VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2025/1566

z 29. júla 2025,

ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014, pokiaľ ide o referenčné normy na overovanie totožnosti a atribútov osoby, ktorej sa má vydať kvalifikovaný certifikát alebo kvalifikované elektronické osvedčenie atribútov

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (1), a najmä na jeho článok 24 ods. 1c,

keďže:

(1)

V článku 24 nariadenia (EÚ) č. 910/2014 sa od kvalifikovaných poskytovateľov dôveryhodných služieb vyžaduje, aby pri vydávaní kvalifikovaných certifikátov alebo kvalifikovaných elektronických osvedčení atribútov fyzickej alebo právnickej osobe overili totožnosť a v príslušnom prípade všetky osobitné atribúty danej osoby.

(2)

S cieľom zabezpečiť rovnaké zaobchádzanie a možnosť dôverovať výsledku procesu overovania by overovania mali pri vydávaní kvalifikovaného certifikátu alebo kvalifikovaného elektronického osvedčenia atribútov vykonávať všetci kvalifikovaní poskytovatelia dôveryhodných služieb rovnocenným spôsobom. V súlade s cieľmi nariadenia (EÚ) č. 910/2014 bolo na splnenie týchto osobitných požiadaviek vybraných niekoľko noriem. Tieto normy by mali odrážať zavedené postupy a mali by byť všeobecne uznávané v príslušných odvetviach. Tieto normy by sa mali prispôsobiť tak, aby zahŕňali dodatočné kontroly, ktoré zabezpečia bezpečnosť a dôveryhodnosť kvalifikovanej dôveryhodnej služby a zároveň uľahčia cezhraničnú interoperabilitu a účinné fungovanie vnútorného trhu.

(3)

Kvalifikovaným poskytovateľom dôveryhodných služieb by sa malo poskytnúť primerané prechodné obdobie, aby mohli splniť požiadavky nariadenia (EÚ) č. 910/2014. S cieľom zabezpečiť dostatočný časový rámec na audit poskytovateľov dôveryhodných služieb, pokiaľ ide o súlad s požiadavkami tohto nariadenia, by sa toto nariadenie malo začať uplatňovať 24 mesiacov po nadobudnutí jeho účinnosti.

(4)

Komisia pravidelne posudzuje nové technológie, postupy, normy alebo technické špecifikácie. V súlade s odôvodnením 75 nariadenia Európskeho parlamentu a Rady (EÚ) 2024/1183 (2) by Komisia mala toto nariadenie podľa potreby preskúmať a aktualizovať, aby bolo v súlade s globálnym vývojom, novými technológiami, normami alebo technickými špecifikáciami a aby sa na vnútornom trhu dodržiavali najlepšie postupy.

(5)	Na činnosti spracúvania osobných údajov podľa tohto nariadenia sa vzťahuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (3) a v relevantných prípadoch smernica Európskeho parlamentu a Rady 2002/58/ES (4).

(6)	V súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (5) sa konzultovalo s európskym dozorným úradníkom pre ochranu údajov, ktorý vydal 6. júna 2025 svoje stanovisko.

(7)	Opatrenia ustanovené v tomto nariadení sú v súlade so stanoviskom výboru uvedeného v článku 48 nariadenia (EÚ) č. 910/2014,

PRIJALA TOTO NARIADENIE:

Článok 1

Referenčné normy a špecifikácie uvedené v článku 24 ods. 1c nariadenia (EÚ) č. 910/2014 sú stanovené v prílohe k tomuto nariadeniu.

Článok 2

Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.

Toto nariadenie sa uplatňuje od 19. augusta 2027.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 29. júla 2025

Za Komisiu

predsedníčka

Ursula VON DER LEYEN

(1) Ú. v. EÚ L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1183 z 11. apríla 2024, ktorým sa mení nariadenie (EÚ) č. 910/2014, pokiaľ ide o zriadenie európskeho rámca digitálnej identity (Ú. v. EÚ L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

PRÍLOHA

Referenčná norma na overovanie totožnosti a atribútov osoby, ktorej sa má vydať kvalifikovaný certifikát alebo kvalifikované elektronické osvedčenie atribútov

Uplatňuje sa norma ETSI TS 119 461 V2.1.1 (2025-02) pre súlad s prílohou C bodom C.3 s týmito úpravami:

2.1. Normatívne odkazy

—	[1] ETSI EN 319 401 V3.1.1 (2024-06): „elektronické podpisy a infraštruktúry dôvery (ESI); všeobecné požiadavky týkajúce sa politiky pre poskytovateľov dôveryhodných služieb“.

