This document is an excerpt from the EUR-Lex website
Document 32025R2160
Commission Implementing Regulation (EU) 2025/2160 of 27 October 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards, specifications and procedures for the management of risks to the provision of non-qualified trust services
Komisijas Īstenošanas regula (ES) 2025/2160 (2025. gada 27. oktobris), kas nosaka noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 piemērošanu attiecībā uz nekvalificētu uzticamības pakalpojumu sniegšanas riska pārvaldības atsauces standartiem, specifikācijām un procedūrām
Komisijas Īstenošanas regula (ES) 2025/2160 (2025. gada 27. oktobris), kas nosaka noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 piemērošanu attiecībā uz nekvalificētu uzticamības pakalpojumu sniegšanas riska pārvaldības atsauces standartiem, specifikācijām un procedūrām
C/2025/7140
OV L, 2025/2160, 28.10.2025., ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Eiropas Savienības |
LV L sērija |
|
2025/2160 |
28.10.2025 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2025/2160
(2025. gada 27. oktobris),
kas nosaka noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 piemērošanu attiecībā uz nekvalificētu uzticamības pakalpojumu sniegšanas riska pārvaldības atsauces standartiem, specifikācijām un procedūrām
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) Nr. 910/2014 (2014. gada 23. jūlijs) par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (1), un jo īpaši tās 19.a panta 2. punktu,
tā kā:
|
(1) |
Nekvalificētiem uzticamības pakalpojumu sniedzējiem ir svarīga loma digitālajā vidē, jo tie sniedz uzticamības pakalpojumus, kas veicina drošus elektroniskos darījumus. Regula (ES) Nr. 910/2014 paredz mazāk regulatīvo prasību nekvalificētiem uzticamības pakalpojumu sniedzējiem nekā kvalificētiem uzticamības pakalpojumu sniedzējiem. Tomēr uz visiem uzticamības pakalpojumu sniedzējiem attiecas drošības un atbildības prasības, lai nodrošinātu pienācīgu centību, pārredzamību un pārskatatbildību to darbībās un pakalpojumos. |
|
(2) |
Saskaņā ar Eiropas Parlamenta un Padomes Direktīvas (ES) 2022/2555 (2) 3. pantu nekvalificētus uzticamības pakalpojumu sniedzējus var uzskatīt par svarīgām vai būtiskām vienībām. Tāpēc Komisijas Īstenošanas regulā (ES) 2024/2690 (3) ir noteiktas kiberdrošības riska pārvaldības pasākumu tehniskās un metodiskās prasības, kas uz tām attiecas. Tomēr Regulas (ES) Nr. 910/2014 19.a panta 1. punkta a) apakšpunktā noteikto prasību darbības joma ir saistīta ar riska pārvaldības procedūrām, kas attiecas uz juridiskiem, darījumdarbības, operacionāliem un citiem tiešiem vai netiešiem riskiem, kuri apdraud nekvalificētu uzticamības pakalpojumu sniegšanu. Lai papildinātu Īstenošanas regulā (ES) 2024/2690 noteikto riska pārvaldības sistēmu un nodrošinātu saskaņotu pieeju visu attiecīgo risku veidu pārvaldībai, būtu jānosaka specifikācijas un procedūras attiecībā uz minēto risku pārvaldību, ko veic nekvalificēti uzticamības pakalpojumu sniedzēji. Norādījumi, ko sniedz Eiropas Savienības Kiberdrošības aģentūra (ENISA) vai valstu kompetentās iestādes saskaņā ar Direktīvu (ES) 2022/2555, var atbalstīt nekvalificētus uzticamības pakalpojumu sniedzējus atbilstošas riska pārvaldības politikas izstrādē un īstenošanā. |
|
(3) |
