REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2025/848 AL COMISIEI

din 6 mai 2025

de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește înregistrarea beneficiarilor portofelelor

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (1), în special articolul 5b alineatul (11),

întrucât:

(1)

În scopul înregistrării beneficiarilor care intenționează să recurgă la portofele europene pentru identitatea digitală (denumite în continuare „portofelele”) pentru furnizarea de servicii publice sau private digitale, astfel cum se prevede în Regulamentul (UE) nr. 910/2014, statele membre ar trebui să instituie și să mențină registre naționale ale beneficiarilor portofelelor care sunt stabiliți pe teritoriul lor.

(2)

Comisia evaluează periodic noile tehnologii, practici, standarde și specificații tehnice. Pentru a asigura cel mai înalt nivel de armonizare între statele membre în ceea ce privește dezvoltarea și certificarea portofelelor, specificațiile tehnice prevăzute în prezentul regulament se întemeiază pe activitatea desfășurată în temeiul Recomandării (UE) 2021/946 (2), în special pe arhitectura și cadrul de referință care face parte din acesta. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului (3), Comisia ar trebui să revizuiască și, dacă este necesar, să actualizeze prezentul regulament, pentru a îl menține aliniat la evoluțiile mondiale și la arhitectura și cadrul de referință, precum și pentru a respecta cele mai bune practici de pe piața internă.

(3)

Pentru a asigura accesul pe scară largă la registre și interoperabilitatea, statele membre ar trebui să instituie interfețe lizibile pentru om și prelucrabile automat care să respecte specificațiile tehnice stabilite în prezentul regulament. Furnizorii de certificate de acces pentru beneficiarii portofelelor și de certificate de înregistrare ale beneficiarilor portofelelor, dacă sunt disponibile, ar trebui, de asemenea, în scopul eliberării certificatelor respective, să poată utiliza la aceste interfețe.

(4)	Întrucât politicile de înregistrare oferă beneficiarilor portofelelor orientări clare cu privire la procesul de înregistrare, statele membre ar trebui să prezinte și să publice politicile de înregistrare aplicabile registrelor naționale înființate pe teritoriul lor.

(5)

Scopul înregistrării beneficiarilor portofelelor este de a consolida încrederea în utilizarea portofelelor printr-o mai mare transparență. Prin urmare, statele membre ar trebui să pună informațiile relevante la dispoziția publicului într-un format care să fie atât lizibil pentru om, cât și prelucrabil automat. În acest scop, beneficiarii portofelelor ar trebui să furnizeze informațiile necesare, inclusiv drepturile lor, registrelor naționale.

(6)	În plus, din motive de transparență, beneficiarii portofelelor ar trebui să declare dacă intenționează să recurgă la identificarea electronică a persoanelor fizice.

(7)

Pentru a se asigura că procesul de înregistrare este eficient din punctul de vedere al costurilor și proporțional cu riscurile, operatorii de registru ar trebui să instituie, pentru beneficiarii portofelelor, procese de înregistrare online și, după caz, automate și care să fie ușor de utilizat. Operatorii de registru ar trebui să verifice cererile de înregistrare fără întârzieri nejustificate.

(8)

Statele membre trebuie să se asigure că portofelele sunt în măsură să autentifice beneficiarii portofelelor, indiferent de locul în care aceștia sunt stabiliți în Uniune. În acest scop, beneficiarii portofelelor ar trebui să utilizeze certificate de acces pentru beneficiarii portofelelor atunci când se identifică în cadrul unităților de portofel. Pentru a garanta interoperabilitatea acestor certificate între diferitele portofele puse la dispoziție pe teritoriul Uniunii, certificatele de acces pentru beneficiarii portofelelor ar trebui să fie aliniate la cerințele comune prezentate în anexă. Comisia ar trebui să elaboreze politici armonizate privind certificatele și declarații armonizate privind practicile de certificare care ar trebui puse în aplicare de statele membre. Comisia, în colaborare cu statele membre, ar trebui să monitorizeze îndeaproape dezvoltarea unor standarde noi sau alternative pe baza cărora ar putea fi implementate certificatele de acces pentru beneficiarii portofelelor. În particular, ar trebui evaluate modelele de încredere care și-au dovedit eficacitatea și securitatea în statele membre.

(9)

Astfel cum se prevede în Regulamentul (UE) nr. 910/2014, beneficiarii nu trebuie să solicite utilizatorilor să furnizeze alte date decât cele indicate pentru utilizarea preconizată a portofelelor în cursul procesului de înregistrare. Utilizatorii portofelelor ar trebui să poată verifica în orice moment datele de înregistrare ale beneficiarilor portofelelor. Pentru a permite utilizatorilor portofelelor să verifice dacă atributele solicitate de beneficiarul portofelului se încadrează în domeniul de aplicare al atributelor sale înregistrate, statele membre pot să solicite eliberarea către beneficiarii portofelelor înregistrați de certificate de înregistrare ale beneficiarului portofelului. Pentru a asigura interoperabilitatea certificatelor de înregistrare ale beneficiarilor portofelelor, statele membre ar trebui să se asigure că certificatele respective sunt conforme cu cerințele și standardele prevăzute în anexă. În particular, beneficiarii portofelelor ar trebui să declare dacă intenționează să recurgă la identificarea electronică a persoanelor fizice pentru a îndeplini una dintre cerințele prevăzute la articolul 6 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4) în scopul transparenței. În plus, beneficiarii nu ar trebui să refuze utilizarea pseudonimelor, în cazul în care dreptul Uniunii sau dreptul intern nu impun identificarea utilizatorului.

