PROVEDBENA UREDBA KOMISIJE (EU) 2025/1568

оd 29. srpnja 2025.

o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu postupovnih aranžmana za istorazinska ocjenjivanja sustava elektroničke identifikacije i za suradnju u organizaciji tih ocjenjivanja unutar Skupine za suradnju te o stavljanju izvan snage Provedbene odluke Komisije (EU) 2015/296

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 12. stavak 6. i članak 46.e stavak 7.,

budući da:

(1)

Uredbom (EU) br. 910/2014 predviđa se mehanizam istorazinskog ocjenjivanja sustava elektroničke identifikacije koje treba prijaviti, u kojem države članice mogu sudjelovati dobrovoljno. Istorazinska ocjenjivanja trebala bi državama članicama omogućiti da razumiju sustave elektroničke identifikacije koje treba prijaviti u skladu s člankom 9. stavkom 1. točkom (a) Uredbe (EU) br. 910/2014 i da djelotvorno surađuju kako bi se osigurala interoperabilnost tih sustava i izgradilo povjerenje u cijeloj Uniji. Istorazinska ocjenjivanja trebalo bi organizirati na način da se zajamči ravnopravna raspodjela rada i široka zastupljenost svih država članica te ih ne bi trebalo smatrati revizijama.

(2)

Provedbenom odlukom (EU) 2015/296 (2) uspostavljeni su postupovni aranžmani za suradnju u području sustava elektroničke identifikacije u kontekstu bivše mreže za suradnju eIDAS, među ostalim u pogledu istorazinskog ocjenjivanja koje provode članovi te mreže. Budući da zadaće istorazinskog ocjenjivanja sada organizira Europska skupina za suradnju u području digitalnog identiteta koja je osnovana Odlukom Komisije C(2024) 6132 od 5. rujna 2024. o uspostavi Europske skupine za suradnju u području digitalnog identiteta i izmjeni Provedbene odluke Komisije (EU) 2015/296 na temelju članka 46.e stavka 1. Uredbe (EU) br. 910/2014 („Skupina za suradnju”), Provedbenu odluku (EU) 2015/296 trebalo bi staviti izvan snage.

(3)

Kako bi se omogućio jednostavan pristup istorazinskom ocjenjivanju, svaka država članica trebala bi moći zatražiti njegovo pokretanje. U zahtjevu bi trebali biti navedeni razlozi zbog kojih se traži istorazinsko ocjenjivanje i dovoljno informacija koje potvrđuju da bi istorazinsko ocjenjivanje moglo doprinijeti interoperabilnosti ili sigurnosti sustava elektroničke identifikacije koje treba prijaviti. U tu svrhu nužno je uspostaviti jedinstvena pravila za minimalne potrebne informacije kako bi se zajamčilo da se istorazinsko ocjenjivanje može obaviti učinkovito i pravovremeno. Komisija može organizirati sastanke Skupine za suradnju kako bi poduprla pravovremeno pokretanje i završetak istorazinskog ocjenjivanja.

(4)

Ako država članica drugim državama članicama dostavi podatke o sustavu elektroničke identifikacije u skladu s člankom 7. točkom (g) Uredbe (EU) br. 910/2014 („prethodna prijava”), taj čin trebao bi se formalno smatrati zahtjevom države članice koja provodi prijavljivanje za provedbu istorazinskog ocjenjivanja njezina sustava elektroničke identifikacije.

(5)

U cilju djelotvorne pripreme i provedbe istorazinskog ocjenjivanja trebalo bi utvrditi standardizirane uloge i odgovornosti u tom postupku. Države članice trebale bi imati mogućnost imenovanja predstavnika koji će preuzeti te uloge i odgovornosti. Budući da je ključno osigurati da se sva istorazinska ocjenjivanja odvijaju neometano i provode na pojednostavnjen i brz način, države članice koje sudjeluju u određenom istorazinskom ocjenjivanju trebale bi među sobom dogovoriti praktične aspekte tog ocjenjivanja, prije svega njegov opseg i vremenski okvir.

(6)

Kako bi sve države članice doprinijele provedbi mehanizma istorazinskog ocjenjivanja i mogle ostvariti koristi od uzajamnog učenja, predstavnici svake države članice trebali bi se pobrinuti da rad na svakom provedenom istorazinskom ocjenjivanju bude ravnopravno raspodijeljen među državama članicama.