Regulas (ES) Nr. 910/2014 19.a panta 2. punktā paredzēto atbilstības prezumpciju piemēro tikai tad, ja nekvalificēti uzticamības pakalpojumu sniedzēji atbilst šajā regulā izklāstītajām prasībām. Pielikumā minētajiem atsauces standartiem būtu jāatspoguļo iedibinātā prakse un jābūt plaši atzītiem attiecīgajās nozarēs. Lai nodrošinātu, ka nekvalificēti uzticamības pakalpojumu sniedzēji pārvalda juridiskos, darījumdarbības, operacionālos un citus tiešos vai netiešos riskus nekvalificēto uzticamības pakalpojumu sniegšanā saskaņā ar Regulas (ES) Nr. 910/2014 19.a panta 1. punktu, nekvalificētajiem uzticamības pakalpojumu sniedzējiem būtu jāievēro pielikumā izklāstītie standartu elementi un šajā regulā noteiktās riska pārvaldības prasības attiecībā uz atbilstības prezumpciju. |
|
(4) |
Ja nekvalificēts uzticamības pakalpojumu sniedzējs ievēro šajā īstenošanas regulā noteiktās prasības, uzraudzības iestādēm būtu jāpieņem, ka tas atbilst attiecīgajām Regulas (ES) Nr. 910/2014 prasībām. Tomēr atbilstības Regulas (ES) Nr. 910/2014 prasībām pierādīšanai nekvalificēts uzticamības pakalpojumu sniedzējs joprojām var paļauties uz citu praksi. |
|
(5) |
Lai nodrošinātu, ka apzinātie riski tiek pienācīgi novērsti, riska pārvaldības politikā, ko ievēro nekvalificēti uzticamības pakalpojumu sniedzēji, būtu jāiekļauj procedūras riska dokumentēšanai un novērtēšanai, kā arī atbilstošu riska novēršanas pasākumu identificēšanai, atlasei un īstenošanai. Riska novēršanas pasākumu īstenošana būtu pastāvīgi jāuzrauga. Attiecībā uz informāciju, ko nekvalificēti uzticamības pakalpojumu sniedzēji reģistrē un saglabā kā daļu no riska novēršanas pasākumiem, nekvalificētiem uzticamības pakalpojumu sniedzējiem būtu jānodrošina šādu datu integritāte un konfidencialitāte. Turklāt, lai uzlabotu pārredzamību un atbalstītu uzraudzības darbības, nekvalificētiem uzticamības pakalpojumu sniedzējiem būtu jāpublicē izmantotās identitātes pārbaudes metodes. Tā kā ne visus apzinātos riskus var pilnībā risināt, izvairoties no tiem, tos novēršot vai nododot citām vienībām, visi atlikušie riski būtu jāapstiprina nekvalificētu uzticamības pakalpojumu sniedzēju vadības struktūrām. Atlikušo risku pieņemšanas kritēriji būtu jāpamato saprotamā veidā. |
|
(6) |
Komisija regulāri novērtē jaunās tehnoloģijas, praksi, standartus un tehniskās specifikācijas. Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2024/1183 (4) 75. apsvērumu Komisijai šī īstenošanas regula vajadzības gadījumā būtu jāpārskata un jāatjaunina nolūkā nodrošināt tās atbilstību globālajām norisēm, jaunajām tehnoloģijām, praksei, standartiem un tehniskajām specifikācijām un nolūkā ievērot paraugpraksi iekšējā tirgū. |
|
(7) |
Šajā regulā paredzētajām personas datu apstrādes darbībām piemēro Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (5) un, attiecīgā gadījumā, Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (6). |
|
(8) |
Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (7) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2025. gada 8. augustā sniedza savu atzinumu (8). |
|
(9) |
Šajā regulā noteiktie pasākumi saskan ar atzinumu, ko sniegusi ar Regulas (ES) Nr. 910/2014 48. pantu izveidotā komiteja, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Atsauces standarti
Regulas (ES) Nr. 910/2014 19.a panta 2. punktā minētie atsauces standarti ir norādīti šīs regulas pielikumā.
2. pants
Riska pārvaldības politika
1. Regulas (ES) Nr. 910/2014 19.a panta 1. punktā minētajā riska pārvaldības politikā skaidri norāda uzticamības pakalpojumus, uz kuriem tā attiecas, un tā ir specifiska attiecīgajiem uzticamības pakalpojumiem, un to apstiprina nekvalificētā uzticamības pakalpojumu sniedzēja vadības struktūra.