(10)

Pentru a proteja utilizatorii împotriva schimbului excesiv de informații cu beneficiarii portofelelor și pentru a-i avertiza în astfel de cazuri, statele membre ar trebui să includă în politicile lor de certificare politici comune privind accesul care ar permite unei soluții pentru portofel să informeze utilizatorul portofelului ori de câte ori un beneficiar al portofelului solicită mai multe informații decât cele pe care le-a înregistrat sau pe care a fost autorizat să le acceseze.

(11)

Pentru a proteja utilizatorii portofelelor, operatorii de registru ar trebui să poată suspenda sau anula fără notificare prealabilă înregistrarea oricărui beneficiar al portofelului în cazul în care au motive să creadă că înregistrarea conține informații inexacte, depășite sau înșelătoare, că beneficiarul portofelului nu respectă politica de înregistrare sau că beneficiarul portofelului încalcă în alt mod dreptul Uniunii, dreptul intern sau Declarația privind drepturile și principiile digitale pentru deceniul digital (5) într-un mod care se referă la rolul său de beneficiar al portofelului, de exemplu în cazul în care beneficiarul portofelului nu a redus la minimum, conform reglementărilor, setul de atribute la care solicită acces. Pentru a proteja stabilitatea ecosistemului portofelului european pentru identitatea digitală („ecosistemul portofelelor”), decizia de a suspenda sau de a anula o înregistrare ar trebui să fie proporțională în raport cu perturbarea serviciului cauzată de suspendare sau anulare și cu costurile și inconvenientele aferente pentru furnizorul de servicii și utilizator. În temeiul articolului 46a alineatul (4) litera (f) din Regulamentul (UE) nr. 910/2014, organismele de supraveghere sunt, de asemenea, împuternicite să suspende și să anuleze înregistrarea, dacă este necesar.

(12)	În scopul monitorizării ex post, al investigațiilor efectuate de autoritățile de aplicare a legii și al gestionării litigiilor, operatorii de registru ar trebui să păstreze timp de 10 ani evidența tuturor informațiilor furnizate de beneficiarii portofelelor înregistrați în registrul lor național.

(13)	Regulamentul (UE) 2016/679 și, după caz, Directiva 2002/58/CE a Parlamentului European și a Consiliului (6) se aplică activităților de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.

(14)	Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (7) și a emis un aviz la 31 ianuarie 2025.

(15)	Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului menționat la articolul 48 din Regulamentul (UE) nr. 910/2014,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Obiect și domeniu de aplicare

Prezentul regulament stabilește norme pentru înregistrarea beneficiarilor portofelelor.

Articolul 2

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

1.	„beneficiar al portofelului” înseamnă un beneficiar care intenționează să recurgă la unități de portofel pentru furnizarea de servicii publice sau private prin intermediul interacțiunii digitale;

„unitate de portofel” înseamnă o configurație unică a unei soluții pentru portofel care include instanțe ale portofelului, aplicații criptografice securizate pentru portofel și dispozitive criptografice securizate pentru portofel, furnizată de un furnizor de portofel unui utilizator individual al portofelului;

3.	„soluție pentru portofel” înseamnă o combinație de software, hardware, servicii, setări și configurații, inclusiv instanțe ale portofelului, una sau mai multe aplicații criptografice securizate pentru portofel și unul sau mai multe dispozitive criptografice securizate pentru portofel;

4.	„instanță a portofelului” înseamnă aplicația instalată și configurată pe dispozitivul sau în mediul unui utilizator de portofel, care face parte dintr-o unitate de portofel și pe care utilizatorul portofelului o utilizează pentru a interacționa cu unitatea de portofel;

5.	„aplicație criptografică securizată pentru portofel” înseamnă o aplicație care gestionează active critice prin faptul că este legată de funcțiile criptografice și necriptografice furnizate de dispozitivul criptografic securizat pentru portofel și că utilizează aceste funcții;

„dispozitiv criptografic securizat pentru portofel” înseamnă un dispozitiv inviolabil care oferă un mediu legat de aplicația criptografică securizată pentru portofel și utilizat de aceasta pentru a proteja activele critice și pentru a furniza funcții criptografice pentru executarea securizată a operațiunilor critice;

„active critice” înseamnă active din cadrul unei unități de portofel sau legate de o astfel de unitate care au o importanță atât de extraordinară încât, în cazul în care disponibilitatea, confidențialitatea sau integritatea lor este compromisă, acest lucru ar avea un efect foarte grav, de slăbire a capacității de a recurge la unitatea de portofel;

8.	„furnizor de portofel” înseamnă o persoană fizică sau juridică care furnizează soluții pentru portofel;

9.	„utilizator al portofelului” înseamnă un utilizator care deține controlul asupra unității de portofel;

10.

