REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2025/1567

tad-29 ta’ Lulju 2025

li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-ġestjoni tal-apparati kwalifikati remoti għall-ħolqien ta’ firem elettroniċi u tal-apparati kwalifikati remoti għall-ħolqien ta’ siġilli elettroniċi bħala servizzi fiduċjarji kwalifikati

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal tranżazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (1), u b’mod partikolari l-Artikolu 29a(2) u l-Artikolu 39a tiegħu,

Billi:

(1)

Is-servizzi fiduċjarji kwalifikati għall-ġestjoni ta’ apparati kwalifikati remoti għall-ħolqien ta’ firem elettroniċi u għall-ġestjoni ta’ apparati kwalifikati remoti għall-ħolqien ta’ siġilli elettroniċi jaqdu rwol kruċjali fl-ambjent tan-negozju diġitali billi jippromwovi t-tranżizzjoni minn proċessi tradizzjonali bbażati fuq karta lejn ekwivalenti elettroniċi. Dawk is-servizzi fiduċjarji kwalifikati jikkontribwixxu għal ġestjoni sigura u affidabbli ta’ dawk l-apparati remoti f’isem il-firmatarji u l-ħallieqa tas-siġilli, b’mod li tkun garantita osservanza tal-kundizzjonijiet għall-firem elettroniċi kwalifikati u għas-siġilli elettroniċi kwalifikati.

(2)

Biex jiżdiedu ċ-ċertezza legali u l-affidabbiltà tas-servizzi fiduċjarji kwalifikati għall-ġestjoni ta’ apparati kwalifikati remoti għall-ħolqien ta’ firem elettroniċi, u tas-servizzi fiduċjarji kwalifikati għall-ġestjoni ta’ apparati kwalifikati remoti għall-ħolqien ta’ siġilli elettroniċi, il-fornituri kwalifikati tas-servizzi fiduċjarji li jipprovdu dawk is-servizzi kwalifikati jenħtieġ li jikkonformaw mal-istandards stabbiliti f’dan ir-Regolament.

(3)

Dawn l-istandards jenħtieġ li jirriflettu prattiki stabbiliti u jkunu rikonoxxuti b’mod wiesa’ fis-setturi rilevanti. Dawn jenħtieġ li jiġu adattati biex ikunu jinkludu kontrolli li jiżguraw is-sigurtà u l-affidabbiltà tas-servizzi fiduċjarji kwalifikati, kif ukoll biex ikun żgurat li l-firmatarji jkollhom kontroll uniku, b’livell għoli ta’ kunfidenza, fuq l-użu tad-data tal-ħolqien tal-firem elettroniċi tagħhom, u li l-ħallieqa tas-siġilli jkollhom kontroll fuq l-użu tad-data tal-ħolqien tas-siġilli elettroniċi tagħhom, rispettivament.

(4)	Biex ikun żgurat perjodu taż-żmien suffiċjenti għall-awditjar tal-fornituri tas-servizzi fiduċjarji fir-rigward tal-konformità mar-rekwiżiti l-ġodda, dan ir-Regolament jenħtieġ li japplika wara 24 xahar mid-dħul fis-seħħ tiegħu.

(5)

Il-Kummissjoni tivvaluta regolarment teknoloġiji, prattiki, standards jew speċifikazzjonijiet tekniċi ġodda. F’konformità mal-Premessa 75 tar-Regolament (UE) 2024/1183 tal-Parlament Ewropew u tal-Kunsill (2), il-Kummissjoni jenħtieġ li tirrieżamina u taġġorna dan ir-Regolament, jekk ikun meħtieġ, biex iżżommu konformi mal-iżviluppi dinjin, ma’ teknoloġiji, standards jew speċifikazzjonijiet tekniċi ġodda, u biex timxi mal-aqwa prattiki fis-suq intern.

(6)	Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (3) u, meta rilevanti, id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (4) jenħtieġ li japplikaw għall-attivitajiet kollha tal-ipproċessar tad-data personali skont dan ir-Regolament.

(7)	Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (5), u ta l-opinjoni tiegħu nhar is-6 ta’ Ġunju 2025.

(8)	Il-miżuri previsti f’dan ir-Regolament huma f’konformità mal-opinjoni tal-kumitat stabbilit bl-Artikolu 48 tar-Regolament (UE) Nru 910/2014,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Standards ta’ referenza u speċifikazzjonijiet

L-istandards ta’ referenza u l-ispeċifikazzjonijiet għall-ġestjoni tal-apparati kwalifikati remoti għall-ħolqien ta’ firem elettroniċi u tal-apparati kwalifikati remoti għall-ħolqien ta’ siġilli elettroniċi bħala servizzi fiduċjarji kwalifikati, imsemmija fl-Artikolu 29a(2) u fl-Artikolu 39a tar-Regolament (UE) Nru 910/2014 huma stabbiliti fl-Anness ta’ dan ir-Regolament.