2. Riska pārvaldības politikā iekļauj vismaz šādus elementus:
|
a) |
vispārējais riska pielaides līmenis atbilstoši uzticamības pakalpojumu kritiskumam un nepieciešamajam drošības līmenim, ņemot vērā jaunākos tehnoloģiskos sasniegumus; |
|
b) |
attiecīgie riska kritēriji, tostarp vismaz riska iespējamība, ietekme un līmenis, ņemot vērā kiberdraudu izlūkdatus un neaizsargātību; |
|
c) |
pieeja uzticamības pakalpojumu sniegšanas risku apzināšanai un dokumentēšanai, ņemot vērā nekvalificētā uzticamības pakalpojumu sniedzēja izmantotās informācijas sistēmas pilnu tvērumu, tostarp riskus, kas saistīti ar sistēmas komponentiem, kā arī ar visām aktīvajām vai pasīvajām personām, kas iesaistītas sistēmas īstenošanā vai uzticamības pakalpojumu sniegšanā; |
|
d) |
process apzināto risku novērtēšanai, pamatojoties uz b) apakšpunktā minētajiem riska kritērijiem; |
|
e) |
atbilstošu riska novēršanas pasākumu apzināšanas, prioritāšu noteikšanas un pastāvīgas uzraudzības process; |
|
f) |
process riska pārvaldības politikas īstenošanas pastāvīgai uzraudzībai. |
3. Nekvalificēti uzticamības pakalpojumu sniedzēji izveido atbilstīgas procedūras un uztur dokumentus, lai nodrošinātu, ka tiek īstenotas piemērojamajos tiesību aktos noteiktās prasības.
4. Nekvalificēti uzticamības pakalpojumu sniedzēji izveido atbilstīgas dokumentētas procedūras, kas nodrošina to Savienības un valstu likumdošanas un regulatīvo izmaiņu uzraudzību, kuras var ietekmēt uzticamības pakalpojumu sniegšanu.
3. pants
Risku apzināšana, dokumentēšana un novērtēšana
Nekvalificēti uzticamības pakalpojumu sniedzēji apzina, dokumentē un novērtē visus Regulas (ES) Nr. 910/2014 19.a panta 1. punktā minētos riskus saskaņā ar 2. pantā minēto riska pārvaldības politiku un jo īpaši:
|
a) |
apzina risku attiecībā uz trešām personām; |
|
b) |
apzina iespējamo vienoto atteices punktu uzticamības pakalpojumu sniegšanā; |
|
c) |
novērtē apzināto risku, pamatojoties uz riska kritērijiem, kas noteikti 2. panta 2. punkta b) apakšpunktā. |
4. pants
Riska novēršanas pasākumi
1. Saskaņā ar 2. pantā minēto politiku nekvalificēti uzticamības pakalpojumu sniedzēji plāno, dokumentē un īsteno riska novēršanas pasākumus un jo īpaši veic šādus uzdevumus:
|
a) |
apzina atbilstošas riska novēršanas iespējas un nosaka to prioritātes; |
|
b) |
riska novēršanas plānā atlasa, apstiprina un dokumentē izvēlētos riska novēršanas pasākumus, tostarp to drošības prasības un darbības procedūras, un nosaka, kas ir atbildīgs par riska novēršanas pasākumu īstenošanu un kad tos īstenot; |
|
c) |
pastāvīgi uzrauga riska novēršanas pasākumu īstenošanu. |
2. Šā panta 1. punkta b) apakšpunktā izklāstītajā riska novēršanas plānā norāda iemeslus, kas saprotamā veidā pamato atlikušo risku pieņemšanu.