„registru național al beneficiarilor portofelelor” înseamnă un registru electronic național utilizat de un stat membru pentru a pune la dispoziția publicului informații privind beneficiarii portofelelor înregistrați în statul membru respectiv, astfel cum se prevede la articolul 5b alineatul (5) din Regulamentul (UE) nr. 910/2014;

11.	„furnizor de certificate de acces pentru beneficiarii portofelelor” înseamnă o persoană fizică sau juridică mandatată de un stat membru să elibereze certificate de acces pentru beneficiarii portofelelor înregistrați în statul membru respectiv;

12.	„certificat de acces pentru beneficiarul portofelului” înseamnă un certificat pentru sigiliile electronice sau semnăturile electronice care îl autentifică și îl validează pe beneficiarul portofelului și care este eliberat de un furnizor de certificate de acces pentru beneficiarii portofelelor;

13.	„furnizor de date de identificare personală” înseamnă o persoană fizică sau juridică responsabilă cu emiterea și revocarea datelor de identificare personală și cu asigurarea faptului că datele de identificare personală ale unui utilizator sunt legate criptografic de o unitate de portofel;

14.	„operator de registru al beneficiarilor portofelelor” înseamnă organismul desemnat de un stat membru pentru a întocmi și a actualiza lista beneficiarilor portofelelor înregistrați și stabiliți pe teritoriul său;

15.	„certificat de înregistrare al beneficiarului portofelului” înseamnă un obiect de date care descrie utilizarea prevăzută de beneficiar și indică atributele pentru care beneficiarul și-a înregistrat intenția de a le solicita utilizatorilor;

16.	„furnizor de certificate de înregistrare ale beneficiarului portofelului” înseamnă o persoană fizică sau juridică mandatată de un stat membru să elibereze certificate de înregistrare pentru beneficiarii portofelelor înregistrați în statul membru respectiv.

Articolul 3

Registrele naționale

(1) Statele membre instituie și mențin cel puțin un registru național al beneficiarilor portofelelor, care conține informații despre beneficiarii înregistrați ai portofelelor stabiliți în statul membru respectiv.

(2) Registrul include cel puțin informațiile prevăzute în anexa I.

(3) Statele membre desemnează cel puțin un operator de registru pentru gestionarea și operarea a cel puțin unui registru național al beneficiarilor portofelelor.

(4) Statele membre pun la dispoziția publicului online informațiile prevăzute în anexa I privind beneficiarii portofelelor înregistrați, atât într-un format lizibil pentru om, cât și într-un format prelucrabil automat.

(5) Informațiile menționate la alineatul (2) sunt disponibile prin intermediul unei interfețe de programare a aplicațiilor („API”) comune și prin intermediul unui site web național. Acestea sunt semnate sau sigilate electronic de către operatorul de registru sau în numele acestuia, în conformitate cu cerințele comune privind o API comună prevăzute în secțiunea 1 din anexa II.

(6) Statele membre se asigură că API menționată la alineatul (5) respectă cerințele comune prevăzute în secțiunea 2 din anexa II.

(7) Statele membre se asigură că registrele respectă politicile de înregistrare relevante comune stabilite la articolul 4.

Articolul 4

Politicile de înregistrare

(1) Statele membre stabilesc și publică una sau mai multe politici naționale de înregistrare aplicabile registrelor naționale stabilite pe teritoriul lor.

(2) Statele membre pot include sau reutiliza politici de înregistrare sectoriale sau naționale existente.

(3) Politica națională de înregistrare include cel puțin informații privind:

(a)	procedurile de identificare și autentificare aplicabile beneficiarilor portofelelor în timpul procesului de înregistrare;

(b)	documentele justificative necesare privind identitatea, înregistrarea în registrul comerțului, dreptul sau drepturile aplicabile și alte informații relevante privind beneficiarul portofelului;

(c)	sursele autentice sau alte evidențe electronice oficiale și cazurile în care aceste surse sau evidențe pot fi utilizate pentru a furniza date exacte;

(d)	orice alte informații sau alte dovezi necesare în cadrul procesului de înregistrare;

(e)	după caz, mijloacele automatizate care permit beneficiarilor portofelelor să se înregistreze sau să actualizeze o înregistrare existentă;

(f)	mecanismul de exercitare a căilor de atac aflat la dispoziția beneficiarilor portofelelor în conformitate cu legislația și procedurile statului membru în care este stabilit registrul;

(g)	normele și procedurile de verificare a identității beneficiarilor portofelelor înregistrați și a oricăror alte informații relevante furnizate de beneficiarii respectivi.

(4) Procedurile și documentația menționate la alineatul (3) literele (a) și (b) permit beneficiarilor portofelelor să indice dreptul sau drepturile specifice în temeiul cărora acționează, astfel cum se prevede în anexa I.

(5) Dacă este cazul, cerințele prevăzute în politica de înregistrare națională nu împiedică un proces de înregistrare automatizat.

Articolul 5

Informații care trebuie furnizate registrelor naționale

(1) Beneficiarii portofelelor furnizează registrelor naționale cel puțin informațiile prevăzute în anexa I.

(2) Beneficiarii portofelelor se asigură că informațiile furnizate sunt exacte la momentul înregistrării.

(3) Beneficiarii portofelelor actualizează fără întârzieri nejustificate orice informații înregistrate anterior în registrul național al beneficiarilor portofelelor.

Articolul 6

Procesele de înregistrare

(1) Operatorii de registru instituie proceduri electronice, ușor de utilizat și, dacă este posibil, automatizate, de înregistrare electronică a beneficiarilor portofelelor.

(2) Operatorii de registru prelucrează cererile de înregistrare fără întârzieri nejustificate și transmit solicitantului un răspuns la cererea de înregistrare în termenul definit în politica de înregistrare aplicabilă, utilizând mijloace adecvate și în conformitate cu legislația și procedurile statului membru în care este stabilit registrul național.