(7)

Kako bi se potaknula visoka razina povjerenja u sustave elektroničke identifikacije koji su bili predmet istorazinskog ocjenjivanja, države članice trebale bi dostaviti minimalne potrebne informacije i jamčiti povjerljivost potencijalno osjetljivih informacija. Te informacije bi u okviru istorazinskih ocjenjivanja trebale ocijeniti tri radne skupine, od kojih svaka ima mandat koji odgovara glavnim temama za ocjenjivanje sustava elektroničke identifikacije kako su utvrđene u Provedbenoj uredbi Komisije (EU) 2015/1501 (3) i Provedbenoj uredbi Komisije (EU) 2015/1502 (4).

(8)

Budući da je Provedbenom odlukom (EU) 2015/296 već utvrđeno da je jezik suradnje engleski jezik, osim ako se dogovori drukčije, postojeća je praksa država članica da se postupak istorazinskog ocjenjivanja provodi na engleskom. Stoga bi države članice informacije relevantne za istorazinsko ocjenjivanje trebale dostavljati barem na engleskom jeziku. Međutim, prevođenje ne bi smjelo uzrokovati prekomjerno administrativno ili financijsko opterećenje. Države članice u tom pogledu mogu koristiti automatizirane alate za strojno prevođenje, među ostalim alate koje na raspolaganje stavlja Komisija.

(9)

S obzirom na to da su istorazinska ocjenjivanja važan alat za osiguravanje pouzdanosti prijavljenih sustava elektroničke identifikacije, trebalo bi uspostaviti pojednostavnjen postupak za donošenje jasnih i sveobuhvatnih završnih izvješća o istorazinskom ocjenjivanju. U tom postupku Skupina za suradnju i države članice koje sudjeluju u istorazinskom ocjenjivanju trebale bi imati mogućnost postaviti dodatna pitanja državi članici čiji se sustav elektroničke identifikacije ocjenjuje, a ta država članica trebala bi imati priliku dostaviti dodatne primjedbe. Kako bi se zajamčila transparentnost, postupak bi trebao završiti objavom mišljenja Skupine za suradnju o zaključku istorazinskog ocjenjivanja.

(10)

Budući da se sustavi elektroničke identifikacije mogu izmijeniti nakon završetka istorazinskog ocjenjivanja, potrebno je uspostaviti i postupak za pokretanje ažuriranja prethodnih istorazinskih ocjenjivanja ako te izmjene mogu utjecati na interoperabilnost, sigurnost ili pouzdanost prijavljenog sustava elektroničke identifikacije. Time bi se omogućilo da istorazinska ocjenjivanja ostanu kontinuirano relevantna i prate razvoj sustava elektroničke identifikacije.

(11)	Na aktivnosti obrade osobnih podataka na temelju ove Uredbe primjenjuju se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (5), i, prema potrebi, Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća (6) i Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (7).

(12)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 te je on dao mišljenje 28. svibnja 2025.

(13)	Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Odbora osnovanog člankom 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU UREDBU:

Članak 1.

Opća načela istorazinskog ocjenjivanja

1. Ako država članica Komisiji i drugim državama članicama dostavi prethodnu prijavu o sustavu elektroničke identifikacije, pokreće se istorazinsko ocjenjivanje u skladu s člankom 2.

2. Država članica koja dostavi prethodnu prijavu o sustavu elektroničke identifikacije može tu prethodnu prijavu povući u bilo kojem trenutku. Ako država članica povuče svoju prethodnu prijavu o sustavu elektroničke identifikacije, istorazinsko ocjenjivanje smatra se prekinutim.

3. Svaka država članica može sudjelovati u istorazinskom ocjenjivanju sustava elektroničke identifikacije druge države članice.

4. Svaka država članica koja sudjeluje u istorazinskom ocjenjivanju snosi vlastite troškove nastale u tom postupku.

5. Predstavnici država članica koje provode istorazinsko ocjenjivanje koriste informacije dobivene u tom postupku isključivo u svrhu tog ocjenjivanja i ne otkrivaju osjetljive i povjerljive informacije dobivene u okviru istorazinskog ocjenjivanja trećim stranama.

6. Država članica koja odluči sudjelovati u istorazinskom ocjenjivanju sustava elektroničke identifikacije druge države članice obvezna je objaviti sve moguće sukobe interesa u vezi s predstavnicima koje je imenovala ta država članica. Ako postoji sukob interesa, država članica čiji je sustav elektroničke identifikacije predmet istorazinskog ocjenjivanja može odbiti sudjelovanje relevantnog predstavnika u procjeni svojeg sustava elektroničke identifikacije.

7. Svi sporovi koji nastanu tijekom istorazinskog ocjenjivanja u vezi s aktivnostima u okviru tog postupka kako su utvrđene u članku 4. stavku 4. ove Uredbe rješavaju se u skladu s poslovnikom Skupine za suradnju.

8. U razdoblju od dvije godine od završetka istorazinskog ocjenjivanja nekog sustava elektroničke identifikacije taj se sustav ponovno ocjenjuje samo ako su u njega uvedene znatne izmjene prema članku 6. stavku 1.

