European flag

Az Európai Unió
Hivatalos Lapja

HU

L sorozat

2025/1567

2025.7.30.

A BIZOTTSÁG (EU) 2025/1567 VÉGREHAJTÁSI RENDELETE

(2025. július 29.)

a 910/2014/EU európai parlamenti és tanácsi rendeletnek a távoli minősített elektronikus aláírást létrehozó eszközök és a távoli minősített elektronikus bélyegzőt létrehozó eszközök minősített bizalmi szolgáltatásként történő kezelése tekintetében történő alkalmazására vonatkozó szabályok megállapításáról

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 29a. cikke (2) bekezdésére és 39a. cikkére,

mivel:

(1)

A távoli minősített elektronikus aláírást létrehozó eszközök és a távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatások kulcsszerepet töltenek be a digitális üzleti környezetben, elősegítve a hagyományos papíralapú eljárásokról az elektronikus megfelelőikre való átállást. Ezek a minősített bizalmi szolgáltatások hozzájárulnak ahhoz, hogy a bélyegzők aláírói és létrehozói biztonságosan és megbízhatóan tudják kezelni az említett távoli eszközöket, olyan módon, hogy garantáltan teljesüljenek a minősített elektronikus aláírásokra és a minősített elektronikus bélyegzőkre vonatkozó feltételek.

(2)

A távoli minősített elektronikus aláírást létrehozó eszközök, illetve a távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatások jogbiztonságának és megbízhatóságának fokozása érdekében az említett minősített szolgáltatásokat nyújtó minősített bizalmi szolgáltatóknak meg kell felelniük az e rendeletben előírt szabványoknak.

(3)

E szabványoknak tükrözniük kell a bevett gyakorlatokat, és széles körben elismertnek kell lenniük az érintett ágazatokban. A szóban forgó szabványokat ki kell igazítani oly módon, hogy magukban foglaljanak a minősített bizalmi szolgáltatás biztonságát és megbízhatóságát garantáló ellenőrzéseket, illetve hogy garantálják, hogy az aláírók kizárólagos, magas megbízhatósági szintű ellenőrzést gyakoroljanak az elektronikus aláírást létrehozó adataik felhasználása felett, és hogy a bélyegző létrehozói ellenőrzést gyakoroljanak az elektronikus bélyegzőt létrehozó adataik felhasználása felett.

(4)

Annak érdekében, hogy elegendő idő álljon rendelkezésre a bizalmi szolgáltatók új követelményeknek való megfelelésének ellenőrzéséhez, e rendelet alkalmazásának határidejét a hatálybalépésétől számított 24 hónapban célszerű megállapítani.

(5)

A Bizottság rendszeresen értékel új technológiákat, gyakorlatokat, szabványokat és technikai specifikációkat. Az (EU) 2024/1183 európai parlamenti és tanácsi rendelet (2) (75) preambulumbekezdése értelmében a Bizottságnak rendszeresen felül kell vizsgálnia, és szükség esetén aktualizálnia kell ezt a végrehajtási rendeletet, hogy az folyamatosan megfeleljen a globális fejleményeknek, az új technológiáknak, a szabványoknak és a technikai specifikációknak, illetve igazodjon a belső piaci bevált gyakorlatokhoz.

(6)

Az e rendelet szerinti személyesadat-kezelési tevékenységre az (EU) 2016/679 európai parlamenti és tanácsi rendelet (3) és adott esetben a 2002/58/EK európai parlamenti és tanácsi irányelv (4) alkalmazandó.

(7)

Az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (5) 42. cikkének (1) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal, aki 2025. június 6-án véleményt nyilvánított.

(8)

Az e rendeletben előírt intézkedések összhangban vannak a 910/2014/EU rendelet 48. cikkével létrehozott bizottság véleményével,

ELFOGADTA EZT A RENDELETET:

1. cikk

Referenciaszabványok és specifikációk

A távoli minősített elektronikus aláírást létrehozó eszközök és a távoli minősített elektronikus bélyegzőt létrehozó eszközök minősített bizalmi szolgáltatásként történő kezelésére vonatkozó, a 910/2014/EU rendelet 29a. cikkének (2) bekezdésében és 39a. cikkében említett referenciaszabványokat és specifikációkat e rendelet melléklete tartalmazza.

