UITVOERINGSVERORDENING (EU) 2025/2162 VAN DE COMMISSIE

van 27 oktober 2025

tot vaststelling van uitvoeringsbepalingen voor Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad wat betreft de accreditatie van conformiteitsbeoordelingsinstanties die de beoordeling uitvoeren van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen, het conformiteitsbeoordelingsverslag en de conformiteitsbeoordelingsregeling

DE EUROPESE COMMISSIE,

Gezien het verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (1), en met name artikel 20, lid 4,

Overwegende hetgeen volgt:

(1)

Overeenkomstig artikel 20, lid 1, en artikel 21, lid 1, van Verordening (EU) nr. 910/2014 moeten gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen, worden gecontroleerd door conformiteitsbeoordelingsinstanties. De daaruit voortvloeiende conformiteitsbeoordelingsverslagen bevestigen of aan de eisen van die verordening en van artikel 21 van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (2) is voldaan. Bijgevolg moet een geharmoniseerd en robuust kader worden vastgesteld voor de accreditatie van conformiteitsbeoordelingsinstanties, de conformiteitsbeoordelingsregelingen die zij toepassen, de conformiteitsbeoordelingen die zij overeenkomstig die regelingen uitvoeren en de daaruit voortvloeiende conformiteitsbeoordelingsverslagen.

(2)

De accreditatie van conformiteitsbeoordelingsinstanties die gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen, beoordelen, het conformiteitsbeoordelingsverslag en de conformiteitsbeoordelingsregeling moeten voldoen aan de eisen van deze verordening. Conformiteitsbeoordelingsinstanties kunnen aan deze eisen voldoen, hetzij onafhankelijk, door gebruik te maken van een samengestelde certificering, hetzij door onderaanneming aan naar behoren geaccrediteerde entiteiten.

(3)

Conformiteitsbeoordelingsinstanties die zijn geaccrediteerd voor het beoordelen van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen met betrekking tot het uitgeven van gekwalificeerde elektronische attesteringen van attributen, moeten het conformiteitsbeoordelingsverslag kunnen uitbrengen dat vereist is op grond van artikel 45 septies, lid 3, van Verordening (EU) nr. 910/2014.

(4)

Om bij te dragen tot de transparantie van het accreditatieproces, moet het accreditatiecertificaat dat overeenkomstig artikel 5 van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (3) aan een conformiteitsbeoordelingsinstantie wordt afgegeven, voldoende informatie bevatten om derden in staat te stellen na te gaan of de geaccrediteerde conformiteitsbeoordelingsinstantie gemachtigd is om een conformiteitsbeoordeling uit hoofde van Verordening (EU) nr. 910/2014 uit te voeren.

(5)	Om de integriteit en nauwkeurigheid van accreditatiecertificaten te handhaven, moeten de nationale accreditatie-instanties ervoor zorgen dat deze certificaten actuele informatie weergeven.

(6)

Om de integriteit van het accreditatieproces te waarborgen, kan het aan een conformiteitsbeoordelingsinstantie afgegeven accreditatiecertificaat te allen tijde worden geschorst of ingetrokken voor elke gekwalificeerde vertrouwensdienst die de conformiteitsbeoordelingsinstantie moet beoordelen. Opschorting of intrekking kan plaatsvinden na bestraffing door de nationale accreditatie-instantie of vrijwillig door de conformiteitsbeoordelingsinstantie zelf.

(7)	Met het oog op de harmonisatie van dit accreditatiekader moet deze verordening gebaseerd zijn op gevestigde normen die de gevestigde praktijken weerspiegelen en die in de betrokken sectoren algemeen worden erkend.

(8)

Om de transparantie te vergroten, moeten conformiteitsbeoordelingsinstanties de door hen afgegeven conformiteitscertificaten openbaar maken. De conformiteitscertificaten bevestigen de positieve certificeringsbesluiten van de conformiteitsbeoordelingsinstanties. De gekwalificeerde status wordt echter alleen toegekend aan of ingetrokken bij de verlener van vertrouwensdiensten en de vertrouwensdiensten die hij verleent, door het toezichthoudend orgaan.

(9)

Om te beoordelen of gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen, voldoen aan Verordening (EU) nr. 910/2014 en artikel 21 van Richtlijn (EU) 2022/2555, moeten conformiteitsbeoordelingsinstanties gebruikmaken van een conformiteitsbeoordelingsregeling. Conformiteitsbeoordelingsinstanties moeten normen toepassen als benchmarks voor de beoordeling van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen, rekening houdend met de versies en aanpassingen van deze normen die zijn vastgesteld in de dienstspecifieke uitvoeringshandelingen op basis van Verordening (EU) nr. 910/2014. Deze normen moeten vaste praktijken weerspiegelen en in de betrokken sectoren algemeen erkend worden.

(10)

Conformiteitsbeoordelingsregelingen bevatten de regels en procedures die conformiteitsbeoordelingsinstanties moeten toepassen bij hun beoordelingen van gekwalificeerde verleners van vertrouwensdiensten en van de gekwalificeerde vertrouwensdiensten die zij verlenen. Dergelijke regelingen worden door de nationale accreditatie-instanties getoetst aan de eisen van deze verordening. De inhoud van dergelijke regelingen kan in de loop van de tijd worden gewijzigd. Om de toepassing van opeenvolgende versies van conformiteitsbeoordelingsregelingen te vergemakkelijken, moeten de geaccrediteerde conformiteitsbeoordelingsinstanties een specifiek proces opzetten om de ontwikkelingen van een regeling waarvoor zij zijn geaccrediteerd, te beheren.

(11)

Om toezicht te houden op de ontwikkeling en het onderhoud van de conformiteitsbeoordelingsregelingen, moet aan elke conformiteitsbeoordelingsregeling een regelinghouder worden toegewezen. Conformiteitsbeoordelingsinstanties, overheidsinstanties of -autoriteiten, een brancheorganisatie, een groep conformiteitsbeoordelingsinstanties of een passende instantie of groep instanties kunnen regelinghouder zijn en kunnen verschillen van de conformiteitsbeoordelingsinstantie die de regeling uitvoert.

(12)

Om de continuïteit van de verlening van hun diensten te waarborgen, moet de accreditatie van conformiteitsbeoordelingsinstanties geldig blijven voor eerdere versies van normen waarnaar in de conformiteitsbeoordelingsregeling wordt verwezen. In die gevallen moeten de conformiteitsbeoordelingsinstanties uitdrukkelijk naar die eerdere versies van de normen verwijzen, met inbegrip van het jaartal en het versienummer.

