Az Európai Unió
Hivatalos Lapja
HU
L sorozat
|
|
Az Európai Unió |
HU L sorozat |
|
2025/2160 |
2025.10.28. |
A BIZOTTSÁG (EU) 2025/2160 VÉGREHAJTÁSI RENDELETE
(2025. október 27.)
a 910/2014/EU európai parlamenti és tanácsi rendeletnek a nem minősített bizalmi szolgáltatások nyújtására vonatkozó kockázatkezelési referenciaszabványok, specifikációk és eljárások tekintetében történő alkalmazására vonatkozó szabályok megállapításáról
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 19a. cikke (2) bekezdésére,
mivel:
|
(1) |
A nem minősített bizalmi szolgáltatók fontos szerepet töltenek be a digitális környezetben, mivel az általuk kínált bizalmi szolgáltatások megkönnyítik a biztonságos elektronikus tranzakciókat. A 910/2014/EU rendelet kevesebb szabályozási követelményt ír elő a nem minősített, mint a minősített bizalmi szolgáltatók számára. Ugyanakkor minden bizalmi szolgáltatóra vonatkoznak bizonyos biztonsági és felelősségi követelmények, hiszen műveleteik és szolgáltatásaik kapcsán garantálniuk kell a kellő gondosságot, az átláthatóságot és az elszámoltathatóságot. |
|
(2) |
A nem minősített bizalmi szolgáltatók az (EU) 2022/2555 európai parlamenti és tanácsi irányelv (2) 3. cikke értelmében fontos, illetve alapvető szervezetnek minősülnek. Így a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményeit megállapító (EU) 2024/2690 bizottsági végrehajtási rendelet (3) alkalmazandó az esetükben. A 910/2014/EU rendelet 19a. cikke (1) bekezdésének a) pontjában előírt követelmények hatálya ugyanakkor a nem minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére szolgáló eljárásokra terjed ki. Az (EU) 2024/2690 végrehajtási rendeletben meghatározott kockázatkezelési keret kiegészítése, valamint az összes releváns típusú kockázat kezelésének koherens megközelítése érdekében helyénvaló meghatározni a nem minősített bizalmi szolgáltatók tekintetében az említett kockázatok kezelésére vonatkozó specifikációkat és eljárásokat. A nem minősített bizalmi szolgáltatók az Európai Uniós Kiberbiztonsági Ügynökségtől (ENISA) vagy az (EU) 2022/2555 irányelv szerinti illetékes nemzeti hatóságoktól kaphatnak iránymutatást megfelelő kockázatkezelési politikáik kialakításához és megvalósításához. |
|
(3) |
A 910/2014/EU rendelet 19a. cikkének (2) bekezdése szerinti megfelelés vélelme csak akkor alkalmazandó, ha a nem minősített bizalmi szolgáltató megfelel az e rendeletben előírt követelményeknek. A mellékletben felsorolt referenciaszabványoknak tükrözniük kell a bevett gyakorlatokat, és széles körben elismertnek kell lenniük az érintett ágazatokban. Annak garantálásához, hogy a nem minősített bizalmi szolgáltatók a nem minősített bizalmi szolgáltatás nyújtásához kapcsolódó jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatokat a 910/2014/EU rendelet 19a. cikke (1) bekezdésének megfelelően kezeljék, meg kell felelniük a szabványok e rendelet mellékletében hivatkozott elemeinek, valamint az e rendeletben a megfelelés vélelme tekintetében meghatározott kockázatkezelési előírásoknak. |
|
(4) |
Ha egy nem minősített bizalmi szolgáltató megfelel az e végrehajtási rendeletben meghatározott követelményeknek, a felügyeleti szerveknek vélelmezniük kell a 910/2014/EU rendelet vonatkozó követelményeinek való megfelelést. A nem minősített bizalmi szolgáltatók ugyanakkor továbbra is alkalmazhatnak más gyakorlatokat a 910/2014/EU rendelet követelményeinek való megfelelés igazolásához. |
|
(5) |
Az azonosított kockázatok megfelelő kezelésének garantálása érdekében a nem minősített bizalmi szolgáltatók által kialakított szabályzatoknak tartalmazniuk kell a kockázatok dokumentálásának és értékelésének, valamint az adekvát kockázatkezelési intézkedések azonosításának, kiválasztásának és végrehajtásának eljárásait. A kockázatkezelési intézkedések végrehajtását folyamatosan nyomon kell követni. A nem minősített bizalmi szolgáltatók által a kockázatkezelési intézkedéseik keretében rögzített és megőrzött információkat illetően a nem minősített bizalmi szolgáltatóknak gondoskodniuk kell a szóban forgó adatok integritásának és bizalmas jellegének megóvásáról. Ezen túlmenően az átláthatóság növelése és a felügyeleti tevékenységek támogatása érdekében a nem minősített bizalmi szolgáltatóknak közzé kell tenniük az általuk alkalmazott személyazonosság-ellenőrzési módszereket. Mivel nem lehet minden azonosított kockázatot maradéktalanul kezelni akár a kiküszöbölésük, akár az enyhítésük, illetve más szervezetekre való áthárításuk révén, a nem minősített bizalmi szolgáltatók ügyvezető szervének jóvá kell hagynia az esetleges fennmaradó kockázatokat. A fennmaradó kockázatok elfogadhatóságának kritériumait közérthető módon meg kell indokolni. |
|
(6) |
