A BIZOTTSÁG (EU) 2025/1568 VÉGREHAJTÁSI RENDELETE

(2025. július 29.)

a 910/2014/EU európai parlamenti és tanácsi rendeletnek az elektronikus azonosítási rendszerek partneri felülvizsgálatára és az együttműködési csoporton belül e felülvizsgálatok megszervezése céljából folytatandó együttműködésre irányadó eljárási szabályok tekintetében történő alkalmazására vonatkozó szabályok megállapításáról, valamint az (EU) 2015/296 bizottsági végrehajtási határozat hatályon kívül helyezéséről

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 12. cikke (6) bekezdésére és 46e. cikke (7) bekezdésére,

mivel:

(1)

A 910/2014/EU rendelet a bejelentendő elektronikus azonosítási rendszerek tekintetében partneri felülvizsgálati mechanizmus létrehozását írja elő, amelyben a tagállamok önkéntes alapon vehetnek részt. A partneri felülvizsgálatoknak lehetővé kell tenniük a tagállamok számára, hogy megértsék a 910/2014/EU rendelet 9. cikke (1) bekezdésének a) pontja értelmében bejelentésköteles elektronikus azonosítási rendszereket, és uniós szinten hatékonyan együttműködjenek e rendszerek interoperabilitásának garantálása és a bizalom kiépítése érdekében. A partneri felülvizsgálatok megszervezése során ügyelni kell arra, hogy biztosítva legyen az erőfeszítések méltányos elosztása és az összes tagállam széles körű képviselete; e felülvizsgálatok ugyanakkor nem tekintendők az adott rendszerek auditjának.

(2)

Az (EU) 2015/296 bizottsági végrehajtási határozat (2) megállapította az elektronikus azonosítási rendszerekkel kapcsolatos, a korábbi eIDAS együttműködési hálózat keretében folytatandó együttműködésre vonatkozó eljárási szabályokat, amelyek kiterjedtek az említett hálózat tagjai által végzett partneri felülvizsgálatokra is. Mivel a partneri felülvizsgálati feladatok megszervezése már a 910/2014/EU rendelet 46e. cikkének (1) bekezdése alapján az európai digitális személyazonossággal foglalkozó együttműködési csoport létrehozásáról és az (EU) 2015/296 végrehajtási határozat módosításáról szóló, 2024. szeptember 5-i C(2024)6132 bizottsági határozattal létrehozott, az európai digitális személyazonossággal foglalkozó együttműködési csoport (a továbbiakban: együttműködési csoport) feladata, az (EU) 2015/296 végrehajtási határozatot hatályon kívül kell helyezni.

(3)

A partneri felülvizsgálatok könnyű hozzáférhetősége érdekében lehetővé kell tenni, hogy bármely tagállam kérelmezhesse a partneri felülvizsgálat kezdeményezését. A kérelemben fel kell tüntetni a partneri felülvizsgálat kérelmezésének indokait, és megfelelő információkkal alá kell támasztani azt, hogy a partneri felülvizsgálat hozzájárulhat a bejelentendő elektronikus azonosítási rendszer interoperabilitásához, illetve biztonságához. E célból egységes szabályokat kell megállapítani azon minimális információk körére vonatkozóan, amelyek garantálják, hogy a partneri felülvizsgálat hatékonyan és időben elvégezhető legyen. A Bizottság üléseket szervezhet az együttműködési csoportnak annak érdekében, hogy megkönnyítse a partneri felülvizsgálat időben történő megindítását és lezárását.

(4)

Amennyiben egy tagállam a 910/2014/EU rendelet 7. cikke g) pontjának megfelelően tájékoztatja a többi tagállamot egy elektronikus azonosítási rendszerről (a továbbiakban: előzetes bejelentés), ezt az intézkedést hivatalosan úgy kell tekinteni, hogy a bejelentő tagállam kérelmezi elektronikus azonosítási rendszerének partneri felülvizsgálatát.

(5)

A partneri felülvizsgálat hatékony előkészítésének és végrehajtásának garantálása érdekében meg kell határozni a partneri felülvizsgálati eljárás szabványosított szerep- és felelősségi köreit. A tagállamok számára lehetőséget kell biztosítani, hogy e szerepek és feladatkörök ellátására képviselőket nevezzenek ki. Mivel döntő fontosságú, hogy a partneri felülvizsgálat lebonyolítására zökkenőmentesen, észszerű módon és gyorsan kerüljön sor, az egyes partneri felülvizsgálatok gyakorlati részleteiről, továbbá adott esetben pontos hatóköréről és időzítéséről a felülvizsgálatban részt vevő tagállamoknak kell megállapodniuk.

(6)

Annak garantálása érdekében, hogy valamennyi tagállam hozzájáruljon a partneri felülvizsgálati mechanizmus végrehajtásához, illetve kihasználhassa az egymástól való tanulás előnyeit, az egyes tagállamok képviselőinek hozzá kell járulniuk az erőfeszítések tagállamok közötti méltányos elosztásához az összes elvégzendő partneri felülvizsgálat tekintetében.

