European flag

Europos Sąjungos
oficialusis leidinys

LT

L serija

2025/2162

2025 10 28

KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2025/2162

2025 m. spalio 27 d.

kuriuo dėl atitikties vertinimo įstaigų, vertinančių kvalifikuotų patikimumo užtikrinimo paslaugų teikėjus ir jų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas, akreditavimo, atitikties vertinimo ataskaitų ir atitikties vertinimo schemų nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 taikymo taisyklės

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (1), ypač į jo 20 straipsnio 4 dalį,

kadangi:

(1)

pagal Reglamento (ES) Nr. 910/2014 20 straipsnio 1 dalį ir 21 straipsnio 1 dalį, atitikties vertinimo įstaigos turi atlikti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir jų teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų auditą. Parengtose atitikties vertinimo ataskaitose patvirtinama, ar įvykdyti tame reglamente ir Europos Parlamento ir Tarybos direktyvos (ES) 2022/2555 (2) 21 straipsnyje nustatyti reikalavimai. Todėl būtina sukurti suderintą ir patikimą atitikties vertinimo įstaigų akreditavimo, jų įgyvendintų atitikties vertinimo schemų, atitikties vertinimo, kurį jos atlieka pagal tas schemas, ir parengtų atitikties vertinimo ataskaitų sistemą;

(2)

atitikties vertinimo įstaigų, vertinančių kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus ir jų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas, akreditavimas, atitikties vertinimo ataskaita ir atitikties vertinimo schema turėtų atitikti šiame reglamente nustatytus reikalavimus. Atitikties vertinimo įstaigos šiuos reikalavimus gali įvykdyti savarankiškai, taikydamos mišrųjį sertifikavimą, arba pasisamdžiusios tinkamai akredituotus subjektus;

(3)

atitikties vertinimo įstaigoms, akredituotoms vertinti kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus ir jų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas, susijusias su kvalifikuotų elektroninių požymių liudijimų išdavimu, turėtų būti leidžiama teikti atitikties vertinimo ataskaitą, kurios reikalaujama Reglamento (ES) Nr. 910/2014 45f straipsnio 3 dalyje;

(4)

siekiant prisidėti prie akreditavimo proceso skaidrumo, pagal Europos Parlamento ir Tarybos reglamento (EB) Nr. 765/2008 (3) 5 straipsnį atitikties vertinimo įstaigai išduotame akreditavimo sertifikate turėtų būti pateikta pakankamai informacijos, kad trečiosios šalys galėtų patikrinti, ar akredituota atitikties vertinimo įstaiga yra įgaliota atlikti atitikties vertinimą pagal Reglamentą (ES) Nr. 910/2014;

(5)

kad išlaikytų akreditavimo sertifikatų vientisumą ir tikslumą, nacionalinės akreditacijos įstaigos turėtų užtikrinti, kad šiuose sertifikatuose būtų pateikiama naujausia informacija;

(6)

kad būtų užtikrintas akreditavimo proceso vientisumas, atitikties vertinimo įstaigai išduoto akreditavimo sertifikato galiojimas bet kada gali būti sustabdytas arba panaikintas kiekvienos kvalifikuotos patikimumo užtikrinimo paslaugos, kurią atitikties vertinimo įstaiga buvo akredituota vertinti, atžvilgiu. Galiojimas gali būti sustabdytas arba panaikintas, kai nacionalinė akreditacijos įstaiga pritaiko sankcijas, arba atitikties vertinimo įstaiga tai gali padaryti savanoriškai;

(7)

siekiant suderinti akreditavimo sistemą, šis reglamentas turėtų būti grindžiamas priimtais standartais, atitinkančiais nusistovėjusią praktiką ir plačiai pripažįstamais atitinkamuose sektoriuose;

(8)

siekiant didesnio skaidrumo, atitikties vertinimo įstaigos savo išduodamus atitikties sertifikatus turėtų skelbti viešai. Atitikties sertifikatais patvirtinami teigiami sertifikavimo sprendimai, kuriuos priėmė atitikties vertinimo įstaigos. Tačiau patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms paslaugoms kvalifikacijos statusą suteikti arba panaikinti gali tik priežiūros institucija;

(9)

įvertinti, ar patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos paslaugos atitinka Reglamentą (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnį, atitikties vertinimo įstaigos turėtų laikydamosi atitikties vertinimo schemos. kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus ir jų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas atitikties vertinimo įstaigos turėtų vertinti remdamosi standartais, atsižvelgdamos į šių standartų redakcijas ir pritaikymus, nustatytus Reglamentu (ES) Nr. 910/2014 grindžiamuose konkrečioms paslaugoms skirtuose įgyvendinimo aktuose. Šie standartai turėtų atitikti nusistovėjusius darbo metodus ir būti plačiai pripažįstami atitinkamuose sektoriuose;

(10)

atitikties vertinimo schemose nustatomos taisyklės ir procedūros, pagal kurias atitikties vertinimo įstaigos turės vertinti kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus ir jų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas. Nacionalinės akreditacijos įstaigos tokias schemas vertina pagal šiame reglamente nustatytus reikalavimus. Tokių schemų turinys ilgainiui gali keistis. Kad būtų lengviau taikyti vėlesnes atitikties vertinimo schemų versijas, akredituotos atitikties vertinimo įstaigos turėtų įdiegti specialų schemos, kurią taikyti jos yra akredituotos, raidos valdymo procesą;

(11)

kad būtų galima sekti atitikties vertinimo schemų kūrimą ir priežiūrą, turėtų būti paskirtas kiekvienos atitikties vertinimo schemos savininkas. Atitikties vertinimo įstaigos, Vyriausybės įstaigos arba institucija, profesinė asociacija, atitikties vertinimo įstaigų grupė arba bet kuri atitinkama įstaiga ar įstaigų grupė galėtų būti schemos savininkės ir galėtų skirtis nuo schemą administruojančios atitikties vertinimo įstaigos;

(12)

siekiant užtikrinti atitikties vertinimo įstaigų paslaugų teikimo tęstinumą, tokių įstaigų akreditavimas turėtų ir toliau galioti ankstesnėms atitikties vertinimo schemoje nurodytų standartų redakcijoms. Tokiais atvejais atitikties vertinimo įstaigos turėtų aiškiai nurodyti tas ankstesnes standartų redakcijas, įskaitant metus ir redakcijos numerį;

