European flag

Il-Ġurnal Uffiċjali
ta'l-Unjoni Ewropea

MT

Is-serje L

2025/2532

17.12.2025

REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2025/2532

tas-16 ta’ Diċembru 2025

li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards ta’ referenza u l-ispeċifikazzjonijiet għas-servizzi ta’ arkivjar elettroniku kwalifikat

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal tranżazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (1), u b’mod partikolari l-Artikolu 45j(2) tiegħu,

Billi:

(1)

Bir-Regolament (UE) 2024/1183 tal-Parlament Ewropew u tal-Kunsill (2), fir-Regolament (UE) Nru 910/2014 ġiet introdotta lista ta’ servizzi fiduċjarji u servizzi fiduċjarji kwalifikati ġodda, inkluż is-servizzi ta’ arkivjar elettroniku kwalifikat. Il-Kummissjoni trid tistabbilixxi lista ta’ standards ta’ referenza u, meta meħtieġ, tistabbilixxi speċifikazzjonijiet għal dawk is-servizzi.

(2)

“Arkivjar elettroniku” tfisser servizz għar-riċeviment, il-ħżin, l-irkupru u t-tħassir ta’ data elettronika u dokumenti elettroniċi li jiżgura d-durabbiltà u l-leġibbiltà tagħhom, u li jħares l-integrità, il-kunfidenzjalità u l-prova tal-oriġini tagħhom tul il-perjodu tal-preservazzjoni. Is-servizzi ta’ arkivjar elettroniku kwalifikat jaqdu rwol kruċjali fl-ambjent diġitali tan-negozju billi jippromwovu t-tranżizzjoni minn proċessi tradizzjonali bbażati fuq il-karti għall-ekwivalenti elettroniċi. Biex ikun żgurat li d-data elettronika u d-dokumenti elettroniċi jħarsu l-preżunzjoni tal-integrità tagħhom u tal-oriġini tagħhom tul il-perjodu tal-preservazzjoni mill-fornitur kwalifikat tas-servizzi fiduċjarji, u biex jinkiseb livell għoli ta’ trasparenza u fiduċja fost il-parteċipanti kollha fiċ-ċiklu tal-ħajja tal-informazzjoni, jeħtieġ jiġi stabbilit sett komuni ta’ speċifikazzjonijiet għas-servizzi ta’ arkivjar elettroniku kwalifikat.

(3)

Biex jiżdiedu l-valur evidenzjarju, is-sigurtà u l-affidabbiltà tas-servizzi ta’ arkivjar elettroniku kwalifikat, fejn jintużaw firem elettroniċi, siġilli elettroniċi jew kronogrammi elettroniċi biex joħolqu, jiffirmaw, jissiġillaw jew jiċċertifikaw id-data u l-ħin ta’, pereżempju, arkivjar ta’ evidenza, rekords tal-evidenza, rekords tal-avvenimenti, rekords tal-implimentazzjoni korretta tal-proċeduri, jew arkivjar tar-rapporti tal-konferma, jenħtieġ li jintużaw servizzi fiduċjarji kwalifikati.

(4)

Il-preżunzjoni tal-konformità stabbilita fl-Artikolu 45j(2) tar-Regolament (UE) Nru 910/2014 jenħtieġ li tapplika biss meta s-servizzi ta’ arkivjar elettroniku kwalifikat ikunu konformi mar-rekwiżiti stabbiliti f’dan ir-Regolament. L-istandards ta’ referenza għas-servizzi ta’ arkivjar elettroniku kwalifikat jenħtieġ li jkunu jirriflettu prattiki stabbiliti u jkunu rikonoxxuti b’mod wiesa’ fis-setturi rilevanti. Dawn jenħtieġ li jiġu adattati biex ikunu jinkludu kontrolli addizzjonali li jiżguraw is-sigurtà u l-affidabbiltà tas-servizzi ta’ arkivjar elettroniku kwalifikat.

(5)

Jekk fornitur tas-servizzi fiduċjarji josserva r-rekwiżiti stabbiliti fl-Anness ta’ dan ir-Regolament, il-korpi superviżorji jenħtieġ li jassumu l-konformità mar-rekwiżiti rilevanti tar-Regolament (UE) Nru 910/2014 u jqisu kif xieraq dik il-preżunzjoni għall-għoti jew għall-konferma tal-istatus kwalifikat tas-servizz fiduċjarju. Iżda fornitur kwalifikat tas-servizzi fiduċjarji xorta jista’ jistrieħ fuq prattiki oħra biex juri l-konformità mar-rekwiżiti tar-Regolament (UE) Nru 910/2014.

