PROVEDBENA UREDBA KOMISIJE (EU) …/...

оd 27.10.2025.

o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu referentnih normi, specifikacija i postupaka za upravljanje rizicima za pružanje nekvalificiranih usluga povjerenja

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ 1 , a posebno njezin članak 19.a stavak 2.,

budući da:

(1)Nekvalificirani pružatelji usluga povjerenja imaju važnu ulogu u digitalnom okruženju jer pružaju usluge povjerenja koje olakšavaju sigurne elektroničke transakcije. Uredbom (EU) br. 910/2014 za nekvalificirane pružatelje usluga povjerenja propisano je manje regulatornih zahtjeva nego za kvalificirane pružatelje usluga povjerenja. Međutim, svi pružatelji usluga povjerenja podliježu zahtjevima o sigurnosti i odgovornosti kako bi se osigurala dužna pažnja, transparentnost i odgovornost za njihove djelatnosti i usluge.

(2)Nekvalificirani pružatelji usluga povjerenja mogu se smatrati važnim ili ključnim subjektima u skladu s člankom 3. Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća 2 . Stoga se na njih primjenjuje Provedbena uredba Komisije (EU) 2024/2690 3 o utvrđivanju tehničkih i metodoloških zahtjeva za mjere upravljanja kibernetičkosigurnosnim rizicima. Međutim, opseg zahtjeva utvrđenih u članku 19.a stavku 1. točki (a) Uredbe (EU) br. 910/2014 odnosi se na postupke upravljanja pravnim, poslovnim, operativnim i drugim izravnim ili neizravnim rizicima za pružanje nekvalificiranih usluga povjerenja. Kako bi se dopunio okvir za upravljanje rizicima utvrđen u Provedbenoj uredbi (EU) 2024/2690 i omogućio dosljedan pristup upravljanju svim relevantnim vrstama rizika, trebalo bi utvrditi specifikacije i postupke pomoću kojih bi nekvalificirani pružatelji usluga povjerenja trebali upravljati tim rizicima. Nekvalificiranim pružateljima usluga povjerenja u osmišljavanju i provedbi odgovarajućih politika upravljanja rizicima mogu pomoći smjernice koje donose Agencija Europske unije za kibersigurnost (ENISA) ili nacionalna nadležna tijela na temelju Direktive (EU) 2022/2555.

(3)Pretpostavka sukladnosti utvrđena u članku 19.a. stavku 2. Uredbe (EU) br. 910/2014 trebala bi vrijediti samo ako nekvalificirani pružatelji usluga povjerenja poštuju zahtjeve utvrđene u ovoj Uredbi. Referentne norme navedene u Prilogu trebale bi odražavati ustaljenu praksu i biti općepriznate u relevantnim sektorima. Kako bi nekvalificirani pružatelji usluga povjerenja mogli upravljati pravnim, poslovnim, operativnim i drugim izravnim ili neizravnim rizicima za pružanje nekvalificirane usluge povjerenja u skladu s člankom 19.a stavkom 1. Uredbe (EU) br. 910/2014, nekvalificirani pružatelji usluga povjerenja trebali bi se pridržavati navedenih elemenata normi iz Priloga, kao i zahtjeva za upravljanje rizicima iz ove Uredbe koji se odnose na pretpostavku sukladnosti.

(4)Ako se nekvalificirani pružatelj usluga povjerenja pridržava zahtjeva iz ove Provedbene uredbe, nadzorna tijela trebala bi pretpostaviti sukladnost s relevantnim zahtjevima iz Uredbe (EU) br. 910/2014. Međutim, nekvalificirani pružatelj usluga povjerenja i dalje može na druge načine dokazati sukladnost sa zahtjevima iz Uredbe (EU) br. 910/2014.

(5)Kako bi se utvrđeni rizici mogli otkloniti na odgovarajući način, politike upravljanja rizicima koje primjenjuju nekvalificirani pružatelji usluga povjerenja trebale bi obuhvaćati postupke za dokumentiranje i evaluaciju rizika, kao i za utvrđivanje, odabir i provedbu odgovarajućih mjera za postupanje s rizicima. Provedbu mjera za postupanje s rizicima trebalo bi kontinuirano pratiti. Nekvalificirani pružatelji usluga povjerenja trebali bi zajamčiti cjelovitost i povjerljivost informacija koje evidentiraju i čuvaju u okviru svojih mjera za postupanje s rizicima. Nadalje, kako bi se povećala transparentnost i poduprle nadzorne aktivnosti, nekvalificirani pružatelji usluga povjerenja trebali bi objaviti metode provjere identiteta koje primjenjuju. Budući da se svi utvrđeni rizici ne mogu u potpunosti otkloniti tako da se izbjegnu, ublaže ili prenesu na druge subjekte, upravljačka tijela nekvalificiranih pružatelja usluga povjerenja trebala bi odobriti sve preostale rizike. Kriteriji za prihvaćanje preostalih rizika trebali bi biti opravdani na razumljiv način.