(13)

siekiant didesnio lankstumo, nacionalinėms akreditacijos įstaigoms turėtų būti leidžiama siūlyti lanksčios apimties akreditavimą, kad tam tikromis aplinkybėmis atitikties vertinimo įstaigos galėtų į savo akreditavimo sritį įtraukti papildomą veiklą be būtinybės nacionalinei akreditacijos įstaigai atlikti vertinimą. Rengdamos lanksčios apimties akreditavimą, nacionalinės akreditacijos įstaigos atsižvelgs į lanksčios apimties akreditavimą, kaip nustatė Europos akreditavimo organizacija, paskirta pagal Reglamentą (EB) Nr. 765/2008. Kai nacionalinės akreditacijos įstaigos leidžia atitikties vertinimo įstaigoms naudotis tokia lanksčios apimties akreditavimo galimybe, skaidrumo tikslais šį faktą jos turėtų nurodyti akreditavimo sertifikate. Siekiant didesnio lankstumo tada, kai nacionalinės akreditacijos įstaigos neteikia lanksčios apimties akreditavimo, jos, prieš pakartotinai vertindamos akredituotą atitikties vertinimo įstaigą, turėtų atidžiai apsvarstyti pakeitimų įtaką atitikties vertinimo schemai, kurią taikyti ta įstaiga buvo akredituota;

(14)

kad užtikrintų atitikties vertinimo schemų patikimumą, savininkai turėtų pasirūpinti, kad jų atitikties vertinimo schemos neleistų priimti teigiamų sertifikavimo sprendimų arba išduoti atitikties sertifikato, kai atitikties vertinimas parodo bet kokią kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ar jo teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų neatitiktį Reglamento (ES) Nr. 910/2014 arba Direktyvos (ES) 2022/2555 21 straipsnio reikalavimams. Atitikties vertinimo ataskaitose iš tiesų galėtų būti nurodyta neatitiktis ir galimi žalos koregavimo planai, tačiau atitikties sertifikatas neturėtų būti išduodamas ir teigiamas sertifikavimo sprendimas neturėtų būti priimamas, jei nustatyta neatitiktis;

(15)

kad užtikrintų savo darbo metodų skaidrumą, schemų savininkai savo atitikties vertinimo schemų santrauką turėtų skelbti viešai. Santraukoje turėtų būti aprašytas rinkinys taisyklių ir procedūrų, kurių laikytasi vertinant kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir jų teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitiktį Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytiems reikalavimams;

(16)

siekiant padėti garantuoti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo veiklos kokybę, saugumą ir patikimumą, atitikties vertinimo ataskaitoje prireikus turėtų būti nurodyta, kaip galima patobulinti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitikties taikytiniems reikalavimams užtikrinimo būdą;

(17)

siekiant padėti užtikrinti skaidrumą ir sudaryti geresnes sąlygas priežiūros įstaigoms patikrinti, ar įvertintasis kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir jo teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka taikytinus reikalavimus, atitikties vertinimo ataskaitoje turėtų būti pateikta tam tikra būtiniausia informacija. Visų pirma, kad būtų lengviau identifikuoti paslaugų įrašus, kurie turi būti įtraukti į nacionalinį patikimą sąrašą pagal Reglamento (ES) Nr. 910/2014 22 straipsnį, atitikties vertinimo ataskaitoje, kai taikytina, turėtų būti pateiktas išsamus viešojo rakto infrastruktūros funkcinės hierarchijos pagal kvalifikuotos patikimumo užtikrinimo paslaugos rūšį aprašymas;

(18)

kad padėtų užtikrinti skaidrumą ir palengvintų atitikties vertinimo įstaigų akreditavimo tikrinimą ir stebėjimą pagal Reglamentą (ES) Nr. 910/2014, nacionalinės akreditacijos įstaigos, kai taikytina, turėtų pateikti kiekvienos kvalifikuotos patikimumo užtikrinimo paslaugos akreditavimo apimties istoriją, įskaitant akreditavimo galiojimo pradžios ir, kai taikytina, pabaigos datą;

(19)

siekiant užtikrinti akredituotų atitikties vertinimo įstaigų veiklos tęstinumą ir padėti pereiti prie šiame reglamente nustatytų taisyklių, atitikties vertinimo įstaigų, kurios dabar yra akredituotos pagal standartą ETSI EN 319 403 (2.2.2 arba ankstesnę jo redakciją), nereikėtų pakartotinai akredituoti pagal Reglamentą (ES) Nr. 910/2014 iki 2027 m. gegužės 17 d. Nacionalinė akreditacijos įstaiga po šios datos turėtų įvertinti atitikties vertinimo įstaigas pagal šiame reglamente nustatytus reikalavimus;

(20)

Komisija reguliariai vertina naujas technologijas, darbo metodus, standartus ar technines specifikacijas. Pagal Europos Parlamento ir Tarybos reglamento (ES) 2024/1183 (4) 75 konstatuojamąją dalį, Komisija turėtų šį įgyvendinimo reglamentą peržiūrėti ir prireikus atnaujinti, kad jis atitiktų pasaulinius pokyčius, naujas technologijas, standartus arba technines specifikacijas ir atitiktų geriausią vidaus rinkos praktiką;

(21)

asmens duomenų tvarkymo veiklai pagal šį reglamentą taikomas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (5) ir, kai aktualu, Europos Parlamento ir Tarybos direktyva 2002/58/EB (6);

(22)

vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (7) 42 straipsnio 1 dalimi, konsultuotasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2025 m. rugpjūčio 8 d. (8);

(23)

šiame reglamente numatytos priemonės atitinka pagal Reglamento (ES) Nr. 910/2014 48 straipsnį įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ REGLAMENTĄ:

1 straipsnis

Apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys:

1)

schemos savininkas – subjektas arba subjektų grupė, atsakingi už atitikties vertinimo schemos kūrimą ir priežiūrą;

2)

sertifikavimo sprendimas – sertifikavimo sprendimas, priimtas po atitikties vertinimo įstaigos atlikto atitikties vertinimo, kai ta įstaiga teigiamai arba neigiamai įvertina konkretaus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitiktį Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytiems reikalavimams;

3)

atitikties sertifikatas – dokumentas, kuriuo atitikties vertinimo įstaiga patvirtina sertifikavimo sprendimą, kuriuo konkretaus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitiktis Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytiems reikalavimams įvertinta teigiamai;

4)

atitikties vertinimo schema – rinkinys taisyklių ir procedūrų, kurių turi laikytis atitikties vertinimo įstaigos, kad įvertintų, ar kvalifikuotų patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytus reikalavimus;

5)

atitikties vertinimo ataskaita – dokumentas, kuriame pateikiama išsami informacija, kai taikytina, papildanti sertifikavimo sprendime ir susijusiame atitikties sertifikate pateiktą informaciją, apie metodą, taikytą pagal atitikties vertinimo schemą atliekant konkretaus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitikties Reglamento (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnio reikalavimams vertinimą, ir apie atitikties vertinimo rezultatus;

6)

akreditavimas – akreditavimas, apibrėžtas Reglamento (EB) Nr. 765/2008 2 straipsnio 10 punkte;

7)

lanksčios apimties akreditavimas – akreditavimas, kai konkreti atitikties vertinimo veikla, dėl kurios prašoma akreditavimo arba kuriai akreditavimas suteiktas, yra organizuota taip, kad atitikties vertinimo įstaigos galėtų metodiką ir kitus parametrus, priklausančius atitikties vertinimo įstaigos kompetencijai, keisti taip, kaip patvirtino nacionalinė akreditacijos įstaiga;

8)

nacionalinė akreditacijos įstaiga – nacionalinė akreditacijos įstaiga, apibrėžta Reglamento (EB) Nr. 765/2008 2 straipsnio 11 punkte.