(7)

A partneri felülvizsgálat keretében vizsgált elektronikus azonosítási rendszerekbe vetett magas szintű bizalom elősegítése érdekében a tagállamoknak rendelkezésre kell bocsátaniuk az előírt minimális információkat, ugyanakkor szavatolva a potenciálisan érzékeny információk bizalmas jellegét. Ezeket az információkat a partneri felülvizsgálat keretében három munkacsoportnak kell értékelnie, amelyek mindegyike az elektronikus azonosítási rendszer egy-egy fő értékelési tematikájának megfelelő megbízatás szerint jár el, az (EU) 2015/1501 bizottsági végrehajtási rendelet (3) és az (EU) 2015/1502 bizottsági végrehajtási rendelet (4) rendelkezéseinek megfelelően.

(8)

Mivel az (EU) 2015/296 végrehajtási határozat az angolt határozta meg az együttműködés nyelveként, eltérő megállapodás hiányában a tagállamok a bevett gyakorlatnak megfelelően a partneri felülvizsgálati eljárást angol nyelven folytatják le. Ezért a tagállamoknak legalább angol nyelven kell rendelkezésre bocsátaniuk a partneri felülvizsgálathoz szükséges releváns információkat. Ugyanakkor a fordítás nem okozhat észszerűtlen adminisztratív vagy pénzügyi terheket. Ennek megfelelően a tagállamok szabadon használhatnak automatizált fordítási eszközöket, beleértve a Bizottság által biztosított eszközöket is.

(9)

Figyelembe véve a partneri felülvizsgálatok fontosságát mint a bejelentett elektronikus azonosítási rendszerek megbízhatóságának garanciáját, ki kell dolgozni a világos és átfogó végleges partneri felülvizsgálati jelentés elfogadásának észszerűsített eljárását. Az említett eljárás során az együttműködési csoport és a partneri felülvizsgálatban részt vevő tagállamok számára lehetővé kell tenni, hogy további kérdéseket tegyenek fel annak a tagállamnak, amelynek elektronikus azonosítási rendszere a partneri felülvizsgálat tárgyát képezi, illetve az érintett tagállamnak is lehetőséget kell biztosítani arra, hogy további észrevételeket tegyen. Az átláthatóság garantálása érdekében az említett eljárásnak az együttműködési csoport által a partneri felülvizsgálat lezárásáról kiadott véleménnyel kell lezárulnia.

(10)

Mivel az elektronikus azonosítási rendszerek a partneri felülvizsgálat lezárását követően változhatnak, létre kell hozni a korábbi partneri felülvizsgálatok aktualizálásának kezdeményezésére szolgáló eljárást is, amennyiben a változások hatással lehetnek a bejelentett elektronikus azonosítási rendszer interoperabilitására, biztonságára vagy megbízhatóságára. Ez biztosítja, hogy a partneri felülvizsgálatok az elektronikus azonosítási rendszerek fejlődésével az idők során továbbra is relevánsak maradjanak.

(11)	Az e rendelet szerinti személyesadat-kezelési tevékenységre az (EU) 2016/679 európai parlamenti és tanácsi rendelet (5), valamint adott esetben az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (6) és a 2002/58/EK európai parlamenti és tanácsi irányelv (7) alkalmazandó.

(12)	Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2025. május 28-án véleményt nyilvánított.

(13)	Az e rendeletben előírt intézkedések összhangban vannak a 910/2014/EU rendelet 48. cikkével létrehozott bizottság véleményével,

ELFOGADTA EZT A RENDELETET:

1. cikk

A partneri felülvizsgálat általános elvei

(1) Amennyiben egy tagállam egy elektronikus azonosítási rendszerről előzetes bejelentést küld a Bizottságnak és a többi tagállamnak, a 2. cikknek megfelelően kezdeményezni kell a partneri felülvizsgálatot.

(2) Az elektronikus azonosítási rendszerről előzetes bejelentést küldő tagállam bármikor visszavonhatja az előzetes bejelentését. Amennyiben a tagállam visszavonja az elektronikus azonosítási rendszerről szóló előzetes bejelentést, a partneri felülvizsgálatot lezártnak kell tekinteni.

(3) Bármely tagállam dönthet úgy, hogy részt vesz egy másik tagállam elektronikus azonosítási rendszerének partneri felülvizsgálatában.

(4) A partneri felülvizsgálatban részt vevő tagállamok az eljárás során felmerülő költségeiket saját maguk viselik.

(5) A partneri felülvizsgálatot lefolytató tagállamok képviselői a partneri felülvizsgálat során tudomásukra jutott információkat kizárólag a felülvizsgálat céljára használhatják fel, és a partneri felülvizsgálat során birtokukba került érzékeny vagy bizalmas információkat nem közölhetik harmadik felekkel.

(6) Amennyiben egy tagállam úgy dönt, hogy részt vesz egy másik tagállam elektronikus azonosítási rendszerének partneri felülvizsgálatában, köteles közzétenni az általa kijelölt képviselőket érintő esetleges összeférhetetlenségeket. Összeférhetetlenség esetén az a tagállam, amelynek elektronikus azonosítási rendszere a partneri felülvizsgálat tárgyát képezi, megtagadhatja az érintett képviselőtől az elektronikus azonosítási rendszer értékelésében való részvételt.

