REGULAMENTO DE EXECUÇÃO (UE) 2025/1572 DA COMISSÃO

de 29 de julho de 2025

que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante ao formato e aos procedimentos de notificação da intenção e de verificação relativos ao início da prestação de serviços de confiança qualificados

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014 relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (1), nomeadamente o artigo 21.o, n.o 4,

Considerando o seguinte:

(1)

Caso os prestadores de serviços de confiança pretendam começar a prestar serviços de confiança qualificados, devem apresentar à entidade supervisora uma notificação da sua intenção, acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade que ateste o cumprimento dos requisitos estabelecidos no Regulamento (UE) n.o 910/2014. A entidade supervisora deve verificar se o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos estabelecidos nesse regulamento. Se concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem esses requisitos, a entidade supervisora deve atribuir o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados. Para o efeito, as entidades supervisoras deverão disponibilizar ao público informações sobre a forma como os prestadores de serviços de confiança devem notificar a sua intenção de se tornarem prestadores qualificados de serviços de confiança. A fim de assegurar que os prestadores qualificados de serviços de confiança operam em igualdade de condições na União, é necessário que as entidades supervisoras verifiquem o mesmo tipo de informações sobre os prestadores de serviços de confiança e que essas verificações sejam realizadas do mesmo modo.

(2)

As entidades supervisoras devem ser transparentes quanto à forma como tratam as informações que os prestadores de serviços de confiança incluem nas suas notificações. As entidades supervisoras devem, por conseguinte, elaborar e disponibilizar ao público uma descrição de como verificam se o prestador de serviços de confiança cumpre os requisitos pertinentes.

(3)

O regulamento deve ser aplicável 12 meses após a sua entrada em vigor, a fim de assegurar que os Estados-Membros disponham de um período transitório adequado para cumprir os requisitos nele estipulados, procedendo aos ajustamentos necessários no que respeita às notificações apresentadas às entidades supervisoras. Esses ajustamentos podem incluir a atualização da legislação nacional, das orientações organizacionais e dos sistemas de informação nacionais.

(4)	O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (2) e, se for caso disso, a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (3) aplicam-se às atividades de tratamento de dados pessoais ao abrigo do presente regulamento.

(5)	A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (4) e emitiu parecer em 6 de junho de 2025.

(6)	As medidas previstas no presente regulamento estão em conformidade com o parecer do comité instituído pelo artigo 48.o do Regulamento (UE) n.o 910/2014,

ADOTOU O PRESENTE REGULAMENTO:

Artigo 1.o

Metodologia de verificação

1. As entidades supervisoras devem estabelecer uma metodologia para verificar a conformidade dos prestadores de serviços de confiança que tenham apresentado uma notificação da sua intenção de começar a prestar um serviço de confiança qualificado com os requisitos estabelecidos no Regulamento (UE) n.o 910/2014 e no artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (5).

2. A metodologia de verificação deve incluir procedimentos e processos que permitam a participação das autoridades competentes designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555, que realizam ações de supervisão para verificar se o prestador de serviços de confiança cumpre os requisitos estabelecidos no artigo 21.o da mesma diretiva.

Artigo 2.o

Transparência

As entidades supervisoras devem divulgar ao público as seguintes informações:

1)	Os dados de contacto da entidade supervisora;

2)	Os canais de comunicação a utilizar quando os prestadores de serviços de confiança apresentam uma notificação da intenção de começar a prestar um serviço de confiança qualificado;

3)	A lista da documentação que os prestadores de serviços de confiança devem fornecer no âmbito de uma notificação da intenção de começar a prestar um serviço de confiança qualificado;

Os procedimentos para o tratamento das queixas relativas ao processo de verificação da conformidade dos prestadores de serviços de confiança que tenham apresentado uma notificação da sua intenção de começar a prestar um serviço de confiança qualificado com os requisitos estabelecidos no Regulamento (UE) n.o 910/2014 e no artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555;

5)	Uma descrição geral da metodologia referida no artigo 1.o.