(13)

Om de flexibiliteit te vergroten, moet het nationale accreditatie-instanties worden toegestaan accreditatie met een flexibel toepassingsgebied aan te bieden, zodat conformiteitsbeoordelingsinstanties in specifieke omstandigheden aanvullende activiteiten in hun toepassingsgebied kunnen opnemen zonder dat een evaluatie door de nationale accreditatie-instantie nodig is. Bij het ontwerpen van de accreditatie voor flexibele toepassingsgebieden zullen de nationale accreditatie-instanties rekening houden met de accreditatie van flexibele toepassingsgebieden zoals vastgesteld door de Europese samenwerking voor accreditatie, die is aangewezen overeenkomstig Verordening (EG) nr. 765/2008. Wanneer nationale accreditatie-instanties conformiteitsbeoordelingsinstanties toestaan gebruik te maken van een dergelijke accreditatie met een flexibel toepassingsgebied, moeten zij dit met het oog op transparantie in het accreditatiecertificaat vermelden. Om de flexibiliteit te vergroten, zelfs wanneer nationale accreditatie-instanties geen accreditatie met een flexibel toepassingsgebied aanbieden, moeten zij zorgvuldig het effect van de wijzigingen in de conformiteitsbeoordelingsregeling waarvoor die instantie is geaccrediteerd overwegen voordat zij de geaccrediteerde conformiteitsbeoordelingsinstantie opnieuw evalueren.

(14)

Om de betrouwbaarheid van de conformiteitsbeoordelingsregelingen te waarborgen, moeten regelinghouders ervoor zorgen dat hun conformiteitsbeoordelingsregelingen niet toestaan dat positieve certificeringsbesluiten of conformiteitscertificaten worden afgegeven wanneer de conformiteitsbeoordeling leidt tot de vaststelling van een non-conformiteit met de in Verordening (EU) nr. 910/2014 of met artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen met betrekking tot gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdienst die zij verlenen. Hoewel conformiteitsbeoordelingsverslagen non-conformiteiten en mogelijke correctieplannen kunnen bevatten, mag geen conformiteitscertificaat of positief certificeringsbesluit worden afgegeven wanneer non-conformiteiten worden vastgesteld.

(15)

Om de transparantie van hun praktijken te waarborgen, moeten de regelinghouders een samenvatting van hun conformiteitsbeoordelingsregelingen openbaar maken. De samenvatting moet een beschrijving bevatten van het geheel aan regels en procedures die zijn gevolgd voor de beoordeling van de conformiteit van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen met de vereisten van Verordening (EU) nr. 910/2014 en met artikel 21 van Richtlijn (EU) 2022/2555.

(16)

Om de kwaliteit, veiligheid en betrouwbaarheid van de activiteiten van de gekwalificeerde verlener van vertrouwensdiensten te ondersteunen, moet in het conformiteitsbeoordelingsverslag in voorkomend geval worden aangegeven welke verbetermogelijkheden er zijn die de wijze waarop de gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die hij verleent aan de toepasselijke eisen voldoen, kunnen verfijnen.

(17)

Om de transparantie te ondersteunen en de verificatie door toezichthoudende organen dat een beoordeelde gekwalificeerde verlener van vertrouwensdiensten en de door hem verleende gekwalificeerde vertrouwensdiensten aan de toepasselijke eisen voldoen, te vergemakkelijken, moet het conformiteitsbeoordelingsverslag bepaalde minimuminformatie bevatten. Met name om de identificatie te vergemakkelijken van de dienstvermeldingen die overeenkomstig artikel 22 van Verordening (EU) nr. 910/2014 in de nationale vertrouwenslijst moeten worden opgenomen, moet in voorkomend geval in het conformiteitsbeoordelingsverslag een gedetailleerde beschrijving van de functionele hiërarchie van de publiekesleutelinfrastructuur per type gekwalificeerde vertrouwensdienst worden opgenomen.

(18)

Om de transparantie te ondersteunen en de verificatie van en het toezicht op de accreditatie van conformiteitsbeoordelingsinstanties overeenkomstig Verordening (EU) nr. 910/2014 te vergemakkelijken, moeten de nationale accreditatie-instanties in voorkomend geval informatie over de geschiedenis van het toepassingsgebied van de accreditatie verstrekken, met inbegrip van de start- en, in voorkomend geval, de einddatum van de accreditatie voor elke gekwalificeerde vertrouwensdienst.

(19)

Om de continuïteit van reeds geaccrediteerde conformiteitsbeoordelingsinstanties te waarborgen en de overgang naar de in deze verordening vastgestelde regels te ondersteunen, hoeven conformiteitsbeoordelingsinstanties die momenteel zijn geaccrediteerd krachtens norm ETSI EN 319 403 versie 2.2.2 of een eerdere versie daarvan, tot 17 mei 2027 niet opnieuw te worden geaccrediteerd krachtens Verordening (EU) nr. 910/2014. Na deze datum moeten de conformiteitsbeoordelingsinstanties door de nationale accreditatie-instantie aan de eisen van deze verordening worden getoetst.

(20)

De Commissie voert regelmatig beoordelingen uit van nieuwe technologieën, praktijken, normen of technische specificaties. Overeenkomstig overweging 75 van Verordening (EU) 2024/1183 van het Europees Parlement en de Raad (4) moet de Commissie deze uitvoeringsverordening indien nodig evalueren en actualiseren om deze in overeenstemming te houden met de mondiale ontwikkelingen, de architectuur en het referentiekader en om de beste praktijken op de interne markt te volgen.

(21)	Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5) en, in voorkomend geval, Richtlijn 2002/58/EG van het Europees Parlement en de Raad (6) zijn van toepassing op activiteiten betreffende de verwerking van persoonsgegevens uit hoofde van deze verordening.

(22)	Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (7) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 8 augustus 2025 heeft deze een advies (8) uitgebracht.