C.3 Prípady použitia pre vydávanie kvalifikovaného certifikátu alebo kvalifikovaných elektronických osvedčení atribútov v súlade s článkom 24 ods. 1, 1a a 1b nariadenia (EÚ) č. 910/2014

—

[PODMIENEČNÉ] QTS-C3-01: Ak sa overovanie totožnosti pre kvalifikovaný certifikát alebo kvalifikované elektronické osvedčenie vykonáva v spojení s overovaním totožnosti s cieľom vydať smerodajný dôkaz, tento proces overovania totožnosti:

—	partnersky preskúmal alebo certifikoval akreditovaný orgán posudzovania zhody, aby spĺňal úroveň zabezpečenia „vysoká“ v súlade s nariadením (EÚ) č. 910/2014, alebo

—	spĺňa požiadavky stanovené v bodoch C3.1 až C3.6.

C.3.4 Prípad použitia pre preukazovanie totožnosti inými prostriedkami identifikácie

—

QTS-C.3.4-06A: Nezávislý orgán posudzovania zhody uvedený v požiadavke [PODMIENEČNÉ] QTS-C.3.4-06 písm. c) musí byť akreditovaný podľa článku 3 ods. 18 nariadenia (EÚ) č. 910/2014, a ak sú splnené všetky platné požiadavky, výsledkom posudzovania by mal byť certifikát potvrdzujúci súlad založený na certifikačnom audite. Tento formálny certifikačný proces je založený na procese hodnotenia bezpečnosti, ktorý odkazuje na úrovne zabezpečenia vymedzené pre oznámené prostriedky elektronickej identifikácie alebo certifikované európske peňaženky digitálnej identity podľa nariadenia (EÚ) č. 910/2014, a zahŕňa prísne testovanie na hodnotenie odolnosti proti potenciálnym bezpečnostným hrozbám. V týchto hodnoteniach sa použijú príslušné technické normy na preukázanie odolnosti proti takýmto útokom.

9.2.3.4. Prípad použitia pre automatizovanú prevádzku

—

USE-9.2.3.4-04: Poskytovateľ služieb preukazovania totožnosti stanoví cieľové hodnoty pravdepodobnosti chybnej akceptácie a pravdepodobnosti chybného zamietnutia pri plne automatizovaných procesoch preukazovania totožnosti na základe analýzy rizík a postupu spravodajských informácií o hrozbách, pričom sa riadi metodikou stanovenou v správe agentúry ENISA s názvom Methodology for sectoral cybersecurity assessments (Metodika odvetvových posúdení kybernetickej bezpečnosti) [i.28] alebo rovnocennou metodikou. Tieto cieľové hodnoty sú rovnaké alebo nižšie ako cieľové hodnoty stanovené pre hybridné prípady použitia, ak existujú. Poskytovateľ služieb preukazovania totožnosti tieto cieľové hodnoty pravdepodobnosti chybnej akceptácie a pravdepodobnosti chybného zamietnutia dôsledne udržiava, pričom sa opierajú o analýzu rizík a postup spravodajských informácií o hrozbách.

8.3.3. Potvrdenie fyzického dokladu totožnosti

—

VAL-8.3.3-21: Akreditované laboratórium alebo príslušný vnútroštátny orgán, ak sú určené, preskúša účinnosť opatrení na zabezpečenie súladu s požiadavkami VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A a VAL-8.3.3-07X najneskôr do 19. augusta 2027, pričom skúška sa potom opakuje každý druhý rok.

7.12. Ukončenie činnosti a plány ukončenia činnosti

—	OVR-7.12-02: Plán ukončenia činnosti spĺňa požiadavky stanovené vo vykonávacích aktoch prijatých podľa článku 24 ods. 5 nariadenia (EÚ) č. 910/2014 [i.1].