PROVEDBENA UREDBA KOMISIJE (EU) 2025/2162

оd 27. listopada 2025.

o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu akreditacije tijela za ocjenjivanje sukladnosti koja provode ocjenjivanje kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju, izvješća o ocjenjivanju sukladnosti i sustava ocjenjivanja sukladnosti

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 20. stavak 4.,

budući da:

(1)

U skladu s člankom 20. stavkom 1. i člankom 21. stavkom 1. Uredbe (EU) br. 910/2014 tijela za ocjenjivanje sukladnosti obavljaju reviziju kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju. U izvješćima o ocjenjivanju sukladnosti koja se izrade na temelju revizije potvrđuje se jesu li ispunjeni zahtjevi utvrđeni u toj uredbi i u članku 21. Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (2). Stoga je potrebno uspostaviti usklađen i čvrst okvir za akreditaciju tijela za ocjenjivanje sukladnosti, sustave ocjenjivanja sukladnosti koje ona primjenjuju, ocjenjivanje sukladnosti koje provode u skladu s tim sustavima i izvješća o ocjenjivanju sukladnosti koja izrađuju.

(2)

Akreditacija tijela za ocjenjivanje sukladnosti koja ocjenjuju kvalificirane pružatelje usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju, izvješće o ocjenjivanju sukladnosti i sustav ocjenjivanja sukladnosti trebali bi ispunjavati zahtjeve utvrđene u ovoj Uredbi. Tijela za ocjenjivanje sukladnosti te zahtjeve mogu ispuniti samostalno, na temelju djelomične certifikacije ili podugovaranjem propisno akreditiranim subjektima.

(3)

Tijelima za ocjenjivanje sukladnosti akreditiranima za ocjenjivanje kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju kad je riječ o izdavanju kvalificiranih elektroničkih potvrda atributa trebalo bi dopustiti izdavanje izvješća o ocjenjivanju sukladnosti propisano u članku 45.f stavku 3. Uredbe (EU) br. 910/2014.

(4)

Kako bi se povećala transparentnost postupka akreditacije, potvrda o akreditaciji izdana tijelu za ocjenjivanje sukladnosti u skladu s člankom 5. Uredbe (EZ) br. 765/2008 Europskog parlamenta i Vijeća (3) trebala bi sadržavati dovoljno informacija da treće strane mogu provjeriti je li akreditirano tijelo za ocjenjivanje sukladnosti ovlašteno za provođenje ocjenjivanja sukladnosti na temelju Uredbe (EU) br. 910/2014.

(5)	Nacionalna akreditacijska tijela trebala bi se pobrinuti da potvrde o akreditaciji sadržavaju ažurirane informacije kako bi bile cjelovite i točne.

(6)

Da bi se zajamčio integritet postupka akreditacije, potvrda o akreditaciji izdana tijelu za ocjenjivanje sukladnosti može se u bilo kojem trenutku privremeno oduzeti ili povući za svaku kvalificiranu uslugu povjerenja za čije je ocjenjivanje to tijelo akreditirano. Privremeno oduzimanje ili povlačenje potvrde može nastupiti na temelju odobrenja nacionalnog akreditacijskog tijela ili dobrovoljne odluke tijela za ocjenjivanje sukladnosti.

(7)	Radi usklađivanja ovog okvira za akreditaciju ova bi se Uredba trebala temeljiti na utvrđenim normama koje odražavaju ustaljenu praksu i koje su općepriznate u relevantnim sektorima.

(8)

Kako bi se povećala transparentnost, tijela za ocjenjivanje sukladnosti trebala bi javno objaviti certifikate o sukladnosti koje izdaju. Certifikati o sukladnosti potvrđuju da su tijela za ocjenjivanje sukladnosti donijela pozitivne odluke o certifikaciji. Međutim, samo nadzorno tijelo može odobriti ili povući kvalificirani status za pružatelja usluga povjerenja i za usluge povjerenja koje on pruža.

(9)

Za ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju s Uredbom (EU) br. 910/2014 i člankom 21. Direktive (EU) 2022/2555 tijela za ocjenjivanje sukladnosti trebala bi koristiti sustav ocjenjivanja sukladnosti. Kao referentne materijale za ocjenjivanje kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju trebala bi primjenjivati norme, uzimajući u obzir njihove verzije i prilagodbe utvrđene u provedbenim aktima koji se odnose na tu uslugu i temelje se na Uredbi (EU) br. 910/2014. Te bi norme trebale odražavati ustaljenu praksu i biti općepriznate u relevantnim sektorima.

(10)

Sustavima ocjenjivanja sukladnosti utvrđuju se pravila i postupci koje bi tijela za ocjenjivanje sukladnosti trebala koristiti pri ocjenjivanju kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju. Te sustave evaluiraju nacionalna akreditacijska tijela u skladu sa zahtjevima utvrđenima u ovoj Uredbi. Sadržaj tih sustava može se s vremenom mijenjati. Kako bi se olakšala primjena uzastopnih verzija sustava ocjenjivanja sukladnosti, akreditirana tijela za ocjenjivanje sukladnosti trebala bi uspostaviti poseban postupak za upravljanje promjenama sustava za koji su akreditirana.

(11)

Kako bi se nadzirao razvoj i održavanje sustava ocjenjivanja sukladnosti, za svaki sustav trebalo bi imenovati vlasnika. Vlasnik sustava mogu biti tijela za ocjenjivanje sukladnosti, državna tijela, nadležno tijelo, trgovinsko udruženje, skupina tijela za ocjenjivanje sukladnosti ili bilo koje drugo primjereno tijelo ili skupina tijela i vlasnik može biti različit od tijela za ocjenjivanje sukladnosti koje upravlja sustavom.

(12)

Kako bi se održao kontinuitet pružanja njihovih usluga, akreditacija tijela za ocjenjivanje sukladnosti trebala bi nastaviti vrijediti i za ranije verzije normi navedenih u sustavu ocjenjivanja sukladnosti. U tim slučajevima tijela za ocjenjivanje sukladnosti trebala bi izričito navesti te ranije verzije normi, uključujući godinu i broj verzije.