(6)Komisija redovito ocjenjuje nove tehnologije, prakse, norme i tehničke specifikacije. U skladu s uvodnom izjavom 75. Uredbe (EU) 2024/1183 Europskog parlamenta i Vijeća 4 Komisija bi trebala preispitivati i prema potrebi ažurirati ovu Provedbenu uredbu kako bi bila u skladu s globalnim kretanjima, novim tehnologijama, praksama, normama ili tehničkim specifikacijama te kako bi se slijedila najbolja praksa na unutarnjem tržištu.

(7)Na aktivnosti obrade osobnih podataka na temelju ove Uredbe primjenjuju se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća 5 i, ako je relevantno, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća 6 .

(8)Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća 7 te je on dao mišljenje 8. kolovoza 2025. 8

(9)Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem odbora osnovanog člankom 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU UREDBU:

Članak 1.

Referentne norme

Referentne norme iz članka 19.a stavka 2. Uredbe (EU) br. 910/2014 utvrđene su u Prilogu ovoj Uredbi.

Članak 2.

Politike upravljanja rizicima

1.U politikama upravljanja rizicima iz članka 19.a stavka 1. Uredbe (EU) br. 910/2014 moraju se jasno utvrditi usluge povjerenja na koje se primjenjuju, moraju biti specifične za predmetne usluge povjerenja i mora ih odobriti upravljačko tijelo nekvalificiranog pružatelja usluga povjerenja.

2.Politike upravljanja rizicima sadržavaju barem sve sljedeće elemente:

(a)opću razinu tolerancije na rizik u skladu s kritičnošću i potrebnom razinom sigurnosti usluga povjerenja, uzimajući u obzir najnovija tehnološka dostignuća;

(b)relevantne kriterije rizika, uključujući barem vjerojatnost, učinak i razinu rizika, uzimajući u obzir saznanja o kibernetičkim prijetnjama i ranjivosti;

(c)pristup za utvrđivanje i dokumentiranje rizika za pružanje usluga povjerenja, uzimajući u obzir cjelokupni opseg informacijskog sustava koji koristi nekvalificirani pružatelj usluga povjerenja, uključujući rizike povezane s komponentama sustava te sa svim aktivnim ili pasivnim stranama koje sudjeluju u provedbi sustava ili pružanju usluga povjerenja;

(d)postupak za evaluaciju utvrđenih rizika na temelju kriterija rizika iz točke (b);

(e)postupak za utvrđivanje, određivanje prioriteta i kontinuirano praćenje provedbe odgovarajućih mjera za postupanje s rizicima;

(f)postupak za kontinuirano praćenje provedbe politika upravljanja rizicima.

3.Nekvalificirani pružatelji usluga povjerenja uvode odgovarajuće postupke i čuvaju dokumentaciju kako bi osigurali da se provode zahtjevi utvrđeni u primjenjivim propisima.

4.Nekvalificirani pružatelji usluga povjerenja uvode odgovarajuće dokumentirane postupke koji omogućuju praćenje zakonodavnih i regulatornih promjena na razini Unije i na nacionalnoj razini koje mogu utjecati na pružanje usluga povjerenja.

Članak 3.

Utvrđivanje, dokumentiranje i evaluacija rizika

Nekvalificirani pružatelji usluga povjerenja utvrđuju, dokumentiraju i evaluiraju sve rizike iz članka 19.a stavka 1. Uredbe (EU) br. 910/2014 u skladu s politikama upravljanja rizicima iz članka 2., pri čemu posebno:

(a)utvrđuju rizike povezane s trećim stranama;

(b)utvrđuju potencijalnu jedinstvenu točku prekida u pružanju usluga povjerenja;

(c)evaluiraju utvrđene rizike na temelju kriterija rizika iz članka 2. stavka 2. točke (b).

Članak 4.

Mjere za postupanje s rizicima

1.U skladu s politikama iz članka 2. nekvalificirani pružatelji usluga povjerenja planiraju, dokumentiraju i provode mjere za postupanje s rizicima, a posebno obavljaju sljedeće zadaće:

(a)utvrđuju odgovarajuće mjere za postupanje s rizicima i određuju njihov prioritet;

(b)izrađuju plan postupanja s rizicima, u kojem odabiru, odobravaju i dokumentiraju odabrane mjere za postupanje s rizicima, uključujući njihove sigurnosne zahtjeve i operativne postupke, i određuju tko je odgovoran za provedbu mjera za postupanje s rizicima i kad ih treba provesti;

(c)kontinuirano prate provedbu mjera za postupanje s rizicima.