(7) Az e rendelet 4. cikkének (4) bekezdése szerinti partneri felülvizsgálati tevékenységekkel kapcsolatban a partneri felülvizsgálat során felmerülő esetleges vitákat az együttműködési csoport eljárási szabályzatának megfelelően kell rendezni.

(8) Az elektronikus azonosítási rendszerek a partneri felülvizsgálat lezárását követő két éven belül nem képezhetik további partneri felülvizsgálat tárgyát, kivéve, ha a felülvizsgált elektronikus azonosítási rendszerben a 6. cikk (1) bekezdése szerinti jelentős változtatásokra került sor.

2. cikk

A partneri felülvizsgálat kezdeményezése

(1) Az előzetes bejelentésnek legalább a következőket kell tartalmaznia:

a)	az előzetesen bejelentett elektronikus azonosítási rendszer és az (EU) 2015/1502 végrehajtási rendeletben előírt követelmények összehasonlítása, a partneri felülvizsgálathoz készített, a biztonsági szintek megfeleltetésére vonatkozó dokumentum formájában, e rendelet I. mellékletének megfelelően;

b)	az elektronikus azonosítási rendszer, az ahhoz kapcsolódó ökoszisztéma és az előzetes bejelentést tevő tagállam elektronikus azonosítási módszereinek részletes leírása, az e rendelet II. melléklete szerinti fehér könyv formájában;

c)	az elektronikus azonosítási rendszer interoperabilitására és az (EU) 2015/1501 végrehajtási rendelet szerinti követelményekre vonatkozó információk, az átjárhatósági keret megfeleltetésére vonatkozó, az e rendelet III. mellékletében előírt sablon szerinti dokumentum formájában.

(2) A Bizottság az előzetes bejelentésben közölt információkat továbbítja az együttműködési csoportnak.

(3) Az (1) bekezdés c) pontjában előírt információkat legalább angol nyelven kell rendelkezésre bocsátani. A tagállamok nem kötelesek lefordítani a dokumentumokat, amennyiben ez indokolatlan adminisztratív vagy pénzügyi terhet róna rájuk.

3. cikk

A partneri felülvizsgálat előkészítése

(1) A hiánytalan előzetes bejelentés kézhezvételének visszaigazolását követően a Bizottság tájékoztatja az együttműködési csoportot a partneri felülvizsgálat kezdeményezéséről, és kitűzi az ülés időpontját, amelynek egyik napirendi pontjaként az előzetes bejelentést tevő tagállam ismerteti az együttműködési csoporttal az előzetesen bejelentett elektronikus azonosítási rendszert.

(2) Az együttműködési csoport elnöke gondoskodik róla, hogy az (1) bekezdésnek megfelelően kitűzött ülésre legkésőbb két hónappal azt követően kerüljön sor, hogy az együttműködési csoport tájékoztatást kapott a partneri felülvizsgálat megindításáról.

(3) A rendszer ismertetésének időpontja a partneri felülvizsgálat hivatalos kezdőnapjának minősül.

(4) Miután az előzetes bejelentést tevő tagállam a (3) bekezdésnek megfelelően ismertette a rendszert, a többi tagállam képviselőket jelölhet ki, amelyek a nevükben részt vesznek a partneri felülvizsgálatban. Amennyiben így tesznek, meg kell adniuk képviselőik nevét és elérhetőségét. Ezek a kijelölt képviselők partneri felülvizsgálati csoportot alakítanak.

A partneri felülvizsgálati csoport tagjai megállapodnak a következő szerepkörök betöltéséről:

a)	egy koordinátor, aki felelős a partneri felülvizsgálat megszervezéséért, valamint a tagállamokkal, az együttműködési csoporttal és a Bizottsággal folytatott kommunikáció koordinálásáért;

b)	legfeljebb három referens, a partneri felülvizsgálat hatókörétől függően, amelyek mindegyike egy-egy, a 4. cikk (2) bekezdése szerinti munkacsoportot vezet;

c)	munkacsoportonként legalább egy aktív tag, aki segíti a kérdések megfogalmazását, és visszajelzést ad a referenseknek, illetve hozzájárul a partneri felülvizsgálatról szóló végleges jelentés elkészítéséhez.

(5) A (4) bekezdés a) pontjában említett koordinátor felügyeli a partneri felülvizsgálat megfelelő lebonyolítását, és nyomon követi az e rendeletben meghatározott eljárási követelményeknek való megfelelést. E célból a koordinátor kellő időben elvégzi a következő feladatokat:

a)	a kérdések és válaszok benyújtásának megszervezése;

b)	a partneri felülvizsgálatról szóló jelentés véglegesítése;

c)	a partneri felülvizsgálat tárgyát képező elektronikus azonosítási rendszerről szóló vélemény megszövegezése.

(6) A (4) bekezdés b) pontjában említett referensek megfogalmazzák az előzetes bejelentést tevő tagállamhoz intézett kérdéseket, és megszövegezik a partneri felülvizsgálati jelentés azon elemeit, amelyek a saját munkacsoportjuk felelősségi területéhez kapcsolódnak.