(3) Dacă este posibil, operatorii de registru verifică în mod automat:

(a)	exactitatea, valabilitatea, autenticitatea și integritatea informațiilor solicitate în temeiul articolului 5;

(b)	după caz, procura reprezentanților beneficiarilor portofelelor, întocmită și prezentată în conformitate cu legislația și procedurile statului membru în care este stabilit registrul național;

(c)	tipul de drepturi ale beneficiarilor portofelelor, astfel cum sunt prevăzute în anexa I;

(d)	absența unei înregistrări într-un alt registru național.

(4) Operatorii de registru verifică informațiile prevăzute la alineatul (3) în raport cu documentele justificative furnizate de beneficiarii portofelelor sau cu sursele autentice corespunzătoare ori cu alte înregistrări electronice oficiale din statul membru în care este stabilit registrul național și la care operatorii de registru au acces în conformitate cu legislația și procedurile naționale aplicabile.

(5) Verificarea drepturilor beneficiarilor portofelelor menționate la alineatul (3) litera (c) se efectuează în conformitate cu anexa III.

(6) În cazul în care informațiile nu pot fi verificate în conformitate cu alineatele (3)-(5), operatorul de registru respinge înregistrarea.

(7) În cazul în care un beneficiar al portofelului nu mai intenționează să recurgă la unități de portofel pentru furnizarea de servicii publice sau private în cadrul unei anumite înregistrări, acesta informează operatorul de registru relevant fără întârzieri nejustificate și solicită anularea înregistrării respective.

Articolul 7

Certificatele de acces pentru beneficiarii portofelelor

(1) Statele membre autorizează cel puțin o autoritate de certificare să elibereze certificate de acces pentru beneficiarii portofelelor.

(2) Statele membre se asigură că furnizorii de certificate de acces pentru beneficiarii portofelelor eliberează certificate de acces pentru beneficiarii portofelelor exclusiv către beneficiarii portofelelor înregistrați.

(3) Statele membre pun în aplicare într-un mod armonizat din punct de vedere sintactic și semantic politici specifice în materie de certificate și declarații privind practicile de certificare pentru certificatele de acces pentru beneficiarii portofelelor, în conformitate cu cerințele prevăzute în anexa IV.

Articolul 8

Certificatele de înregistrare ale beneficiarului portofelului

(1) Statele membre pot autoriza cel puțin o autoritate de certificare să elibereze certificate de înregistrare ale beneficiarului portofelului.

(2) În cazul în care un stat membru a autorizat eliberarea unui certificat de înregistrare a beneficiarului portofelului, statul membru respectiv:

(a)	impune obligația ca furnizorii de certificate de înregistrare ale beneficiarului portofelului să elibereze certificate de înregistrare ale beneficiarului portofelului exclusiv către beneficiarii portofelelor înregistrați;

(b)	se asigură că fiecare utilizare preconizată este exprimată în certificatele de înregistrare ale beneficiarilor portofelului;

(c)

se asigură că certificatele de înregistrare ale beneficiarului portofelului includ o politică generală privind accesul armonizată la nivelul Uniunii din punct de vedere sintactic și semantic prin care utilizatorii sunt informați că beneficiarul portofelului este autorizat să solicite numai datele specificate în certificatele de înregistrare pentru utilizarea preconizată înregistrată în certificatele de înregistrare;

(d)	se asigură că furnizorii de soluții pentru portofel stabiliți în statul membru respectiv respectă politica generală privind accesul, informând utilizatorii atunci când un beneficiar al portofelului solicită date care nu sunt specificate în certificatele de înregistrare;

(e)	pune în aplicare certificatele de înregistrare a beneficiarilor portofelelor într-un mod armonizat din punct de vedere sintactic și semantic și în conformitate cu cerințele prevăzute în anexa V;

(f)	pune în aplicare politici specifice în materie de certificate și declarații specifice privind practicile de certificare pentru certificatele de înregistrare ale beneficiarilor portofelelor, în conformitate cu cerințele prevăzute în anexa V;

(g)	se asigură că beneficiarii portofelelor furnizează un URL pentru politica de confidențialitate în ceea ce privește utilizarea preconizată.

(3) Politica menționată la litera (g) este exprimată în certificatul de înregistrare al beneficiarului portofelului.

Articolul 9

Suspendarea și anularea înregistrării

(1) Operatorii de registru suspendă sau anulează înregistrarea unui beneficiar al portofelului în cazul în care o astfel de suspendare sau anulare este solicitată de un organism de supraveghere în temeiul articolului 46a alineatul (4) litera (f) din Regulamentul (UE) nr. 910/2014.

(2) Operatorii de registru pot suspenda sau anula înregistrarea unui beneficiar al portofelului în cazul în care aceștia au motive să creadă că una dintre următoarele afirmații este adevărată:

(a)	înregistrarea conține informații inexacte, depășite sau înșelătoare;

(b)	beneficiarul portofelului nu respectă politica de înregistrare;

(c)	beneficiarul portofelului solicită mai multe atribute decât a înregistrat în conformitate cu articolele 5 și 6;

(d)	beneficiarul portofelului acționează într-un alt mod care încalcă dreptul Uniunii sau dreptul intern în cadrul rolului său de beneficiar al portofelului.

(3) Operatorii de registru suspendă sau anulează înregistrarea unui beneficiar al portofelului în cazul în care cererea de anulare sau suspendare este depusă chiar de acel beneficiar al portofelului.