(13)

Kako bi se povećala fleksibilnost, nacionalnim akreditacijskim tijelima trebalo bi dopustiti da izdaju akreditacije s fleksibilnim opsegom, što bi tijelima za ocjenjivanje sukladnosti omogućilo da u posebnim okolnostima u opseg svoje akreditacije uključe dodatne aktivnosti bez potrebe da nacionalno akreditacijsko tijelo provede evaluaciju. Pri osmišljavanju akreditacije s fleksibilnim opsegom nacionalna akreditacijska tijela uzet će u obzir akreditaciju s fleksibilnim opsegom kako ju je utvrdila Europska suradnja za akreditaciju, imenovana u skladu s Uredbom (EZ) br. 765/2008. Ako nacionalna akreditacijska tijela tijelima za ocjenjivanje sukladnosti dopuštaju izdavanje akreditacija s fleksibilnim opsegom, to bi radi transparentnosti trebala navesti u potvrdi o akreditaciji. Kako bi se povećala fleksibilnost čak i ako nacionalna akreditacijska tijela ne dopuštaju izdavanje akreditacija s fleksibilnim opsegom, ta bi tijela prije ponovne evaluacije akreditiranog tijela za ocjenjivanje sukladnosti trebala pažljivo razmotriti učinak izmjena sustava ocjenjivanja sukladnosti za koje je akreditirano to tijelo za ocjenjivanje sukladnosti.

(14)

Da bi sustavi ocjenjivanja sukladnosti bili pouzdani, njihovi bi vlasnici trebali onemogućiti izdavanje pozitivnih odluka o certifikaciji ili certifikata o sukladnosti ako se ocjenjivanjem sukladnosti utvrdi bilo kakva nesukladnost kvalificiranih pružatelja usluga povjerenja i kvalificirane usluge povjerenja koju oni pružaju sa zahtjevima iz Uredbe (EU) br. 910/2014 ili člankom 21. Direktive (EU) 2022/2555. Iako izvješća o ocjenjivanju sukladnosti mogu sadržavati nesukladnosti i moguće planove za njihovo otklanjanje, ni certifikat o sukladnosti ni pozitivna odluka o certifikaciji ne bi se trebale izdati ako su utvrđene nesukladnosti.

(15)

Kako bi njihove prakse bile transparentne, vlasnici sustava trebali bi objaviti sažeti prikaz svojih sustava ocjenjivanja sukladnosti. Taj bi prikaz trebao sadržavati opis skupa pravila i postupaka koji se primjenjuje pri ocjenjivanju sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju sa zahtjevima utvrđenima u Uredbi (EU) br. 910/2014 i s člankom 21. Direktive (EU) 2022/2555.

(16)

Kako bi se poboljšale kvaliteta, sigurnost i pouzdanost aktivnosti kvalificiranog pružatelja usluga povjerenja, u izvješću o ocjenjivanju sukladnosti prema potrebi bi trebalo utvrditi mogućnosti za poboljšanje načina na koji kvalificirani pružatelj usluga povjerenja i kvalificirane usluge povjerenja koje on pruža ispunjavaju primjenjive zahtjeve.

(17)

Kako bi se povećala transparentnost i nadzornim tijelima olakšala provjera ispunjavaju li ocijenjeni kvalificirani pružatelj usluga povjerenja i kvalificirane usluge povjerenja koje on pruža primjenjive zahtjeve, izvješće o ocjenjivanju sukladnosti trebalo bi sadržavati određene minimalne informacije. U prvom redu, kako bi se olakšala identifikacija unosa o uslugama koji se trebaju navesti na nacionalnom pouzdanom popisu u skladu s člankom 22. Uredbe (EU) br. 910/2014, ako je primjenjivo, u izvješću o ocjenjivanju sukladnosti trebalo bi navesti detaljan opis funkcionalne hijerarhije infrastrukture javnih ključeva po vrstama kvalificiranih usluga povjerenja.

(18)

Kako bi se povećala transparentnost te olakšala provjera i praćenje akreditacije tijela za ocjenjivanje sukladnosti u skladu s Uredbom (EU) br. 910/2014, nacionalna akreditacijska tijela trebala bi, ako je primjenjivo, staviti na raspolaganje povijesne podatke o opsegu akreditacije, uključujući datum početka i, ako postoji, datum isteka akreditacije za svaku kvalificiranu uslugu povjerenja.

(19)

Radi kontinuiteta rada već akreditiranih tijela za ocjenjivanje sukladnosti i olakšavanja prelaska na pravila utvrđena u ovoj Uredbi, tijela za ocjenjivanje sukladnosti koja su trenutačno akreditirana prema normi ETSI EN 319 403, verziji 2.2.2. ili ranijoj verziji, ne bi trebalo ponovno akreditirati u skladu s Uredbom (EU) br. 910/2014 do 17. svibnja 2027. Nakon tog datuma nacionalno akreditacijsko tijelo trebalo bi evaluirati tijela za ocjenjivanje sukladnosti u odnosu na zahtjeve utvrđene u ovoj Uredbi.

(20)

Komisija redovito ocjenjuje nove tehnologije, prakse, norme i tehničke specifikacije. U skladu s uvodnom izjavom 75. Uredbe (EU) 2024/1183 Europskog parlamenta i Vijeća (4) Komisija bi trebala preispitivati i prema potrebi ažurirati ovu Provedbenu uredbu kako bi bila u skladu s globalnim kretanjima, novim tehnologijama, normama ili tehničkim specifikacijama te kako bi se slijedila najbolja praksa na unutarnjem tržištu.

(21)	Na aktivnosti obrade osobnih podataka na temelju ove Uredbe primjenjuju se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (5) i, ako je relevantno, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (6).

(22)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (7) te je on dao mišljenje 8. kolovoza 2025. (8)

(23)	Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem odbora osnovanog člankom 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU UREDBU:

Članak 1.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

(1)	„vlasnik sustava” znači subjekt ili skupina subjekata odgovorna za razvoj i održavanje sustava ocjenjivanja sukladnosti;

(2)

„odluka o certifikaciji” znači odluka o certifikaciji koja se donosi nakon što tijelo za ocjenjivanje sukladnosti provede ocjenjivanje sukladnosti, u kojoj to tijelo potvrđuje sukladnost ili nesukladnost određenog kvalificiranog pružatelja usluga povjerenja i kvalificirane usluge povjerenja koju on pruža sa zahtjevima utvrđenima u Uredbi (EU) br. 910/2014 i s člankom 21. Direktive (EU) 2022/2555;

(3)

„certifikat o sukladnosti” znači dokument kojim tijelo za ocjenjivanje sukladnosti ovjerava odluku o certifikaciji u kojoj se potvrđuje sukladnost određenog kvalificiranog pružatelja usluga povjerenja i kvalificirane usluge povjerenja koju on pruža sa zahtjevima utvrđenima u Uredbi (EU) br. 910/2014 i s člankom 21. Direktive (EU) 2022/2555;