(7) Az előzetes bejelentést tevő tagállam és a partneri felülvizsgálatban részt vevő tagállamok az együttműködési csoport által nyújtott iránymutatás figyelembevételével megállapodnak a partneri felülvizsgálattal kapcsolatos, e rendeletben kifejezetten nem említett szervezeti szabályokról, beleértve a titoktartásra és az összeférhetetlenségre vonatkozó szabályokat és iránymutatásokat.

(8) A partneri felülvizsgálat időtartama nem haladhatja meg a felülvizsgálat (3) bekezdésben említett hivatalos kezdőnapjától számított három hónapot, és a partneri felülvizsgálatban részt vevő valamennyi tagállam egyetértésével legfeljebb két hónappal meghosszabbítható.

4. cikk

A partneri felülvizsgálat megszervezése

(1) A partneri felülvizsgálati csoport a partneri felülvizsgálatot az előzetes bejelentést tevő tagállam által a 2. cikk (1) bekezdésével összhangban rendelkezésre bocsátott információk alapján végzi el.

(2) A partneri felülvizsgálatot három munkacsoportban vagy pedig az együttműködési csoport keretében annak eljárási szabályzatával összhangban elfogadott bármely más eljárásnak megfelelően kell megszervezni. Munkacsoportok létrehozása esetén minden munkacsoport egy referensből és legalább egy aktív tagból áll.

(3) A (2) bekezdésben említett munkacsoportok a következők:

a)	a nyilvántartásba vétellel foglalkozó munkacsoport, amely azt vizsgálja felül, hogy az előzetesen bejelentett elektronikus azonosítási rendszer megfelel-e az (EU) 2015/1502 végrehajtási rendelet mellékletének 2.1. szakaszában előírt nyilvántartásba vételi követelményeknek;

az elektronikus azonosító eszköz irányításával és hitelesítésével foglalkozó munkacsoport, amely azt vizsgálja felül, hogy az előzetesen bejelentett elektronikus azonosítási rendszer megfelel-e az (EU) 2015/1502 végrehajtási rendelet mellékletének 2.2. és 2.3. szakaszában előírt, az elektronikus azonosító eszközök irányítására és hitelesítésére vonatkozó követelményeknek;

c)	az irányítással és szervezéssel foglalkozó munkacsoport, amely azt vizsgálja felül, hogy az előzetesen bejelentett elektronikus azonosítási rendszer megfelel-e az (EU) 2015/1502 végrehajtási rendelet mellékletének 2.4. szakaszában előírt irányítási és szervezési követelményeknek.

(4) A partneri felülvizsgálat kiterjedhet, de nem korlátozódik a következő egy vagy több tevékenységre:

a)	az előzetes bejelentést tevő tagállam által benyújtott releváns dokumentáció értékelése;

b)	az említett dokumentáció részeként leírt folyamatok vizsgálata;

c)	műszaki értekezletek;

d)	harmadik fél által végzett független értékelések figyelembe vétele, amennyiben rendelkezésre állnak ilyen jellegű, releváns értékelések;

e)	a partneri felülvizsgálati jelentés elkészítése, amely összefoglalja a partneri felülvizsgálat megállapításait és eredményeit.

(5) Amennyiben a 2. cikk (1) bekezdésének megfelelően rendelkezésre bocsátott információk nem elegendőek, a munkacsoportok kellően megindokolt, kiegészítő dokumentációval alátámasztott kérést nyújthatnak be az előzetes bejelentést tevő tagállamhoz további információk iránt a partneri felülvizsgálat befejezéséhez.

(6) Az előzetes bejelentést tevő tagállamnak eleget kell tennie az ilyen kéréseknek, kivéve ha fennáll az alábbi helyzetek valamelyike:

a)	nem rendelkezik a kérdéses információkkal vagy dokumentációval, és azok beszerzése észszerűtlenül nagy adminisztrációs terhet jelentene;

b)	a kért információk vagy dokumentáció közbiztonsági vagy nemzetbiztonsági kérdéskört érintenek;

c)	a kérdéses információk az üzleti, szakmai vagy vállalati titoktartás körébe tartoznak;

d)	az információk érzékenysége lehetetlenné teszi olyan biztonságos csatorna létrehozását, amely révén azok eljuttathatók volnának a partneri felülvizsgálati csoport tagjainak.

(7) Ilyen esetekben az előzetes bejelentést tevő tagállam tájékoztatja a koordinátort a kért információ vagy dokumentáció megtagadásának indokairól, és rendelkezésre bocsátja az információ részletes összefoglalóját vagy a dokumentáció szerkesztett változatát.