2 straipsnis

Atitikties vertinimo įstaigų akreditavimas

1.   Siekiant priimti sertifikavimo sprendimus pagal konkrečią atitikties vertinimo schemą, atitikties vertinimo įstaigos turi būti akredituotos pagal standartą EN ISO/IEC 17065:2012, papildytą standartu ETSI EN 319 403-1 v2.3.1.

2.   1 dalyje nurodytas atitikties vertinimo įstaigas akredituoja nacionalinė akreditacijos įstaiga pagal standartą EN ISO/IEC 17011:2017.

3 straipsnis

Atitikties vertinimo įstaigoms išduodamas akreditavimo sertifikatas

1.   Nacionalinės akreditacijos įstaigos užtikrina, kad atitikties vertinimo įstaigoms išduodamuose akreditavimo sertifikatuose būtų pateikta bent ši informacija:

a)

unikalus akreditavimo sertifikato identifikavimo kodas;

b)

akreditavimo sertifikato išdavimo data;

c)

nacionalinės akreditacijos įstaigos, išdavusios akreditavimo sertifikatą, pavadinimas ir valstybė, kaip nurodyta nacionaliniuose oficialiuose dokumentuose;

d)

akredituotos atitikties vertinimo įstaigos pavadinimas ir, kai taikytina, registracijos numeris, kaip nurodyta nacionaliniuose oficialiuose dokumentuose;

e)

akreditavimo apimtis, susijusi su viena ar daugiau iš šių kvalifikuotų patikimumo užtikrinimo paslaugų:

kvalifikuotų elektroninių parašų sertifikatų išdavimu,

kvalifikuotų elektroninių spaudų sertifikatų išdavimu,

kvalifikuotų interneto svetainės tapatumo nustatymo sertifikatų išdavimu,

kvalifikuotų elektroninių parašų kvalifikuota galiojimo patvirtinimo paslauga,

kvalifikuotų elektroninių spaudų kvalifikuota galiojimo patvirtinimo paslauga,

kvalifikuotų elektroninių parašų kvalifikuota ilgalaikio išsaugojimo paslauga,

kvalifikuotų elektroninių spaudų kvalifikuota ilgalaikio išsaugojimo paslauga,

kvalifikuotų elektroninių laiko žymų sukūrimu,

kvalifikuotų elektroninio registruoto pristatymo paslaugų teikimu,

nuotolinių kvalifikuotų elektroninio parašo kūrimo įtaisų administravimo kvalifikuota paslauga,

nuotolinių kvalifikuotų elektroninio spaudo kūrimo įtaisų administravimo kvalifikuota paslauga,

kvalifikuotų elektroninio archyvavimo paslaugų teikimu,

kvalifikuotų elektroninių požymių liudijimų išdavimu,

elektroninių duomenų įrašymu į kvalifikuotą elektroninį registrą;

f)

atitikties vertinimo schemos, kurią taikyti atitikties vertinimo įstaiga akredituota, identifikavimas, įskaitant, jei aktualu, konkrečią tos schemos versiją;

g)

jei aktualu, pastaba, kad taikomas lanksčios apimties akreditavimas;

h)

jei aktualu, dokumento, kuriame aprašytas lanksčios apimties akreditavimo rengimo ir įgyvendinimo procesas, identifikatorius.

2.   Nacionalinės akreditacijos įstaigos užtikrina, kad atitikties vertinimo įstaigos akreditavimo atlikti 1 dalies e punkte nurodytų kvalifikuotų patikimumo užtikrinimo paslaugų atitikties vertinimą galiojimo pradžios ir, kai taikytina, pabaigos data, įskaitant, kai taikytina, konkrečias datas dėl kiekvienos kvalifikuotos patikimumo užtikrinimo paslaugos, būtų įtrauktos į Reglamento (ES) Nr. 910/2014 20 straipsnio 1b dalyje nurodytą akreditavimo informaciją.

3.   Nacionalinės akreditacijos įstaigos užtikrina, kad visi atitinkami pagal 1 dalį pateiktos informacijos pakeitimai būtų aiškiai pažymėti akreditavimo sertifikate.

4.   Akreditavimo sertifikate aiškiai aprašoma atitikties vertinimo įstaigos akreditavimo apimtis pagal 2 straipsnio 1 dalį.

4 straipsnis

Esamo akreditavimo persvarstymas

1.   Schemos savininkas įgyvendina procedūras, kad stebėtų visus 2 straipsnio 1 dalyje arba 6 straipsnio 3 dalyje nurodytų standartų arba jam priklausančios atitikties vertinimo schemos, kuriais remiantis atitikties vertinimo įstaiga akredituota pagal 2 straipsnį, pakeitimus.

2.   Schemos savininkas nacionalinei akreditacijos įstaigai laiku praneša apie pakeitimus, nustatytus atlikus 1 dalyje nurodytas procedūras.

3.   Jei nacionalinė akreditacijos įstaiga akredituotoms atitikties vertinimo įstaigoms netaikė lanksčios apimties akreditavimo, nacionalinė akreditacijos įstaiga sprendžia, ar pakeitimai, nustatyti atlikus 1 dalyje nurodytas procedūras, gali iš esmės paveikti akredituotų atitikties vertinimo įstaigų gebėjimą atlikti atitikties vertinimą pagal schemas, kurias taikyti jos buvo akredituotos.

4.   Jei nacionalinė akreditacijos įstaiga pagal 3 dalį nusprendžia, kad pakeitimai turi įtakos atitikties vertinimo įstaigų gebėjimui atlikti atitikties vertinimą, ji paprašo atitikties vertinimo įstaigos per pagrįstą nustatytą laikotarpį imtis tinkamų priemonių.

