Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32025R2160

2025 m. spalio 27 d. Komisijos įgyvendinimo reglamentas (ES) 2025/2160, kuriuo dėl referencinių standartų, specifikacijų ir procedūrų, skirtų su nekvalifikuotų patikimumo užtikrinimo paslaugų teikimu susijusiai rizikai valdyti, nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 taikymo taisyklės

C/2025/7140

OL L, 2025/2160, 2025 10 28, ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj

European flag

Europos Sąjungos
oficialusis leidinys

LT

L serija

2025/2160

2025 10 28

KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2025/2160

2025 m. spalio 27 d.

kuriuo dėl referencinių standartų, specifikacijų ir procedūrų, skirtų su nekvalifikuotų patikimumo užtikrinimo paslaugų teikimu susijusiai rizikai valdyti, nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 taikymo taisyklės

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (1), ypač į jo 19a straipsnio 2 dalį,

kadangi:

(1)

nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai skaitmeninėje aplinkoje atlieka svarbų vaidmenį – jie teikia patikimumo užtikrinimo paslaugas, palengvinančias saugias elektronines operacijas. Reglamentu (ES) Nr. 910/2014 nekvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams nustatyta mažiau reguliavimo reikalavimų nei kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams. Tačiau visiems patikimumo užtikrinimo paslaugų teikėjams taikomi saugumo ir atsakomybės reikalavimai, kad būtų užtikrintas išsamus jų veiklos ir paslaugų patikrinimas, skaidrumas ir atskaitomybė;

(2)

pagal Europos Parlamento ir Tarybos direktyvos (ES) 2022/2555 (2) 3 straipsnį nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai gali būti laikomi svarbiais arba esminiais subjektais. Todėl jiems taikomas Komisijos įgyvendinimo reglamentas (ES) 2024/2690 (3), kuriuo nustatomi kibernetinio saugumo rizikos valdymo priemonių techniniai ir metodiniai reikalavimai. Tačiau Reglamento (ES) Nr. 910/2014 19a straipsnio 1 dalies a punkte nustatytų reikalavimų taikymo sritis apima su nekvalifikuotų patikimumo užtikrinimo paslaugų teikimu susijusios teisinės, verslo, veiklos ir kitos tiesioginės ar netiesioginės rizikos valdymo procedūras. Siekiant papildyti Įgyvendinimo reglamente (ES) 2024/2690 nustatytą rizikos valdymo sistemą ir sudaryti sąlygas vienodais metodais valdyti visų atitinkamų rūšių riziką, turėtų būti nustatytos specifikacijos ir procedūros, susijusios su nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų vykdomu tos rizikos valdymu. Europos Sąjungos kibernetinio saugumo agentūros (ENISA) arba nacionalinių kompetentingų institucijų pagal Direktyvą (ES) 2022/2555 pateiktos gairės gali padėti nekvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams parengti ir įgyvendinti tinkamą rizikos valdymo politiką;

(3)

Reglamento (ES) Nr. 910/2014 19a straipsnio 2 dalyje numatyta atitikties užtikrinimo prezumpcija turėtų būti taikoma tik jei nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai laikosi šiame reglamente nustatytų reikalavimų. Priede nurodyti referenciniai standartai turėtų atitikti nusistovėjusią praktiką ir būti plačiai pripažįstami atitinkamuose sektoriuose. Siekiant užtikrinti, kad nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai valdytų su nekvalifikuotų patikimumo užtikrinimo paslaugų teikimu susijusią teisinę, verslo, veiklos ir kitą tiesioginę ar netiesioginę riziką pagal Reglamento (ES) Nr. 910/2014 19a straipsnio 1 dalį, nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, norėdami pasinaudoti atitikties užtikrinimo prezumpcija, turėtų laikytis standartų elementų, nustatytų priede, ir šiame reglamente nustatytų rizikos valdymo reikalavimų;