A Bizottság rendszeresen értékel új technológiákat, gyakorlatokat, szabványokat és technikai specifikációkat. Az (EU) 2024/1183 európai parlamenti és tanácsi rendelet (4) (75) preambulumbekezdése értelmében a Bizottságnak rendszeresen felül kell vizsgálnia, és szükség esetén aktualizálnia kell ezt a végrehajtási rendeletet, hogy az folyamatosan megfeleljen a globális fejleményeknek, valamint az új technológiáknak, gyakorlatoknak, szabványoknak és technikai specifikációknak, illetve igazodjon a belső piaci bevált gyakorlatokhoz. |
|
(7) |
Az e rendelet szerinti személyesadat-kezelési tevékenységre az (EU) 2016/679 európai parlamenti és tanácsi rendelet (5) és adott esetben a 2002/58/EK európai parlamenti és tanácsi irányelv (6) alkalmazandó. |
|
(8) |
Az európai adatvédelmi biztossal az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (7) 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2025. augusztus 8-án véleményt nyilvánított (8). |
|
(9) |
Az e rendeletben előírt intézkedések összhangban vannak a 910/2014/EU rendelet 48. cikkében említett bizottság véleményével, |
ELFOGADTA EZT A RENDELETET:
1. cikk
Referenciaszabványok
A 910/2014/EU rendelet 19a. cikkének (2) bekezdésében említett referenciaszabványokat e rendelet melléklete tartalmazza.
2. cikk
Kockázatkezelési szabályzatok
(1) A 910/2014/EU rendelet 19a. cikkének (1) bekezdésében említett kockázatkezelési szabályzatoknak egyértelműen meg kell jelölniük, mely bizalmi szolgáltatásokra alkalmazandók, és az adott bizalmi szolgáltatásokra vonatkozó specifikus rendelkezéseket kell tartalmazniuk, továbbá azokat a nem minősített bizalmi szolgáltató ügyvezető szervének jóvá kell hagynia.
(2) A kockázatkezelési szabályzatoknak legalább a következő elemeket kell tartalmazniuk:
|
a) |
az adott bizalmi szolgáltatások kritikus jellegének és elvárt biztonsági szintjének megfelelő általános kockázati toleranciaszint, a legújabb technológiai fejlemények figyelembevételével; |
|
b) |
a releváns kockázati kritériumok, ideértve legalább a kockázat valószínűségét, hatását és szintjét, a kiberfenyegetettségi és sérülékenységi információk figyelembevételével; |
|
c) |
a bizalmi szolgáltatásokkal kapcsolatos kockázatok azonosításának és dokumentálásának megközelítése, a nem minősített bizalmi szolgáltató által használt információs rendszer teljes hatókörének figyelembevételével, beleértve a rendszer összetevőihez, illetve a rendszer végrehajtásában vagy a bizalmi szolgáltatások nyújtásában részt vevő bármely aktív vagy passzív félhez kapcsolódó kockázatokat is; |
|
d) |
az azonosított kockázatok értékelési eljárása, a b) pontban említett kockázati kritériumok alapján; |
|
e) |
a megfelelő kockázatkezelési intézkedések azonosítására, rangsorolására és végrehajtásának folyamatos nyomon követésére szolgáló eljárás; |
|
f) |
a kockázatkezelési szabályzatok végrehajtásának folyamatos nyomon követésére szolgáló eljárás. |
(3) A nem minősített bizalmi szolgáltatók megfelelő, kellően dokumentált eljárásokat alakítanak ki az alkalmazandó jogszabályokban előírt követelményeknek való megfelelés céljából.
(4) A nem minősített bizalmi szolgáltatók megfelelő dokumentált eljárásokat dolgoznak ki, amelyek biztosítják a bizalmi szolgáltatások nyújtását esetlegesen befolyásoló uniós és nemzeti jogszabályi és szabályozási változások nyomon követését.
3. cikk
A kockázatok azonosítása, dokumentálása és értékelése
A nem minősített bizalmi szolgáltatók a 2. cikkben említett kockázatkezelési szabályzatoknak megfelelően azonosítanak, dokumentálnak és értékelnek minden, a 910/2014/EU rendelet 19a. cikkének (1) bekezdésében említett kockázatot, különösen pedig:
|
a) |
azonosítják a harmadik felekhez kapcsolódó kockázatokat; |
|
b) |
azonosítják a bizalmi szolgáltatások nyújtásának esetleges egyedi hibapontját; |
|
c) |
a 2. cikk (2) bekezdésének b) pontjában említett kockázati kritériumok alapján értékelik az azonosított kockázatokat. |
4. cikk
Kockázatkezelési intézkedések
(1) A nem minősített bizalmi szolgáltatók a 2. cikkben említett szabályzatoknak megfelelően megtervezik, dokumentálják és végrehajtják a kockázatkezelési intézkedéseket, különös tekintettel a következő feladatokra:
|
a) |
azonosítják és rangsorolják a megfelelő kockázatkezelési intézkedéseket; |
|
b) |
kiválasztják, jóváhagyják és dokumentálják a megfelelő kockázatkezelési intézkedéseket, egy kockázatkezelési tervben részletezve többek között azok biztonsági követelményeit és működési eljárásait, valamint a végrehajtásukért felelős személyt és a végrehajtásuk időkeretét; |
|
c) |
folyamatosan nyomon követik a kockázatkezelési intézkedések végrehajtását. |
(2) Az (1) bekezdés b) pontja szerinti kockázatkezelési tervben közérthető módon ki kell fejteni a fennmaradó kockázatok elfogadását alátámasztó indokokat.