5.   Jei atitikties vertinimo įstaiga per nustatytą laikotarpį negali arba nenori imtis 4 dalyje nurodytų priemonių, nacionalinė akreditacijos įstaiga nedelsdama akreditavimą panaikina arba sustabdo jo galiojimą.

6.   Jei nacionalinė akreditacijos įstaiga pagal 3 dalį nusprendžia, kad pakeitimai neturi įtakos atitikties vertinimo įstaigų gebėjimui atlikti atitikties vertinimą, ji gali prireikus pratęsti atitikties vertinimo įstaigos, kurią ji įvertino, akreditavimo galiojimą ir išplėsti jo apimtį.

7.   Nacionalinė akreditacijos įstaiga prireikus laiku atnaujina akreditavimo sertifikatą, kad būtų atsižvelgta į akreditavimo persvarstymo pagal šį straipsnį rezultatus.

8.   Gavusi prašymą pagal 4 dalį, atitikties vertinimo įstaiga laiku informuoja visus kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus, kuriuos ji anksčiau įvertino pagal atitinkamą atitikties vertinimo schemą, apie poveikį, kurį atitikties vertinimo įstaigos akreditavimo persvarstymas gali turėti tiems kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams, be kita ko, būsimiems sertifikavimo sprendimams, kuriuos atitikties vertinimo įstaiga priims pagal tą schemą.

5 straipsnis

Atitikties vertinimo įstaigos

1.   Atitikties vertinimo įstaigos savo išduodamus atitikties sertifikatus pateikia viešoje saugykloje, kurią tuo tikslu tvarko ta atitikties vertinimo įstaiga.

2.   Atitikties vertinimo įstaiga subrangos sutartis dėl atitikties vertinimo veiklos sudaro tinkamai atsižvelgdama į vykdytinos veiklos pobūdį. Atitikties vertinimo įstaiga užtikrina, kad subrangovas atitiktų I priede nustatytus standartus, taikomus konkrečiai pagal subrangos sutartį vykdomai veiklai.

3.   Sertifikavimo sprendimą priėmusios atitikties vertinimo įstaigos užtikrina, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, su kuriuo susijęs sprendimas, galėtų priežiūros įstaigoms pateikti išsamias tą sprendimą atitinkančias atitikties vertinimo ataskaitas.

6 straipsnis

Atitikties vertinimo schemos

1.   Kiekvienoje atitikties vertinimo schemoje nurodomas schemos savininkas.

2.   Atitikties vertinimo schema turi atitikti standarto EN ISO/IEC 17067:2013 6 tipo schemą ir šiame straipsnyje nustatytus reikalavimus.

3.   Schemų savininkai užtikrina, kad į jų atitikties vertinimo schemas būtų įtraukti bent II priede nustatyti taikytini standartai, nurodydami tų standartų metus ir redakcijų numerius.

4.   Schemų savininkai užtikrina, kad tais atvejais, kai taikomas lanksčios apimties akreditavimas, šis faktas būtų nurodytas atitikties vertinimo schemoje.

5.   Schemų savininkai užtikrina, kad jų atitikties vertinimo schemose būtų nustatyti procesai ir procedūros, susiję bent su:

a)

tuo, kaip atitikties vertinimo schemos savininkas priima ir tvarko skundus dėl atitikties vertinimo schemos įgyvendinimo;

b)

pranešimais, kuriuos atitikties vertinimo įstaiga siunčia priežiūros įstaigai, paskirtai pagal Reglamento (ES) Nr. 910/2014 46b straipsnio 1 dalį, dėl atitikties sertifikatų išdavimo arba dėl juose padarytų pakeitimų;

c)

kai taikytina, atitikties vertinimo įstaigos sudaromomis subrangos sutartimis dėl atitikties vertinimo veiklos;

d)

metinės priežiūros veiklos vykdymu pagal taikomus standarto ISO/IEC 17065:2012 7.9 punkto reikalavimus;

e)

kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo vykdomu valdymu ir pranešimais atitikties vertinimo įstaigai ir kompetentingai priežiūros įstaigai apie visus pakeitimus, darančius poveikį kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų veiklai arba jų teikiamoms kvalifikuotoms patikimumo užtikrinimo paslaugoms;

f)

tikrinimo įrodymais, kad atitikties vertinimo įstaiga:

turi pakankamai žinių ir patirties taikyti konkrečius standartus, susijusius su kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo teikiama kvalifikuota patikimumo užtikrinimo paslauga, kaip nurodyta 3 dalyje,

profesinę atitikties vertinimo patirtį įgijo atlikusi bent tris patikimumo užtikrinimo paslaugų teikėjų vertinimus arba tris informacijos saugumo valdymo vertinimus ir

gali užtikrinti, kad būtų pasirengusi grupė, sudaryta iš ne mažiau kaip dviejų kvalifikuotų asmenų, turinčių būtinas profesines žinias tokiam atitikties vertinimui atlikti.

6.   Schemų savininkai užtikrina, kad jų atitikties vertinimo sistemose būtų reikalaujama, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai taikytų procesus, procedūras ir darbo instrukcijas, pagal kuriuos atitikties vertinimo įstaigai apie kvalifikuotų patikimumo užtikrinimo paslaugų, sertifikuotų pagal tą sistemą, teikimo esminius pakeitimus būtų pranešta bent prieš mėnesį, o apie paslaugų ar jų dalių teikimo nutraukimą – bent prieš tris mėnesius iki dienos, kurią jie ketina tai padaryti.

7.   Schemų savininkai užtikrina, kad jų atitikties vertinimo schemos neleistų priimti teigiamų sertifikavimo sprendimų ar išduoti atitikties sertifikatų, jei atitikties vertinimas parodo, kad įvertintieji kvalifikuotų patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos neatitinka Reglamento (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnio reikalavimų.

8.   Schemų savininkai užtikrina, kad jų atitikties vertinimo schemose būtų nustatyta atitikties sertifikato patvirtinimo procedūra. Jie visų pirma reikalauja, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai apie visus atitikties sertifikato pakeitimus nedelsdami informuotų kompetentingą priežiūros įstaigą. Jie taip pat reikalauja, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai neteiktų atitinkamų kvalifikuotų patikimumo užtikrinimo paslaugų ir neskelbtų jokių nuorodų į jas tol, kol kompetentinga priežiūros įstaiga dar kartą patvirtins kvalifikacijos statusą. Ši procedūra turi atitikti standarto ISO/IEC 17065:2012 7.11 punkte nustatytus reikalavimus.

9.   Schemų savininkai užtikrina, kad jų atitikties vertinimo schemose būtų nustatytas per pakankamą vieno žmogaus darbo dienų skaičių atliekamas atitikties vertinimo procesas, kuris užtikrintų, kad atitikties vertinimui būtų skirta pakankamai išteklių ir laiko, atsižvelgiant į vertinimo apimtį ir sudėtingumą.