(23)	De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 48 van Verordening (EU) nr. 910/2014 ingestelde comité,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)	“regelinghouder”: een entiteit of groep entiteiten die verantwoordelijk is voor de ontwikkeling en handhaving van een conformiteitsbeoordelingsregeling;

“certificeringsbesluit”: een certificeringsbesluit dat volgt op een conformiteitsbeoordeling door een conformiteitsbeoordelingsinstantie wanneer die instantie de conformiteit van een specifieke gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdienst die zij verleent met de in Verordening (EU) nr. 910/2014 en met artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen positief of negatief bevestigt;

“conformiteitscertificaat”: een document waarmee een conformiteitsbeoordelingsinstantie een certificeringsbesluit bevestigt waarin met zekerheid wordt bevestigd dat een specifieke gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdienst die hij verleent, voldoen aan de in Verordening (EU) nr. 910/2014 en aan artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen;

“conformiteitsbeoordelingsregeling”: een reeks regels en procedures die conformiteitsbeoordelingsinstanties moeten gebruiken voor de beoordeling van de conformiteit van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen met de in Verordening (EU) nr. 910/2014 en met artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen;

“conformiteitsbeoordelingsverslag”: een document met gedetailleerde informatie, in voorkomend geval in aanvulling op de informatie in een certificeringsbesluit en het bijbehorende conformiteitscertificaat, over de methode die is gebruikt om overeenkomstig een conformiteitsbeoordelingsregeling een conformiteitsbeoordeling uit te voeren van de conformiteit van een specifieke gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdienst die hij verleent met de in Verordening (EU) nr. 910/2014 en van artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen, en over de resultaten van de conformiteitsbeoordeling;

6)	“accreditatie”: accreditatie als gedefinieerd in artikel 2, punt 10, van Verordening (EG) nr. 765/2008;

“accreditatie met een flexibel toepassingsgebied”: een accreditatie waarbij de specifieke conformiteitsbeoordelingsactiviteiten waarvoor accreditatie wordt aangevraagd of is verleend, worden uitgedrukt om conformiteitsbeoordelingsinstanties in staat te stellen wijzigingen aan te brengen in de methodologie en andere parameters die onder de bevoegdheid van de conformiteitsbeoordelingsinstantie vallen, zoals bevestigd door de nationale accreditatie-instantie;

8)	“nationale accreditatie-instantie”: nationale accreditatie-instantie zoals gedefinieerd in artikel 2, punt 11, van Verordening (EG) nr. 765/2008.

Artikel 2

Accreditatie van conformiteitsbeoordelingsinstanties

1. Met het oog op het nemen van certificeringsbesluiten overeenkomstig een specifieke conformiteitsbeoordelingsregeling worden conformiteitsbeoordelingsinstanties geaccrediteerd overeenkomstig norm EN ISO/IEC 17065:2012, aangevuld met norm ETSI EN 319 403-1 versie 2.3.1.

2. De accreditatie van de in lid 1 bedoelde conformiteitsbeoordelingsinstanties wordt uitgevoerd door een nationale accreditatie-instantie overeenkomstig norm EN ISO/IEC 17011:2017.

Artikel 3

Aan conformiteitsbeoordelingsinstanties afgegeven accreditatiecertificaten

1. De nationale accreditatie-instanties zorgen ervoor dat de accreditatiecertificaten die zij aan conformiteitsbeoordelingsinstanties afgeven ten minste de volgende informatie bevatten:

a)	de unieke identiteitscode van het accreditatiecertificaat;

b)	de datum van afgifte van het accreditatiecertificaat;

c)	de naam en het land, zoals vermeld in de nationale officiële registers, van de nationale accreditatie-instantie die het accreditatiecertificaat afgeeft;

d)	de naam en, in voorkomend geval, het registratienummer zoals vermeld in de nationale officiële registers van de geaccrediteerde conformiteitsbeoordelingsinstantie;

het toepassingsgebied van de accreditatie met betrekking tot een of meer van de volgende gekwalificeerde vertrouwensdiensten:

—	het uitgeven van gekwalificeerde certificaten voor elektronische handtekeningen;

—	het uitgeven van gekwalificeerde certificaten voor elektronische zegels;

—	het uitgeven van gekwalificeerde certificaten voor websiteauthenticatie;

—	de gekwalificeerde valideringsdienst voor gekwalificeerde elektronische handtekeningen;

—	de gekwalificeerde valideringsdienst voor gekwalificeerde elektronische zegens;

—	de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen;

—	de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische zegels;

—	het aanmaken van gekwalificeerde elektronische tijdstempels;

—	het verlenen van gekwalificeerde diensten voor elektronisch aangetekende bezorging;

—	de gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het op afstand aanmaken van elektronische handtekeningen;

—	de gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het op afstand aanmaken van elektronische zegels;

—	het verlenen van gekwalificeerde elektronische archiveringsdiensten;

—	het uitgeven van gekwalificeerde elektronische attesteringen van attributen;

—	het opslaan van elektronische gegevens in een gekwalificeerd elektronisch register;

f)	de identificatie, in voorkomend geval met inbegrip van de specifieke versie, van de conformiteitsbeoordelingsregeling waarvoor de conformiteitsbeoordelingsinstantie is geaccrediteerd;

g)	de vermelding, in voorkomend geval, van het gebruik van de accreditatie voor een flexibel toepassingsgebied;

h)	de identificatie, in voorkomend geval, van het document waarin het ontwerp- en uitvoeringsproces van de accreditatie voor flexibele toepassingsgebieden wordt beschreven.

2. De nationale accreditatie-instanties zorgen ervoor dat de begindatum en, in voorkomend geval, de einddatum van de accreditatie van de conformiteitsbeoordelingsinstantie voor het uitvoeren van de conformiteitsbeoordeling van de gekwalificeerde vertrouwensdiensten als bedoeld in lid 1, punt e), met inbegrip van specifieke datums voor elke gekwalificeerde vertrouwensdienst, naargelang het geval, deel uitmaken van de accreditatiegegevens als bedoeld in artikel 20, lid 1 ter, van Verordening (EU) nr. 910/2014.

3. De nationale accreditatie-instanties zorgen ervoor dat alle relevante wijzigingen met betrekking tot de overeenkomstig lid 1 verstrekte informatie duidelijk in het accreditatiecertificaat worden weergegeven.

4. In het accreditatiecertificaat wordt het toepassingsgebied van de accreditatie van de conformiteitsbeoordelingsinstantie duidelijk beschreven, overeenkomstig artikel 2, lid 1.

Artikel 4

Heroverweging van een bestaande accreditatie

1. De regelinghouder past procedures toe om toezicht te houden op wijzigingen in de in artikel 2, lid 1, of artikel 6, lid 3, bedoelde normen of in een conformiteitsbeoordelingsregeling die zijn eigendom is en op basis waarvan een conformiteitsbeoordelingsinstantie overeenkomstig artikel 2 is geaccrediteerd.

2. De regelinghouder stelt de nationale accreditatie-instantie tijdig in kennis van de wijzigingen die als gevolg van de in lid 1 bedoelde procedures zijn vastgesteld.

3. Indien de nationale accreditatie-instantie geen accreditatie met een flexibel toepassingsgebied heeft toegepast op de geaccrediteerde conformiteitsbeoordelingsinstanties, bepaalt de nationale accreditatie-instantie of de wijzigingen die als gevolg van de in lid 1 bedoelde procedures zijn vastgesteld, waarschijnlijk wezenlijke gevolgen zullen hebben voor het vermogen van geaccrediteerde conformiteitsbeoordelingsinstanties om conformiteitsbeoordelingen uit te voeren op grond van regelingen waarvoor zij zijn geaccrediteerd.