(4) Atunci când examinează suspendarea sau anularea în conformitate cu alineatul (2), operatorul de registru efectuează o evaluare a proporționalității, ținând seama de impactul asupra drepturilor fundamentale, a securității și a confidențialității utilizatorilor din ecosistem, precum și de gravitatea perturbării care se așteaptă să fie cauzată de suspendare sau anulare și de costurile asociate, atât pentru beneficiarul portofelului, cât și pentru utilizator. Pe baza rezultatului acestei evaluări, operatorul de registru poate suspenda sau anula înregistrarea, cu sau fără notificarea prealabilă a beneficiarului portofelului în cauză.

(5) În cazul în care înregistrarea unui beneficiar al portofelului este suspendată sau anulată, operatorul de registru informează furnizorul certificatelor de acces relevante ale beneficiarului portofelului, furnizorul certificatelor de înregistrare relevante ale beneficiarilor portofelului și beneficiarul portofelului afectat cu privire la această acțiune, fără întârzieri nejustificate și în termen de cel mult 24 de ore de la suspendare sau anulare. Această notificare include informații cu privire la motivele suspendării sau anulării și la căile de atac disponibile.

(6) Furnizorul de certificate de acces pentru beneficiarii portofelelor și furnizorul de certificate de înregistrare ale portofelelor digitale revocă, după caz, certificatele de acces pentru beneficiarul portofelului și, respectiv, certificatele de înregistrare ale beneficiarului portofelelor pentru care înregistrarea a fost suspendată sau anulată.

Articolul 10

Ținerea evidențelor

Operatorii de registru păstrează timp de 10 ani o evidență a informațiilor furnizate de către beneficiarii portofelelor și înregistrate în conformitate cu anexa I în vederea înregistrării unui beneficiar al portofelului și a eliberării certificatelor de acces pentru beneficiarii portofelelor și a certificatelor de înregistrare ale beneficiarului portofelului, precum și a oricăror modificări ulterioare ale acestor informații.

Articolul 11

Intrarea în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică de la 24 decembrie 2026.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 6 mai 2025.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1) JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Recomandarea (UE) 2021/946 a Comisiei din 3 iunie 2021 privind un set de instrumente comun al Uniunii pentru o abordare coordonată în direcția unui cadru european al identității digitale (JO L 210, 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).

(3) Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce privește instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(5) JO C 23, 23.1.2023, p. 1.

(6) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ANEXA I

Informații privind beneficiarii portofelelor

După caz, numele beneficiarului portofelului, astfel cum figurează într-un registru oficial, împreună cu datele de identificare ale respectivului registru oficial.

(a)	în cazul în care nu se aplică niciuna dintre opțiuni, se utilizează punctul 2.

2.	După caz, un nume ușor de utilizat al beneficiarului portofelului, care poate fi un nume comercial sau un nume de serviciu care poate fi recunoscut de utilizator.

După caz, unul sau mai mulți identificatori ai beneficiarului portofelului, astfel cum figurează într-un registru oficial, împreună cu datele de identificare ale respectivului registru oficial, exprimați sub forma:

(a)	unui număr de înregistrare și identificare a operatorilor economici (EORI) menționat în Regulamentul de punere în aplicare (UE) nr. 1352/2013 al Comisiei (1);

(b)	un număr de înregistrare, astfel cum este înregistrat într-un registru național al comerțului;

(c)	un identificator al entității juridice (LEI) menționat în Regulamentul de punere în aplicare (UE) 2022/1860 al Comisiei (2);

(d)	un număr de înregistrare în scopuri de taxă pe valoarea adăugată („TVA”);

(e)	un cod de acciză, astfel cum este menționat la articolul 2 punctul 12 din Regulamentul (UE) nr. 389/2012 al Consiliului (3);

(f)	un cod de identificare fiscală;

(g)	un identificator unic european (EUID), astfel cum este menționat în Regulamentul de punere în aplicare (UE) 2021/1042 al Comisiei (4);

(h)	alt identificator național sau alți identificatori naționali.

4.	Adresa fizică la care este stabilit beneficiarul portofelului.

5.	După caz, un localizator uniform de resurse („URL”) care aparține beneficiarului portofelului.

În cazul în care identificatorul este exprimat în conformitate cu punctul 3 literele (a), (d), (f) sau (h), indicatorul de țară al statului membru în care este stabilit beneficiarul portofelului este prestabilit utilizând codurile ISO 3166-1 Alpha 2, cu excepția indicatorului de țară pentru Grecia, care este „EL”.

Informații de contact ale beneficiarului portofelului, incluzând cel puțin unul dintre următoarele elemente:

(a)	un site web unde poate fi contactat beneficiarul portofelului pentru chestiuni legate de furnizarea de servicii de asistență;

(b)	un număr de telefon la care beneficiarul portofelului poate fi contactat pentru chestiuni legate de înregistrarea sa și de utilizarea preconizată a portofelului;

(c)	o adresă de e-mail la care beneficiarul portofelului poate fi contactat pentru chestiuni legate de înregistrarea sa și de utilizarea preconizată a portofelului.

8.	O descriere a tipului de servicii furnizate de beneficiarul portofelului.

9.	Pentru fiecare utilizare preconizată, o listă a datelor, inclusiv atestatele și atributele, pe care beneficiarul intenționează să le solicite, un nume ușor de utilizat și o denumire tehnică, tipul atestatului și orice alte sintaxe în care sunt grupate datele, într-un format prelucrabil automat.

10.	Pentru fiecare utilizare preconizată, o descriere a utilizării preconizate a datelor pe care beneficiarul portofelului intenționează să le solicite de la unitățile de portofel.