10.   Schemų savininkai viešai paskelbia atitikties vertinimo schemos santrauką, kad ją būtų galima atsisiųsti. Santraukoje turi būti aprašytas rinkinys taisyklių ir procedūrų, kurių laikomasi vertinant kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir jų teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitiktį Reglamento (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnio reikalavimams.

11.   Schemų savininkai užtikrina, kad jų atitikties vertinimo schemose būtų reikalaujama, kad kasmet būtų atliekamas bent vienas kiekvienos vertinamos kvalifikuotos patikimumo užtikrinimo paslaugos priežiūros atitikties vertinimas.

7 straipsnis

Atitikties vertinimo ataskaitos

1.   Reglamento (ES) Nr. 910/2014 20 straipsnio 1 dalyje nurodyta atitikties vertinimo ataskaita turi atitikti III priede nustatytas specifikacijas.

2.   Atitikties vertinimo ataskaita laikoma sertifikavimo dokumentų, nurodytų standarto ETSI EN 319 403-1 7.7 punkte, dalimi.

8 straipsnis

Akreditavimo informacija

1.   Kiekviena suinteresuotoji šalis gali prašyti nemokamos aktualios ir praėjusių laikotarpių informacijos apie kiekvienos rūšies kvalifikuotos patikimumo užtikrinimo paslaugos, kurią atitikties vertinimo įstaiga yra arba buvo akredituota vertinti, akreditavimo apimtį, galiojimo pradžios datą ir, kai taikytina, pabaigos datą. Šią informaciją teikia nacionalinės akreditacijos įstaigos.

2.   1 dalyje nurodyta aktuali ir praėjusių laikotarpių informacija turėtų būti prieinama bent 6 metus po atitikties vertinimo įstaigos akreditavimo.

9 straipsnis

Tęstinumo nuostata

Kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir jų teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitikties Reglamentui (ES) Nr. 910/2014 vertinimo tikslais laikoma, kad atitikties vertinimo įstaigos, kurios iki 2025 m. lapkričio 17 d. buvo akredituotos pagal standarto ETSI EN 319 403 2.2.2 redakciją arba ankstesnę redakciją, atitinka 2 straipsnio 1 dalies reikalavimus iki 2027 m. gegužės 17 d.

10 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2025 m. spalio 27 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN

(1)   OL L 257, 2014 8 28, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)   2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva), (OL L 333, 2022 12 27, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3)   2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008 nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).

(4)   2024 m. balandžio 11 d. Europos Parlamento ir Tarybos reglamentas (ES) 2024/1183, kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 910/2014, kiek tai susiję su Europos skaitmeninės tapatybės sistemos nustatymu, (OL L, 2024/1183, 2024 4 30, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(5)   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6)   2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7)   2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, (OL L 295, 2018 11 21, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8)   Europos duomenų apsaugos priežiūros pareigūno oficialios pastabos dėl teisės akto projekto dėl atitikties vertinimo įstaigų, vertinančių kvalifikuotų patikimumo užtikrinimo paslaugų teikėjus ir jų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas, akreditavimo | Europos duomenų apsaugos priežiūros pareigūnas.

I PRIEDAS

Referenciniai standartai, taikomi atitikties vertinimo veiklos subrangai

1)

EN ISO/IEC 17025:2017 – bandymui;

2)

EN ISO/IEC 17021-1:2015 – valdymo sistemų auditui;

3)

EN ISO/IEC 17020:2012 – inspektavimui;

4)

EN ISO/IEC 17065:2012 – atitikties vertinimui.

II PRIEDAS

Referenciniai standartai, taikomi atitikties vertinimo schemoms

6 straipsnio 3 dalyje nurodyti standartai – standartas ETSI TS 119 612 v2.4.1 ir šie standartai:

Kvalifikuota patikimumo užtikrinimo paslauga

Aktualūs standartai

Kvalifikuotų elektroninių parašų sertifikatų išdavimas

ETSI EN 319 411 -2

ETSI EN 301 549

ETSI EN 319 412 -1

ETSI EN 319 412 -2

ETSI EN 319 412 -5

ETSI TS 119 461

ETSI EN 319 401

Kvalifikuotų elektroninių spaudų sertifikatų išdavimas

ETSI EN 319 411 -2

ETSI TS 119 495

ETSI EN 301 549

ETSI EN 319 412 -1

ETSI EN 319 412 -2

ETSI EN 319 412 -3

ETSI EN 319 412 -5

ETSI TS 119 461

ETSI EN 319 401

Kvalifikuotų interneto svetainės tapatumo nustatymo sertifikatų išdavimas

ETSI EN 319 411 -2

ETSI TS 119 411 -5

ETSI TS 119 495

ETSI EN 301 549

ETSI EN 319 412 -1

ETSI EN 319 412 -4

ETSI EN 319 412 -5

ETSI TS 119 461

ETSI EN 319 401

Kvalifikuotų elektroninių parašų kvalifikuota galiojimo patvirtinimo paslauga

ETSI TS 119 441

ETSI TS 119 442

ETSI EN 319 102 -1

ETSI TS 119 102 -2

ETSI TS 119 172 -4

ETSI EN 301 549

ETSI EN 319 401

Kvalifikuotų elektroninių spaudų kvalifikuota galiojimo patvirtinimo paslauga

ETSI TS 119 441

ETSI TS 119 442

ETSI EN 319 102 -1

ETSI TS 119 102 -2

ETSI TS 119 172 -4

ETSI EN 301 549

ETSI EN 310 401

Kvalifikuotų elektroninių parašų kvalifikuota ilgalaikio išsaugojimo paslauga

ETSI TS 119 511

ETSI TS 119 172 -4

ETSI TS 119 512

ETSI EN 301 549

ETSI EN 310 401

Kvalifikuotų elektroninių spaudų kvalifikuota ilgalaikio išsaugojimo paslauga

ETSI TS 119 511

ETSI TS 119 172 -4

ETSI TS 119 512

ETSI EN 301 549

ETSI EN 319 401

Kvalifikuotų elektroninių laiko žymų sukūrimas

ETSI EN 319 421

ETSI EN 319 422

ETSI EN 301 549

ETSI EN 319 401

Kvalifikuotų elektroninio registruoto pristatymo paslaugų teikimas

ETSI EN 319 521

ETSI EN 319 522

ETSI EN 319 531

ETSI EN 319 532

ETSI EN 301 549

ETSI TS 119 461

ETSI EN 319 401

Nuotolinių kvalifikuotų elektroninio parašo kūrimo įtaisų administravimo kvalifikuota paslauga