Artigo 3.o

Notificações apresentadas pelos prestadores de serviços de confiança

Os prestadores de serviços de confiança devem fornecer, pelo menos, as seguintes informações nas suas notificações de intenção de começar a prestar um serviço de confiança qualificado:

1)	Se o prestador de serviços de confiança for uma pessoa coletiva, o seu nome e, se for caso disso, um número de registo, o nome do Estado-Membro em que está estabelecido e o nome da ou das pessoas que assinam ou apresentam a notificação em nome da pessoa coletiva;

2)	Se o prestador de serviços de confiança for uma pessoa singular, o seu nome e número de identificação pessoal ou, na falta deste, a data de nascimento e o tipo e número do seu documento de identidade;

3)	O número de telefone, o endereço de correio eletrónico e o endereço postal do prestador de serviços de confiança;

Os identificadores uniformes de recursos (URI) através dos quais os utentes podem obter informações adicionais sobre esse prestador de serviços de confiança, incluindo as declarações de práticas e as políticas, os termos e condições gerais e as políticas de assistência ao cliente aplicáveis ao serviço de confiança notificado;

5)	A análise de risco subjacente às medidas a que se refere o artigo 24.o, n.o 2, alínea f-A), do Regulamento (UE) n.o 910/2014 e a análise de risco subjacente às medidas a que se refere o artigo 21.o da Diretiva (UE) 2022/2555;

6)	Cada serviço de confiança qualificado que o prestador de serviços de confiança tenciona começar a prestar;

Para cada serviço de confiança que o prestador de serviços de confiança tencione começar a prestar como serviço de confiança qualificado:

—	um ou mais identificadores e, se for caso disso, certificados do serviço de confiança, para inclusão na lista de confiança nacional em conformidade com os atos de execução adotados nos termos do artigo 22.o, n.o 5, do Regulamento (UE) n.o 910/2014,

—	a data prevista de início da prestação do serviço de confiança,

—	o ou os relatórios de avaliação da conformidade do serviço de confiança e os dados de contacto do organismo de avaliação da conformidade,

—	se for caso disso, relatórios técnicos de apoio ao relatório de avaliação da conformidade;

8)	O plano de cessação referido no artigo 24.o, n.o 2, alínea i), do Regulamento (UE) n.o 910/2014.

Artigo 4.o

Verificações pelas entidades supervisoras

1. Para determinar se o prestador de serviços de confiança e o serviço de confiança qualificado que tenciona prestar cumprem os requisitos do Regulamento (UE) n.o 910/2014 e do artigo 21.o da Diretiva (UE) 2022/2555, as entidades supervisoras devem analisar as informações fornecidas pelo prestador de serviços de confiança e podem, para além de quaisquer medidas descritas na metodologia estabelecida nos termos do artigo 1.o, realizar verificações no local, bem como entrevistas com representantes do prestador de serviços de confiança e do organismo de avaliação da conformidade.

2. As entidades supervisoras devem verificar, pelo menos, os seguintes elementos:

Se o relatório de avaliação da conformidade apresentado demonstra de forma suficiente a conformidade do prestador de serviços de confiança e do serviço de confiança qualificado que tenciona prestar com os requisitos estabelecidos no Regulamento (UE) n.o 910/2014 e no artigo 21.o da Diretiva (UE) 2022/2555;

b)	Se o relatório de avaliação da conformidade apresentado cumpre os requisitos estabelecidos nos atos de execução adotados nos termos do artigo 20.o, n.o 4, do Regulamento (UE) n.o 910/2014;

c)	Quaisquer informações constantes do relatório de avaliação da conformidade apresentado que indiquem a não conformidade com os requisitos do Regulamento (UE) n.o 910/2014;

d)	Quaisquer informações adicionais consideradas necessárias para verificar o cumprimento dos requisitos estabelecidos no Regulamento (UE) n.o 910/2014 e no artigo 21.o da Diretiva (UE) 2022/2555.

Artigo 5.o

Entrada em vigor e aplicabilidade

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é aplicável a partir de 19 de agosto de 2026.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 29 de julho de 2025.

Pela Comissão

A Presidente

Ursula VON DER LEYEN

(1) JO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(5) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).