2.U planu postupanja s rizicima iz stavka 1. točke (b) na razumljiv način navode se razlozi za prihvaćanje preostalih rizika.

3.U okviru mjera za postupanje s rizicima iz stavka 1. nekvalificirani pružatelji usluga povjerenja također:

(a)ako je primjenjivo, provjeravaju identitet korisnika usluge povjerenja izravno ili preko treće strane i objavljuju informacije o korištenim metodama provjere identiteta;

(b)za potrebe predlaganja dokaza u sudskim postupcima i kontinuiteta usluge bilježe i na siguran način čuvaju informacije navedene u nastavku onoliko dugo koliko je to potrebno u skladu s propisima Unije ili nacionalnim zakonima, čak i nakon prestanka obavljanja djelatnosti nekvalificiranog pružatelja usluga povjerenja:

–sve relevantne informacije prikupljene tijekom postupka registracije i uključivanja korisnika usluga povjerenja, uključujući, ako je primjenjivo, provjeru identiteta korisnika,

–podatke za autentifikaciju dodijeljene korisniku usluge povjerenja, ako je primjenjivo, i

–svaku promjenu statusa certifikata javnog ključa ili drugog kriptografskog materijala koji se koristi za pružanje usluge povjerenja;

(c)ako je primjenjivo, osiguravaju da se korisniku usluge povjerenja dodijele jedinstveni podaci za autentifikaciju.

4.Pri utvrđivanju, odabiru, odobravanju i određivanju prioriteta odgovarajućih mjera za postupanje s rizicima nekvalificirani pružatelji usluga povjerenja uzimaju u obzir sljedeće elemente:

(a)rezultate evaluacije rizika iz članka 3.;

(b)djelotvornost mjera za postupanje s rizicima;

(c)ocjene sukladnosti;

(d)značajne incidente;

(e)trošak provedbe u odnosu na očekivanu korist;

(f)primjenjivu odgovarajuću klasifikaciju resursa;

(g)analizu svih učinaka rizika utvrđenih u skladu s člankom 3. na poslovanje.

5.Upravljačka tijela nekvalificiranih pružatelja usluga povjerenja odobravaju rizike koji preostaju nakon provedbe mjera za postupanje s rizicima utvrđenih u planu postupanja s rizicima.

6.Nekvalificirani pružatelji usluga povjerenja preispituju, dokumentiraju i prema potrebi ažuriraju rezultate evaluacije rizika i plan postupanja s rizicima u planiranim vremenskim razmacima, a najmanje jednom godišnje, kao i u slučaju znatnih promjena infrastrukture, poslovanja ili rizika ili u slučaju značajnih incidenata.

7.Nekvalificirani pružatelji usluga povjerenja osiguravaju dostupnost, cjelovitost i povjerljivost informacija iz stavka 3. točke (b).

Članak 5.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 27.10.2025.

Za Komisiju

Predsjednica
Ursula VON DER LEYEN

(1) SL L 257, 28.8.2014., str. 73., ELI: http://data.europa.eu/eli/reg/2014/910/oj .

(2) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80., ELI: http://data.europa.eu/eli/dir/2022/2555/oj ).

(3) Provedbena uredba Komisije (EU) 2024/2690 od 17. listopada 2024. o utvrđivanju pravila za primjenu Direktive (EU) 2022/2555 u pogledu tehničkih i metodoloških zahtjeva za mjere upravljanja kibernetičkosigurnosnim rizicima te dodatnih specifikacija slučajeva u kojima se incident smatra značajnim za pružatelje usluga DNS-a, registre naziva vršnih domena, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnog centra, pružatelje mreža za isporuku sadržaja, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, pružatelje internetskih tržišta, internetskih tražilica i platformi za usluge društvenih mreža te pružatelje usluga povjerenja (SL L, 2024/2690, 18.10.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj ).

(4) Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024. o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet (SL L, 2024/1183, 30.4.2024., ELI: http://data.europa.eu/eli/reg/2024/1183/oj ).

(5) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1., ELI: http://data.europa.eu/eli/reg/2016/679/oj ).

(6) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37., ELI: http://data.europa.eu/eli/dir/2002/58/oj ).

(7) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8) Službene primjedbe Europskog nadzornika za zaštitu podataka na nacrt Provedbene uredbe o specifikacijama i postupcima za upravljanje rizicima za pružanje nekvalificiranih usluga povjerenja | Europski nadzornik za zaštitu podataka .