Članak 2.

Pokretanje istorazinskog ocjenjivanja

1. Prethodna prijava uključuje barem:

(a)	usporedbu prethodno prijavljenog sustava elektroničke identifikacije i zahtjeva iz Provedbene uredbe (EU) 2015/1502 u obliku dokumenta sa strukturom razina osiguranja identiteta za istorazinsko ocjenjivanje u skladu s Prilogom I. ovoj Uredbi;

(b)	opis na visokoj razini sustava elektroničke identifikacije, njegova ekosustava i elektroničke identifikacije u državi članici koja je dostavila prethodnu prijavu, i to u obliku bijele knjige u skladu s Prilogom II. ovoj Uredbi;

(c)	informacije o interoperabilnosti sustava elektroničke identifikacije i zahtjeva iz Provedbene uredbe (EU) 2015/1501 u obliku dokumenta sa strukturom okvira za interoperabilnost u skladu s predloškom iz Priloga III. ovoj Uredbi.

2. Komisija šalje informacije iz prethodne prijave Skupini za suradnju.

3. Informacije iz stavka 1. točke (c) dostavljaju se barem na engleskom jeziku. Države članice ne moraju prevoditi nijedan dokument ako bi im to uzrokovalo prekomjerno administrativno ili financijsko opterećenje.

Članak 3.

Priprema istorazinskog ocjenjivanja

1. Nakon što potvrdi primitak potpune prethodne prijave, Komisija obavješćuje Skupinu za suradnju o pokretanju istorazinskog ocjenjivanja i dogovara sastanak na čiji se dnevni red uvrštava prethodno prijavljeni sustav elektroničke identifikacije kako bi ga država članica koja je dostavila prethodnu prijavu predstavila Skupini za suradnju.

2. Predsjednik Skupine za suradnju obvezan je pobrinuti se da se dogovoreni sastanak iz stavka 1. održi najkasnije dva mjeseca nakon što Skupina za suradnju primi obavijest o pokretanju istorazinskog ocjenjivanja.

3. Datum predstavljanja smatra se službenim datumom početka istorazinskog ocjenjivanja.

4. Nakon što država članica koja je dostavila prethodnu prijavu održi predstavljanje iz stavka 3., ostale države članice mogu imenovati predstavnike koji će sudjelovati u istorazinskom ocjenjivanju u njihovo ime. Ako to učine, moraju dostaviti imena i podatke za kontakt svojih predstavnika. Ti imenovani predstavnici čine skupinu za istorazinsko ocjenjivanje.

Članovi skupine za istorazinsko ocjenjivanje dogovaraju se o dodjeli sljedećih uloga:

(a)	jednog koordinatora koji je odgovoran za organizaciju istorazinskog ocjenjivanja i komunikaciju s državama članicama, Skupinom za suradnju i Komisijom;

(b)	do tri izvjestitelja, ovisno o opsegu istorazinskog ocjenjivanja, pri čemu svaki od njih vodi jednu radnu skupinu iz članka 4. stavka 2.;

(c)	najmanje jednog aktivnog člana svake radne skupine, koji pomaže u sastavljanju pitanja i pružanju povratnih informacija izvjestiteljima te sudjeluje u izradi nacrta završnog izvješća o istorazinskom ocjenjivanju.

5. Koordinator iz stavka 4. točke (a) nadzire pravilnu provedbu istorazinskog ocjenjivanja i prati njegovu usklađenost s postupovnim zahtjevima utvrđenima u ovoj Uredbi. U tu svrhu koordinator pravodobno izvršava sljedeće zadaće:

(a)	organizaciju pitanja i odgovora;

(b)	finalizaciju izvješća o istorazinskom ocjenjivanju;

(c)	izradu nacrta mišljenja o sustavu elektroničke identifikacije koji je bio predmet istorazinskog ocjenjivanja.

6. Izvjestitelji iz stavka 4. točke (b) sastavljaju pitanja za državu članicu koja je dostavila prethodnu prijavu i izrađuju nacrt elemenata izvješća o istorazinskom ocjenjivanju koji se odnose na područje nadležnosti njihovih radnih skupina.

7. Uzimajući u obzir smjernice Skupine za suradnju, država članica koja je dostavila prethodnu prijavu i države članice koje sudjeluju u istorazinskom ocjenjivanju dogovaraju se o svim organizacijskim aspektima istorazinskog ocjenjivanja koji nisu izričito predviđeni ovom Uredbom, uključujući pravila i smjernice o povjerljivosti i sukobima interesa.