(4)

jei nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas laikosi šiame įgyvendinimo reglamente nustatytų reikalavimų, priežiūros įstaigos turėtų daryti prielaidą, kad jis laikosi atitinkamų Reglamento (ES) Nr. 910/2014 reikalavimų. Tačiau įrodyti, kad laikosi Reglamento (ES) Nr. 910/2014 reikalavimų, nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas gali ir kitais būdais;

(5)

siekiant užtikrinti, kad nustatyta rizika būtų tinkamai pašalinta, į rizikos valdymo politiką, kurios laikosi nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, turėtų būti įtrauktos rizikos dokumentavimo ir vertinimo, taip pat tinkamų rizikos priežiūros priemonių nustatymo, atrankos ir įgyvendinimo procedūros. Turėtų būti nuolat stebima, kaip įgyvendinamos rizikos priežiūros priemonės. Apie informaciją, kurią nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai registruoja ir saugo taikydami rizikos priežiūros priemones, pasakytina, kad nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai turėtų užtikrinti tokių duomenų vientisumą ir konfidencialumą. Be to, siekiant padidinti skaidrumą ir remti priežiūros veiklą, nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai turėtų skelbti taikomus tapatybės patikrinimo metodus. Ne visa nustatyta rizika gali būti visiškai pašalinta užkertant jai kelią, ją mažinant arba perleidžiant kitiems subjektams, todėl bet kokią liekamąją riziką turėtų patvirtinti nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų valdymo organai. Liekamosios rizikos pripažinimo kriterijai turėtų būti aiškiai pagrįsti;

(6)

Komisija reguliariai vertina naujas technologijas, praktiką, standartus ar technines specifikacijas. Pagal Europos Parlamento ir Tarybos reglamento (ES) 2024/1183 (4) 75 konstatuojamąją dalį, Komisija šį įgyvendinimo reglamentą turėtų peržiūrėti ir prireikus atnaujinti, kad jis atitiktų pasaulinius pokyčius, naujas technologijas, praktiką, standartus arba technines specifikacijas ir atitiktų geriausią vidaus rinkos praktiką;

(7)

asmens duomenų tvarkymo veiklai pagal šį reglamentą taikomas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (5) ir, kai aktualu, Europos Parlamento ir Tarybos direktyva 2002/58/EB (6);

(8)

vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (7) 42 straipsnio 1 dalimi, konsultuotasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2025 m. rugpjūčio 8 d. (8);

(9)

šiame reglamente numatytos priemonės atitinka pagal Reglamento (ES) Nr. 910/2014 48 straipsnį įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ REGLAMENTĄ:

1 straipsnis

Referenciniai standartai

Reglamento (ES) Nr. 910/2014 19a straipsnio 2 dalyje nurodyti referenciniai standartai nustatyti šio reglamento priede.

2 straipsnis

Rizikos valdymo politika

1.   Reglamento (ES) Nr. 910/2014 19a straipsnio 1 dalyje nurodytoje rizikos valdymo politikoje aiškiai nurodomos patikimumo užtikrinimo paslaugos, kurioms ji taikoma; jos turi būti konkrečiai susijusios su atitinkamomis patikimumo užtikrinimo paslaugomis ir turi būti patvirtintos nekvalifikuoto patikimumo užtikrinimo paslaugų teikėjo valdymo organo.

2.   Rizikos valdymo politiką sudaro bent visi šie elementai:

a)

bendras priimtinos rizikos lygis, atsižvelgiant į patikimumo užtikrinimo paslaugų svarbą, reikalaujamą saugumo lygį ir naujausius technologinius pokyčius;

b)

atitinkami rizikos kriterijai, įskaitant bent rizikos tikimybę, poveikį ir lygį, atsižvelgiant į žvalgybos informaciją apie kibernetines grėsmes ir pažeidžiamumą;

c)