4. Wanneer de nationale accreditatie-instantie overeenkomstig lid 3 vaststelt dat wijzigingen van invloed zijn op het vermogen van conformiteitsbeoordelingsinstanties om conformiteitsbeoordelingen uit te voeren, verzoekt zij de conformiteitsbeoordelingsinstantie binnen een redelijke voorgeschreven termijn passende maatregelen te nemen.

5. Indien de conformiteitsbeoordelingsinstantie de in lid 4 bedoelde maatregelen niet binnen de voorgeschreven termijn kan of wil nemen, trekt de nationale accreditatie-instantie de accreditatie onmiddellijk in of schorst zij deze.

6. Wanneer de nationale accreditatie-instantie overeenkomstig lid 3 vaststelt dat wijzigingen geen afbreuk doen aan het vermogen van conformiteitsbeoordelingsinstanties om conformiteitsbeoordelingen uit te voeren, kan zij, in voorkomend geval, de geldigheid en het toepassingsgebied van de accreditatie van de beoordeelde conformiteitsbeoordelingsinstantie uitbreiden.

7. In voorkomend geval werkt de nationale accreditatie-instantie het accreditatiecertificaat tijdig bij om het resultaat van de heroverweging van de accreditatie overeenkomstig dit artikel weer te geven.

8. Wanneer een conformiteitsbeoordelingsinstantie een verzoek overeenkomstig lid 4 ontvangt, stelt zij gekwalificeerde verleners van vertrouwensdiensten die zij eerder in het kader van de desbetreffende conformiteitsbeoordelingsregeling heeft beoordeeld, tijdig in kennis van alle gevolgen die de heroverweging van de accreditatie van de conformiteitsbeoordelingsinstantie kan hebben voor die gekwalificeerde verleners van vertrouwensdiensten, onder meer met betrekking tot toekomstige certificeringsbesluiten die de conformiteitsbeoordelingsinstantie in het kader van die regeling heeft genomen.

Artikel 5

Conformiteitsbeoordelingsinstanties

1. Conformiteitsbeoordelingsinstanties stellen de conformiteitscertificaten die zij afgeven beschikbaar in een daartoe door die conformiteitsbeoordelingsinstantie bijgehouden openbaar register.

2. Bij elke uitbesteding door de conformiteitsbeoordelingsinstantie van de uitvoering van conformiteitsbeoordelingsactiviteiten wordt naar behoren rekening gehouden met de aard van de uit te voeren activiteit. De conformiteitsbeoordelingsinstantie zorgt ervoor dat de subcontractant voldoet aan de normen van bijlage I voor de specifieke activiteit die wordt uitbesteed.

3. Conformiteitsbeoordelingsinstanties zorgen er bij de afgifte van een certificeringsbesluit voor dat de gekwalificeerde verlener van vertrouwensdiensten op wie het besluit betrekking heeft, de volledige conformiteitsbeoordelingsverslagen die met dat besluit overeenstemmen, bij de toezichthoudende organen kan indienen.

Artikel 6

Conformiteitsbeoordelingsregelingen

1. In elke conformiteitsbeoordelingsregeling wordt een regelinghouder geïdentificeerd.

2. Een conformiteitsbeoordelingsregeling voldoet aan regeling type 6 van norm EN ISO/IEC 17067:2013 en aan de eisen van dit artikel.

3. De regelinghouders zorgen ervoor dat hun conformiteitsbeoordelingsregelingen minstens de in bijlage II vastgestelde normen, in voorkomend geval, bevatten door het jaartal en het versienummer van deze normen aan te geven.

4. De regelinghouders zorgen ervoor dat wanneer een accreditatie met een flexibel toepassingsgebied van toepassing is, dit in de conformiteitsbeoordelingsregeling wordt vermeld.

5. De regelinghouders zorgen ervoor dat in hun conformiteitsbeoordelingsregelingen processen en procedures worden vastgesteld met betrekking tot ten minste het volgende:

a)	het ontvangen en afhandelen van klachten bij de regelinghouder over de uitvoering van de conformiteitsbeoordelingsregeling;

b)	kennisgevingen door de conformiteitsbeoordelingsinstantie aan het overeenkomstig artikel 46 ter, lid 1, van Verordening (EU) nr. 910/2014 aangewezen toezichthoudend orgaan betreffende de afgifte van conformiteitscertificaten en eventuele wijzigingen daarvan;

c)	in voorkomend geval, het uitbesteden van de uitvoering van auditactiviteiten door de conformiteitsbeoordelingsinstantie;

d)	de uitvoering van jaarlijkse toezichtactiviteiten op basis van de toepasselijke eisen van clausule 7.9 van norm ISO/IEC 17065:2012;

het beheer en de kennisgeving door de gekwalificeerde verlener van vertrouwensdiensten aan het conformiteitsbeoordelingsorgaan en het bevoegde toezichthoudend orgaan van elke wijziging die gevolgen heeft voor de werking van gekwalificeerde verleners van vertrouwensdiensten of de gekwalificeerde vertrouwensdiensten die zij verlenen;

de verificatie van bewijsstukken waaruit blijkt dat de conformiteitsbeoordelingsinstantie:

—	beschikt over voldoende kennis en deskundigheid bij de toepassing van specifieke normen in verband met de gekwalificeerde vertrouwensdienst die door de gekwalificeerde verlener van vertrouwensdiensten wordt verleend, als bedoeld in lid 3;

—	beroepservaring heeft met conformiteitsbeoordeling bij ten minste drie beoordelingen van verleners van vertrouwensdiensten of drie beoordelingen van beheersystemen voor informatiebeveiliging, en

—	kan zorgen voor de beschikbaarheid van een team van ten minste twee gekwalificeerde personen die over de nodige deskundigheid beschikken om een dergelijke conformiteitsbeoordeling uit te voeren.

6. Regelinghouders zorgen ervoor dat hun conformiteitsbeoordelingsregelingen vereisen dat de gekwalificeerde verleners van vertrouwensdiensten beschikken over processen, procedures en werkinstructies om de conformiteitsbeoordelingsinstantie in kennis te stellen ten minste één maand voordat de gekwalificeerde verleners van vertrouwensdiensten een belangrijke wijziging doorvoeren in de verlening van de gekwalificeerde vertrouwensdiensten die in het kader van die regeling zijn gecertificeerd, en ten minste drie maanden voordat zij voornemens zijn de verlening van de diensten of delen daarvan stop te zetten.