8. Istorazinsko ocjenjivanje ne smije trajati više od tri mjeseca od njegova službenog datuma početka iz stavka 3., a njegovo se trajanje može produljiti za najviše dva mjeseca ako na to pristanu sve države članice koje u njemu sudjeluju.

Članak 4.

Organizacija istorazinskog ocjenjivanja

1. Skupina za istorazinsko ocjenjivanje to ocjenjivanje provodi na temelju informacija koje država članica koja je dostavila prethodnu prijavu podnese u skladu s člankom 2. stavkom 1.

2. Istorazinsko ocjenjivanje organizira se u tri radne skupine ili kao bilo koji drugi postupak koji dogovori Skupina za suradnju u skladu sa svojim poslovnikom. Ako se postupak provodi u radnim skupinama, svaka radna skupina sastoji se od jednog izvjestitelja i najmanje jednog aktivnog člana.

3. Radne su skupine iz stavka 2. sljedeće:

(a)	radna skupina za upis, koja provodi istorazinsko ocjenjivanje usklađenosti prethodno prijavljenog sustava elektroničke identifikacije sa zahtjevima u pogledu upisa kako su utvrđeni u odjeljku 2.1. Priloga Provedbenoj uredbi (EU) 2015/1502;

(b)

radna skupina za upravljanje sredstvima elektroničke identifikacije i njihovu autentifikaciju, koja provodi istorazinsko ocjenjivanje usklađenosti prethodno prijavljenog sustava elektroničke identifikacije sa zahtjevima u pogledu upravljanja sredstvima elektroničke identifikacije i njihove autentifikacije kako su utvrđeni u odjeljcima 2.2. i 2.3. Priloga Provedbenoj uredbi (EU) 2015/1502;

(c)	radna skupina za upravljanje i organizaciju, koja provodi istorazinsko ocjenjivanje usklađenosti prethodno prijavljenog sustava elektroničke identifikacije sa zahtjevima u pogledu upravljanja i organizacije kako su utvrđeni u odjeljku 2.4. Priloga Provedbenoj uredbi (EU) 2015/1502.

4. Istorazinsko ocjenjivanje obuhvaća, ali nije ograničeno na, jednu ili više aktivnosti u nastavku:

(a)	procjenu relevantne dokumentacije koju je podnijela država članica koja je dostavila prethodnu prijavu;

(b)	ispitivanje postupaka opisanih u toj dokumentaciji;

(c)	tehničke seminare;

(d)	razmatranje procjena neovisnih trećih strana ako su takve relevantne procjene dostupne,

(e)	izradu nacrta izvješća o istorazinskom ocjenjivanju u kojem se sažimaju nalazi i rezultati istorazinskog ocjenjivanja.

5. Ako informacije dostavljene u skladu s člankom 2. stavkom 1. nisu dovoljne za završetak istorazinskog ocjenjivanja, radne skupine mogu državi članici koja je dostavila prethodnu prijavu podnijeti propisno obrazložene zahtjeve za dodatne informacije popraćene dodatnom dokumentacijom.

6. Država članica koja je dostavila prethodnu prijavu odgovara na te zahtjeve osim ako vrijedi jedno od sljedećeg:

(a)	ne raspolaže tim informacijama ili dokumentacijom, a njihovo bi prikupljanje uzrokovalo prekomjerno administrativno opterećenje;

(b)	zatražene informacije ili dokumentacija povezane su s pitanjima javne sigurnosti ili nacionalne sigurnosti;

(c)	te su informacije povezane s poslovnim pitanjima ili profesionalnim tajnama ili tajnama poduzeća;

(d)	zbog osjetljivosti tih informacija nemoguće je uspostaviti siguran kanal za njihovo priopćavanje članovima skupine za istorazinsko ocjenjivanje.

7. U takvim slučajevima država članica koja je dostavila prethodnu prijavu obavješćuje koordinatora o razlozima zbog kojih odbija pružiti zatražene informacije ili dokumentaciju te dostavlja sažetak informacija na visokoj razini ili redigiranu verziju dokumentacije.

Članak 5.

Ishod istorazinskog ocjenjivanja

1. Ne dovodeći u pitanje članak 3. stavak 9. skupina za istorazinsko ocjenjivanje:

(a)

državi članici koja je dostavila prethodnu prijavu dostavlja nacrt izvješća o istorazinskom ocjenjivanju najkasnije tri mjeseca nakon datuma početka istorazinskog ocjenjivanja iz članka 3. stavka 3., osim ako je trajanje istorazinskog ocjenjivanja produljeno u skladu s člankom 3. stavkom 8.; u tom se slučaju izvješće dostavlja u roku koji odgovara dogovorenom produljenju;

(b)