(4)

„sustav ocjenjivanja sukladnosti” znači skup pravila i postupaka koji tijela za ocjenjivanje sukladnosti trebaju primjenjivati za ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju sa zahtjevima utvrđenima u Uredbi (EU) br. 910/2014 i s člankom 21. Direktive (EU) 2022/2555;

(5)

„izvješće o ocjenjivanju sukladnosti” znači dokument s detaljnim informacijama o metodi koja je u skladu sa sustavom ocjenjivanja sukladnosti korištena za ocjenjivanje sukladnosti određenog kvalificiranog pružatelja usluga povjerenja i kvalificirane usluge povjerenja koju on pruža sa zahtjevima iz Uredbe (EU) br. 910/2014 i članka 21. Direktive (EU) 2022/2555 te o rezultatima ocjenjivanja sukladnosti; te informacije prema potrebi mogu biti dopuna informacijama iz odluke o certifikaciji i s njom povezanog certifikata o sukladnosti;

(6)	„akreditacija” znači akreditacija kako je definirana u članku 2. točki 10. Uredbe (EZ) br. 765/2008;

(7)

„akreditacija s fleksibilnim opsegom” znači akreditacija u kojoj su aktivnosti ocjenjivanja sukladnosti za koje se traži ili je izdana akreditacija izražene na način koji tijelima za ocjenjivanje sukladnosti omogućuje izmjenu metodologije i drugih parametara koji su u njihovoj nadležnosti, kako je potvrdilo nacionalno akreditacijsko tijelo;

(8)	„nacionalno akreditacijsko tijelo” znači nacionalno akreditacijsko tijelo kako je definirano u članku 2. točki 11. Uredbe (EZ) br. 765/2008.

Članak 2.

Akreditacija tijela za ocjenjivanje sukladnosti

1. Tijela za ocjenjivanje sukladnosti akreditiraju se u skladu s normom EN ISO/IEC 17065:2012, koja je dopunjena normom ETSI EN 319 403-1 v2.3.1, za donošenje odluka o certifikaciji u skladu s određenim sustavom ocjenjivanja sukladnosti.

2. Akreditaciju tijela za ocjenjivanje sukladnosti iz stavka 1. provodi nacionalno akreditacijsko tijelo u skladu s normom EN ISO/IEC 17011:2017.

Članak 3.

Potvrda o akreditaciji koja se izdaje tijelima za ocjenjivanje sukladnosti

1. Nacionalna akreditacijska tijela u potvrdama o akreditaciji koje izdaju tijelima za ocjenjivanje sukladnosti navode barem sljedeće informacije:

(a)	jedinstvenu identifikacijsku oznaku potvrde o akreditaciji;

(b)	datum izdavanja potvrde o akreditaciji;

(c)	ime i zemlju nacionalnog akreditacijskog tijela koje izdaje potvrdu o akreditaciji, kako je navedeno u nacionalnoj službenoj evidenciji;

(d)	ime i, ako je primjenjivo, registracijski broj akreditiranog tijela za ocjenjivanje sukladnosti, kako je navedeno u nacionalnoj službenoj evidenciji;

(e)

opseg akreditacije s obzirom na jednu ili više navedenih kvalificiranih usluga povjerenja:

—	izdavanje kvalificiranih certifikata za elektroničke potpise,

—	izdavanje kvalificiranih certifikata za elektroničke pečate,

—	izdavanje kvalificiranih certifikata za autentifikaciju mrežnih stranica,

—	kvalificiranu uslugu validacije kvalificiranih elektroničkih potpisa,

—	kvalificiranu uslugu validacije kvalificiranih elektroničkih pečata,

—	kvalificiranu uslugu čuvanja kvalificiranih elektroničkih potpisa,

—	kvalificiranu uslugu čuvanja kvalificiranih elektroničkih pečata,

—	izradu kvalificiranih elektroničkih vremenskih žigova,

—	pružanje kvalificiranih usluga elektroničke preporučene dostave,

—	kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu,

—	kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu,

—	pružanje kvalificiranih usluga elektroničkog arhiviranja,

—	izdavanje kvalificiranih elektroničkih potvrda atributa,

—	bilježenje elektroničkih podataka u kvalificiranu elektroničku evidenciju;

(f)	identifikacijsku oznaku i, ako je relevantno, točnu verziju sustava ocjenjivanja sukladnosti za koji je tijelo za ocjenjivanje sukladnosti akreditirano;

(g)	ako je relevantno, informaciju o primjeni akreditacije s fleksibilnim opsegom;

(h)	ako je relevantno, identifikacijsku oznaku dokumenta u kojem se opisuje postupak osmišljavanja i primjene akreditacije s fleksibilnim opsegom.

2. Nacionalna akreditacijska tijela u okviru akreditacijskih pojedinosti iz članka 20. stavka 1.b Uredbe (EU) br. 910/2014 navode datum početka i, ako je primjenjivo, datum isteka akreditacije tijela za ocjenjivanje sukladnosti kvalificiranih usluga povjerenja iz stavka 1. točke (e), uključujući točne datume za svaku kvalificiranu uslugu povjerenja, kako je primjenjivo.

3. Nacionalna akreditacijska tijela u potvrdi o akreditaciji jasno navode sve relevantne izmjene informacija dostavljenih u skladu sa stavkom 1.

4. U potvrdi o akreditaciji jasno se opisuje opseg akreditacije tijela za ocjenjivanje sukladnosti u skladu s člankom 2. stavkom 1.

Članak 4.

Preispitivanje postojeće akreditacije

1. Vlasnik sustava provodi postupke za praćenje svih izmjena normi iz članka 2. stavka 1. ili članka 6. stavka 3. te svih izmjena sustava ocjenjivanja sukladnosti koji je u njegovu vlasništvu i na temelju kojeg je akreditirano tijelo za ocjenjivanje sukladnosti u skladu s člankom 2.

2. Vlasnik sustava pravodobno obavješćuje nacionalno akreditacijsko tijelo o izmjenama utvrđenim primjenom postupaka iz stavka 1.

3. Ako nacionalno akreditacijsko tijelo na akreditirana tijela za ocjenjivanje sukladnosti nije primijenilo akreditaciju s fleksibilnim opsegom, mora utvrditi je li izgledno da će izmjene utvrđene primjenom postupaka iz stavka 1. bitno utjecati na sposobnost akreditiranih tijela za ocjenjivanje sukladnosti da provode ocjenjivanje sukladnosti na temelju sustava za koje su akreditirana.

