European flag

Az Európai Unió
Hivatalos Lapja

HU

L sorozat

2025/1566

2025.7.30.

A BIZOTTSÁG (EU) 2025/1566 VÉGREHAJTÁSI RENDELETE

(2025. július 29.)

a 910/2014/EU európai parlamenti és tanácsi rendeletnek a minősített tanúsítvány vagy a minősített elektronikus attribútumtanúsítvány kibocsátásakor a címzett személy kapcsán végzett személyazonosság- és attribútum-ellenőrzésekre vonatkozó referenciaszabványok tekintetében történő alkalmazására vonatkozó szabályok megállapításáról

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 24. cikke (1c) bekezdésére,

mivel:

(1)

A 910/2014/EU rendelet 24. cikke előírja, hogy a minősített bizalmi szolgáltatóknak ellenőrizniük kell egy természetes vagy jogi személy azonosságát és adott esetben egyedi attribútumait, amikor minősített tanúsítványokat vagy minősített elektronikus attribútumtanúsítványokat bocsátanak ki az adott személy részére.

(2)

Az egyenlő bánásmód és az ellenőrzési folyamat eredményébe vetett bizalom garantálása érdekében az ellenőrzéseket valamennyi minősített bizalmi szolgáltatónak egyenértékű módon kell elvégeznie a minősített tanúsítvány vagy a minősített elektronikus attribútumtanúsítvány kibocsátásakor. A 910/2014/EU rendelet célkitűzéseivel összhangban a Bizottság kiválasztotta, mely szabványok vonatkoznak e konkrét követelmények teljesítésére. E szabványoknak tükrözniük kell a bevett gyakorlatokat, és széles körben elismertnek kell lenniük az érintett ágazatokban. A szóban forgó szabványokat ki kell igazítani oly módon, hogy magukban foglaljanak a minősített bizalmi szolgáltatás biztonságát és megbízhatóságát garantáló további ellenőrzéseket, ugyanakkor elősegítve a határokon átnyúló interoperabilitást és a belső piac eredményes működését.

(3)

Megfelelő átmeneti időszakot kell biztosítani a minősített bizalmi szolgáltatók számára ahhoz, hogy meg tudjanak felelni a 910/2014/EU rendelet követelményeinek. Annak érdekében, hogy elegendő idő álljon a bizalmi szolgáltatók rendelkezésére az e rendeletben foglalt követelményeknek való megfeleléshez szükséges ellenőrzésekhez, e rendelet alkalmazásának határidejét a hatálybalépésétől számított 24 hónapban célszerű megállapítani.

(4)

A Bizottság rendszeresen értékel új technológiákat, gyakorlatokat, szabványokat és technikai specifikációkat. Az (EU) 2024/1183 európai parlamenti és tanácsi rendelet (2) (75) preambulumbekezdése értelmében a Bizottságnak rendszeresen felül kell vizsgálnia, és szükség esetén aktualizálnia kell ezt a végrehajtási rendeletet, hogy az folyamatosan megfeleljen a globális fejleményeknek, az új technológiáknak, a szabványoknak és a technikai specifikációknak, illetve igazodjon a belső piaci bevált gyakorlatokhoz.

(5)

Az e rendelet szerinti személyesadat-kezelési tevékenységre az (EU) 2016/679 európai parlamenti és tanácsi rendelet (3) és adott esetben a 2002/58/EK európai parlamenti és tanácsi irányelv (4) alkalmazandó.

(6)

Az európai adatvédelmi biztossal az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (5) 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2025. június 6-án véleményt nyilvánított.

(7)

Az e rendeletben előírt intézkedések összhangban vannak a 910/2014/EU rendelet 48. cikkével létrehozott bizottság véleményével,

ELFOGADTA EZT A RENDELETET:

1. cikk

A 910/2014/EU rendelet 24. cikkének (1c) bekezdésében említett referenciaszabványokat és specifikációkat e rendelet melléklete tartalmazza.

2. cikk

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet 2027. augusztus 19-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2025. július 29-én.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1)   HL L 257., 2014.8.28., 73. o., ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Az Európai Parlament és a Tanács (EU) 2024/1183 rendelete (2024. április 11.) a 910/2014/EU rendeletnek az európai digitális személyazonossági keret létrehozása tekintetében történő módosításáról (HL L, 2024/1183, 2024.4.30., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

MELLÉKLET

Referenciaszabvány a minősített tanúsítvány vagy minősített elektronikus attribútumtanúsítvány kibocsátásakor a címzett személyek személyazonosságának és attribútumainak ellenőrzéséhez

A C. melléklet C.3. szakaszának való megfelelés tekintetében az ETSI TS 119 461 V2.1.1 (2025-02) szabvány alkalmazandó, a következő kiigazításokkal:

1.