7. Regelinghouders zorgen ervoor dat hun conformiteitsbeoordelingsregelingen niet toestaan dat positieve certificeringsbesluiten of conformiteitscertificaten worden afgegeven wanneer de conformiteitsbeoordeling leidt tot de vaststelling van non-conformiteit van de beoordeelde gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdienst die zij verlenen met de in Verordening (EU) nr. 910/2014 en van artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen.

8. Regelinghouders zorgen ervoor dat in hun conformiteitsbeoordelingsregelingen de procedure voor de attestering van een conformiteitscertificaat wordt beschreven. Zij eisen met name dat de gekwalificeerde verleners van vertrouwensdiensten het bevoegde toezichthoudend orgaan onmiddellijk in kennis stellen van veranderingen met betrekking tot een conformiteitscertificaat. Zij schrijven ook voor dat gekwalificeerde verleners van vertrouwensdiensten afzien van het verlenen van de betrokken gekwalificeerde vertrouwensdiensten of van het bekendmaken van verwijzingen ernaar totdat het bevoegde toezichthoudende orgaan de gekwalificeerde status opnieuw bevestigt. Deze procedure moet voldoen aan de eisen van clausule 7.11 van norm ISO/IEC 17065:2012.

9. De regelinghouders zorgen ervoor dat in hun conformiteitsbeoordelingsregelingen het conformiteitsbeoordelingsproces wordt beschreven dat gedurende een voldoende aantal mandagen moet worden uitgevoerd, en zorgen ervoor dat voldoende middelen en tijd voor de conformiteitsbeoordeling worden toegewezen, rekening houdend met het toepassingsgebied en de complexiteit van de beoordeling.

10. De regelinghouders maken een samenvatting van de conformiteitsbeoordelingsregeling voor het publiek beschikbaar om te downloaden. De samenvatting bevat een beschrijving van het geheel aan regels en procedures die zijn gevolgd voor de beoordeling van de conformiteit van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen met de vereisten van Verordening (EU) nr. 910/2014 en artikel 21 van Richtlijn (EU) 2022/2555.

11. De regelinghouders zorgen ervoor dat hun conformiteitsbeoordelingsregelingen vereisen dat voor elke geëvalueerde gekwalificeerde vertrouwensdienst jaarlijks ten minste één conformiteitsbeoordeling van het toezicht wordt uitgevoerd.

Artikel 7

Conformiteitsbeoordelingsverslagen

1. Het in artikel 20, lid 1, van Verordening (EU) nr. 910/2014 bedoelde conformiteitsbeoordelingsverslag voldoet aan de specificaties van bijlage III.

2. Het conformiteitsbeoordelingsverslag wordt beschouwd als een onderdeel van de in clausule 7.7 van norm ETSI EN 319 403-1 gespecificeerde certificeringsdocumentatie.

Artikel 8

Accreditatie-informatie

1. Elke belanghebbende kan kosteloos actuele en historische informatie opvragen over het toepassingsgebied, de begindatum en, in voorkomend geval, de einddatum van de accreditatie van conformiteitsbeoordelingsinstanties, voor elk type gekwalificeerde vertrouwensdienst dat de conformiteitsbeoordelingsinstantie volgens haar accreditatie mag of mocht beoordelen. Deze informatie wordt door de nationale accreditatie-instanties beschikbaar gesteld.

2. De in lid 1 bedoelde actuele en historische informatie moet gedurende ten minste zes jaar na de accreditatie van de conformiteitsbeoordelingsinstantie beschikbaar worden gesteld.

Artikel 9

Overgangsbepalingen

Conformiteitsbeoordelingsinstanties die vóór 17 november 2025 zijn geaccrediteerd onder verwijzing naar norm ETSI EN 319 403 versie 2.2.2 of een eerdere versie, met het oog op de beoordeling van de conformiteit met Verordening (EU) nr. 910/2014 van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen, worden geacht tot 17 mei 2027 aan de eisen van artikel 2, lid 1, te voldoen.

Artikel 10

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 27 oktober 2025.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN

(1) PB L 257 van 28.8.2014, blz. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972, en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).

(4) Verordening (EU) 2024/1183 van het Europees Parlement en de Raad van 11 april 2024 tot wijziging van Verordening (EU) nr. 910/2014, wat betreft de vaststelling van het Europees kader voor digitale identiteit (PB L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(5) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (richtlĳn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8) EDPS Formal comments on the draft regarding the accreditation of conformity assessment bodies performing the assessment of qualified trust service providers and the qualified trust services they provide (Formele opmerkingen van de Europese Toezichthouder voor gegevensbescherming over het concept met betrekking tot de accreditatie van conformiteitsbeoordelingsinstanties die de beoordeling uitvoeren van gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die zij verlenen) — Europese Toezichthouder voor gegevensbescherming.

BIJLAGE II

Referentienormen voor conformiteitsbeoordelingsregelingen

De in artikel 6, lid 3, bedoelde normen zijn ETSI TS 119 612 versie 2.4.1 en de volgende:

Gekwalificeerde vertrouwensdienst

Relevante normen

Het uitgeven van gekwalificeerde certificaten voor elektronische handtekeningen

—	ETSI EN 319 411 -2

—	ETSI EN 301 549

—	ETSI EN 319 412 -1

—	ETSI EN 319 412 -2

—	ETSI EN 319 412 -5

—	ETSI TS 119 461

—	ETSI EN 319 401

Het uitgeven van gekwalificeerde certificaten voor elektronische zegels

—	ETSI EN 319 411 -2

—	ETSI TS 119 495

—	ETSI EN 301 549

—	ETSI EN 319 412 -1

—	ETSI EN 319 412 -2

—	ETSI EN 319 412 -3

—	ETSI EN 319 412 -5

—	ETSI TS 119 461

—	ETSI EN 319 401

Het uitgeven van gekwalificeerde certificaten voor websiteauthenticatie

—	ETSI EN 319 411 -2

—	ETSI TS 119 411 -5

—	ETSI TS 119 495

—	ETSI EN 301 549

—	ETSI EN 319 412 -1

—	ETSI EN 319 412 -4

—	ETSI EN 319 412 -5

—	ETSI TS 119 461

—	ETSI EN 319 401

De gekwalificeerde valideringsdienst voor gekwalificeerde elektronische handtekeningen