2. cikk

Hatálybalépés és alkalmazhatóság

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet 2027. augusztus 19-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2025. július 29-én.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1)   HL L 257., 2014.8.28., 73. o., ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Az Európai Parlament és a Tanács (EU) 2024/1183 rendelete (2024. április 11.) a 910/2014/EU rendeletnek az európai digitális személyazonossági keret létrehozása tekintetében történő módosításáról (HL L, 2024/1183, 2024.4.30., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

MELLÉKLET

A távoli minősített aláírást létrehozó eszközök és a távoli minősített bélyegzőt létrehozó eszközök kezelésére vonatkozó referenciaszabványok és specifikációk jegyzéke

Az ETSI TS 119 431-1 V1.3.1 (2024-12) szabvány (a továbbiakban: ETSI TS 119 431-1) alkalmazandó az EU Server Signing Application Service v2 Policy (Uniós szerveroldali aláíró alkalmazásszolgáltatási szabályzat 2. verziója) követelményeinek való megfelelés értékelésére, az említett szabvány A. mellékletének megfelelően, a következő kiigazításokkal:

1.

2.1. Normatív hivatkozások

[1] ETSI EN 319 401 V3.1.1 (2024-06): „Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers” (Elektronikus aláírások és bizalmi infrastruktúrák (ESI). Bizalmi szolgáltatókra vonatkozó általános szabályzati rend követelményei)

[7] Európai kiberbiztonsági tanúsítási csoport, kriptográfiai alcsoport: „Agreed Cryptographic Mechanisms” (elfogadott kriptográfiai mechanizmusok), az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) kiadványa (1)

2.

6.1. Közzétételi és adattárral kapcsolatos felelősségi körök

OVR-6.1-04: A fenti OVR-6.1-01 követelményben meghatározott információk nyilvánosan és nemzetközileg hozzáférhetők

3.

6.4.4. Személyzeti ellenőrzések

OVR-6.4.4-02: A szerveroldali aláíró alkalmazásszolgáltatók (SSASP) olyan, bizalmi szerepet betöltő személyzetet és adott esetben alvállalkozókat alkalmaznak, akik formális képzés és bizonyítványok, illetve szakmai tapasztalat vagy a kettő kombinációja révén rendelkeznek a szükséges szaktudással, tapasztalattal és képesítéssel

OVR-6.4.4-03: Az OVR-6.4.4-02 követelmény betartása magában foglalja az új fenyegetésekre és a jelenlegi biztonsági gyakorlatokra vonatkozó rendszeres (legalább 12 havi) tájékoztatást

4.

6.4.9. Az SSASP szolgáltatásának megszüntetése

OVR-6.4.9-02: Az SSASP szolgáltatás megszüntetésére vonatkozó terve megfelel a 910/2014/EU rendelet [i.1] 24. cikkének (5) bekezdése alapján elfogadott végrehajtási jogi aktusoknak

5.

6.5.5. Hálózatbiztonsági ellenőrzések

OVR-6.5.5-02: Az ETSI EN 319 401 [1] szabvány REQ-7.8-13 követelményében előírt sebezhetőségi vizsgálatot negyedévente legalább egyszer elvégzik

OVR-6.5.5-03: A tűzfalakat úgy konfigurálják, hogy megakadályozzák a bizalmi szolgáltató működéséhez nem szükséges protokollok használatát és hozzáférést

6.

6.8.5. Kriptográfiai ellenőrzések

OVR-6.8.5-01: Megfelelő biztonsági ellenőrzések vannak érvényben az SSASP kriptográfiai technikáinak kezelésére annak teljes életciklusa során

OVR-6.8.5-02: Az OVR-6.8.5-01 követelmény tekintetében az SSASP az európai kiberbiztonsági tanúsítási csoport által jóváhagyott és az ENISA által közzétett elfogadott kriptográfiai mechanizmusokkal [7] kompatibilis, megfelelő kriptográfiai technikákat választ és alkalmaz

7.

A. melléklet A.3. szakasz – Általános követelmények

OVR-A.3-02 [EUSPv2]: A bizalmi szolgáltató tanúsítványalkalmazási nyilatkozata tartalmazza az alkalmazott QSCD eszköznek a 910/2014/EU rendelet [i.1] II. mellékletének követelményeivel összhangban történő tanúsítására való hivatkozást

(1)   https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.

ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj

ISSN 1977-0731 (electronic edition)