ETSI TS 119 431 -1

ETSI EN 301 549

ETSI TS 119 461

ETSI EN 319 401

Nuotolinių kvalifikuotų elektroninio spaudo kūrimo įtaisų administravimo kvalifikuota paslauga

ETSI TS 119 431 -1

ETSI EN 301 549

ETSI TS 119 461

ETSI EN 319 401

Kvalifikuotų elektroninio archyvavimo paslaugų teikimas

ISO 14641

ISO 14721

CEN/TS 18170

ETSI TS 301 549

ETSI EN 319 401

ETSI EN 119 511

Kvalifikuotų elektroninių požymių liudijimų išdavimas

ETSI TS 119 471

ETSI EN 301 549

ETSI TS 119 461

ETSI EN 319 401

Elektroninių duomenų įrašymas į kvalifikuotą elektroninį registrą

ETSI EN 319 401

ETSI EN 301 549

CEN/TS 18170

ISO 23257

ISO/TS 23635

ETSI EN 319 122 -1

ETSI EN 319 132 -1

ETSI EN 319 182 -1

III PRIEDAS

Atitikties vertinimo ataskaitų specifikacijos

7 straipsnio 1 dalyje nurodytoje atitikties vertinimo ataskaitoje turi būti:

1)

pridėtas aiškus pagal standarto ETSI EN 319403-1 v2.3.1 (toliau – ETSI EN 319403-1) 7.6 punktą priimtas sertifikavimo sprendimas, kuriuo patvirtinama, ar įvertintas patikimumo užtikrinimo paslaugų teikėjas ir įvertintos kvalifikuotos patikimumo užtikrinimo paslaugos, kurias jis teikia arba siekia teikti, atitinka Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytus reikalavimus;

2)

nurodytas kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pavadinimas ir, kai taikytina, jo registracijos numeris, įrašytas oficialiuose dokumentuose, jo oficialus pašto adresas, jo elektroninis adresas, taip pat, kai taikytina, tokia pati informacija apie visas patronuojamąsias įmones, susijusius juridinius asmens ir rangovus bei subrangovus, eksploatuojančius patikimumo užtikrinimo paslaugos komponentus, naudojamus teikiant kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo kvalifikuotas patikimumo užtikrinimo paslaugas;

3)

pateiktas išsamus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo vertinimo apimties aprašymas, įskaitant konkrečias į vertinimą įtrauktas kvalifikuotas patikimumo užtikrinimo paslaugas;

4)

pateikta pakankamai įrodymų, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir jo teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytus reikalavimus;

5)

nurodytas atitikties vertinimo įstaigos pavadinimas ir, kai taikytina, jos registracijos numeris, įrašytas oficialiuose dokumentuose, jos registruotasis pašto adresas ir jos elektroninio pašto adresas;

6)

įrašyti šie dalykai:

a)

atitikties vertinimo įstaigą akreditavusios nacionalinės akreditacijos įstaigos pavadinimas ir valstybė;

b)

fizinių asmenų, kuriuos atitikties vertinimo įstaiga įtraukia, kad atliktų atitikties vertinimą, vardai ir pavardės, taip pat atitinkamos tų asmenų funkcijos atliekant vertinimą;

c)

nuoroda į oficialią nacionalinės akreditacijos įstaigos interneto svetainę, kurioje yra nacionalinės akreditacijos įstaigos atitikties vertinimo įstaigai išduotas atitikties sertifikatas;

d)

kai taikytina, skaitmeninis akreditacijos ženklas;

e)

atitikties vertinimo schema, kuriai atitikties vertinimo įstaiga akredituota pagal 2 straipsnio 1 dalį;

f)

atliekant atitikties vertinimą pateikti atitikties vertinimo klausimai, jų atrankos logika, taip pat taikyta metodika, įskaitant atrankos metodiką ir bandymo procedūras;

g)

akredituota atitikties vertinimo schema ir aktualūs dokumentai arba nuorodą į vietą, kur yra prieinama ta atitikties vertinimo schema ir aktualūs dokumentai;

7)

bent vienas kvalifikuotas elektroninis parašas, jei ataskaita pateikta elektronine forma, arba rašytinis parašas, jei ataskaita popierinė, kuriais pažymimi asmens arba asmenų, įgaliotų priimti atitikties vertinimo įstaigos vardu sertifikavimo sprendimą, vardai, pavardės ir pareigos;

8)

nurodytas vienas kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, su kuriuo ataskaita susijusi;

9)

pagal standarto ETSI TS 119612 v.2.4.1 5.5.3 punktą nurodytas kiekvienos rūšies kvalifikuotos patikimumo užtikrinimo paslaugos, kurios atitiktis Reglamente (ES) Nr. 910/2014 ir Direktyvos (ES) 2022/2555 21 straipsnyje nustatytiems reikalavimas patvirtinta ataskaitoje, skaitmeninis identifikatorius ir pateikta ši informacija:

a)

jei kvalifikuota patikimumo užtikrinimo paslauga nėra grindžiama viešojo rakto infrastruktūros technologija – identifikatorius, išreikštas kaip URI, kuriuo unikaliai identifikuojama kvalifikuota patikimumo užtikrinimo paslauga;

b)

jei kvalifikuota patikimumo užtikrinimo paslauga grindžiama viešojo rakto infrastruktūros technologija – bent šie dalykai:

objekto rakto identifikatorius, apibrėžtas Interneto inžinerijos grupės (IETF) prašyme pateikti pastabas (RFC) Nr. 5280,

susijusio X.509v3 skaitmeninio sertifikato atvaizdas Base64 PEM failo formatu,

kai taikytina, nuoroda, ar konkrečios galutinių subjektų sertifikatų, išduotų teikiant skaitmeninio identifikatoriaus paslaugą arba ja naudojantis, grupės arba pogrupiai, neįtraukti arba specialiai įtraukti į sertifikavimo sprendimą ir pagal kokius kriterijus juos galima identifikuoti,

nuoroda, ar paslaugos skaitmeninis identifikatorius yra susijęs su galutiniu subjektu arba sertifikavimo institucija, paaiškinant, ar tai išdavimo, tarpinis ar šakninis sertifikatas,

aprašymas, kaip paslaugos skaitmeninis identifikatorius naudojamas atitinkamos kvalifikuotos patikimumo užtikrinimo paslaugos kontekste;