—	ETSI TS 119 441

—	ETSI TS 119 442

—	ETSI EN 319 102 -1

—	ETSI TS 119 102 -2

—	ETSI TS 119 172 -4

—	ETSI EN 301 549

—	ETSI EN 319 401

De gekwalificeerde valideringsdienst voor gekwalificeerde elektronische zegels

—	ETSI TS 119 441

—	ETSI TS 119 442

—	ETSI EN 319 102 -1

—	ETSI TS 119 102 -2

—	ETSI TS 119 172 -4

—	ETSI EN 301 549

—	ETSI EN 310 401

De gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen

—	ETSI TS 119 511

—	ETSI TS 119 172 -4

—	ETSI TS 119 512

—	ETSI EN 301 549

—	ETSI EN 310 401

De gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische zegels

—	ETSI TS 119 511

—	ETSI TS 119 172 -4

—	ETSI TS 119 512

—	ETSI EN 301 549

—	ETSI EN 319 401

Het aanmaken van gekwalificeerde elektronische tijdstempels

—	ETSI EN 319 421

—	ETSI EN 319 422

—	ETSI EN 301 549

—	ETSI EN 319 401

Het verlenen van gekwalificeerde diensten voor elektronisch aangetekende bezorging

—	ETSI EN 319 521

—	ETSI EN 319 522

—	ETSI EN 319 531

—	ETSI EN 319 532

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

De gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het op afstand aanmaken van elektronische handtekeningen

—	ETSI TS 119 431 -1

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

De gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het op afstand aanmaken van elektronische zegels

—	ETSI TS 119 431 -1

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

Het verlenen van gekwalificeerde elektronische archiveringsdiensten

—

ISO 14641

—

ISO 14721

—	CEN/TS 18170

—	ETSI TS 301 549

—	ETSI EN 319 401

—	ETSI EN 119 511

Het uitgeven van elektronische attesteringen van attributen

—	ETSI TS 119 471

—	ETSI EN 301 549

—	ETSI TS 119 461

—	ETSI EN 319 401

Het opslaan van elektronische gegevens in een gekwalificeerd elektronisch register

—	ETSI EN 319 401

—	ETSI EN 301 549

—	CEN/TS 18170

—

ISO 23257

—	ISO/TS 23635

—	ETSI EN 319 122 -1

—	ETSI EN 319 132 -1

—	ETSI EN 319 182 -1

BIJLAGE III

Specificaties voor conformiteitsbeoordelingsverslagen

Het in artikel 7, lid 1, bedoelde conformiteitsbeoordelingsverslag moet:

vergezeld gaan van een duidelijk certificeringsbesluit overeenkomstig clausule 7.6 van norm ETSI EN 319403-1 versie 2.3.1 (“ETSI EN 319403-1”), waarin wordt bevestigd of de beoordeelde verlener van vertrouwensdiensten en de beoordeelde gekwalificeerde vertrouwensdiensten die hij verleent of wil verlenen, voldoen aan de in Verordening (EU) nr. 910/2014 en artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen;

de naam vermelden van de gekwalificeerde verlener van vertrouwensdiensten en, in voorkomend geval, zijn registratienummer, zoals vermeld in de officiële registers, zijn officiële postadres en zijn elektronische adres, alsmede, in voorkomend geval, dezelfde informatie voor alle dochterondernemingen, gelieerde juridische entiteiten, contractanten en subcontractanten die componenten van vertrouwensdiensten exploiteren in het kader van de verlening van de gekwalificeerde vertrouwensdiensten door de gekwalificeerde verlener van vertrouwensdiensten;

3)	een gedetailleerde beschrijving bevatten van het toepassingsgebied van de beoordeling van de gekwalificeerde verlener van vertrouwensdiensten, met inbegrip van de specifieke gekwalificeerde vertrouwensdiensten waarop de beoordeling betrekking heeft;

4)	voldoende bewijs bevatten om aan te tonen dat de gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hem worden verleend, voldoen aan de in Verordening (EU) nr. 910/2014 en de in artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen;

5)	de naam van de conformiteitsbeoordelingsinstantie en, in voorkomend geval, haar registratienummer, zoals vermeld in de officiële registers, haar geregistreerde postadres en haar elektronische adres specificeren;

het volgende specificeren:

a)	de naam en het land van de nationale accreditatie-instantie die de conformiteitsbeoordelingsinstantie heeft geaccrediteerd;

b)	de namen van de natuurlijke personen die door de conformiteitsbeoordelingsinstantie bij de uitvoering van de conformiteitsbeoordeling zijn betrokken en hun respectieve rol bij die beoordeling;

c)	de link naar de officiële website van de nationale accreditatie-instantie die het door de nationale accreditatie-instantie aan de conformiteitsbeoordelingsinstantie afgegeven accreditatiecertificaat bevat;

d)	in voorkomend geval, het digitale accreditatiesymbool;

e)	de conformiteitsbeoordelingsregeling waarvoor de conformiteitsbeoordelingsinstantie overeenkomstig artikel 2, lid 1, is geaccrediteerd;

f)	de conformiteitsbeoordelingsonderzoeken naar de uitgevoerde conformiteitsbeoordeling, de redenen voor de selectie ervan en de gebruikte methodologie, met inbegrip van bemonsteringsmethoden en testprocedures;

g)	de geaccrediteerde conformiteitsbeoordelingsregeling en relevante documenten of een link naar de locatie van waaruit die conformiteitsbeoordelingsregeling en relevante documenten toegankelijk zijn;

ten minste één gekwalificeerde elektronische handtekening bevatten, indien het verslag in elektronische vorm wordt verstrekt, of een handgeschreven handtekening, indien deze op papier wordt verstrekt, ter identificatie van de naam en de titel van de verantwoordelijke persoon of personen die gemachtigd zijn om het certificeringsbesluit namens de conformiteitsbeoordelingsinstantie vast te stellen;

8)	betrekking hebben op één gekwalificeerde verlener van vertrouwensdiensten;

overeenkomstig clausule 5.5.3 van norm ETSI TS 119612 versie 2.4.1 de digitale identiteit van de dienst identificeren per type gekwalificeerde vertrouwensdienst waarvoor hij de conformiteit met de in Verordening (EU) nr. 910/2014 en artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen bevestigt, en daarbij de volgende informatie verstrekken:

a)	wanneer de gekwalificeerde vertrouwensdienst niet gebaseerd is op technologie voor publiekesleutelinfrastructuur, een identificatiecode uitgedrukt als een URI die de gekwalificeerde vertrouwensdienst op unieke wijze identificeert;

wanneer de gekwalificeerde vertrouwensdienst gebaseerd is op technologie voor publiekesleutelinfrastructuur, ten minste het volgende:

—	de “Subject Key Identifier” zoals gedefinieerd in IETF RFC 5280;

—	de “Base64 PEM”-weergave van het bijbehorende digitale X.509v3-certificaat;

—

in voorkomend geval, een vermelding of specifieke sets of subsets van eindentiteitscertificaten die door of onder de digitale identiteit van de dienst zijn afgegeven, zijn uitgesloten van of specifiek zijn opgenomen in het certificeringsbesluit en op basis van welke criteria zij kunnen worden geïdentificeerd;