3. Šā panta 1. punktā minēto riska novēršanas pasākumu ietvaros nekvalificēti uzticamības pakalpojumu sniedzēji arī:
|
a) |
attiecīgā gadījumā tieši vai ar trešās personas starpniecību pārbauda uzticamības pakalpojuma lietotāju identitāti un publicē informāciju par izmantotajām identitātes pārbaudes metodēm; |
|
b) |
nolūkā sniegt pierādījumus tiesvedībā un nodrošināt pakalpojumu nepārtrauktību reģistrē un droši glabā šādu informāciju tik ilgi, cik nepieciešams saskaņā ar Savienības vai valsts tiesību aktiem, cita starpā arī pēc nekvalificētā uzticamības pakalpojumu sniedzēja darbības izbeigšanas:
|
|
c) |
attiecīgā gadījumā nodrošina, ka uzticamības pakalpojuma lietotājam piešķirtie autentifikācijas dati ir unikāli. |
4. Identificējot, atlasot un apstiprinot piemērotus riska novēršanas pasākumus un piešķirot tiem prioritāti, nekvalificēti uzticamības pakalpojumu sniedzēji ņem vērā šādus elementus:
|
a) |
rezultātus, kas gūti 3. pantā minētajā riska novērtēšanas procesā; |
|
b) |
riska novēršanas pasākumu efektivitāti; |
|
c) |
atbilstības novērtējumus; |
|
d) |
būtiskus incidentus; |
|
e) |
īstenošanas izmaksas attiecībā pret paredzamo ieguvumu; |
|
f) |
piemērojamo atbilstīgo aktīvu klasifikāciju; |
|
g) |
saskaņā ar 3. pantu identificēto risku jebkādas ietekmes uz darījumdarbību analīzi. |
5. Nekvalificētu uzticamības pakalpojumu sniedzēju vadības struktūras apstiprina atlikušos riskus, kas pēc riska novēršanas plānā izklāstīto riska novēršanas pasākumu īstenošanas joprojām nav novērsti.
6. Nekvalificēti uzticamības pakalpojumu sniedzēji riska novērtējuma rezultātus un riska novēršanas plānu pārskata, dokumentē un attiecīgā gadījumā atjaunina atbilstoši plānotiem intervāliem un vismaz reizi gadā, kā arī tad, kad notiek būtiskas izmaiņas infrastruktūrā, darbībās vai riskos, vai arī būtiski incidenti.
7. Nekvalificēti uzticamības pakalpojumu sniedzēji nodrošina 3. punkta b) apakšpunktā minētās informācijas pieejamību, integritāti un konfidencialitāti.
5. pants
Stāšanās spēkā
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2025. gada 27. oktobrī
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 257, 28.8.2014., 73. lpp., ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, 27.12.2022., 80. lpp., ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) Komisijas Īstenošanas regula (ES) 2024/2690 (2024. gada 17. oktobris), kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (OV L, 2024/2690, 18.10.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj).
(4) Eiropas Parlamenta un Padomes Regula (ES) 2024/1183 (2024. gada 11. aprīlis), ar ko groza Regulu (ES) Nr. 910/2014 attiecībā uz Eiropas digitālās identitātes satvara izveidi (OV L, 2024/1183, 30.4.2024., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5) Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp., ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37. lpp., ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(8) EDAU oficiālas piezīmes par īstenošanas regulas projektu attiecībā uz specifikācijām un procedūrām tādu risku pārvaldībai, kas saistīti ar nekvalificētu uzticamības pakalpojumu sniegšanu | Eiropas Datu aizsardzības uzraudzītājs.
PIELIKUMS
Atsauces standartu saraksts nekvalificētiem uzticamības pakalpojumu sniedzējiem
Prasības saskaņā ar šādiem standarta ETSI EN 319 401 V3.1.1 (2024-06) punktiem: “Elektroniskie paraksti un uzticamības infrastruktūras (ESI), vispārējās politikas prasības uzticamības pakalpojumu sniedzējiem” piemēro:
|
5. |
Riska novērtējums |
|
6. |
Politika un prakse |
|
7.1. |
Iekšējā organizācija |
|
7.2. |
Cilvēkresursi |
|
7.3. |
Aktīvu pārvaldība |
|
7.4. |
Piekļuves kontrole |
|
7.6. |
Fiziskā un vidiskā drošība |
ELI: http://data.europa.eu/eli/reg_impl/2025/2160/oj
ISSN 1977-0715 (electronic edition)