10)

pateiktas, kai taikytina, išsamus viešojo rakto infrastruktūros funkcinės hierarchijos aprašymas pagal kvalifikuotos patikimumo užtikrinimo paslaugos rūšis ir visus paslaugų skaitmeninius identifikatorius, nustatytus pagal 11 punktą, įskaitant bent:

a)

viešojo rakto infrastruktūros hierarchijos, pagal kurią identifikuojamos pagrindinės sertifikavimo institucijos, tarpinės sertifikavimo institucijos, sertifikatus išduodančios sertifikavimo institucijos ir jų tarpusavio sertifikatų seka, pavyzdį;

b)

kiekvienos a punkto pavyzdyje parodytos sertifikavimo institucijos identifikavimą naudojant objekto rakto identifikatorių, nurodytą IETF RFC 5280;

c)

kiekvienos pagal b punktą identifikuotos sertifikatus išduodančios sertifikavimo institucijos – sertifikatų, kuriuos išduoda kiekviena sertifikavimo institucija, įvairių politikos priemonių rinkinių sąrašą drauge su kiekvieno rinkinio:

kriterijais, kuriais vienareikšmiškai identifikuojami rinkinio sertifikatai, t. y. arba sąrašu, sudarytu iš sertifikatų politikos identifikatorių, suderintinų su sertifikatų politikos sertifikato plėtinio turiniu, kaip apibrėžta IETF RFC 5280, arba kitais kriterijais, nustatytais pagal Reglamento (ES) Nr. 910/2014 22 straipsnio 5 dalį priimtuose įgyvendinimo aktuose,

nuoroda, ar rinkinio sertifikatai yra kvalifikuoti ar nekvalifikuoti,

nuoroda, ar rinkinio sertifikatai yra skirti elektroniniams parašams, ar elektroniniams spaudams, ar interneto svetainių tapatumo nustatymui, ar nei vienam iš tų tikslų, ir, pastaruoju atveju, kuriais kitais tikslais jie naudojami,

nuoroda, ar rinkinių sertifikatuose sertifikuotą viešąjį raktą atitinkantis privatusis raktas yra įtrauktas į vietinį ar nuotolinį kvalifikuoto parašo arba spaudo kūrimo įtaisą;

11)

pagal 2 punktą įtrauktas:

a)

kvalifikuotus patikimumo užtikrinimo paslaugų komponentus arba paslaugų komponentus teikiančių trečiųjų šalių, įskaitant subrangovus, išsamus sąrašas, į kurį įrašomi jų pavadinimai, kaip nurodyta 2 punkte, ir punktų, kuriuose naudojami atitinkami paslaugų komponentai, buvimo vietos;

b)

nurodyta, ar ir kokiu mastu atliktas tų trečiųjų šalių ir punktų atitikties vertinimas;

12)

aprašymas, kai taikytina, koks įrašo, kurį ketinama įtraukti arba atnaujinti atitinkamame nacionaliniame patikimame sąraše, turinys atsižvelgiant į vertinimo rezultatus;

13)

išsamus sąrašas, sudarytas iš viešų ir kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų tinkamai identifikuotų, įskaitant versijas, dokumentų, įtrauktų į atitikties vertinimą, įskaitant bent toliau išvardytus 8 punkte nurodytus dokumentus, kurių egzemplioriai pateikiami su atitikties vertinimo ataskaita kompetentingai priežiūros įstaigai arba yra prieinami tai įstaigai kitokiais būdais, jeigu ji jų paprašo:

a)

darbo metodų, kuriuos taikydamas kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas teikia kvalifikuotas patikimumo užtikrinimo paslaugas, deklaraciją;

b)

taisyklių rinkinį, kuriame nurodoma, kad kvalifikuotos patikimumo užtikrinimo paslaugos yra taikomos konkrečiai prietaikų grupei arba klasei laikantis bendrų saugumo reikalavimų (kvalifikuotų patikimumo užtikrinimo paslaugų politikos);

c)

su paslaugų naudotojų sutartimis susijusias sąlygas;

d)

kvalifikuotų patikimumo užtikrinimo paslaugų nutraukimo planą;

e)

dokumentus, susijusius su rizikos vertinimu, kurių tikslas – įrodyti, kad įvykdyti Reglamento (ES) Nr. 910/2014 24 straipsnio 2 dalies fa ir fb punktų ir Direktyvos (ES) 2022/2555 21 straipsnio reikalavimai;

f)

pranešimo apie saugumo pažeidimus planą, kurio tikslas – įrodyti, kad įvykdyti Reglamento (ES) Nr. 910/2014 24 straipsnio 2 dalies fa ir fb punktų ir Direktyvos (ES) 2022/2555 21 straipsnio reikalavimai;

g)

sąrašą, į kurį įtraukti visi vidiniai dokumentai, kuriais patvirtinama, kad deklaruotieji darbo metodai yra faktiškai įgyvendinti, o kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas juos taikydamas teikia kvalifikuotas patikimumo užtikrinimo paslaugas;

h)

kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo įsteigimo pagal taikytinus nacionalinės teisės aktus dokumentų arba įstatų memorandumą ir straipsnius drauge su šiais elementais:

kitokios, nei patikimumo užtikrinimo paslaugų teikimas, verslo veiklos pareiškimu,

organizacine schema,

nuosavybės struktūros informacija,

kai taikytina ir kai yra, sąskaitų auditoriaus parengta ankstesnių dvejų ataskaitinių metų arba laikotarpio nuo kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo įsteigimo iki atitikties vertinimo ataskaitos pasirašymo dienos (pasirenkamas trumpesnis laikotarpis) sąskaitų ataskaita;

i)

įrodymus, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas kvalifikuotoms patikimumo užtikrinimo paslaugoms teikti turi pagal taikytinus nacionalinės teisės aktus pakankamai finansinių išteklių ir, kai taikytina, yra įsigijęs tinkamą atsakomybės draudimą;

j)

standartų, kuriuos, kaip teigiama, atitinka veikla, sąrašą;

k)

veiklos audito, vertinimo, sertifikavimo arba atitikties nustatymo standartų sąrašą drauge su informacija atitinkamai apie pagrindinę audito, vertinimo, sertifikavimo arba atitikties nustatymo schemą;

l)

kvalifikuotų elektroninio parašo kūrimo įtaisų arba kvalifikuotų elektroninio spaudo kūrimo įtaisų sąrašą ir su jų sertifikavimu susijusią informaciją, kai kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas tokius įtaisus pateikia arba sudaro galimybę jais naudotis savo naudotojams;

m)

sąrašą įtaisų, kuriuos kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas naudoja kaip patikimą sistemą arba produktą, įskaitant aparatinius saugumo modulius arba saugius dėklės šifravimo įtaisus, savo raktų apsaugai, ir su jų sertifikavimu susijusią informaciją, jei kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas tokius įtaisus naudoja, kad apsaugotų procesus, kuriais palaikomos jo teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos;