—	een vermelding of de digitale identiteit van de dienst betrekking heeft op een eindentiteit of een certificeringsautoriteit, waarbij wordt verduidelijkt of het gaat om een afgifte-, tussen- of basiscertificaat;

—	een beschrijving van de wijze waarop de digitale identiteit van de dienst wordt gebruikt in het kader van de overeenkomstige gekwalificeerde vertrouwensdienst;

10)

in voorkomend geval, een gedetailleerde beschrijving verschaffen van de functionele hiërarchie van de publiekesleutelinfrastructuur, per type gekwalificeerde vertrouwensdienst en voor alle overeenkomstig punt 11) geïdentificeerde digitale identiteiten van de dienst, met inbegrip van ten minste:

a)	de illustratie van de hiërarchie van de publiekesleutelinfrastructuur waarin de autoriteiten voor basis-, intermediaire en afgiftecertificering en de certificeringstrajecten tussen hen worden geïdentificeerd;

b)	de identificatie van elke certificeringsautoriteit zoals geïllustreerd in punt a) via de “Subject Key Identifier” zoals gedefinieerd in IETF RFC 5280;

voor elk van de overeenkomstig punt b) geïdentificeerde certificeringsautoriteiten die certificaten afgeven, de lijst van de verschillende beleidsreeksen van certificaten die elke certificeringsautoriteit afgeeft, met voor elke reeks:

—

criteria die de certificaten van de reeks ondubbelzinnig identificeren, d.w.z. hetzij een lijst van identificatiecodes voor certificaatbeleidslijnen die overeenkomen met de inhoud van de verlenging van de certificaatbeleidslijnen zoals gedefinieerd in IETF RFC 5280, hetzij andere criteria zoals vastgesteld in krachtens artikel 22, lid 5, van Verordening (EU) nr. 910/2014 vastgestelde uitvoeringshandelingen;

—	een vermelding of de certificaten van de reeks al dan niet gekwalificeerd zijn;

—	een vermelding of de certificaten van de reeks bestemd zijn voor elektronische handtekeningen, of voor elektronische zegels, of voor websiteauthenticatie of voor geen van deze doeleinden en, in het laatste geval, voor welke andere doeleinden het gebruik ervan is bedoeld;

—	een vermelding of de private sleutel die overeenkomt met de publieke sleutel die is gecertificeerd in de certificaten van de reeksen, zich bevindt in een lokaal of op afstand gekwalificeerd middel voor het aanmaken van handtekeningen of zegels;

11)

in overeenstemming met punt 2), het volgende bevatten:

een uitputtende lijst van derden, met inbegrip van subcontractanten, die gekwalificeerde componenten van vertrouwensdiensten of dienstencomponenten leveren, onder vermelding van hun naam, zoals vermeld in punt 2), samen met een vermelding van de locaties waar de overeenkomstige componentdiensten worden geëxploiteerd;

b)	een vermelding of die derden en locaties aan de conformiteitsbeoordeling zijn onderworpen en in welke mate;

12)	in voorkomend geval, de inhoud beschrijven van de vermelding die in de relevante nationale vertrouwenslijst moet worden opgenomen of moet worden bijgewerkt, in overeenstemming met het resultaat van de beoordeling;

13)

een uitputtende lijst bevatten van naar behoren geïdentificeerde interne documenten van openbare en gekwalificeerde verleners van vertrouwensdiensten, met inbegrip van versiebeheer, die deel hebben uitgemaakt van het toepassingsgebied van de conformiteitsbeoordeling, met inbegrip van ten minste de volgende documentatie als bedoeld in punt 8), waarvoor een kopie wordt verstrekt samen met het conformiteitsbeoordelingsverslag of op andere wijze op verzoek ter beschikking wordt gesteld van het bevoegde toezichthoudende orgaan:

a)	de verklaring van de praktijken die door de gekwalificeerde verlener van vertrouwensdiensten worden gebruikt om de gekwalificeerde vertrouwensdiensten te verlenen;

b)	het geheel aan regels die de toepasselijkheid van de gekwalificeerde vertrouwensdiensten op een bepaalde gemeenschap of toepassingsklasse met gemeenschappelijke beveiligingsvereisten (“gekwalificeerd beleid inzake vertrouwensdiensten”) aangeeft;

c)	de voorwaarden met betrekking tot abonneeovereenkomsten;

d)	het beëindigingsplan voor de gekwalificeerde vertrouwensdiensten;

e)	de documentatie die verband houdt met de risicobeoordeling en die tot doel heeft aan te tonen dat aan de in artikel 24, lid 2, punten f bis) en f ter), van Verordening (EU) nr. 910/2014 en artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen is voldaan;

f)	het plan voor het melden van beveiligingsinbreuken, dat tot doel heeft aan te tonen dat aan de in artikel 24, lid 2, punten f bis) en f ter), van Verordening (EU) nr. 910/2014 en artikel 21 van Richtlijn (EU) 2022/2555 vastgelegde eisen is voldaan;

g)	de lijst van alle interne documenten ter ondersteuning van de doeltreffende uitvoering van de door de gekwalificeerde verlener van vertrouwensdiensten aangegeven en gebruikte praktijken om de gekwalificeerde vertrouwensdiensten te verlenen;

de oprichtingsakte of statuten van de gekwalificeerde verlener van vertrouwensdiensten, overeenkomstig de toepasselijke nationale wetgeving, samen met de volgende elementen:

—	een overzicht van de bedrijfsactiviteiten die geen verband houden met het verlenen van vertrouwensdiensten;

—	het organisatieschema;

—	informatie over de eigendomsstructuur;

—	indien van toepassing en beschikbaar, het verslag van de rekeningen van de accountant over de twee voorgaande boekjaren, of vanaf de datum van oprichting van de onderneming tot de datum van ondertekening van het conformiteitsbeoordelingsverslag, naargelang welke periode korter is;

bewijs dat de gekwalificeerde verlener van vertrouwensdiensten, in overeenstemming met de toepasselijke nationale wetgeving, voldoende financiële middelen aanhoudt en, in voorkomend geval, een passende aansprakelijkheidsverzekering heeft afgesloten met betrekking tot de verlening van de gekwalificeerde vertrouwensdiensten;

j)	de lijst van normen waaraan de activiteiten zouden voldoen;

k)	de lijst van normen waarmee de activiteiten worden gecontroleerd, geëvalueerd, gecertificeerd of geacht conform te zijn, samen met nadere gegevens over de onderliggende audit-, evaluatie-, certificerings- of beoordelingsregeling, naargelang het geval;

de lijst van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of gekwalificeerde middelen voor het aanmaken van elektronische zegels en hun certificeringsgerelateerde informatie wanneer de gekwalificeerde verlener van vertrouwensdiensten dergelijke hulpmiddelen aan zijn gebruikers levert of beschikbaar stelt;

de lijst van middelen die door de gekwalificeerde verlener van vertrouwensdiensten worden gebruikt als betrouwbaar systeem of product, met inbegrip van hardwarebeveiligingsmodules of veilige cryptografische middelen, om zijn eigen sleutels te beschermen, en informatie met betrekking tot de certificering ervan, wanneer de gekwalificeerde verlener van vertrouwensdiensten dergelijke middelen gebruikt om de processen ter ondersteuning van de gekwalificeerde vertrouwensdiensten die hij verleent, te beveiligen;