4. Ako nacionalno akreditacijsko tijelo u skladu sa stavkom 3. utvrdi da izmjene utječu na sposobnost tijela za ocjenjivanje sukladnosti da provodi ocjenjivanje sukladnosti, nacionalno akreditacijsko tijelo od njega traži da poduzme odgovarajuće mjere u razumnom propisanom roku.

5. Ako tijelo za ocjenjivanje sukladnosti ne može ili ne želi poduzeti mjere iz stavka 4. u propisanom roku, nacionalno akreditacijsko tijelo odmah povlači ili privremeno oduzima akreditaciju.

6. Ako nacionalno akreditacijsko tijelo u skladu sa stavkom 3. utvrdi da izmjene ne utječu na sposobnost tijela za ocjenjivanje sukladnosti da provodi ocjenjivanje sukladnosti, nacionalno akreditacijsko tijelo može, ako je to primjereno, produljiti valjanost i proširiti opseg akreditacije ocijenjenog tijela za ocjenjivanje sukladnosti.

7. Ako je to primjereno, nacionalno akreditacijsko tijelo pravodobno ažurira potvrdu o akreditaciji da bi se u njoj naveo rezultat preispitivanja akreditacije u skladu s ovim člankom.

8. Ako tijelo za ocjenjivanje sukladnosti zaprimi zahtjev u skladu sa stavkom 4., sve kvalificirane pružatelje usluga povjerenja koje je prethodno ocijenilo na temelju relevantnog sustava ocjenjivanja sukladnosti mora pravodobno obavijestiti o svim učincima koje bi na njih moglo imati preispitivanje akreditacije tijela za ocjenjivanje sukladnosti, među ostalim u vezi s budućim odlukama o certifikaciji koje tijelo za ocjenjivanje sukladnosti donese na temelju tog sustava.

Članak 5.

Tijela za ocjenjivanje sukladnosti

1. Tijela za ocjenjivanje sukladnosti certifikate o sukladnosti koje izdaju moraju staviti na raspolaganje u javnom repozitoriju koji vode u tu svrhu.

2. Ako tijelo za ocjenjivanje sukladnosti podugovara provedbu aktivnosti ocjenjivanja sukladnosti, mora na odgovarajući način uzeti u obzir prirodu aktivnosti koje treba provesti. Tijelo za ocjenjivanje sukladnosti osigurava da se podugovaratelj pridržava normi utvrđenih u Prilogu I. za konkretnu aktivnost koja se podugovara.

3. Nakon izdavanja odluke o certifikaciji, tijela za ocjenjivanje sukladnosti osiguravaju da kvalificirani pružatelj usluga povjerenja na kojeg se odluka odnosi nadzornim tijelima može dostaviti potpuna izvješća o ocjenjivanju sukladnosti koja odgovaraju toj odluci.

Članak 6.

Sustavi ocjenjivanja sukladnosti

1. Za svaki sustav ocjenjivanja sukladnosti mora se odrediti vlasnik sustava.

2. Sustav ocjenjivanja sukladnosti mora biti u skladu s vrstom sustava 6 prema normi EN ISO/IEC 17067:2013 te sa zahtjevima utvrđenima u ovom članku.

3. Vlasnici sustava osiguravaju da njihovi sustavi ocjenjivanja sukladnosti uključuju barem norme utvrđene u Prilogu II., kako je primjenjivo, pri čemu naznačuju godinu i broj verzije tih normi.

4. Ako se primjenjuje akreditacija s fleksibilnim opsegom, vlasnici sustava moraju osigurati da se to napomene u sustavu ocjenjivanja sukladnosti.

5. Vlasnici sustava u svojim sustavima ocjenjivanja sukladnosti uspostavljaju procese i postupke barem za sljedeće:

(a)	zaprimanje i obradu pritužbi na provedbu sustava ocjenjivanja sukladnosti upućenih vlasniku sustava;

(b)	obavijesti tijela za ocjenjivanje sukladnosti upućene nadzornom tijelu imenovanom u skladu s člankom 46.b stavkom 1. Uredbe (EU) br. 910/2014 koje se odnose na izdavanje certifikata o sukladnosti i sve njihove izmjene;

(c)	ako je primjenjivo, podugovaranje aktivnosti ocjenjivanja sukladnosti koje provodi tijelo za ocjenjivanje sukladnosti;

(d)	provođenje godišnjih nadzornih aktivnosti na temelju primjenjivih zahtjeva iz točke 7.9. norme ISO/IEC 17065:2012;

(e)	upravljanje i dostavljanje obavijesti kvalificiranih pružatelja usluga povjerenja o svim promjenama koje utječu na njihov rad ili kvalificirane usluge povjerenja koje oni pružaju, a koje se šalju tijelu za ocjenjivanje sukladnosti i nadležnom nadzornom tijelu;

(f)

provjeru dokaza da tijelo za ocjenjivanje sukladnosti:

—	ima dovoljno znanja i stručnosti u primjeni posebnih normi koje se odnose na kvalificiranu uslugu povjerenja koju pruža kvalificirani pružatelj usluga povjerenja, kako je navedeno u stavku 3.,

—	ima profesionalno iskustvo u ocjenjivanju sukladnosti u najmanje tri postupka ocjenjivanja pružatelja usluga povjerenja ili u tri postupka ocjenjivanja sustava upravljanja informacijskom sigurnošću, i

—	može jamčiti dostupnost tima od najmanje dvije kvalificirane osobe koje imaju potrebno stručno znanje za provedbu takvog ocjenjivanja sukladnosti.

6. Vlasnici sustava osiguravaju da njihovi sustavi ocjenjivanja sukladnosti od kvalificiranih pružatelja usluga povjerenja zahtijevaju da imaju uspostavljene procese, postupke i upute za rad kako bi mogli obavijestiti tijelo za ocjenjivanje sukladnosti najmanje mjesec dana prije provođenja značajne promjene u pružanju kvalificiranih usluga povjerenja certificiranih na temelju tog sustava i najmanje tri mjeseca prije planiranog prestanka pružanja usluga ili dijela usluga.

7. Vlasnici sustava osiguravaju da njihovi sustavi ocjenjivanja sukladnosti ne dopuštaju izdavanje pozitivnih odluka o certifikaciji ni certifikata o sukladnosti ako se ocjenjivanjem sukladnosti utvrdi nesukladnost ocijenjenih kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju sa zahtjevima iz Uredbe (EU) br. 910/2014 i članka 21. Direktive (EU) 2022/2555.