5. cikk

A partneri felülvizsgálat eredménye

(1) A 3. cikk (9) bekezdésének sérelme nélkül a partneri felülvizsgálati csoport:

benyújtja a partneri felülvizsgálati jelentés tervezetét az előzetes bejelentést tevő tagállamnak; ennek határideje a partneri felülvizsgálat 3. cikk (3) bekezdése szerinti kezdő időpontjától számított három hónap, kivéve, ha a partneri felülvizsgálat a 3. cikk (8) bekezdésének megfelelően meghosszabbításra kerül, mely utóbbi esetben a benyújtás a közösen megállapított meghosszabbított határidő szerint esedékes;

benyújtja a partneri felülvizsgálatról szóló végleges jelentés tervezetét a Bizottságnak és az együttműködési csoportnak, figyelembe véve az előzetes bejelentést tevő tagállamnak a partneri felülvizsgálati jelentéstervezet tartalmával kapcsolatos észrevételeit; ennek határideje a partneri felülvizsgálat 3. cikk (3) bekezdése szerinti hivatalos kezdőnapjától számított legkésőbb három hónap és két hét, kivéve, ha a partneri felülvizsgálat a 3. cikk (8) bekezdésével összhangban meghosszabbításra kerül, mely utóbbi esetben a benyújtás a közösen megállapított meghosszabbított határidő szerint esedékes;

az előzetes bejelentést tevő tagállam rendelkezésére bocsátja az előzetesen bejelentett elektronikus azonosítási rendszerre vonatkozó véleménytervezetét; ennek határideje a partneri felülvizsgálat 3. cikk (3) bekezdésében említett kezdőnapjától számított három hónap és két hét, kivéve, ha a partneri felülvizsgálat a 3. cikk (8) bekezdésének megfelelően meghosszabbításra kerül, mely utóbbi esetben a benyújtás a közösen megállapított meghosszabbított határidő szerint esedékes; a véleménytervezetet a IV. mellékletben foglalt sablon alapján kell elkészíteni;

benyújtja a Bizottságnak és az együttműködési csoportnak az előzetesen bejelentett elektronikus azonosítási rendszerről készült végleges véleményének tervezetét; ennek határideje a partneri felülvizsgálat 3. cikk (3) bekezdése szerinti kezdőnapjától számított három hónap és három hét, kivéve, ha a partneri felülvizsgálat a 3. cikk (8) bekezdésének megfelelően meghosszabbításra kerül, mely utóbbi esetben a benyújtás a közösen megállapított meghosszabbított határidő szerint esedékes.

(2) Mielőtt az együttműködési csoport elfogadja és a (9) bekezdésnek megfelelően a Bizottság e célra létrehozott honlapján közzéteszi a partneri felülvizsgálat lezárásáról szóló végleges véleményét, kiegészítő információkat vagy pontosításokat kérhet az előzetes bejelentést tevő tagállamtól vagy a partneri felülvizsgálati csoporttól.

(3) Az előzetes bejelentést tevő tagállam köteles közölni a (2) bekezdésben említett kiegészítő információkat, kivéve ha fennáll az alábbi helyzetek valamelyike:

a)	a tagállam nem rendelkezik a kérdéses információkkal, és azok beszerzésük észszerűtlenül nagy adminisztrációs terhet jelentene;

b)	az információk közbiztonsági vagy nemzetbiztonsági kérdéskört érintenek;

c)	az információk az üzleti, szakmai vagy vállalati titoktartás körébe tartoznak.

d)	az információk érzékenysége lehetetlenné teszi olyan biztonságos csatorna létrehozását, amely révén azok eljuttathatók volnának az együttműködési csoportnak.

(4) A végleges partneri felülvizsgálati jelentésben fel kell tüntetni, melyek azok az információk, amelyeket a partneri felülvizsgálati csoport vagy az együttműködési csoport kérelmezett, de amelyeket a (3) bekezdésben felsorolt egy vagy több okból nem kapott meg, az előzetes bejelentést tevő tagállam által felhozott indokok megjelölése nélkül. A partneri felülvizsgálati csoport a végleges partneri felülvizsgálati jelentésben vizsgálhatja az esetleges hiányzó információk hatását.

(5) A partneri felülvizsgálati csoport a partneri felülvizsgálat 3. cikk (3) bekezdése szerinti kezdőnapjától számítva legkésőbb négy hónapon belül, illetve a 3. cikk (8) bekezdése szerinti meghosszabbítás esetén legkésőbb hat hónapon belül benyújtja az együttműködési csoportnak a végleges partneri felülvizsgálati jelentést és a végleges véleménytervezetét.

(6) A partneri felülvizsgálati csoportnak az előzetes bejelentést tevő tagállam elektronikus azonosítási rendszeréről készült végleges véleményében fel kell sorolnia az említett tagállam által tett kötelezettségvállalásokat.

(7) A partneri felülvizsgálatról szóló végleges jelentésnek és a partneri felülvizsgálati csoport végleges véleményének kiadását követően az együttműködési csoport elfogadja és közzéteszi a partneri felülvizsgálatot lezáró véleményét, amelyben megállapítja, hogy a partneri felülvizsgálat tárgyát képező elektronikus azonosítási rendszer teljesíti-e, és ha igen, hogyan teljesíti az (EU) 2015/1502 végrehajtási rendeletben meghatározott, az előzetes bejelentést tevő tagállam által megjelölt biztonsági szintekre vonatkozó követelményeket, e rendelet I. mellékletének megfelelően. Az elfogadási folyamat során az együttműködési csoport eljárási szabályzatának megfelelően kell eljárni.