11.	O indicație din care să reiasă dacă beneficiarul portofelului este un organism din sectorul public.

12.

Dreptul (drepturile) beneficiarului portofelului, care sunt exprimate după cum urmează:

(a)	„Service_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii;

(b)	„QEAA_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere calificat care emite atestate electronice calificate ale atributelor;

(c)	„Non_QEAA_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere care emite atestate electronice necalificate ale atributelor.

(d)	„PUB_EAA_Provider” pentru a exprima dreptul beneficiarului portofelului ca furnizor de atestate electronice ale atributelor emise de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism;

(e)	„PID_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de furnizor de date de identificare personală;

(f)	„QCert_for_ESeal_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere calificat care emite certificate calificate pentru semnături electronice;

(g)	„QCert_for_ESig_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere calificat care emite certificate calificate pentru semnături electronice;

(h)	„rQSigCDs_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere calificat care prestează servicii de încredere calificate pentru gestionarea unui dispozitiv calificat de creare a semnăturii la distanță;

(i)	„rQSealCDs_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere calificat care prestează servicii de încredere calificate pentru gestionarea unui dispozitiv calificat de creare a sigiliului la distanță;

(j)	„ESig_ESeal_Creation_Provider” pentru a exprima dreptul beneficiarului portofelului în calitate de prestator de servicii de încredere calificat care prestează un serviciu de încredere necalificat pentru crearea la distanță a semnăturilor electronice sau a sigiliilor electronice.

13.	În ceea ce privește punctul 12 litera (c), statele membre pot prevedea subdrepturi suplimentare pentru a preciza atestatele pe care trebuie să le emită un anumit emitent necalificat de atestate electronice ale atributelor.

14.	După caz, indicarea faptului că beneficiarul portofelului recurge la un intermediar care acționează în numele beneficiarului și care intenționează să recurgă la portofel.

15.	După caz, o asociere cu intermediarul la care recurge beneficiarul portofelului și care acționează în numele beneficiarului care intenționează să recurgă la portofel.

(1) Regulamentul de punere în aplicare (UE) nr. 1352/2013 al Comisiei din 4 decembrie 2013 de stabilire a formularelor prevăzute de Regulamentul (UE) nr. 608/2013 al Parlamentului European și al Consiliului privind asigurarea respectării drepturilor de proprietate intelectuală de către autoritățile vamale (JO L 341, 18.12.2013, p. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).

(2) Regulamentul de punere în aplicare (UE) 2022/1860 al Comisiei din 10 iunie 2022 de stabilire a standardelor tehnice de punere în aplicare pentru aplicarea Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului în ceea ce privește standardele, formatele, frecvența, metodele și modalitățile de raportare (JO L 262, 7.10.2022, p. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).

(3) Regulamentul (UE) nr. 389/2012 al Consiliului din 2 mai 2012 privind cooperarea administrativă în domeniul accizelor și de abrogare a Regulamentului (CE) nr. 2073/2004 (JO L 121, 8.5.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/389/oj).

(4) Regulamentul de punere în aplicare (UE) 2021/1042 al Comisiei din 18 iunie 2021 de stabilire a normelor de aplicare a Directivei (UE) 2017/1132 a Parlamentului European și a Consiliului în ceea ce privește specificațiile tehnice și procedurile aferente sistemului de interconectare a registrelor și de abrogare a Regulamentului de punere în aplicare (UE) 2020/2244 al Comisiei (JO L 225, 25.6.2021, p. 7, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).

ANEXA IV

Cerințe privind certificatele de acces pentru beneficiarii portofelelor menționate la articolul 7

Politica privind certificatele de acces pentru beneficiarii portofelelor aplicabilă furnizării certificatelor de acces pentru beneficiarii portofelelor descrie cerințele de securitate care se aplică unui certificat de acces pentru beneficiarii portofelelor și normele care indică aplicabilitatea acestuia, astfel încât beneficiarilor portofelelor să li se poată emite și certificatele respective în interacțiunile lor cu soluțiile pentru portofel, iar aceștia să poate utiliza aceste certificate.

Declarația privind practicile în materie de certificate de acces pentru beneficiarii portofelelor aplicabilă furnizării certificatelor de acces pentru beneficiarii portofelelor descrie practicile pe care le utilizează un furnizor de certificate de acces pentru beneficiarii portofelelor în ceea ce privește emiterea, gestionarea, revocarea și generarea cheilor certificatelor de acces pentru beneficiarii portofelelor.

Politica privind certificatele și declarația privind practicile în materie de certificate aplicabilă furnizării certificatelor de acces pentru beneficiarii portofelelor sunt armonizate sintactic și semantic în întreaga Uniune și, după caz, respectă cel puțin cerințele politicii normalizate de certificare (normalised certificate policy – „NCP”) specificate în standardul ETSI EN 319411-1 versiunea 1.4.1 (2023-10) și includ:

(a)

o descriere clară a ierarhiei infrastructurii de chei publice și a căilor de certificare de la certificatele de acces pentru beneficiarii portofelelor, de la entitatea finală până la vârful ierarhiei utilizate pentru emiterea acestora, indicând ancora (ancorele) de încredere preconizată (preconizate) din această ierarhie și traiectoriile care ar trebui să se bazeze pe cadrul de încredere instituit în conformitate cu articolul 5a alineatul (18) din Regulamentul (UE) nr. 910/2014;