8. Vlasnici sustava osiguravaju da je u njihovim sustavima ocjenjivanja sukladnosti utvrđen postupak za izdavanje certifikata o sukladnosti. U prvom redu, od kvalificiranih pružatelja usluga povjerenja zahtijevaju da odmah obavijeste nadležno nadzorno tijelo o svim promjenama certifikata o sukladnosti. Nadalje, zahtijevaju da kvalificirani pružatelji usluga povjerenja ne pružaju niti na bilo koji način oglašavaju dotične kvalificirane usluge povjerenja sve dok nadležno nadzorno tijelo ponovno ne potvrdi njihov kvalificirani status. Taj postupak mora biti u skladu sa zahtjevima iz točke 7.11. norme ISO/IEC 17065:2012.

9. Vlasnici sustava osiguravaju da je u njihovim sustavima ocjenjivanja sukladnosti utvrđen postupak ocjenjivanja sukladnosti koji se provodi tijekom dovoljnog broja radnih dana po osobi te osiguravaju da se dodijeli dovoljno resursa i vremena za ocjenjivanje sukladnosti, uzimajući u obzir opseg i složenost ocjenjivanja.

10. Vlasnici sustava objavljuju sažeti prikaz sustava ocjenjivanja sukladnosti, koji se može preuzeti. Taj prikaz sadržava opis skupa pravila i postupaka koji se primjenjuje pri ocjenjivanju sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju sa zahtjevima iz Uredbe (EU) br. 910/2014 i članka 21. Direktive (EU) 2022/2555.

11. Vlasnici sustava osiguravaju da se u njihovim sustavima ocjenjivanja sukladnosti zahtijeva provođenje barem jednog nadzornog ocjenjivanja sukladnosti godišnje za svaku kvalificiranu uslugu povjerenja koja se evaluira.

Članak 7.

Izvješća o ocjenjivanju sukladnosti

1. Izvješće o ocjenjivanju sukladnosti iz članka 20. stavka 1. Uredbe (EU) br. 910/2014 mora biti u skladu sa specifikacijama utvrđenima u Prilogu III.

2. Izvješće o ocjenjivanju sukladnosti smatra se dijelom certifikacijske dokumentacije navedene u točki 7.7. norme ETSI EN 319 403-1.

Članak 8.

Informacije o akreditaciji

1. Svaka zainteresirana strana može bez naknade zatražiti trenutačne i prijašnje informacije opsegu te datumu početka i, ako je primjenjivo, datumu isteka akreditacije tijela za ocjenjivanje sukladnosti, i to za svaku vrstu kvalificirane usluge povjerenja za čije je ocjenjivanje to tijelo akreditirano ili je bilo akreditirano. Te informacije pružaju nacionalna akreditacijska tijela.

2. Trenutačne i prijašnje informacije iz stavka 1. trebale bi biti dostupne najmanje šest godina nakon akreditacije tijela za ocjenjivanje sukladnosti.

Članak 9.

Nastavak priznavanja

Za potrebe ocjenjivanja sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju s Uredbom (EU) br. 910/2014 smatra se da akreditacija tijela za ocjenjivanje sukladnosti akreditiranih prema normi ETSI EN 319 403, verziji 2.2.2. ili ranijoj verziji, prije 17. studenoga 2025. ispunjava zahtjeve iz članka 2. stavka 1. do 17. svibnja 2027.

Članak 10.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 27. listopada 2025.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 257, 28.8.2014., str. 73., ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80., ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30., ELI: http://data.europa.eu/eli/reg/2008/765/oj).

(4) Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024. o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet (SL L, 2024/1183, 30.4.2024., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(5) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8) Službene primjedbe Europskog nadzornika za zaštitu podataka na nacrt o akreditaciji tijela za ocjenjivanje sukladnosti koja provode ocjenjivanje kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju | Europski nadzornik za zaštitu podataka.

PRILOG II.

Referentne norme za sustave ocjenjivanja sukladnosti

Norme iz članka 6. stavka 3. su ETSI TS 119 612 v2.4.1 i sljedeće:

Kvalificirane usluge povjerenja

Relevantne norme

Izdavanje kvalificiranih certifikata za elektroničke potpise

—	ETSI EN 319 411 -2

—	ETSI EN 301 549

—	ETSI EN 319 412 -1

—	ETSI EN 319 412 -2

—	ETSI EN 319 412 -5

—	ETSI TS 119 461

—	ETSI EN 319 401

Izdavanje kvalificiranih certifikata za elektroničke pečate

—	ETSI EN 319 411 -2

—	ETSI TS 119 495

—	ETSI EN 301 549

—	ETSI EN 319 412 -1

—	ETSI EN 319 412 -2

—	ETSI EN 319 412 -3

—	ETSI EN 319 412 -5

—	ETSI TS 119 461

—	ETSI EN 319 401

Izdavanje kvalificiranih certifikata za autentifikaciju mrežnih stranica

—	ETSI EN 319 411 -2

—	ETSI TS 119 411 -5

—	ETSI TS 119 495

—	ETSI EN 301 549

—	ETSI EN 319 412 -1

—	ETSI EN 319 412 -4

—	ETSI EN 319 412 -5

—	ETSI TS 119 461

—	ETSI EN 319 401

Kvalificirana usluga validacije kvalificiranih elektroničkih potpisa

—	ETSI TS 119 441

—	ETSI TS 119 442

—	ETSI EN 319 102 -1

—	ETSI TS 119 102 -2

—	ETSI TS 119 172 -4

—	ETSI EN 301 549

—	ETSI EN 319 401

Kvalificirana usluga validacije kvalificiranih elektroničkih pečata

—	ETSI TS 119 441

—	ETSI TS 119 442

—	ETSI EN 319 102 -1

—	ETSI TS 119 102 -2

—	ETSI TS 119 172 -4

—	ETSI EN 301 549

—	ETSI EN 310 401

Kvalificirana usluga čuvanja kvalificiranih elektroničkih potpisa

—	ETSI TS 119 511

—	ETSI TS 119 172 -4

—	ETSI TS 119 512

—	ETSI EN 301 549

—	ETSI EN 310 401

Kvalificirana usluga čuvanja kvalificiranih elektroničkih pečata

—	ETSI TS 119 511

—	ETSI TS 119 172 -4

—	ETSI TS 119 512

—	ETSI EN 301 549

—	ETSI EN 319 401

Izrada kvalificiranih elektroničkih vremenskih žigova

—	ETSI EN 319 421

—	ETSI EN 319 422

—	ETSI EN 301 549

—	ETSI EN 319 401

Pružanje kvalificiranih usluga elektroničke preporučene dostave

—	ETSI EN 319 521

—	ETSI EN 319 522

—	ETSI EN 319 531

—	ETSI EN 319 532

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

Kvalificirana usluga za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu

—	ETSI TS 119 431 -1

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

Kvalificirana usluga za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu

—	ETSI TS 119 431 -1

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

Pružanje kvalificiranih usluga elektroničkog arhiviranja

—

ISO 14641

—

ISO 14721

—	CEN/TS 18170

—	ETSI TS 301 549

—	ETSI EN 319 401

—	ETSI EN 119 511

Izdavanje kvalificiranih elektroničkih potvrda atributa

—	ETSI TS 119 471

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

Bilježenje elektroničkih podataka u kvalificiranu elektroničku evidenciju

—	ETSI EN 319 401

—	ETSI EN 301 549

—	CEN/TS 18170

—

ISO 23257

—	ISO/TS 23635

—	ETSI EN 319 122 -1

—	ETSI EN 319 132 -1

—	ETSI EN 319 182 -1

PRILOG III.

Specifikacije izvješća o ocjenjivanju sukladnosti

Izvješće o ocjenjivanju sukladnosti iz članka 7. stavka 1. mora:

(1)

biti popraćeno jasnom odlukom o certifikaciji u skladu s točkom 7.6. norme ETSI EN 319403-1 v2.3.1 („ETSI EN 319403-1”), u kojoj se navodi ispunjavaju li ocijenjeni pružatelj usluga povjerenja i ocijenjene kvalificirane usluge povjerenja koje on pruža ili želi pružati zahtjeve utvrđene u Uredbi (EU) br. 910/2014 i članku 21. Direktive (EU) 2022/2555;

(2)

sadržavati ime kvalificiranog pružatelja usluga povjerenja i, ako je primjenjivo, njegov registracijski broj, kako je navedeno u službenoj evidenciji, njegovu službenu poštansku adresu i e-adresu te, ako je primjenjivo, iste te informacije za sva društva kćeri, povezane pravne subjekte, ugovaratelje i podugovaratelje koji obavljaju određene dijelove usluga povjerenja kad pružatelj kvalificiranih usluga povjerenja pruža usluge povjerenja;

(3)	uključivati detaljan opis opsega ocjenjivanja kvalificiranog pružatelja usluga povjerenja, kao i specifičnih kvalificiranih usluga povjerenja obuhvaćenih ocjenjivanjem;

(4)	sadržavati dostatne dokaze da kvalificirani pružatelj usluga povjerenja i kvalificirane usluge povjerenja on koje pruža ispunjavaju zahtjeve utvrđene u Uredbi (EU) br. 910/2014 i članku 21. Direktive (EU) 2022/2555;

(5)	sadržavati naziv tijela za ocjenjivanje sukladnosti i, ako je primjenjivo, njegov registracijski broj, kako je navedeno u službenoj evidenciji, te njegovu registriranu poštansku adresu i e-adresu;

(6)

sadržavati:

(a)	naziv i zemlju nacionalnog akreditacijskog tijela koje je izdalo akreditaciju tijelu za ocjenjivanje sukladnosti;

(b)	imena fizičkih osoba koje je tijelo za ocjenjivanje sukladnosti uključilo u ocjenjivanje sukladnosti i njihove uloge u tom ocjenjivanju;

(c)	poveznicu na službenu mrežnu stranicu nacionalnog akreditacijskog tijela koja sadržava potvrdu o akreditaciji koju je nacionalno akreditacijsko tijelo izdalo tijelu za ocjenjivanje sukladnosti;

(d)	ako je primjenjivo, digitalni akreditacijski simbol;

(e)	sustav ocjenjivanja sukladnosti za koji je tijelo za ocjenjivanje sukladnosti akreditirano u skladu s člankom 2. stavkom 1.;

(f)	ispitivanja provedenih postupaka ocjenjivanja sukladnosti, obrazloženje njihova odabira i primijenjenu metodologiju, uključujući metodologiju uzorkovanja i postupke ispitivanja;

(g)	akreditirani sustav ocjenjivanja sukladnosti i relevantne dokumente ili poveznicu na lokaciju na kojoj su dostupni sustav ocjenjivanja sukladnosti i relevantni dokumenti;

(7)

sadržavati barem jedan kvalificirani elektronički potpis ako se dostavlja u elektroničkom obliku ili vlastoručni potpis ako se dostavlja u papirnatom obliku, kojim se identificira ime i funkcija odgovorne osobe ili osoba ovlaštenih za donošenje odluke o certifikaciji u ime tijela za ocjenjivanje sukladnosti;

(8)	se odnositi na jednog kvalificiranog pružatelja usluga povjerenja;

(9)

u skladu s točkom 5.5.3. norme ETSI TS 119612 v2.4.1, uključivati digitalni identitet usluga po vrstama kvalificiranih usluga povjerenja za koje se potvrđuje sukladnost sa zahtjevima iz Uredbe (EU) br. 910/2014 i članka 21. Direktive (EU) 2022/2555, pri čemu se navode sljedeće informacije:

(a)	ako se kvalificirana usluga povjerenja ne temelji na tehnologiji infrastrukture javnih ključeva, jedinstveni identifikator kvalificirane usluge povjerenja izražen u obliku URI-ja;

(b)

ako se kvalificirana usluga povjerenja temelji na tehnologiji infrastrukture javnih ključeva, barem sljedeće:

—	identifikator ključa subjekta, kako je definirano u normi IETF RFC 5280,

—	prikaz odgovarajućeg digitalnog certifikata X.509v3 u PEM formatu kodiranom u Base64,

—	ako je primjenjivo, naznaka jesu li određeni skupovi ili podskupovi certifikata krajnjeg subjekta izdanih u okviru digitalnog identiteta usluge isključeni ili posebno obuhvaćeni odlukom o certifikaciji, kao i podatak o kriterijima na temelju kojih se mogu utvrditi,

—	naznaka odnosi li se digitalni identitet usluge na krajnjeg subjekta ili certifikacijsko tijelo, uz pojašnjenje je li riječ o certifikatu izdavatelja, posredničkom certifikatu ili korijenskom certifikatu,

—	opis načina na koji se digitalni identitet usluge koristi u odgovarajućoj kvalificiranoj usluzi povjerenja;