Komisiji i Skupini za suradnju dostavlja nacrt završnog izvješća o istorazinskom ocjenjivanju, uzevši u obzir sva očitovanja države članice koja je dostavila prethodnu prijavu o sadržaju tog nacrta izvješća o istorazinskom ocjenjivanju, najkasnije tri mjeseca i dva tjedna nakon službenog datuma početka istorazinskog ocjenjivanja iz članka 3. stavka 3., osim ako je trajanje istorazinskog ocjenjivanja produljeno u skladu s člankom 3. stavkom 8.; u tom se slučaju izvješće dostavlja u roku koji odgovara dogovorenom produljenju;

(c)

državi članici koja je dostavila prethodnu prijavu dostavlja nacrt mišljenja o prethodno prijavljenom sustavu elektroničke identifikacije izrađen na temelju predloška iz Priloga IV. najkasnije tri mjeseca i dva tjedna nakon službenog datuma početka istorazinskog ocjenjivanja iz članka 3. stavka 3., osim ako je trajanje istorazinskog ocjenjivanja produljeno u skladu s člankom 3. stavkom 8.; u tom se slučaju izvješće dostavlja u roku koji odgovara dogovorenom produljenju;

(d)

Komisiji i Skupini za suradnju dostavlja nacrt završnog mišljenja o prethodno prijavljenom sustavu elektroničke identifikacije najkasnije tri mjeseca i tri tjedna nakon datuma početka istorazinskog ocjenjivanja iz članka 3. stavka 3., osim ako je trajanje istorazinskog ocjenjivanja produljeno u skladu s člankom 3. stavkom 8.; u tom se slučaju izvješće dostavlja u roku koji odgovara dogovorenom produljenju;

2. Prije nego što Skupina za suradnju u skladu sa stavkom 9. donese i na posebnim internetskim stranicama Komisije objavi svoje završno mišljenje o završetku istorazinskog ocjenjivanja, može zatražiti dodatne informacije ili pojašnjenja od države članice koja je dostavila prethodnu prijavu ili od skupine za istorazinsko ocjenjivanje.

3. Država članica koja je dostavila prethodnu prijavu podnosi potrebne dodatne informacije iz stavka 2. osim ako vrijedi jedno od sljedećeg:

(a)	ta država članica ne raspolaže tim informacijama te bi njihovo prikupljanje uzrokovalo prekomjerno administrativno opterećenje;

(b)	te su informacije povezane s pitanjima javne ili nacionalne sigurnosti;

(c)	te su informacije povezane s poslovnim pitanjima ili profesionalnim tajnama ili tajnama poduzeća;

(d)	zbog osjetljivosti tih informacija nemoguće je uspostaviti siguran kanal za njihovo priopćavanje Skupini za suradnju.

4. U završnom izvješću o istorazinskom ocjenjivanju navodi se koje je informacije skupina za istorazinsko ocjenjivanje ili Skupina za suradnju zatražila, ali nisu se mogle dostaviti na temelju jedne ili više osnova iz stavka 3., i to bez navođenja razloga koje je iznijela država članica koja je dostavila prethodnu prijavu. Skupina za istorazinsko ocjenjivanje u svojem završnom izvješću o istorazinskom ocjenjivanju može razmotriti učinak eventualne nedostupnosti informacija.

5. Skupina za istorazinsko ocjenjivanje podnosi završno izvješće o istorazinskom ocjenjivanju i svoj nacrt završnog mišljenja Skupini za suradnju najkasnije četiri mjeseca ili, u slučaju produljenja u skladu s člankom 3. stavkom 8., najkasnije šest mjeseci nakon službenog datuma početka istorazinskog ocjenjivanja na temelju članka 3. stavka 3.

6. U završnom mišljenju skupine za istorazinsko ocjenjivanje o sustavu elektroničke identifikacije države članice koja je podnijela prethodnu prijavu navode se sve obveze koje je preuzela ta država članica.

7. Nakon predstavljanja završnog izvješća o istorazinskom ocjenjivanju i završnog mišljenja skupine za istorazinsko ocjenjivanje Skupina za suradnju donosi i objavljuje vlastito mišljenje o završetku istorazinskog ocjenjivanja, u kojem se navodi ispunjava li i kako sustav elektroničke identifikacije koji je bio predmet istorazinskog ocjenjivanja zahtjeve iz Provedbene uredbe (EU) 2015/1502 koji se primjenjuju na razine osiguranja identiteta koje je navela država članica koja je dostavila prethodnu prijavu u skladu s Prilogom I. ovoj Uredbi. U postupku donošenja poštuje se pravilnik Skupine za suradnju.

8. U mišljenju Skupine za suradnju navodi se država članica koja je dostavila prethodnu prijavu te prethodno prijavljeni sustav elektroničke identifikacije i njegova razina osiguranja identiteta. U mišljenju se navodi i je li istorazinsko ocjenjivanje uspješno provedeno.