(6)

Biex iħarsu l-integrità u l-prova tal-oriġini tad-data elettronika u tad-dokumenti elettroniċi li jkun fihom firma jew siġill elettroniku kwalifikat wieħed jew aktar, is-servizzi ta’ arkivjar elettroniku kwalifikat jenħtieġ li jużaw proċeduri u teknoloġiji li kapaċi jestendu l-affidabbiltà ta’ dawk il-firem u s-siġilli elettroniċi kwalifikati lil hinn mill-perjodu tal-validità teknoloġika, imqar tul il-perjodu tal-preservazzjoni.

(7)

Il-Kummissjoni tivvaluta regolarment teknoloġiji, prattiki, standards jew speċifikazzjonijiet tekniċi ġodda. F’konformità mal-Premessa 75 tar-Regolament (UE) 2024/1183, il-Kummissjoni jenħtieġ li tirrieżamina u, jekk ikun meħtieġ, taġġorna dan ir-Regolament ta’ Implimentazzjoni biex iżżommu konformi mal-iżviluppi globali, ma’ teknoloġiji, standards jew speċifikazzjonijiet tekniċi ġodda, u biex timxi mal-aqwa prattiki fis-suq intern.

(8)

Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (3) u, meta rilevanti, id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (4) japplikaw għall-attivitajiet tal-ipproċessar tad-data personali skont dan ir-Regolament.

(9)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (5) u ta l-opinjoni tiegħu fil-21 ta’ Ottubru 2025 (6).

(10)

Il-miżuri previsti f’dan ir-Regolament huma f’konformità mal-opinjoni tal-kumitat stabbilit bl-Artikolu 48 tar-Regolament (UE) Nru 910/2014,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Arkivjar elettroniku ta’ dokumenti li jkollhom firma elettronika kwalifikata jew siġill elettroniku kwalifikat

1.   Meta jarkivjaw data elettronika jew dokumenti elettroniċi li jkun fihom firem elettroniċi kwalifikati jew siġilli elettroniċi kwalifikati, il-fornituri tas-servizzi ta’ arkivjar elettroniku kwalifikat għandhom jiżguraw li tinżamm l-affidabbiltà ta’ dawk il-firem elettroniċi kwalifikati jew is-siġilli elettroniċi kwalifikati, inkluż lil hinn mill-perjodu tal-validità teknoloġika tagħhom, u li l-integrità u l-akkuratezza tal-oriġini tal-firem u s-siġilli elettroniċi kwalifikati jinżammu, imqar sa tmiem il-perjodu tal-preservazzjoni legali jew kuntrattwali.

2.   Għall-finijiet tal-paragrafu 1, il-fornituri tas-servizzi ta’ arkivjar elettroniku kwalifikat jistgħu jistrieħu fuq servizz ta’ preservazzjoni kwalifikata għall-firem elettroniċi kwalifikati jew fuq servizz ta’ preservazzjoni kwalifikata għas-siġilli elettroniċi kwalifikati.

Artikolu 2

Standards ta’ referenza u speċifikazzjonijiet għall-forniment tas-servizzi ta’ arkivjar elettroniku kwalifikat

L-istandards ta’ referenza u l-ispeċifikazzjonijiet imsemmija fl-Artikolu 45j(2) tar-Regolament (UE) Nru 910/2014 huma stabbiliti fl-Anness ta’ dan ir-Regolament.

Artikolu 3

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, is-16 ta’ Diċembru 2025.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1)   ĠU L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Ir-Regolament (UE) 2024/1183 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ April 2024 li jemenda r-Regolament (UE) Nru 910/2014 fir-rigward tal-istabbiliment tal-Qafas Ewropew għall-Identità Diġitali (ĠU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6)   Kummenti formali tal-EDPS dwar l-abbozz ta’ Regolament ta’ Implimentazzjoni li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) Nru 910/2014 fir-rigward tal-istandards ta’ referenza u l-ispeċifikazzjonijiet għas-servizzi ta’ arkivjar elettroniku kwalifikat.

ANNESS

Lista tal-istandards ta’ referenza u l-ispeċifikazzjonijiet għas-servizzi ta’ arkivjar elettroniku kwalifikat

CEN/TS 18170:2025 (“CEN/TS 18170”) japplika bl-adattamenti li ġejjin:

(a)

Referenzi normattivi (il-klawżola 2)

ETSI EN 319 401 V3.1.1 (2024-06), Firem u Infrastrutturi Fiduċjarji Elettroniċi (ESI); Rekwiżiti ta’ Politika Ġenerali għall-Fornituri tas-Servizzi Fiduċjarji

ETSI EN 319 421 V1.3.1 (2025-07), Firem u Infrastrutturi Elettroniċi (ESI); Rekwiżiti ta’ Politika u tas-Sigurtà għall-Fornituri tas-Servizzi Fiduċjarji li joħorġu Kronogrammi

ISO 14721:2025, Prattiki tas-Sistema tad-Data Spazjali — Mudell ta’ referenza għal sistema tal-informazzjoni arkivjali miftuħa (OAIS)

ACM-ECCG, Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, Sottogrupp dwar il-Kriptografija: “Mekkaniżmi Kriptografiċi Miftiehma” ippubblikat mill-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (“ENISA”).