(10)

ako je primjenjivo, pružiti detaljan opis funkcionalne hijerarhije infrastrukture javnih ključeva po vrstama kvalificiranih usluga povjerenja i za sve digitalne identitete usluga utvrđene u skladu s točkom 11., uključujući barem:

(a)	prikaz hijerarhije infrastrukture javnih ključeva kojom se identificiraju korijenska certifikacijska tijela, posrednička certifikacijska tijela, certifikacijska tijela koja izdaju certifikate i njihovi međusobni certifikacijski lanci;

(b)	identifikacijsku oznaku svakog certifikacijskog tijela prikazanog u točki (a) pomoću identifikatora ključa subjekta, kako je definirano u normi IETF RFC 5280;

(c)

za svako certifikacijsko tijelo koje izdaje certifikate i koje je identificirano u skladu s točkom (b), popis skupova certifikata koje svako certifikacijsko tijelo izdaje u okviru različitih politika, uključujući sljedeće za svaki skup:

—

kriterije pomoću kojih se jedinstveno identificiraju certifikati iz skupa, a to može biti popis identifikatora politika za certifikate koji se podudaraju sa sadržajem produljenja certifikata u kojem je utvrđena politika za certifikate, kako je definirano u normi IETF RFC 5280, ili drugi kriteriji utvrđeni u provedbenim aktima donesenima u skladu s člankom 22. stavkom 5. Uredbe (EU) br. 910/2014,

—	naznaku jesu li certifikati iz skupa kvalificirani ili nekvalificirani,

—	naznaku jesu li certifikati iz skupa namijenjeni za elektroničke potpise, elektroničke pečate, autentifikaciju mrežnih stranica ili ni za jednu od tih svrha i, u potonjem slučaju, za koje su druge svrhe namijenjeni,

—	naznaku je li privatni ključ koji odgovara javnom ključu certificiranom u certifikatima iz skupova pohranjen u lokalnom ili daljinskom kvalificiranom sredstvu za izradu potpisa ili pečata;

(11)

uključivati, u skladu s točkom 2.:

(a)	cjelovit popis trećih strana koje pružaju određene dijelove kvalificiranih usluga povjerenja ili dijelove drugih usluga, uključujući podugovaratelje, u kojem se navodi njihovo ime kako je utvrđeno u točki 2. i lokacije na kojima se pružaju odgovarajući dijelovi usluga;

(b)	naznaku jesu li te treće strane i lokacije bile predmet ocjenjivanja sukladnosti i u kojoj mjeri;

(12)	uključivati, prema potrebi, opis sadržaja unosa koji treba uvrstiti ili ažurirati na odgovarajućem nacionalnom pouzdanom popisu, u skladu s rezultatom ocjenjivanja;

(13)

sadržavati cjelovit popis javnih dokumenata i internih dokumenata kvalificiranih pružatelja usluga povjerenja, koji moraju biti pravilno identificirani i imati naznačenu verziju, a obuhvaćeni su ocjenjivanjem sukladnosti, uključujući barem sljedeću dokumentaciju iz točke 8., čiji se primjerak dostavlja zajedno s izvješćem o ocjenjivanju sukladnosti ili se na drugi način stavlja na raspolaganje nadležnom nadzornom tijelu na njegov zahtjev:

(a)	izjavu o praksama koje kvalificirani pružatelj usluga povjerenja primjenjuje u pružanju kvalificiranih usluga povjerenja;

(b)	skup pravila koji određuje primjenjivost kvalificiranih usluga povjerenja na određenu zajednicu ili namjenu sa zajedničkim sigurnosnim zahtjevima („politike za kvalificirane usluge povjerenja”);

(c)	uvjete koji se odnose na pretplatničke sporazume;

(d)	plan prekida pružanja kvalificiranih usluga povjerenja;

(e)	dokumentaciju koja se odnosi na procjenu rizika i služi kao dokaz da su ispunjeni zahtjevi iz članka 24. stavka 2. točaka (fa) i (fb) Uredbe (EU) br. 910/2014 i članka 21. Direktive (EU) 2022/2555;

(f)	plan za obavješćivanje o povredama sigurnosti koji služi kao dokaz da su ispunjeni zahtjevi iz članka 24. stavka 2. točaka (fa) i (fb) Uredbe (EU) br. 910/2014 i članka 21. Direktive (EU) 2022/2555;

(g)	popis svih internih dokumenata kojima se dokazuje djelotvorna provedba praksi koje je kvalificirani pružatelj usluga povjerenja naveo i koje primjenjuje u pružanju kvalificiranih usluga povjerenja;

(h)

osnivački akt ili statut kvalificiranog pružatelja usluga povjerenja u skladu s primjenjivim nacionalnim zakonima, zajedno sa sljedećim elementima:

—	izvješćem o poslovnim djelatnostima koje nisu povezane s pružanjem usluga povjerenja,

—	organizacijskom shemom,

—	informacijama o vlasničkoj strukturi,

—	ako je primjenjivo i dostupno, izvješćem o reviziji računa za prethodne dvije računovodstvene godine rada društva ili za razdoblje od datuma njegova osnivanja do datuma potpisivanja izvješća o ocjenjivanju sukladnosti, ovisno o tome koje je razdoblje kraće;

(i)	dokaz da kvalificirani pružatelj usluga povjerenja, u skladu s primjenjivim nacionalnim zakonima, raspolaže dostatnim financijskim sredstvima i da je, ako je primjenjivo, sklopio odgovarajuće osiguranje od odgovornosti za pružanje kvalificiranih usluga povjerenja;

(j)	popis normi za koje se tvrdi da su djelatnosti s njima sukladne;

(k)	popis normi prema kojima se djelatnosti revidiraju, evaluiraju, certificiraju ili se ocjenjuje njihova sukladnost, zajedno s pojedinostima o sustavu revizije, evaluacije, certifikacije ili ocjenjivanja na kojem se ti postupci temelje, kako je primjenjivo;

(l)	popis kvalificiranih sredstava za izradu elektroničkih potpisa ili kvalificiranih sredstava za izradu elektroničkih pečata i informacije o njihovoj certifikaciji ako kvalificirani pružatelj usluga povjerenja svojim korisnicima isporučuje ili stavlja na raspolaganje takva sredstva;

(m)

popis uređaja koje kvalificirani pružatelj usluga povjerenja koristi kao pouzdan sustav ili proizvod za zaštitu vlastitih ključeva, uključujući hardverske sigurnosne module ili sigurne kriptografske uređaje, kao i informacije o njihovoj certifikaciji ako kvalificirani pružatelj usluga povjerenja koristi takve uređaje za osiguravanje popratnih postupaka u vezi s kvalificiranim uslugama povjerenja koje pruža;