14)

vertinimas, kaip įvykdyti reikalavimai, taikomi atitinkamos kvalifikuotoms patikimumo užtikrinimo paslaugoms pagal Reglamentą (ES) Nr. 910/2014 ir, kai taikytina, kaip nustatyta tai kvalifikuotai patikimumo užtikrinimo paslaugai taikomuose deleguotuosiuose aktuose priimtuose pagal:

Reglamento (ES) Nr. 910/2014 24 straipsnio 1c dalį dėl asmenų, kuriems išduodamas kvalifikuotas sertifikatas arba kvalifikuotas elektroninis liudijimas, tapatybės ir požymių patikrinimo,

Reglamento (ES) Nr. 910/2014 24 straipsnio 5 dalį dėl kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams, teikiantiems kvalifikuotas patikimumo užtikrinimo paslaugas, keliamų reikalavimų,

Reglamento (ES) Nr. 910/2014 28 straipsnio 6 dalį dėl kvalifikuotų elektroninių parašų sertifikatų išdavimo,

Reglamento (ES) Nr. 910/2014 38 straipsnio 6 dalį dėl kvalifikuotų elektroninių spaudų sertifikatų išdavimo,

Reglamento (ES) Nr. 910/2014 45 straipsnio 2 dalį dėl kvalifikuotų interneto svetainės tapatumo nustatymo sertifikatų išdavimo,

Reglamento (ES) Nr. 910/2014 33 straipsnio 2 dalį dėl kvalifikuotų elektroninių parašų kvalifikuotos galiojimo patvirtinimo paslaugos,

Reglamento (ES) Nr. 910/2014 33 straipsnio 2 dalį ir 40 straipsnį dėl kvalifikuotų elektroninių spaudų kvalifikuotos galiojimo patvirtinimo paslaugos,

Reglamento (ES) Nr. 910/2014 34 straipsnio 2 dalį dėl kvalifikuotų elektroninių parašų kvalifikuotos ilgalaikio išsaugojimo paslaugos,

Reglamento (ES) Nr. 910/2014 34 straipsnio 2 dalį ir 40 straipsnį dėl kvalifikuotų elektroninių spaudų kvalifikuotos ilgalaikio išsaugojimo paslaugos,

Reglamento (ES) Nr. 910/2014 42 straipsnio 2 dalį dėl kvalifikuotų elektroninių laiko žymų sukūrimo,

Reglamento (ES) Nr. 910/2014 44 straipsnio 2 dalį dėl kvalifikuotų elektroninio registruoto pristatymo paslaugų teikimo,

Reglamento (ES) Nr. 910/2014 29a straipsnio 2 dalį dėl nuotolinių kvalifikuotų elektroninio parašo kūrimo įtaisų administravimo kvalifikuotos paslaugos,

Reglamento (ES) Nr. 910/2014 29a straipsnio 2 dalį ir 39a straipsnį dėl nuotolinių kvalifikuotų elektroninio spaudo kūrimo įtaisų administravimo kvalifikuotos paslaugos,

Reglamento (ES) Nr. 910/2014 45j straipsnio 2 dalį dėl kvalifikuotų elektroninio archyvavimo paslaugų teikimo,

Reglamento (ES) Nr. 910/2014 45d straipsnio 5 dalį dėl kvalifikuotų elektroninių požymių liudijimų išdavimo,

Reglamento (ES) Nr. 910/2014 45l straipsnio 3 dalį dėl elektroninių duomenų įrašymo į kvalifikuotą elektroninį registrą;

15)

kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui ir atitinkamai kvalifikuotai patikimumo užtikrinimo paslaugai pagal Direktyvos (ES) 2022/2555 21 straipsnį ir tai kvalifikuotai patikimumo užtikrinimo paslaugai pagal įgyvendinimo aktus, priimtus remiantis tos direktyvos 21 straipsnio 5 dalimi, taikomų reikalavimų įvykdymo įvertinimas;

16)

pareiškimas, kuriuo, kai taikytina, deklaruojama, kad nėra jokios neatitikties, nepriklausomai nuo jos svarbos lygio; jei ataskaitoje konstatuojama neatitiktis, į ataskaitą įtraukiamas kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pateiktas ir su atitikties vertinimo įstaiga suderintas taisomųjų priemonių planas ir jo įgyvendinimo tvarkaraštis ir suplanuotų vertinimo užduočių, kurias atlieka atitikties vertinimo įstaiga, kad įvertinų, ar tos neatitiktys buvo pašalintos, aprašymas;

17)

kai taikytina ir būtina, nurodytos tobulinimo galimybės, susijusios su tuo, kaip aktualius reikalavimus įvykdo kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kaip juos atitinka jo teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos;

18)

nurodytas kiekvienas atitikties vertinimo etapas, įskaitant dokumentų auditą, įgyvendinimo vertinimas ir patikrinimai vietoje, laikotarpis, kurio vertinimas atliktas, ir vieno žmogaus darbo dienomis apskaičiuotas laikas, kurį atitikties vertinimo įstaiga skyrė vertinimui atlikti;

19)

kiekvienoje atitinkamo konkretaus reikalavimo ataskaitoje nurodytos atliekant vertinimą taikytos visapusės atitikties vertinimo kontrolės priemonės ir kontrolės tikslai arba įrašyta nuoroda į atskirai pateikiamas vertinimo ataskaitas, kuriose įrašyta minėta informacija, jei tokias atskiras vertinimo ataskaitas:

a)

pateikė atitikties vertinimo įstaigos, akredituotos pagal Reglamentą (ES) Nr. 910/2014;

b)

patvirtino atitikties vertinimo įstaigos, pateikiančios atitikties vertinimo ataskaitą;

20)

reikšmingos apimties bandymų ar gamybinių pavyzdžių rinkinys ir jų vertinimas visų atitinkamų ir taikytinų vertinamų kvalifikuotų patikimumo paslaugų rezultatų atžvilgiu;

21)

nurodyti šie terminai:

a)

terminas, iki kurio turi būti atliktas kitas priežiūros atitikties vertinimas;

b)

terminas, iki kurio turi būti atliktas kitas atitikties vertinimas pagal Reglamento (ES) Nr. 910/2014 20 straipsnio 1 dalį;

22)

pateikta aiški deklaracija, kurioje nurodoma, kad sertifikavimo dokumentai, įskaitant atitikties vertinimo ataskaitą, yra taip pat skirti naudoti kompetentingai nacionalinei priežiūros įstaigai.

ELI: http://data.europa.eu/eli/reg_impl/2025/2162/oj

ISSN 1977-0723 (electronic edition)