patikimumo užtikrinimo paslaugų teikimui kylančios rizikos nustatymo ir dokumentavimo metodas, atsižvelgiant į visą nekvalifikuoto patikimumo užtikrinimo paslaugų teikėjo naudojamos informacinės sistemos aprėptį, įskaitant riziką, susijusią su sistemos komponentais, taip pat su visomis aktyviomis ar pasyviomis šalimis, dalyvaujančiomis įgyvendinant sistemą arba teikiant patikimumo užtikrinimo paslaugas;

d)

nustatytos rizikos vertinimo remiantis b punkte nurodytais rizikos kriterijais procesas;

e)

tinkamų rizikos priežiūros priemonių nustatymo, suskirstymo pagal prioritetus ir nuolatinės įgyvendinimo stebėsenos procesas;

f)

rizikos valdymo politikos įgyvendinimo nuolatinės stebėsenos procesas.

3.   Nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nustato tinkamas procedūras ir saugo dokumentus, kad užtikrintų taikomuose teisės aktuose nustatytų reikalavimų įgyvendinimą.

4.   Nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nustato tinkamas dokumentais pagrįstas procedūras, kuriomis užtikrinama Sąjungos ir nacionalinių teisės aktų ir reguliavimo pokyčių, galinčių turėti įtakos patikimumo užtikrinimo paslaugų teikimui, stebėsena.

3 straipsnis

Rizikos nustatymas, dokumentavimas ir vertinimas

Nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, laikydamiesi 2 straipsnyje nurodytos rizikos valdymo politikos, nustato, dokumentuoja ir įvertina visą Reglamento (ES) Nr. 910/2014 19a straipsnio 1 dalyje nurodytą riziką ir visų pirma:

a)

nustato su trečiosiomis šalimis susijusią riziką;

b)

nustato galimą su patikimumo užtikrinimo paslaugų teikimu susijusį visuotinį neveikimą sukeliantį gedimo tašką;

c)

įvertina nustatytą riziką remdamiesi 2 straipsnio 2 dalies b punkte nurodytais rizikos kriterijais.

4 straipsnis

Rizikos priežiūros priemonės

1.   Laikydamiesi 2 straipsnyje nurodytos politikos, nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai planuoja, dokumentuoja ir įgyvendina rizikos priežiūros priemones ir visų pirma atlieka šias užduotis:

a)

nustato ir pagal prioritetus suskirsto tinkamas rizikos priežiūros priemones;

b)

atrenka, patvirtina ir dokumentuoja pasirinktas rizikos priežiūros priemones, įskaitant jų saugumo reikalavimus ir veiklos procedūras, rizikos priežiūros plane, nustato, kas yra atsakingas už rizikos priežiūros priemonių įgyvendinimą ir kada jos turi būti įgyvendintos;

c)

nuolat stebi rizikos priežiūros priemonių įgyvendinimą;

2.   1 dalies b punkte nurodytame rizikos priežiūros plane aiškiai nurodomos liekamosios rizikos pripažinimą pagrindžiančios priežastys.

3.   Taikydami 1 dalyje nurodytas rizikos priežiūros priemones, nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai taip pat:

a)

kai taikytina, tiesiogiai arba per trečiąją šalį patikrina patikimumo užtikrinimo paslaugos naudotojų tapatybę ir paskelbia informaciją apie naudotus tapatybės patikrinimo metodus;

b)

tiek, kiek reikia pagal Sąjungos ar nacionalinės teisės aktus, be kita ko, nekvalifikuotam patikimumo užtikrinimo paslaugų teikėjui nutraukus veiklą, registruoja ir saugiai laiko šią informaciją, kad ją būtų galima panaudoti teismo procese kaip įrodymą ir siekiant užtikrinti paslaugų tęstinumą:

visą svarbią informaciją, surinktą registruojantis ir prisijungiant patikimumo užtikrinimo paslaugų naudotojams, įskaitant, kai taikytina, naudotojų tapatybės patikrinimą,

patikimumo užtikrinimo paslaugos naudotojui priskirtus tapatumo nustatymo duomenis, kai taikytina, ir

bet kokį viešojo rakto sertifikatų ar kitos kriptografinės medžiagos, naudojamos teikiant patikimumo užtikrinimo paslaugą, statuso pasikeitimą;

c)

kai taikytina, užtikrina, kad patikimumo užtikrinimo paslaugos naudotojui suteikti tapatumo nustatymo duomenys būtų unikalūs.