CIR (UE) 2024/482, ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 (1).

CIR (UE) 2024/3144, ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/3144 (2).

ISO/IEC 15408:2022 (il-partijiet 1 sa 5) “Is-sigurtà tal-informazzjoni, iċ-ċibersigurtà u l-protezzjoni tal-privatezza – Kriterji tal-evalwazzjoni għas-sigurtà tal-IT”.

FIPS PUB 140-3 (2019), “Rekwiżiti tas-Sigurtà għall-Moduli Kriptografiċi”.

(b)

Dikjarazzjoni ta’ politika u prattika (il-klawżola 6.1)

Għandhom japplikaw ir-rekwiżiti ta’ CEN/TS 18170, il-klawżola 6.1.

Għandhom japplikaw ir-rekwiżiti ta’ ETSI EN 319 401, il-klawżola 5.

L-EATSP għandu jistabbilixxi proċeduri għan-notifika lill-korp superviżorju dwar kull bidla fil-forniment tas-servizz fiduċjarju ta’ arkivjar elettroniku u dwar l-intenzjoni li jitwaqqfu dawk l-attivitajiet, f’konformità mar-rekwiżiti tan-negozju u l-liġijiet u r-regolamenti rilevanti, inkluż f’konformità mar-rekwiżiti tal-atti ta’ implimentazzjoni adottati skont l-Artikolu 24(5) tar-Regolament (UE) Nru 910/2014 [i.2].

L-EATSP għandu jinnotifika lill-korp superviżorju mqar:

xahar qabel l-implimentazzjoni ta’ kull bidla;

tliet xhur qabel il-waqfien ippjanat tal-forniment ta’ servizz fiduċjarju.

(c)

Termini u Kundizzjonijiet (il-klawżola 6.2)

Għandhom japplikaw ir-rekwiżiti ta’ CEN/TS 18170, il-klawżola 6.2.

L-abbonati u l-partijiet dipendenti fuq is-servizz fiduċjarju ta’ arkivjar elettroniku għandhom jiġu infurmati, b’mod ċar, komprensiv u aċċessibbli faċilment, fi spazju aċċessibbli għall-pubbliku u individwalment, dwar it-termini u l-kundizzjonijiet preċiżi, qabel jidħlu f’relazzjoni kuntrattwali.

(d)

Riżorsi umani (il-klawżola 7.3)

Għandhom japplikaw ir-rekwiżiti ta’ CEN/TS 18170, il-klawżola 7.3.

Il-persunal tal-EATSP fi rwoli ta’ fiduċja, u jekk applikabbli s-sottokuntratturi tiegħu fi rwoli ta’ fiduċja, għandu jkun jista’ jissodisfa r-rekwiżit ta’ “għarfien espert, esperjenza u kwalifiki” b’taħriġ formali u kredenzjali, jew b’esperjenza reali, jew b’taħlita tat-tnejn. Dan għandu jinkludi aġġornamenti regolari (mqar kull 12-il xahar) dwar theddid ġdid u prattiki attwali tas-sigurtà.

(e)

Kontrolli u monitoraġġ kriptografiċi (il-klawżola 7.6)

Is-sistema tal-arkivjar trid tiggarantixxi l-kunfidenzjalità tad-data u tad-dokumenti tul iċ-ċiklu tal-ħajja tal-arkivju mid-depożitu sat-tneħħija tagħhom.

Għandhom japplikaw ir-rekwiżiti ta’ ETSI EN 319 401, is-subklawżola 7.5 “Kontrolli kriptografiċi”

L-oriġini tad-data li trid tiġi arkivjata fis-sistema tal-arvikjar elettroniku għandha tiġi stabbilita mill-EATSP. Jekk għal dak il-għan jużaw xi firem elettroniċi jew siġilli elettroniċi, dawk il-firem elettroniċi jew is-siġilli elettroniċi għandhom ikunu kwalifikati.