(3) Az (1) bekezdésben említett kockázatkezelési intézkedések részeként a nem minősített bizalmi szolgáltatók emellett:
|
a) |
adott esetben közvetlenül vagy harmadik fél útján ellenőrzik a bizalmi szolgáltatás igénybe vevőjének kilétét, és az alkalmazott személyazonosság-ellenőrzési módszerekről tájékoztatják a nyilvánosságot; |
|
b) |
a bíróságok előtti bizonyítási eljárások céljára, illetve a szolgáltatás folyamatosságának garantálása érdekében rögzítik és az uniós vagy nemzeti jogszabályokban előírt időn át – adott esetben a nem minősített bizalmi szolgáltató tevékenységeinek megszűnését követően is – biztonságosan tárolva megőrzik a következő információkat:
|
|
c) |
adott esetben gondoskodnak arról, hogy a bizalmi szolgáltatás igénybe vevőjéhez rendelt hitelesítési adatok egyediek legyenek. |
(4) A megfelelő kockázatkezelési intézkedések meghatározásakor, kiválasztásakor, jóváhagyásakor és rangsorolásakor a nem minősített bizalmi szolgáltatók a következő elemeket veszik figyelembe:
|
a) |
a 3. cikkben említett kockázatértékelés eredményeit; |
|
b) |
a kockázatkezelési intézkedések eredményességét; |
|
c) |
a megfelelőségértékeléseket; |
|
d) |
a jelentős incidenseket; |
|
e) |
a végrehajtás költségét a várható előnyökhöz viszonyítva; |
|
f) |
az alkalmazandó megfelelő eszközminősítést; |
|
g) |
a 3. cikknek megfelelően azonosított kockázatok esetleges üzleti hatásainak elemzését. |
(5) A nem minősített bizalmi szolgáltatók ügyvezető szervei jóváhagyják a kockázatkezelési tervben leírt kockázatkezelési intézkedések végrehajtását követően fennmaradó kockázatokat.
(6) A nem minősített bizalmi szolgáltatók tervezett időközönként, de legalább évente, illetve valahányszor az infrastruktúra, a műveletek vagy a kockázatok jelentős változása vagy jelentős incidens következik be, felülvizsgálják, dokumentálják és adott esetben aktualizálják a kockázatértékelés eredményeit és a kockázatkezelési tervet.
(7) A nem minősített bizalmi szolgáltatók garantálják a (3) bekezdés b) pontjában említett információk rendelkezésre állását, integritását és bizalmas jellegét.
5. cikk
Hatálybalépés
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2025. október 27-én.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 257., 2014.8.28., 73. o., ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80. o., ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) A Bizottság (EU) 2024/2690 végrehajtási rendelete (2024. október 17.) az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról (HL L, 2024/2690, 2024.10.18., ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj).
(4) Az Európai Parlament és a Tanács (EU) 2024/1183 rendelete (2024. április 11.) a 910/2014/EU rendeletnek az európai digitális személyazonossági keret létrehozása tekintetében történő módosításáról (HL L, 2024/1183, 2024.4.30., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o., ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o., ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(8) Az európai adatvédelmi biztos hivatalos észrevételei a nem minősített bizalmi szolgáltatások nyújtására vonatkozó kockázatkezelési specifikációkról és eljárásokról szóló végrehajtási rendelet tervezetéről | Európai adatvédelmi biztos.
MELLÉKLET
A nem minősített bizalmi szolgáltatókra vonatkozó referenciaszabványok jegyzéke
Az ETSI EN 319 401 V3.1.1 (2024-06): „Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers” (Elektronikus aláírások és bizalmi infrastruktúrák (ESI). Bizalmi szolgáltatókra vonatkozó általános szabályzati rend követelményei) szabvány következő szakaszai szerinti követelményeket kell alkalmazni:
|
5. |
Risk Assessment (Kockázatértékelés); |
|
6. |
Policies and practices (Szabályzatok és alkalmazás); |
|
7.1. |
Internal organization (Belső szervezet); |
|
7.2. |
Human resources (Emberi erőforrások); |
|
7.3. |
Asset management (Eszközkezelés); |
|
7.4. |
Access control (Hozzáférés-ellenőrzés); |
|
7.6. |
Physical and environmental security (Fizikai és környezeti biztonság). |
ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj
ISSN 1977-0731 (electronic edition)