(8) Az együttműködési csoport véleményében megjelöli az előzetes bejelentést tevő tagállamot, valamint az előzetesen bejelentett elektronikus azonosítási rendszert és annak biztonsági szintjét. A vélemény emellett megállapítja, hogy a partneri felülvizsgálat sikeresen lezárult-e.

(9) A 2. cikk (1) bekezdésének megfelelően rendelkezésre bocsátott információkat az együttműködési csoport közzéteszi, kivéve, ha az információt szolgáltató tagállam írásban jelezte, hogy az adott információkat nem szabad nyilvánosságra hozni.

6. cikk

A partneri felülvizsgálat tárgyát képező elektronikus azonosítási rendszerek jelentős változása

(1) Amennyiben a bejelentett elektronikus azonosítási rendszer olyan változásokon megy keresztül, amelyek hatással lehetnek interoperabilitására, biztonságára vagy megbízhatóságára, a bejelentést tevő tagállam indokolatlan késedelem nélkül értesíti az együttműködési csoportot ezekről a változásokról, és aktualizálja a korábban benyújtott információkat.

(2) Az (1) bekezdésben említett értesítés kézhezvételét követően, és amennyiben a bejelentett elektronikus azonosítási rendszer korábban partneri felülvizsgálat tárgyát képezte, az együttműködési csoportban részt vevő bármely tagállam kérheti a partneri felülvizsgálat aktualizálását.

(3) Aktualizálás iránti kérelem benyújtása esetén a 3–5. cikk szerinti eljárások értelemszerűen alkalmazandók, és a partneri felülvizsgálati csoport a partneri felülvizsgálatot az eredeti bejelentéshez képest megváltozott elemekre és e változások hatásaira korlátozza.

7. cikk

Hatályon kívül helyezés

Az (EU) 2015/296 végrehajtási határozat hatályát veszti.

8. cikk

Hatálybalépés

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2025. július 29-én.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1) HL L 257., 2014.8.28., 73. o., ELI: http://data.europa.eu/eli/reg/2014/910/oj http://data.europa.eu/eli/reg/2014/910/2024-10-18.

(2) A Bizottság (EU) 2015/296 végrehajtási határozata (2015. február 24.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 12. cikkének (7) bekezdése értelmében vett, a tagállamok által az elektronikus azonosítás területén folytatandó együttműködésre vonatkozó eljárási szabályok megállapításáról (HL L 53., 2015.2.25., 14. o., ELI: http://data.europa.eu/eli/dec_impl/2015/296/oj).

(3) A Bizottság (EU) 2015/1501 végrehajtási rendelete (2015. szeptember 8.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 12. cikkének (8) bekezdése szerinti átjárhatósági keretről (HL L 235., 2015.9.9., 1. o., ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(4) A Bizottság (EU) 2015/1502 végrehajtási rendelete (2015. szeptember 8.) az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó minimális technikai specifikációknak és eljárásoknak a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikkének (3) bekezdése szerint történő megállapításáról (HL L 235., 2015.9.9., 7. o., ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).

(5) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

I. MELLÉKLET

A 2. cikk (1) bekezdésének a) pontjában említett partneri felülvizsgálat céljára a biztonsági szintek megfeleltetésére vonatkozó dokumentumban feltüntetendő minimális információk jegyzéke

A 2. cikk (1) bekezdésének a) pontjában említett partneri felülvizsgálathoz használandó, a biztonsági szint megfeleltetésére vonatkozó dokumentumnak legalább a következő információkat kell tartalmaznia:

általános adatok, beleértve a következőket:

a)	a bejelentő tagállam megnevezése;

b)	az elektronikus azonosítási rendszer megnevezése (ha van ilyen);

c)	az elektronikus azonosítási rendszer biztonsági szintje vagy szintjei, amely(ek) megjelölése alacsony, jelentős vagy magas lehet;

az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok, beleértve a következőket:

a)	az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok megnevezése;

b)	az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok e-mail-címe;

az elektronikus azonosítási rendszerben részt vevő érintett felekre, szervezetekre és szervekre vonatkozó információk, beleértve a következőket:

a)	az egyedi személyazonosító adatok nyilvántartásba vételének folyamatát kezelő szervezet vagy szervezetek megnevezése;

b)	az elektronikus azonosító eszközt kibocsátó fél vagy felek megnevezése, és adott esetben annak feltüntetése, hogy a felet vagy feleket említi-e a 910/2014/EU rendelet 7. cikke a) pontjának i., ii. vagy iii. alpontja;

c)	a hitelesítési eljárást működtető fél vagy felek (a továbbiakban: eIDAS-csomópont) megnevezése;

d)	az elektronikus azonosítási rendszerrel kapcsolatos felügyeleti rendszerben részt vevő irányítási szervezet vagy szervezetek megnevezése vagy megnevezései;

az elektronikus azonosítási rendszer ismertetése, beleértve a következőket:

adott esetben az alábbi témák mindegyikéhez csatolandó dokumentum vagy dokumentumok:

—	az elektronikus azonosítási rendszer rövid ismertetése, ideértve működésének kontextusát, alkalmazási körét és a magánszférabeli igénybe vevő felek számára való rendelkezésre állását,

—	az igénybe vevő fél kérelme alapján az elektronikus azonosítási rendszer keretében természetes személyekkel kapcsolatban megadható kiegészítő attribútumok felsorolása,

—	az igénybe vevő fél kérelme alapján az elektronikus azonosítási rendszer keretében jogi személyekkel kapcsolatban megadható kiegészítő attribútumok felsorolása;

az alkalmazandó felügyeleti, felelősségi és igazgatási rendszer, beleértve a következőket:

—

az elektronikus azonosítási rendszer felügyeleti rendszerének ismertetése, beleértve az értékelési folyamatot is, az alábbiak tekintetében:

—	az elektronikus azonosító eszközt kibocsátó félre vagy felekre vonatkozó felügyeleti rendszer,

—	az eIDAS-csomópontot működtető félre vagy felekre vonatkozó felügyeleti rendszer.

A szóban forgó ismertetéseknek adott esetben tartalmazniuk kell a 3. pont d) pontjában említett felügyeleti rendszerben részt vevő irányítási szervezetek szerepét, feladatait és hatásköreit, valamint azt a szervezetet, amelynek jelentést tesznek. Amennyiben a szervezetek nem tesznek jelentést a rendszerért felelős hatóságnak, meg kell adni annak a szervezetnek a részletes adatait, amelynek jelentést tesznek.

—

az alkalmazandó nemzeti felelősségi rendszer ismertetése, beleértve a következőket:

—	a 910/2014/EU rendelet 11. cikkének (1) bekezdése szerinti tagállami felelősség ismertetése,

—	az elektronikus azonosító eszközt kibocsátó fél vagy felek 910/2014/EU rendelet 11. cikkének (2) bekezdése szerinti felelősségének ismertetése,

—	az eIDAS-csomópontot működtető fél vagy felek 910/2014/EU rendelet 11. cikkének (3) bekezdése szerinti felelősségének ismertetése,

—	a teljes azonosítási rendszernek vagy meghatározott elektronikus azonosító eszközöknek, az eIDAS-csomópontnak vagy azok veszélyeztetett részeinek kezelésére, felfüggesztésére vagy visszavonására vonatkozó szabályok.

az elektronikus azonosítási rendszer összetevőinek ismertetése, beleértve a következőket:

—

a nyilvántartásba vétel megjelölt biztonsági szintjének alátámasztása érdekében annak ismertetése, hogy az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó, az (EU) 2015/1502 végrehajtási rendeletben megállapított minimális technikai specifikációkra és eljárásokra vonatkozó követelmények hogyan teljesültek,

—

annak ismertetése, hogy az elektronikus azonosítási rendszer hogyan kezeli a következő folyamatokat, beleértve a tagállam által választott lehetőségek kombinációjának dokumentációját az alábbiak tekintetében:

—	igénylés és regisztráció,

—	személyazonosítás és személyazonosság-ellenőrzés (természetes személy esetén),

—	személyazonosítás és személyazonosság-ellenőrzés (jogi személy esetén),

—	természetes és jogi személyek elektronikus azonosító eszközeinek egymáshoz rendelése,

—

az elektronikus azonosító eszközök irányítása tekintetében annak ismertetése, hogy az elektronikus azonosító eszköz hogyan kezeli a következő folyamatokat:

—	az elektronikus azonosító eszköz jellemzői és kialakítása, ideértve adott esetben a biztonsági tanúsításra vonatkozó információkat is,

—	kibocsátás, átadás és aktiválás,

—	felfüggesztés, visszavonás és újraaktiválás,

—	megújítás és csere,

—	a hitelesítés tekintetében a hitelesítési mechanizmus ismertetése, beleértve a közigazgatási szerveken kívüli egyéb igénybe vevő felek hitelesítéshez való hozzáférésének feltételeit,

—

az irányítás és a szervezés alábbi szempontok szerint történő ismertetése:

—	az irányításra és szervezésre vonatkozó általános rendelkezések,

—	értesítések közzététele és felhasználói tájékoztatás,

—	információbiztonsági irányítás,

—	nyilvántartás,

—	létesítmények és személyzet,

—	technikai ellenőrzések,

—	megfelelés és audit;

d)	annak ismertetése, hogy hogyan teljesülnek az átjárhatósági és minimális technikai és üzembiztonsági követelmények;

a benyújtott igazoló dokumentumok felsorolása és nyilatkozat arról, hogy a fenti elemek közül melyekre vonatkoznak, ideértve a bejelentés szempontjából releváns elektronikus azonosítási szolgáltatáshoz kapcsolódó tagállami jogszabályra való hivatkozásokat, valamint a vonatkozó ellenőrzési jelentéseket, tanúsítványalkalmazási nyilatkozatokat és vizsgálati jelentéseket;

f)	az elektronikus azonosítási rendszernek a 910/2014/EU rendelet 12a. cikkének (1) bekezdése és adott esetben 12a. cikkének (5) bekezdése szerinti tanúsításával kapcsolatos releváns dokumentumok és információk.