(b)	o descriere cuprinzătoare a procedurilor de emitere a certificatelor de acces pentru beneficiarii portofelelor, inclusiv pentru verificarea identității și a oricăror alte atribute ale beneficiarului portofelului pentru care urmează să fie emis un certificat pentru beneficiarii portofelelor;

(c)

obligația furnizorilor de certificate de acces pentru beneficiarii portofelelor de a verifica, atunci când emit un certificat de acces pentru beneficiarii portofelelor, dacă:

—	beneficiarul portofelului este inclus, cu un statut de înregistrare valabil, într-un registru național al beneficiarilor portofelelor din statul membru în care este stabilit beneficiarul portofelului;

—	toate informațiile din certificatul de acces pentru beneficiarul portofelului sunt exacte și coerente cu informațiile de înregistrare disponibile în registrul respectiv;

(d)	o descriere cuprinzătoare a procedurilor de revocare a certificatelor de acces pentru beneficiarii portofelelor;

(e)

obligația furnizorilor de certificate de acces pentru beneficiarii portofelelor de a pune în aplicare măsuri și procese privind:

—	monitorizarea continuă a oricăror modificări din registrul național al beneficiarilor portofelelor în care sunt înregistrați beneficiarii portofelelor cărora furnizorii respectivi le-au emis certificate de acces pentru beneficiarii portofelelor;

—

revocarea, atunci când modificările impun acest lucru, a oricărui certificat al beneficiarului portofelului pe care furnizorul l-a emis beneficiarului portofelului corespunzător, în special atunci când conținutul certificatului nu mai este exact și consecvent cu informațiile înregistrate sau atunci când înregistrarea beneficiarului portofelului este suspendată sau anulată;

(f)	o descriere cuprinzătoare a procedurilor și a mecanismelor care permit validarea armonizată a certificatelor de acces pentru beneficiarii portofelelor în întreaga Uniune;

(g)

obligația furnizorilor de certificate de acces pentru beneficiarii portofelelor de a permite părților interesate relevante, inclusiv beneficiarilor portofelelor în ceea ce privește propriile certificate, organismelor de supraveghere competente și autorităților pentru protecția datelor, să solicite revocarea certificatelor de acces pentru beneficiarii portofelelor;

(h)

obligația furnizorilor de certificatele de acces pentru beneficiarii portofelelor de a înregistra toate revocările de acest fel în baza lor de date privind certificatele și de publica statutul de revocat al certificatului în timp util și în orice caz în termen de 24 de ore de la primirea cererii de revocare;

(i)	obligația furnizorilor de certificate de acces pentru beneficiarii portofelelor de a furniza informații cu privire la valabilitatea sau revocarea certificatelor pentru beneficiarii portofelelor emise de furnizorul respectiv;

(j)

o descriere, după caz, a modului în care un furnizor de certificate de acces pentru beneficiarii portofelelor înregistrează toate certificatele de acces pentru beneficiarii portofelelor pe care le-a emis, în conformitate cu versiunea 2.0 a normei RFC 9162 a IETF (Internet Engineering Task Force) privind transparența certificatelor;

(k)

obligația ca certificatele de acces pentru beneficiarii portofelelor să includă:

—

locul în care este disponibil certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat de pe certificatul respectiv, astfel încât să fie reconstruită întreaga cale de certificare până la ancora de încredere preconizată în ierarhia infrastructurii de chei publice utilizată de furnizor;

—	o trimitere care poate fi prelucrată de calculator la politica aplicabilă privind certificatele și la declarația privind practicile în materie de certificate;

—	informațiile menționate în anexa I punctele 1, 2, 3, 5, 6 și 7 literele (a), (b) și (c).

4.	Revocarea prevăzută la punctul 3 litera (g) intră în vigoare imediat după publicare.

5.	Informațiile prevăzute la punctul 3 litera (h) sunt puse la dispoziție cel puțin pentru fiecare certificat în parte, în orice moment și cel puțin după expirarea perioadei de valabilitate a certificatului, în mod automat, fiabil, gratuit și efectiv, în conformitate cu politica privind certificatele.

ANEXA V

Cerințe privind certificatele de acces ale beneficiarilor portofelelor menționate la articolul 8

Politica privind certificatele de acces ale beneficiarilor portofelelor aplicabilă furnizării certificatelor de înregistrare ale beneficiarilor portofelelor descrie cerințele de securitate care se aplică unui certificat de înregistrare pentru beneficiarii portofelelor și normele care indică aplicabilitatea acestuia pentru emiterea către beneficiarii portofelelor și utilizarea de către aceștia în interacțiunile lor cu soluțiile pentru portofel. Politica privind certificatele de înregistrare ale beneficiarilor portofelului se publică într-un format lizibil pentru om.

Declarația privind practicile în materie de certificate de înregistrare ale beneficiarilor portofelelor aplicabilă furnizării certificatelor de înregistrare ale beneficiarilor portofelelor descrie practicile pe care le utilizează un furnizor de certificate de înregistrare ale beneficiarilor portofelelor în ceea ce privește emiterea, gestionarea, revocarea și generarea cheilor certificatelor de înregistrare ale beneficiarilor portofelelor și, după caz, modul în care acestea au legătură cu certificatele de acces pentru beneficiarii portofelelor. Declarația privind practicile în materie de certificate de înregistrare ale beneficiarilor portofelului se publică într-un format lizibil pentru om.

