s pravilima o registraciji koja se primjenjuju na taj registar i povezane informacije;

(i)

jedan ili više certifikata u skladu s normom IETF RFC 3647 koji se mogu upotrebljavati za provjeru potpisa ili pečata koje voditelj registra stavi na podatke iz registra i za koje certificirani podaci o identitetu sadržavaju ime i, ako je to primjenjivo, registracijski broj voditelja registra, iz točaka (c) odnosno (d).

2.	Informacije iz točke 1. dostavljaju se za svaki registar i voditelja registra.

2. Prijava informacija o pružateljima lisnice i mehanizmima za validaciju vjerodostojnosti i valjanosti jedinica lisnice

Države članice Komisiji dostavljaju sljedeće informacije o pružateljima lisnice:

(a)	ime pružatelja lisnice;

(b)	ako je to primjenjivo, registracijski broj pružatelja lisnice;

(c)	ako je to primjenjivo, ime tijela odgovornog za pružanje izvedbe lisnice;

(d)	državu članicu u kojoj pružatelj lisnice ima poslovni nastan;

(e)	e-adresu i telefonski broj pružatelja lisnice za pitanja povezana s izvedbama lisnice koje pruža;

(f)	ako je to primjenjivo, URL internetske stranice za dodatne informacije o pružatelju lisnice i izvedbi lisnice;

(g)	URL internetske stranice s pravilima i uvjetima pružatelja lisnice koji se primjenjuju na pružanje i korištenje izvedbe lisnice koju on pruža;

(h)

jedan ili više certifikata u skladu s normom IETF RFC 3647 koji se mogu upotrebljavati za autentifikaciju i validaciju komponenti jedinice lisnice koje pruža lisnica i za koje certificirani podaci o identitetu sadržavaju ime i, ako je to primjenjivo, registracijski broj pružatelja lisnice, iz točaka (a) odnosno (b).

(i)	ime i referentni broj svake izvedbe lisnice koju pružatelj lisnice pruža jer Komisija te informacije objavljuje u Službenom listu Europske unije u skladu s člankom 5.d Uredbe (EU) br. 910/2014.

2.	Informacije iz točke 1. dostavljaju se za svakog pružatelja lisnice.

3. Prijava informacija o pružateljima osobnih identifikacijskih podataka i mehanizmima za autentifikaciju i validaciju tih podataka

Države članice Komisiji dostavljaju sljedeće informacije o pružateljima osobnih identifikacijskih podataka:

(a)	ime pružatelja osobnih identifikacijskih podataka;

(b)	ako je to primjenjivo, registracijski broj pružatelja osobnih identifikacijskih podataka;

(c)	ako je to primjenjivo, ime tijela koje je dužno pobrinuti se da osobni identifikacijski podaci budu povezani s određenom jedinicom lisnice;

(d)	državu članicu u kojoj pružatelj osobnih identifikacijskih podataka ima poslovni nastan;

(e)	e-adresu i telefonski broj pružatelja osobnih identifikacijskih podataka za pitanja povezana s podacima koje pruža;

(f)	ako je to primjenjivo, URL internetske stranice koja sadržava dodatne informacije o pružatelju osobnih identifikacijskih podataka;

(g)	URL internetske stranice koja sadržava pravila i uvjete pružatelja osobnih identifikacijskih podataka koji se primjenjuju na pružanje i korištenje osobnih identifikacijskih podataka koje on pruža;

(h)

jedan ili više certifikata u skladu s normom IETF RFC 3647 koji se mogu upotrebljavati za provjeru potpisa ili pečata koje pružatelj osobnih identifikacijskih podataka stavi na osobne identifikacijske podatke koje pruža i za koje certificirani podaci o identitetu sadržavaju ime i, ako je to primjenjivo, registracijski broj pružatelja osobnih identifikacijskih podataka, kako je navedeno u točkama (a) odnosno (b).

2.	Informacije iz točke 1. dostavljaju se za svakog pružatelja osobnih identifikacijskih podataka.

4. Prijava informacija o pružateljima pristupnih certifikata pouzdajuće strane lisnice

Države članice Komisiji dostavljaju sljedeće informacije o pružateljima pristupnih certifikata pouzdajuće strane lisnice:

(a)	ime pružatelja pristupnih certifikata pouzdajuće strane lisnice;

(b)	ako je to primjenjivo, registracijski broj pružatelja pristupnih certifikata pouzdajuće strane lisnice;

(c)	državu članicu u kojoj pružatelj pristupnih certifikata pouzdajuće strane lisnice ima poslovni nastan;

(d)	e-adresu i telefonski broj pružatelja pristupnih certifikata pouzdajuće strane lisnice za pitanja povezana s pristupnim certifikatima koje izdaje pouzdajućim stranama lisnice;

(e)	ako je to primjenjivo, URL internetske stranice pružatelja pristupnih certifikata pouzdajuće strane lisnice koja sadržava dodatne informacije o pružatelju i pristupnim certifikatima koje izdaje pouzdajućim stranama lisnice;

(f)	URL internetske stranice koja sadržava pravila i uvjete koji se primjenjuju na pružanje i korištenje pristupnih certifikata koje taj pružatelj izdaje pouzdajućim stranama lisnice;

(g)

jedan ili više certifikata u skladu s normom IETF RFC 3647 koji se mogu upotrebljavati za provjeru potpisa ili pečata koje pružatelj pristupnih certifikata pouzdajuće strane lisnice stavi na pristupne certifikate koje pruža pouzdajućim stranama lisnice zajedno s informacijama, ako je to primjenjivo, koje su potrebne da bi se pristupni certifikati pouzdajuće strane lisnice razlikovali od drugih certifikata.

2.	Informacije iz točke 1. dostavljaju se za svakog pružatelja pristupnih certifikata pouzdajućih strana lisnice.