III. MELLÉKLET

Sablon az átjárhatósági keret megfeleltetésére vonatkozó dokumentumhoz

Átjárhatósági követelmények

Az (EU) 2015/1501 végrehajtási rendelet cikke

Követelmény

Leírás

A nemzeti biztonsági szintek megfeleltetése

A bejelentett elektronikus azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése az (EU) 2015/1502 végrehajtási rendeletben megállapított követelmények szerint történik. A megfeleltetés eredményeit az (EU) 2015/1984 végrehajtási határozatban előírt bejelentési formanyomtatvány alkalmazásával be kell jelenteni a Bizottságnak.

Csomópontok

(1)	A tagállamok csomópontjainak össze kell tudniuk kapcsolódni más tagállamok csomópontjaival.

(2)	A csomópontoknak technikai eszközök révén meg kell tudniuk különböztetni a közigazgatási szerveket és a magánszektorbeli igénybevevő feleket.

(3)	Az e rendeletben megállapított technikai követelmények egyik tagállam általi megvalósítása nem járhat aránytalan technikai követelményekkel és költségekkel más tagállamok számára az első tagállamban megvalósított rendszerrel való együttműködés érdekében.

Adatvédelem és titoktartás

(1)	A kicserélt adatok titkosságának és bizalmas jellegének védelmét és az adatok sértetlenségének fenntartását a csomópontok között a legjobb rendelkezésre álló technikai megoldások és védelmi gyakorlatok alkalmazásával kell biztosítani.

(2)	A csomópontok az (EU) 2015/1501 végrehajtási rendelet 9. cikkének (3) bekezdésében megadott célokra használt adatok kivételével semmilyen személyes adatot nem tárolhatnak.

A továbbított adatok sértetlensége és hitelessége

A csomópontok közötti kommunikációnak biztosítania kell az adatok sértetlenségét és hitelességét annak biztosítása érdekében, hogy minden kérés és válasz autentikus, és nem manipulálták őket. E célra a csomópontoknál olyan megoldásokat kell alkalmazni, amelyet sikeresen alkalmaztak határokon átnyúló üzemi használatban.

Az átvitel üzenetformátuma

A csomópontoknál szintaxisként olyan normákon alapuló általános üzenetformátumokat kell alkalmazni, amelyeket a tagállamok között többször is alkalmaztak, és amelyek üzemi körülmények között működőképesnek bizonyultak.

A szintaxisnak lehetővé kell tenni a következőket:

a)	egy természetes vagy jogi személyt kizárólagosan azonosító minimális személyazonosító adatok megfelelő feldolgozása;

b)	az elektronikus azonosító eszköz biztonsági szintjének megfelelő feldolgozása;

c)	a közigazgatási szervek és más igénybevevő felek megkülönböztetése;

d)	rugalmasság az azonosításhoz kapcsolódó további attribútumok igényeinek kielégítéséhez.

A biztonsági információk és a metaadatok kezelése

(1)	A csomópont-üzemeltetőnek a csomópont-irányítás metaadatait szabványosított, gépileg feldolgozható, illetve biztonságos és megbízható módon kell továbbítania.

(2)	Legalább a biztonság szempontjából releváns paramétereket automatikusan kell lehívni.

(3)

A csomópont-üzemeltetőnek tárolnia kell azokat az adatokat, amelyek biztonsági esemény esetén lehetővé teszik az üzenetcsere szekvenciájának rekonstruálását az esemény helyének és jellegének megállapításához. Az adatokat a nemzeti követelményekben megállapított időtartamig kell tárolni, és minimálisan a következő elemekből kell állniuk:

a)	a csomópont azonosítása;

b)	az üzenet azonosítása;

c)	az üzenet napja és időpontja.

10.

Információvédelem és biztonsági normák

(1)

A hitelesítést biztosító csomópontok csomópont-üzemeltetőinek tanúsítás, vagy ezzel egyenértékű vizsgálati módszerek, vagy a nemzeti jogszabályoknak való megfelelés révén igazolniuk kell, hogy az átjárhatósági keretbe tartozó csomópontok tekintetében a csomópont teljesíti az ISO/IEC 27001 szabvány követelményeit.

(2)	A csomópont-üzemeltetőknek indokolatlan késedelem nélkül alkalmazniuk kell a kritikus biztonsági frissítéseket.

11.

Személyazonosító adatok

(1)	Határokon átnyúló esetekben az egy természetes vagy jogi személyt kizárólagosan azonosító minimális személyazonosító adatoknak teljesíteniük kell az (EU) 2015/1501 végrehajtási rendelet mellékletében megállapított követelményeket.

(2)	Határokon átnyúló esetekben az egy jogi személyt képviselő természetes személynél a minimális adatoknak az (EU) 2015/1501 végrehajtási rendelet mellékletében a természetes és jogi személyekre felsorolt attribútumok kombinációját kell tartalmazniuk.

(3)	Az adatokat az eredeti karakterek alapján kell továbbítani, és szükség esetén latin betűs átírást kell alkalmazni.