4.   Nustatydami, atrinkdami, tvirtindami ir pagal prioritetus suskirstydami tinkamas rizikos priežiūros priemones, nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai atsižvelgia į šiuos elementus:

a)

3 straipsnyje nurodyto rizikos vertinimo rezultatus;

b)

rizikos priežiūros priemonių veiksmingumą;

c)

atitikties vertinimus;

d)

reikšmingus incidentus;

e)

įgyvendinimo išlaidas, palyginti su numatoma nauda;

f)

taikytiną tinkamą turto klasifikaciją;

g)

bet kokio pagal 3 straipsnį nustatytos rizikos poveikio verslui analizę.

5.   Nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų valdymo organai patvirtina liekamąją riziką, likusią įgyvendinus rizikos priežiūros priemones, kaip nustatyta rizikos priežiūros plane.

6.   Nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai rizikos vertinimo rezultatus ir rizikos priežiūros planą peržiūri, dokumentuoja ir, kai tinkama, atnaujina planuotais intervalais ir bent kartą per metus, taip pat įvykus reikšmingiems infrastruktūros, veiklos ar rizikos pokyčiams arba reikšmingiems incidentams.

7.   Nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai užtikrina 3 dalies b punkte nurodytos informacijos prieinamumą, vientisumą ir konfidencialumą.

5 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2025 m. spalio 27 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN

(1)   OL L 257, 2014 8 28, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)   2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva), (OL L 333, 2022 12 27, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3)   2024 m. spalio 17 d. Komisijos įgyvendinimo reglamentas (ES) 2024/2690, kuriuo nustatomos Direktyvos (ES) 2022/2555 taikymo taisyklės, susijusios su kibernetinio saugumo rizikos valdymo priemonių techniniais ir metodiniais reikalavimais ir išsamesniu atvejų, kuriais incidentas laikomas dideliu, apibūdinimu, skirtais DNS paslaugų teikėjams, aukščiausio lygio domenų vardų registrams, debesijos kompiuterijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams, turinio teikimo tinklų teikėjams, valdomų paslaugų teikėjams, valdomų saugumo paslaugų teikėjams, elektroninių prekyviečių, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų teikėjams ir patikimumo užtikrinimo paslaugų teikėjams, (OL L, 2024/2690, 2024 10 18, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj).

(4)   2024 m. balandžio 11 d. Europos Parlamento ir Tarybos reglamentas (ES) 2024/1183, kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 910/2014, kiek tai susiję su Europos skaitmeninės tapatybės sistemos nustatymu, (OL L, 2024/1183, 2024 4 30, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(5)   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6)   2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7)   2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, (OL L 295, 2018 11 21, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8)   EDPS Formal comments on the draft Implementing Regulation as regards specifications and procedures for the management of risks to the provision of non-qualified trust services| European Data Protection Supervisor.

PRIEDAS

Nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų referencinių standartų sąrašas

Reikalavimai pagal šias standarto ETSI EN 319 401 V3.1.1 (2024-06) nuostatas: „Elektroniniai parašai ir patikimumo infrastruktūros (ESI). Bendrosios politikos reikalavimai, keliami patikimumo užtikrinimo paslaugų teikėjams“ taikomi:

5.

rizikos vertinimui;

6.

politikai ir praktikai;

7.1.

vidaus darbo organizavimui;

7.2.

žmogiškiesiems ištekliams;

7.3.

turto valdymui;

7.4.

prieigos kontrolei;

7.6.

fiziniam ir aplinkos saugumui.

ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj

ISSN 1977-0723 (electronic edition)

Top