9. Skupina za suradnju objavljuje informacije dostavljene u skladu s člankom 2. stavkom 1., osim ako je država članica koja je dostavila informacije u pisanom obliku navela da se te informacije ne smiju objaviti.

Članak 6.

Znatne izmjene sustava elektroničke identifikacije koji su bili predmet istorazinskog ocjenjivanja

1. Ako se prijavljeni sustav elektroničke identifikacije izmijeni na način koji će vjerojatno utjecati na njegovu interoperabilnost, sigurnost ili pouzdanost, država članica koja je dostavila prijavu bez odgode obavješćuje Skupinu za suradnju o tim izmjenama i ažurira prethodno dostavljene informacije.

2. Nakon primitka obavijesti iz stavka 1. i pod uvjetom da je prijavljeni sustav elektroničke identifikacije bio predmet istorazinskog ocjenjivanja, svaka država članica Skupine za suradnju može zatražiti ažuriranje istorazinskog ocjenjivanja.

3. U slučaju zahtjeva za ažuriranje na odgovarajući se način primjenjuju postupci utvrđeni u člancima od 3. do 5., a skupina za istorazinsko ocjenjivanje ograničava ocjenjivanje na elemente koji su izmijenjeni u odnosu na izvornu prijavu i na učinke tih izmjena.

Članak 7.

Stavljanje izvan snage

Provedbena odluka (EU) 2015/296 stavlja se izvan snage.

Članak 8.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 29. srpnja 2025.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 257, 28.8.2014., str. 73., ELI: http://data.europa.eu/eli/reg/2014/910/oj http://data.europa.eu/eli/reg/2014/910/2024-10-18.

(2) Provedbena odluka Komisije (EU) 2015/296 оd 24. veljače 2015. o utvrđivanju postupovnih aranžmana za suradnju među državama članicama u području elektroničke identifikacije u skladu s člankom 12. stavkom 7. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (SL L 53, 25.2.2015., str. 14., ELI: http://data.europa.eu/eli/dec_impl/2015/296/oj).

(3) Provedbena uredba Komisije (EU) 2015/1501 оd 8. rujna 2015. o okviru za interoperabilnost u skladu s člankom 12. stavkom 8. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (SL L 235, 9.9.2015., str. 1., ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(4) Provedbena uredba Komisije (EU) 2015/1502 оd 8. rujna 2015. o utvrđivanju minimalnih tehničkih specifikacija i postupaka za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije u skladu s člankom 8. stavkom 3. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (SL L 235, 9.9.2015., str. 7., ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).

(5) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

PRILOG I.

Popis minimalnih informacija koje treba navesti u dokumentu sa strukturom razina osiguranja identiteta za istorazinsko ocjenjivanje iz članka 2. stavka 1. točke (a)

Dokument sa strukturom razina osiguranja identiteta za istorazinsko ocjenjivanje iz članka 2. stavka 1. točke (a) mora uključivati barem sljedeće informacije:

opće informacije, uključujući:

(a)	ime države članice koja provodi prijavljivanje;

(b)	ime sustava elektroničke identifikacije (ako postoji);

(c)	razinu ili razine osiguranja identiteta sustava elektroničke identifikacije, naznačenu kao niska, značajna ili visoka;

tijelo ili tijela odgovorna za sustav elektroničke identifikacije, uključujući:

(a)	ime ili imena tijela odgovornih za sustav elektroničke identifikacije;

(b)	e-adresu tijela odgovornih za sustav elektroničke identifikacije;

informacije o relevantnim stranama, subjektima i tijelima povezanima sa sustavom elektroničke identifikacije, uključujući:

(a)	ime subjekta ili subjekata koji upravljaju postupkom registracije jedinstvenih osobnih identifikacijskih podataka;

(b)	ime strane ili strana koje izdaju sredstva elektroničke identifikacije i, ako je primjenjivo, naznaku o tome jesu li strana ili strane navedene u članku 7. točki (a) podtočki i., ii. ili iii. Uredbe (EU) br. 910/2014;

(c)	ime strane ili strana koje provode postupak autentifikacije („čvor eIDAS”);

(d)	ime ili imena organizacije ili organizacija za upravljanje koje sudjeluju u sustavu nadzora povezanom sa sustavom elektroničke identifikacije;

opis sustava elektroničke identifikacije, uključujući:

(a)

ako je primjenjivo, dokument ili dokumente koji se prilažu za svaku od sljedećih tema:

—	kratak opis sustava elektroničke identifikacije, uključujući kontekst u kojem radi, njegovo područje primjene i dostupnost privatnim pouzdajućim stranama,