Politica privind certificatele de înregistrare ale beneficiarilor portofelelor și declarația privind practicile în materie de certificate aplicabilă furnizării certificatelor de înregistrare ale beneficiarilor portofelelor sunt armonizate sintactic și semantic în întreaga Uniune, respectă cel puțin cerințele politicii normalizate de certificare (normalised certificate policy – „NCP”) aplicabile specificate în standardul ETSI EN 319411-1 versiunea 1.4.1 (2023-10) și includ:

(a)

o descriere clară a ierarhiei infrastructurii de chei publice și a căilor de certificare de la certificatele de înregistrare ale beneficiarilor portofelelor, de la entitatea finală până la vârful ierarhiei utilizate pentru emiterea acestora, indicând ancora (ancorele) de încredere preconizată (preconizate) din această ierarhie și aceste traiectorii;

(b)	o descriere cuprinzătoare a procedurilor de emitere a certificatelor de înregistrare ale beneficiarilor portofelelor, inclusiv pentru verificarea identității și a oricăror atribute ale beneficiarului portofelului pentru care urmează să fie emis un certificat pentru beneficiarii portofelelor;

(c)

obligația furnizorului de certificate de înregistrare ale beneficiarilor portofelelor de a verifica, atunci când emite un certificat de înregistrare al beneficiarilor portofelelor, dacă:

—	beneficiarul portofelului este inclus, cu un statut de înregistrare valabil, într-un registru național al beneficiarilor portofelelor din statul membru în care este stabilit beneficiarul portofelului;

—	informațiile din certificatul de înregistrare al beneficiarului portofelului sunt exacte și coerente cu informațiile de înregistrare disponibile în registrul respectiv;

—	certificatul de acces pentru beneficiarul portofelului este valabil;

—	descrierea procedurilor de revocare a certificatelor de înregistrare ale beneficiarilor portofelelor este cuprinzătoare;

(d)

obligația furnizorului de certificate de înregistrare ale beneficiarilor portofelelor de a pune în aplicare măsuri și procese privind:

—	monitorizarea continuă și automată a oricăror modificări din registrul național al beneficiarilor portofelelor în care sunt înregistrați beneficiarii portofelelor cărora furnizorii respectivi le-au emis certificate de înregistrare ale beneficiarilor portofelelor;

—	emiterea din nou a certificatului de înregistrare al beneficiarului portofelului;

—

revocarea, atunci când modificările impun acest lucru, a oricărui certificat de înregistrare al beneficiarului portofelului pe care furnizorul l-a emis beneficiarului portofelului corespunzător, în special atunci când conținutul certificatului nu mai este exact și consecvent cu informațiile înregistrate sau atunci când înregistrarea beneficiarului portofelului este modificată, suspendată sau anulată;

(e)	o descriere cuprinzătoare a procedurilor și a mecanismelor care permit validarea armonizată a certificatelor de înregistrare ale beneficiarilor portofelelor;

(f)

obligația furnizorului de certificate de înregistrare ale beneficiarilor portofelelor de a permite părților interesate relevante, inclusiv beneficiarilor portofelelor în ceea ce privește propriile certificate, organismelor de supraveghere competente și autorităților pentru protecția datelor, să solicite revocarea certificatelor de înregistrare ale beneficiarilor portofelelor;

(g)

obligația furnizorului de certificatele de înregistrare ale beneficiarilor portofelelor de a înregistra toate revocările de acest fel în baza lor de date privind certificatele și de publica statutul de revocat al certificatului în timp util și în orice caz în termen de 24 de ore de la primirea cererii de revocare;

(h)	obligația furnizorilor de certificate de înregistrare ale beneficiarilor portofelelor de a furniza informații cu privire la valabilitatea sau revocarea certificatelor de înregistrare ale beneficiarilor portofelelor emise de furnizorul respectiv;

(i)	o descriere, după caz, a modului în care un furnizor de certificate de înregistrare ale beneficiarilor portofelelor înregistrează toate certificatele de înregistrare ale beneficiarilor portofelelor pe care le-a emis;

(j)

obligația ca certificatele de înregistrare ale beneficiarilor portofelelor să includă:

—

locul în care sunt disponibile datele de validare ale semnăturii electronice avansate sau ale sigiliului electronic avansat pentru certificatul utilizat pentru a semna sau a sigila certificatul de înregistrare, astfel încât să fie reconstruit întregul lanț de încredere până la ancora de încredere preconizată;

—	o trimitere care poate fi prelucrată de calculator la politica aplicabilă privind certificatele și la declarația privind practicile în materie de certificate;

—	informațiile menționate în anexa I punctele 1, 2, 3, 5, 6, 8, 9, 10, 11, 12, 13, 14 și 15;

—	URL-ul către politica de confidențialitate menționată la articolul 8 alineatul (2) litera (g);

—	o politică generală privind accesul, astfel cum este menționată la articolul 8 alineatul (3).

4.	Formatul pentru schimbul de date pentru certificatul de înregistrare al beneficiarului se semnează în formatele JSON Web Tokens (IETF RFC 7519) și CBOR Web Tokens (IETF RFC 8392).

5.	Revocarea menționată la punctul 3 litera (g) intră în vigoare imediat după publicare.

Informațiile menționate la punctul 3 litera (h) sunt puse la dispoziție cel puțin pentru fiecare certificat în parte, în orice moment și cel puțin după expirarea perioadei de valabilitate a certificatului, în mod automat, fiabil, gratuit și efectiv, în conformitate cu politica privind certificatele.