Meta l-EATSP jiffirma b’mod diġitali oġġett jew rekord diġitali (jew parti minnhom), il-kjavi tal-iffirmar privata tal-EATSP għandha tinżamm u tintuża f’apparat kwalifikat għall-ħolqien tal-firem jew tas-siġilli elettroniċi jew f’apparat kriptografiku sigur li jkun sistema affidabbli ċċertifikata f’konformità ma’:

(a)

Il-Kriterji Komuni għall-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni, kif stabbiliti f’ISO/IEC 15408 jew fil-Kriterji Komuni għall-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni, il-verżjoni CC:2022, il-Partijiet 1 sa 5, ippubblikati mill-parteċipanti tal-Arranġament dwar ir-Rikonoxximent taċ-Ċertifikati tal-Kriterji Komuni fil-qasam tas-Sigurtà tal-IT, u ċċertifikati għal EAL 4 jew ogħla; jew

(b)

l-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq Kriterji Komuni (CIR (UE) 2024/482, CIR (UE) 2024/3144), u ċċertifikata għal EAL 4 jew ogħla; jew

(c)

sal-31.12.2030, FIPS PUB 140-3, il-livell 3.

Din iċ-ċertifikazzjoni għandha tkun għal mira tas-sigurtà jew profil tal-protezzjoni, jew għal dokumentazzjoni tad-disinn u tas-sigurtà tal-modulu, li tissodisfa r-rekwiżiti ta’ dan id-dokument, abbażi ta’ analiżi tar-riskju u filwaqt li jitqiesu miżuri tas-sigurtà fiżiċi u oħrajn mhux tekniċi.

Jekk l-apparat kriptografiku sigur ikun jibbenefika minn ċertifikazzjoni tal-EUCC (IR (UE) 2024/482, CIR (UE) 2024/3144), dak l-apparat għandu jiġi kkonfigurat u użat f’konformità ma’ dik iċ-ċertifikazzjoni.

L-EATSP għandu jimmonitorja s-saħħa tal-algoritmu kriptografiku li ntuża u li qed jintuża. Jekk xi wieħed mill-algoritmi jew mill-parametri użati jitqies li mhuwiex xieraq kif definit fil-ġestjoni tar-riskju, l-EATSP għandu jaġġorna l-politika tal-arkivjar relatata jew joħloq profil ġdid tal-arkivjar biex jittratta l-AIPs u jiddefinixxi u jwettaq miżuri xierqa.

L-evalwazzjoni tal-algoritmi kriptografiċi u l-użu tagħhom mill-EATSP għandhom ikunu f’konformità mal-Mekkaniżmi Kriptografiċi Miftiehma approvati mill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà u ppubblikati mill-ENISA (ACM-ECCG).

Il-komponenti tekniċi tal-EATS għandhom jawtentikaw lil xulxin abbażi ta’ tekniki kriptografiċi qabel jikkomunikaw.

(f)

Network (il-klawżola 7.9)

Għandhom japplikaw ir-rekwiżiti ta’ ETSI EN 319 401, is-subklawżola 7.8 “Sigurtà tan-network”.

L-iskennjar għall-vulnerabbiltajiet mitlub minn REQ-7.8-13 ta’ ETSI EN 319 401 għandu jsir imqar darba kull trimestru.

It-test tal-penetrazzjoni mitlub minn REQ-7.8-17X ta’ ETSI EN 319 401 għandu jsir imqar darba fis-sena.

Il-firewalls għandhom jiġu kkonfigurati biex iwaqqfu l-protokolli u l-aċċessi kollha mhux meħtieġa għat-tħaddim tal-EATSP.

(g)

Ġbir tal-evidenza (il-klawżola 7.11)

Ir-rekwiżiti speċifikati f’ETSI EN 319 401, is-subklawżola 7.10 “Ġbir tal-evidenza” għandhom japplikaw, inkluż għal avvenimenti kritiċi u mhux kritiċi (ara s-subklawżola 13.2)

(h)

Pjan tat-terminazzjoni u terminazzjoni tal-EATSP (il-klawżola 7.13)

Għandhom japplikaw ir-rekwiżiti ta’ CEN/TS 18170, il-klawżola 7.13).

Il-pjan tat-terminazzjoni tal-EATSP għandu jkun f’konformità mar-rekwiżiti stabbiliti fl-atti ta’ implimentazzjoni adottati skont l-Artikolu 24(5) tar-Regolament (UE) Nru 910/2014.

(i)

Ħin affidabbli tal-avvenimenti (il-klawżola 13.3.1)

Għandhom japplikaw ir-rekwiżiti ta’ CEN/TS 18170, il-klawżola 13.3.1).

Meta jintużaw il-kronogrammi, l-EATSP għandu juża kronogramma kwalifikata.

(1)  Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 tal-31 ta’ Jannar 2024 li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-adozzjoni tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (“EUCC”) (ĠU L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

(2)  Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/3144 tat-18 ta’ Diċembru 2024 li jemenda r-Regolament ta’ Implimentazzjoni (UE) 2024/482 fir-rigward tal-istandards internazzjonali applikabbli u li jikkoreġi dak ir-Regolament ta’ Implimentazzjoni (ĠU L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj).

ELI: http://data.europa.eu/eli/reg_impl/2025/2532/oj

ISSN 1977-074X (electronic edition)