—	popis dodatnih atributa fizičkih osoba koji se mogu staviti na raspolaganje u okviru sustava elektroničke identifikacije ako ih pouzdajuća strana zatraži,

—	popis dodatnih atributa pravnih osoba koji se mogu staviti na raspolaganje u okviru sustava elektroničke identifikacije ako ih pouzdajuća strana zatraži;

(b)

primjenjivi sustav nadzora, odgovornosti i upravljanja, uključujući:

—

opis sustava nadzora za sustav elektroničke identifikacije, uključujući postupak evaluacije s obzirom na sljedeće:

—	sustav nadzora primjenjiv na stranu ili strane koje izdaju sredstva elektroničke identifikacije,

—	sustav nadzora primjenjiv na stranu ili strane koje upravljaju čvorom eIDAS.

Ti opisi prema potrebi uključuju uloge, odgovornosti i ovlasti organizacija za upravljanje koje sudjeluju u sustavu nadzora iz točke 3. podtočke (d) i subjekta kojem su podređene. Ako organizacije nisu podređene tijelu odgovornom za sustav, dostavljaju se sve pojedinosti o subjektu kojem su podređene,

—

opis primjenjivog nacionalnog sustava odgovornosti, uključujući:

—	opis odgovornosti predmetne države članice na temelju članka 11. stavka 1. Uredbe (EU) br. 910/2014,

—	opis odgovornosti strane ili strana koje izdaju sredstva elektroničke komunikacije na temelju članka 11. stavka 2. Uredbe (EU) br. 910/2014,

—	opis odgovornosti strane ili strana koje upravljaju čvorom eIDAS na temelju članka 11. stavka 3. Uredbe (EU) br. 910/2014,

—	dogovore za upravljanje, suspenziju ili opoziv cijelog sustava identifikacije, ili posebnih sredstava elektroničke identifikacije, čvora eIDAS ili njegovih ugroženih dijelova;

(c)

opis sastavnica sustava elektroničke identifikacije, uključujući:

—

opis kako su ispunjeni zahtjevi u odnosu na minimalne tehničke specifikacije i postupke za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije, kako je utvrđeno u Provedbenoj uredbi (EU) 2015/1502, da bi se potkrijepila naznačena razina osiguranja identiteta za upis,

—

opis kako se u okviru sustava elektroničke identifikacije provode sljedeći postupci, uključujući dokumentaciju za kombinaciju opcija koje je predmetna država članica odabrala za:

—	zahtjev i registraciju,

—	dokazivanje i provjeru identiteta fizičke osobe,

—	dokazivanje i provjeru identiteta pravne osobe,

—	povezivanje sredstava elektroničke identifikacije fizičkih i pravnih osoba,

—

s obzirom na upravljanje sredstvima elektroničke identifikacije, opis kako se u okviru upravljanja sredstvima elektroničke komunikacije provode sljedeći postupci:

—	karakteristike i dizajn sredstava elektroničke identifikacije, uključujući, prema potrebi, informacije o sigurnosnoj certifikaciji,

—	izdavanje, isporuka i aktivacija,

—	suspenzija, opoziv i reaktivacija,

—	obnova i zamjena,

—	s obzirom na autentifikaciju, opis mehanizma autentifikacije, uključujući uvjete pristupa autentifikaciji za pouzdajuće strane izuzev tijela javnog sektora,

—

s obzirom na upravljanje i organizaciju, opis upravljanja sljedećim aspektima i njihove organizacije:

—	opće odredbe o upravljanju i organizaciji,

—	objavljene obavijesti i informacije za korisnike,

—	upravljanje informacijskom sigurnošću,

—	vođenje evidencije,

—	objekti i osoblje,

—	tehničke kontrole,

—	usklađenost i revizija;

(d)	opis kako su ispunjeni zahtjevi u pogledu interoperabilnosti i minimalni tehnički i operativni sigurnosni zahtjevi;

(e)

popis svih dostavljenih popratnih dokumenata i izjavu u kojoj se navodi na koje se od prethodnih elemenata dokumenti odnose, uključujući upućivanja na sve nacionalne propise koji se odnose na odredbu o elektroničkoj identifikaciji relevantnu za tu prijavu i relevantna izvješća o reviziji, izjave o certifikacijskoj praksi i izvješća o ispitivanju;

(f)	relevantne dokumente i informacije o certificiranju sustava elektroničke identifikacije na temelju članka 12.a stavka 1. i, prema potrebi, članka 12.a stavka 5. Uredbe (EU) br. 910/2014.

PRILOG III.