14)

een beoordeling bevatten van de naleving van de vereisten die van toepassing zijn op de relevante gekwalificeerde vertrouwensdiensten overeenkomstig Verordening (EU) nr. 910/2014 en, in voorkomend geval, zoals uiteengezet in de uitvoerings- en gedelegeerde handelingen die van toepassing zijn op die gekwalificeerde vertrouwensdienst, zoals vastgesteld overeenkomstig:

—	artikel 24, lid 1 quater, van Verordening (EU) nr. 910/2014 met betrekking tot de verificatie van de identiteit en de attributen van personen aan wie het gekwalificeerde certificaat of de gekwalificeerde elektronische attestering moet worden afgegeven;

—	artikel 24, lid 5, van Verordening (EU) nr. 910/2014 met betrekking tot de vereisten voor gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verlenen;

—	artikel 28, lid 6, van Verordening (EU) nr. 910/2014 met betrekking tot de afgifte van gekwalificeerde certificaten voor elektronische handtekeningen;

—	artikel 38, lid 6, van Verordening (EU) nr. 910/2014 met betrekking tot de afgifte van gekwalificeerde certificaten voor elektronische zegels;

—	artikel 45, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot de afgifte van gekwalificeerde certificaten voor websiteauthenticatie;

—	artikel 33, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot de gekwalificeerde valideringsdienst voor gekwalificeerde elektronische handtekeningen;

—	artikel 33, lid 2, en artikel 40 van Verordening (EU) nr. 910/2014 met betrekking tot de gekwalificeerde valideringsdienst voor gekwalificeerde elektronische zegels;

—	artikel 34, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen;

—	artikel 34, lid 2, en artikel 40 van Verordening (EU) nr. 910/2014 met betrekking tot de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische zegels;

—	artikel 42, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot het aanmaken van gekwalificeerde elektronische tijdstempels;

—	artikel 44, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot het aanbieden van gekwalificeerde diensten voor elektronisch aangetekende bezorging;

—	artikel 29 bis, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot de gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het op afstand aanmaken van elektronische handtekeningen;

—	artikel 29 bis, lid 2, en artikel 39 bis van Verordening (EU) nr. 910/2014 met betrekking tot de gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het aanmaken van elektronische zegels op afstand;

—	artikel 45 undecies, lid 2, van Verordening (EU) nr. 910/2014 met betrekking tot het aanbieden van gekwalificeerde elektronische archiveringsdiensten;

—	artikel 45 quinquies, lid 5, van Verordening (EU) nr. 910/2014 met betrekking tot de afgifte van gekwalificeerde elektronische attestering van attributen;

—	artikel 45 terdecies, lid 3, van Verordening (EU) nr. 910/2014 met betrekking tot de registratie van elektronische gegevens in een gekwalificeerd elektronisch register;

15)

een beoordeling bevatten van de naleving van de vereisten die van toepassing zijn op gekwalificeerde verleners van vertrouwensdiensten en op de relevante gekwalificeerde vertrouwensdiensten uit hoofde van artikel 21 van Richtlijn (EU) 2022/2555 en uit hoofde van de uitvoeringshandelingen die van toepassing zijn op die gekwalificeerde vertrouwensdienst zoals vastgesteld overeenkomstig artikel 21, lid 5, van die richtlijn;

16)

een verklaring bevatten waarin, in voorkomend geval, wordt verklaard dat er geen non-conformiteiten zijn, ongeacht het kriticiteitsniveau ervan; indien in het verslag een non-conformiteit wordt vastgesteld, bevat het verslag een door de gekwalificeerde verlener van vertrouwensdiensten verstrekt en door de conformiteitsbeoordelingsinstantie overeengekomen plan van corrigerende maatregelen en het tijdschema daarvoor, samen met een beschrijving van de geplande evaluatietaken die de conformiteitsbeoordelingsinstantie verricht om te beoordelen of die non-conformiteiten zijn gecorrigeerd;

17)	waar passend en noodzakelijk, een indicatie bevatten van de mogelijkheden voor verbetering met betrekking tot de naleving door de gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die hij verleent van de relevante vereisten;

18)

voor elke fase van de conformiteitsbeoordeling, met inbegrip van documentatieaudit, uitvoeringsbeoordeling en inspecties ter plaatse, de periode aangeven waarvoor de beoordeling is uitgevoerd en de tijd die de conformiteitsbeoordelingsinstantie in mandagen nodig heeft gehad om de beoordeling uit te voeren;

19)

in het overeenkomstige specifieke voorschriftverslag de gedetailleerde conformiteitsbeoordelingscontroles en controledoelstellingen aangeven die tijdens de beoordeling zijn uitgevoerd of een verwijzing bevatten naar afzonderlijk beschikbare beoordelingsverslagen waarin dergelijke informatie is opgenomen, op voorwaarde dat dergelijke afzonderlijke beoordelingsverslagen:

a)	zijn afgegeven door conformiteitsbeoordelingsinstanties die zijn geaccrediteerd overeenkomstig Verordening (EU) nr. 910/2014;

b)	worden bekrachtigd door de conformiteitsbeoordelingsinstanties die het conformiteitsbeoordelingsverslag opstellen;

20)	het toepassingsgebied, de beschrijving en de resultaten van een significante reeks tests of productiemonsters en de beoordeling daarvan omvatten voor alle relevante en toepasselijke soorten output van de beoordeelde gekwalificeerde vertrouwensdiensten;

21)

de volgende termijnen aangeven:

a)	de termijn waarbinnen de volgende conformiteitsbeoordeling van het toezicht moet worden uitgevoerd;

b)	de termijn waarbinnen de volgende conformiteitsbeoordeling moet worden uitgevoerd overeenkomstig artikel 20, lid 1, van Verordening (EU) nr. 910/2014;

22)	een uitdrukkelijke verklaring bevatten dat de certificeringsdocumenten, met inbegrip van het conformiteitsbeoordelingsverslag, ook bestemd zijn voor gebruik door de bevoegde nationale toezichthoudende instantie.