(14)

sadržavati ocjenu ispunjenosti zahtjeva koji se primjenjuju na relevantne kvalificirane usluge povjerenja na temelju Uredbe (EU) br. 910/2014 i, ako je primjenjivo, na temelju provedbenih i delegiranih akata koji se primjenjuju na tu kvalificiranu uslugu povjerenja donesenih:

—	u skladu s člankom 24. stavkom 1.c Uredbe (EU) br. 910/2014 u pogledu provjere identiteta i atributa osoba kojima se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda,

—	u skladu s člankom 24. stavkom 5. Uredbe (EU) br. 910/2014 u pogledu zahtjeva za kvalificirane pružatelje usluga povjerenja koji pružaju kvalificirane usluge povjerenja,

—	u skladu s člankom 28. stavkom 6. Uredbe (EU) br. 910/2014 u pogledu izdavanja kvalificiranih certifikata za elektroničke potpise,

—	u skladu s člankom 38. stavkom 6. Uredbe (EU) br. 910/2014 u pogledu izdavanja kvalificiranih certifikata za elektroničke pečate,

—	u skladu s člankom 45. stavkom 2. Uredbe (EU) br. 910/2014 u pogledu izdavanja kvalificiranih certifikata za autentifikaciju mrežnih stranica,

—	u skladu s člankom 33. stavkom 2. Uredbe (EU) br. 910/2014 u pogledu kvalificirane usluge validacije kvalificiranih elektroničkih potpisa,

—	u skladu s člankom 33. stavkom 2. i člankom 40. Uredbe (EU) br. 910/2014 u pogledu kvalificirane usluge validacije kvalificiranih elektroničkih pečata,

—	u skladu s člankom 34. stavkom 2. Uredbe (EU) br. 910/2014 u pogledu kvalificirane usluge čuvanja kvalificiranih elektroničkih potpisa,

—	u skladu s člankom 34. stavkom 2. i člankom 40. Uredbe (EU) br. 910/2014 u pogledu kvalificirane usluge čuvanja kvalificiranih elektroničkih pečata,

—	u skladu s člankom 42. stavkom 2. Uredbe (EU) br. 910/2014 u pogledu izrade kvalificiranih elektroničkih vremenskih žigova,

—	u skladu s člankom 44. stavkom 2. Uredbe (EU) br. 910/2014 u pogledu pružanja kvalificiranih usluga elektroničke preporučene dostave,

—	u skladu s člankom 29.a stavkom 2. Uredbe (EU) br. 910/2014 u pogledu kvalificirane usluge za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu,

—	u skladu s člankom 29.a stavkom 2. i člankom 39.a Uredbe (EU) br. 910/2014 u pogledu kvalificirane usluge za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu,

—	u skladu s člankom 45.j stavkom 2. Uredbe (EU) br. 910/2014 u pogledu pružanja kvalificiranih usluga elektroničkog arhiviranja,

—	u skladu s člankom 45.d stavkom 5. Uredbe (EU) br. 910/2014 u pogledu izdavanja kvalificiranih elektroničkih potvrda atributa,

—	u skladu s člankom 45.l stavkom 3. Uredbe (EU) br. 910/2014 u pogledu bilježenja elektroničkih podataka u kvalificiranu elektroničku evidenciju;

(15)

sadržavati ocjenu ispunjenosti zahtjeva koji se primjenjuju na kvalificiranog pružatelja usluga povjerenja i relevantne kvalificirane usluge povjerenja na temelju članka 21. Direktive (EU) 2022/2555 i provedbenih akata koji se primjenjuju na tu kvalificiranu uslugu povjerenja donesenih u skladu s člankom 21. stavkom 5. te direktive;

(16)

ako je primjenjivo, sadržavati izjavu o nepostojanju bilo kakvih nesukladnosti, bez obzira na njihovu razinu kritičnosti; ako se u izvješću utvrdi bilo kakva nesukladnost, sadržavati plan korektivnih mjera i njihov vremenski okvir koje je utvrdio kvalificirani pružatelj usluga povjerenja, a odobrilo tijelo za ocjenjivanje sukladnosti, zajedno s opisom planiranih evaluacijskih aktivnosti koje se tijelo za ocjenjivanje sukladnosti obvezuje provesti kako bi evaluiralo jesu li nesukladnosti ispravljene;

(17)	sadržavati, ako je to primjereno i potrebno, mogućnosti za poboljšanje načina na koji kvalificirani pružatelj usluga povjerenja i kvalificirane usluge povjerenja koje on pruža ispunjavaju relevantne zahtjeve;

(18)

za svaku fazu ocjenjivanja sukladnosti, uključujući reviziju dokumentacije, ocjenjivanje provedbe i inspekcije na licu mjesta, sadržavati razdoblje na koje se ocjenjivanje sukladnosti odnosi i vrijeme koje je tijelu za ocjenjivanje sukladnosti bilo potrebno za provođenje ocjenjivanja, iskazano u radnim danima po osobi;

(19)

sadržavati, u odgovarajućem izvješću o posebnim zahtjevima, detaljne kontrole i ciljeve kontrola koje su provedene tijekom ocjenjivanja sukladnosti ili upućivati na dostupna zasebna izvješća o ocjenjivanju u kojima su takve informacije navedene, pod uvjetom da su takva zasebna izvješća:

(a)	izdala tijela za ocjenjivanje sukladnosti akreditirana u skladu s Uredbom (EU) br. 910/2014;

(b)	potvrdila tijela za ocjenjivanje sukladnosti koja izdaju izvješće o ocjenjivanju sukladnosti;

(20)	uključivati opseg, opis i rezultate značajnog skupa ispitivanja ili uzoraka proizvoda te njihovu ocjenu za sve relevantne i primjenjive vrste rezultata ostvarenih pružanjem ocijenjenih kvalificiranih usluga povjerenja;

(21)

uključivati sljedeće rokove:

(a)	rok u kojem se mora provesti sljedeće nadzorno ocjenjivanje sukladnosti;

(b)	rok u kojem se mora provesti sljedeće ocjenjivanje sukladnosti u skladu s člankom 20. stavkom 1. Uredbe (EU) br. 910/2014;

(22)	sadržavati izričitu izjavu da je certifikacijska dokumentacija, uključujući izvješće o ocjenjivanju sukladnosti, namijenjena i za nadležno nacionalno nadzorno tijelo.