Predložak za dokument sa strukturom okvira za interoperabilnost

Zahtjevi za interoperabilnost

Članak Provedbene uredbe Komisije (EU) 2015/1501

Zahtjev

Opis

Utvrđivanje strukture nacionalnih razina osiguranja identiteta

Struktura nacionalnih razina osiguranja identiteta prijavljenih sustava elektroničke identifikacije utvrđuje se u skladu sa zahtjevima iz Provedbene uredbe (EU) 2015/1502. Rezultati utvrđivanja strukture Komisiji se prijavljuju u predlošku za prijavu iz Provedbene odluke (EU) 2015/1984.

Čvorovi

1.	Čvor u jednoj državi članici mora imati sposobnost povezivanja s čvorovima u drugim državama članicama.

2.	Čvorovi moraju moći tehničkim sredstvima razlikovati tijela javnog sektora od drugih pouzdajućih strana.

3.	Provedba tehničkih zahtjeva iz ove Uredbe u jednoj državi članici ne smije drugim državama članicama, koje trebaju osigurati interoperabilnost sa zahtjevima provedenima u prvoj državi članici, prouzročiti nerazmjerne tehničke zahtjeve i troškove.

Privatnost i povjerljivost podataka

1.	Zaštita privatnosti i povjerljivosti podataka koji se razmjenjuju i održavanje cjelovitosti podataka između čvorova osigurava se primjenom najboljih raspoloživih tehničkih rješenja i prakse u području zaštite.

2.	U čvorovima se ne pohranjuju osobni podaci, osim u svrhu utvrđenu člankom 9. stavkom 3. Provedbene uredbe Komisije (EU) 2015/1501.

Cjelovitost i vjerodostojnost podataka za komunikaciju

Komunikacijom između čvorova osiguravaju se cjelovitost i vjerodostojnost podataka kako bi se osiguralo da su svi zahtjevi i odgovori vjerodostojni te da ih se nije neovlašteno izmjenjivalo. Čvorovi u tu svrhu upotrebljavaju rješenja koja su se pokazala uspješnima u prekograničnoj operativnoj uporabi.

Format poruke za komunikaciju

Čvorovi za sintaksu upotrebljavaju uobičajene formate poruka temeljene na normama koje su države članice već više puta uspješno primijenile u operativnom okruženju.

Sintaksa omogućuje sljedeće:

(a)	odgovarajuću obradu najmanjeg skupa osobnih identifikacijskih podataka koji nedvojbeno predstavljaju fizičku ili pravnu osobu;

(b)	odgovarajuću obradu razine osiguranja identiteta sredstava elektroničke identifikacije;

(c)	razlikovanje tijela javnog sektora od drugih pouzdajućih strana;

(d)	fleksibilnost u slučaju da su za identifikaciju potrebni dodatni atributi.

Upravljanje informacijama u vezi sa sigurnosti i metapodacima

1.	Operater čvora dostavlja metapodatke o upravljanju čvorom u standardiziranom obliku prikladnom za automatiziranu obradu na siguran i pouzdan način.

2.	Dohvaćanje mora biti automatsko barem u slučaju parametara koji se odnose na sigurnost.

Operater čvora pohranjuje podatke na temelju kojih bi se u slučaju nezgode mogao rekonstruirati slijed razmjene poruka radi utvrđivanja mjesta i vrste incidenta. Podaci se pohranjuju za razdoblje određeno prema nacionalnim zahtjevima i moraju sadržavati barem sljedeće elemente:

(a)	identifikaciju čvora;

(b)	identifikaciju poruke;

(c)	datum i vrijeme poruke.

10.

Informacijska sigurnost i sigurnosne norme

1.	Operateri čvorova koji omogućuju autentifikaciju dokazuju da, u pogledu čvorova uključenih u okvir za interoperabilnost, čvor ispunjava zahtjeve norme ISO/IEC 27001 certificiranjem, jednakovrijednom metodom ocjenjivanja ili poštovanjem nacionalnog zakonodavstva.

2.	Operateri čvorova bez nepotrebnog odlaganja provode kritična sigurnosna ažuriranja.

11.

Osobni identifikacijski podaci

1.	Kad se upotrebljava u prekograničnom kontekstu, najmanji skup osobnih identifikacijskih podataka koji nedvojbeno predstavljaju fizičku ili pravnu osobu ispunjava zahtjeve iz Priloga Provedbenoj uredbi (EU) 2015/1501.

2.	Kad se upotrebljava u prekograničnom kontekstu, najmanji skup podataka za fizičku osobu koja predstavlja pravnu osobu sadržava kombinaciju atributa za fizičke i pravne osobe koji su navedeni u Prilogu Provedbenoj uredbi (EU) 2015/1501.

3.	Podaci se prenose u izvornim znakovima i, prema potrebi, transliterirani na latinicu.