Artikolu 2

Dħul fis-seħħ u applikabbiltà

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu japplika mid-19 ta’ Awwissu 2027.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, id-29 ta’ Lulju 2025.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Ir-Regolament (UE) 2024/1183 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ April 2024 li jemenda r-Regolament (UE) Nru 910/2014 fir-rigward tal-istabbiliment tal-Qafas Ewropew għall-Identità Diġitali (ĠU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ANNESS

Lista tal-istandards ta’ referenza u l-ispeċifikazzjonijiet għall-ġestjoni tal-apparati kwalifikati remoti għall-ħolqien ta’ firem elettroniċi u tal-apparati kwalifikati remoti għall-ħolqien ta’ siġilli elettroniċi

L-istandard ETSI TS 119 431-1 V1.3.1 (2024-12) (“ETSI TS 119 431-1”) japplika għall-fini ta’ valutazzjoni tal-osservanza tal-Politika v2 tas-Servizz tal-Applikazzjoni tal-Iffirmar tas-Server tal-UE, f’korformità mal-Anness A ta’ dak l-istandard, bl-adattamenti li ġejjin:

(1)

2.1 Referenzi normattivi

—	[1] ETSI EN 319 401 V3.1.1 (2024-06): “Firem u Infrastrutturi Fiduċjarji Elettroniċi (ESI); Rekwiżiti ta’ Politika Ġenerali għall-Fornituri tas-Servizzi Fiduċjarji”;

—	[7] Il-Grupp taċ-Ċertifikazzjoni taċ-Ċibersigurtà Ewropea, Suttogrupp dwar il-Kriptografija: “ Agreed Cryptographic Mechanisms ” (Mekkaniżmi Kriptografiċi Maqbula) ippubblikat mill-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (“ENISA”) (1).

(2)

6.1 Responsabbiltajiet ta’ pubblikazzjoni u repożitorju

—	OVR-6.1-04: L-informazzjoni identifikata f’OVR-6.1-01 hawn fuq għandha tkun disponibbli għall-pubbliku u b’mod internazzjonali.

(3)

6.4.4 Kontrolli tal-persunal

—	OVR-6.4.4-02: L-SSASP għandha timpjega persunal f’karigi fdati u, jekk applikabbli, sottokuntratturi f’karigi fdati, li jkollhom l-għarfien espert, l-esperjenza u l-kwalifiki meħtieġa, b’taħriġ u kredenzjali formali, jew bl-esperjenza, jew b’taħlita tat-tnejn li huma.

—	OVR-6.4.4-03: Il-konformità mal-OVR-6.4.4-02 għandha tinkludi aġġornamenti regolati (imqar darba kull 12-il xahar) dwar it-theddid ġdid u prattiki attwali tas-sigurtà.

(4)

6.4.9 Terminazzjoni tas-servizzi tal-SSASP

—	OVR-6.4.9-02: Il-pjan tat-terminazzjoni tal-SSASP għandu jkun konformi mal-atti ta’ implimentazzjoni adottati skont l-Artikolu 24(5) tar-Regolament (UE) Nru 910/2014 [i.1]

(5)

6.5.5 Kontrolli dwar is-sigurtà tan-network

—	OVR-6.5.5-02: Il-verifika tal-vulnerabbiltajiet mitluba skont REQ-7.8-13 of ETSI EN 319 401 [1] għandha ssir imqar darba kull trimestru.

—	OVR-6.5.5-03: Il-firewalls għandhom jiġu kkonfigurati biex jitwaqqfu l-protokolli u l-aċċessi kollha li mhumiex meħtieġa għat-tħaddim tat-TSP.

(6)

6.8.5 Kontrolli kriptografiċi

—	OVR-6.8.5-01: Għandu jkun hemm fis-seħħ kontrolli xierqa tas-sigurtà għall-ġestjoni ta’ kwalunkwe tekniki kriptografiċi tal-SSASP tul iċ-ċiklu tal-ħajja tagħhom.

—	OVR-6.8.5-02: Fir-rigward tal-OVR-6.8.5-01, l-SSASP għandha tagħżel u tuża tekniki kriptografiċi xierqa li jkunu konformi mal-Mekkaniżmi Kriptografiċi Maqbula li huma aċċettati mill-Grupp taċ-Ċertifikazzjoni taċ-Ċibersigurtà Ewropea u ppubblikati mill-ENISA [7].

(7)

L-Anness A, it-taqsima A.3 Rekwiżiti Ġenerali

—	OVR-A.3-02 [EUSPv2]: Id-dikjarazzjoni tal-prattika tat-TSP għandha tinkludi r-referenza għaċ-ċertifikazzjoni tal-QSCD applikata f’konformità mar-rekwiżiti tar-Regolament (UE) Nru 910/2014 [i.1], l-Anness II.

(1) https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.