2.1. Normatív hivatkozások

[1] ETSI EN 319 401 V3.1.1 (2024-06): „Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers” (Elektronikus aláírások és bizalmi infrastruktúrák (ESI). Bizalmi szolgáltatókra vonatkozó általános szabályzati rend követelményei)

2.

C.3. A 910/2014/EU rendelet 24. cikkének (1), (1a) és (1b) bekezdése szerinti minősített tanúsítvány vagy minősített elektronikus attribútumtanúsítvány kibocsátásának felhasználási esetei

[FELTÉTELES] QTS-C3-01: Ha a minősített tanúsítványhoz vagy minősített elektronikus tanúsítványhoz a személyazonosság-ellenőrzést hiteles bizonyíték kiállítása céljából végzett személyazonosság-ellenőrzéssel együtt végzik, ez a személyazonosság-ellenőrzési folyamat:

akkreditált megfelelőségértékelő szervezet által végzett partneri felülvizsgálat vagy tanúsítás tárgyát képezte, hogy megfeleljen a 910/2014/EU rendelet szerinti „magas” biztonsági szintnek, vagy

megfelel a C3.1–C3.6. szakaszban meghatározott követelményeknek

3.

C.3.4. A más azonosító eszközzel történő személyazonosítás felhasználási esete

QTS-C.3.4-06A: A [FELTÉTELES] QTS-C.3.4-06 követelmény c) pontjában említett független megfelelőségértékelő szervezet a 910/2014/EU rendelet 3. cikkének 18. pontja szerint elismert szervezet, és amennyiben minden alkalmazandó követelmény teljesül, az értékelésnek tanúsítási ellenőrzésen alapuló megfelelőségi tanúsítványt kell eredményeznie. Ez a hivatalos tanúsítási eljárás olyan biztonsági értékelési folyamaton alapul, amely a 910/2014/EU rendelet alapján a bejelentett elektronikus azonosító eszközökre vagy tanúsított európai digitális személyiadat-tárcákra vonatkozóan meghatározott biztonsági szinteket alkalmaz, és a potenciális biztonsági fenyegetésekkel szembeni ellenállás értékelésére szolgáló, szigorú tesztelést foglal magában. Ezek az értékelések megfelelő technikai szabványokat alkalmaznak az ilyen támadásokkal szembeni ellenálló képesség bizonyítására

4.

9.2.3.4. Az automatizált működés felhasználási esete

USE-9.2.3.4-04: A személyazonosítási szolgáltató (IPSP) kockázatelemzés és saját fenyegetésfelderítési eljárása alapján – a „Methodology for sectoral cybersecurity assessments” (Az ágazati kiberbiztonsági értékelések módszertana) című ENISA-jelentésben [i.28] meghatározott vagy azzal egyenértékű módszertan alkalmazásával – meghatározza a téves elfogadási arányra és a téves elutasítási arányra vonatkozó célértékeket a teljesen automatizált személyazonosítási folyamatok keretében. Ezek a célértékek megegyeznek a hibrid felhasználási esetekre meghatározott értékekkel (amennyiben vannak ilyenek), vagy alacsonyabbak azoknál. Az IPSP következetesen, kockázatelemzéssel és saját fenyegetésfelderítési eljárásával alátámasztva tartja magát az említett, téves elfogadási arányra és téves elutasítási arányra vonatkozó célértékekhez

5.

8.3.3. Fizikai személyazonosító okmány érvényesítése

VAL-8.3.3-21: A VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A és a VAL-8.3.3-07X követelményeknek való megfelelésre vonatkozó intézkedések eredményességét akkreditált laboratórium vagy az illetékes nemzeti hatóság – amennyiben kijelölnek ilyet – vizsgálja, legkésőbb 2027. augusztus 19-ig, majd a vizsgálatot kétévente megismétli

6.

7.12. A szolgáltatás megszüntetése és a szolgáltatásmegszüntetési tervek

OVR-7.12-02: A szolgáltatás megszüntetésére vonatkozó terv megfelel a 910/2014/EU rendelet [i.1] 24. cikkének (5) bekezdése alapján elfogadott végrehajtási jogi aktusokban meghatározott követelményeknek

ELI: http://data.europa.eu/eli/reg_impl/2025/1566/oj

ISSN 1977-0731 (electronic edition)