IZVEDBENA UREDBA KOMISIJE (EU) 2025/1567

z dne 29. julija 2025

o določitvi pravil za uporabo Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta glede upravljanja naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo in naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (1) ter zlasti člena 29a(2) in člena 39a Uredbe,

ob upoštevanju naslednjega:

(1)

Kvalificirane storitve zaupanja za upravljanje naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo in naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo imajo ključno vlogo v digitalnem poslovnem okolju, saj spodbujajo prehod s tradicionalnih postopkov, ki temeljijo na papirju, na enakovredne postopke v elektronski obliki. Te kvalificirane storitve zaupanja prispevajo k varnemu in zaupanja vrednemu upravljanju teh oddaljenih naprav v imenu podpisnikov in ustvarjalcev žigov na način, ki zagotavlja, da so pogoji za kvalificirane elektronske podpise in kvalificirane elektronske žige izpolnjeni.

(2)

Da bi povečali pravno varnost in zanesljivost kvalificiranih storitev zaupanja za upravljanje naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo in naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo bi morali ponudniki kvalificiranih storitev zaupanja pri njihovem zagotavljanju izpolnjevati standarde iz te uredbe.

(3)

Ti standardi bi morali odražati uveljavljene prakse in biti splošno priznani v ustreznih sektorjih. Prilagojeni bi morali biti tako, da bi vključevali nadzor, ki zagotavlja varnost in zanesljivost kvalificiranih storitev zaupanja, ter zagotavljali, da imajo podpisniki z visoko stopnjo zaupanja izključni nadzor nad uporabo svojih podatkov za ustvarjanje elektronskega podpisa in da imajo ustvarjalci žiga nadzor nad uporabo svojih podatkov za ustvarjanje elektronskega žiga.

(4)	Da bi zagotovili ustrezen časovni okvir za revizijo ponudnikov storitev zaupanja glede skladnosti z novimi zahtevami, bi se morala ta uredba začeti uporabljati 24 mesecev po začetku njene veljavnosti.

(5)

Komisija redno ocenjuje nove tehnologije, prakse, standarde in tehnične specifikacije. V skladu z uvodno izjavo 75 Uredbe (EU) 2024/1183 Evropskega parlamenta in Sveta (2) bi morala Komisija pregledovati in po potrebi posodabljati to izvedbeno uredbo, da bi bila usklajena s svetovnim razvojem ter arhitekturnim in referenčnim okvirom ter sledila najboljšim praksam na notranjem trgu.

(6)	Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (3) in, kadar je ustrezno, Direktiva 2002/58/ES Evropskega parlamenta in Sveta (4) bi se morali uporabljati za vse dejavnosti obdelave osebnih podatkov na podlagi te uredbe.

(7)	V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (5) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 6. junija 2025.

(8)	Ukrepi iz te uredbe so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 48 Uredbe (EU) št. 910/2014 –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Referenčni standardi in specifikacije

Referenčni standardi in specifikacije za upravljanje naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo in naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo kot kvalificiranih storitev zaupanja iz člena 29a(2) in člena 39a Uredbe (EU) št. 910/2014 so določeni v Prilogi k tej uredbi.

Člen 2

Začetek veljavnosti in uporaba

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba uporablja od 19. avgusta 2027.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 29. julija 2025

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1) UL L 257, 28.8.2014, str. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Uredba (EU) 2024/1183 Evropskega parlamenta in Sveta z dne 11. aprila 2024 o spremembi Uredbe (EU) št. 910/2014 v zvezi z vzpostavitvijo evropskega okvira za digitalno identiteto (UL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

PRILOGA

Seznam referenčnih standardov in specifikacij za upravljanje naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo in naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo

Standard ETSI TS 119 431-1 V1.3.1 (2024-12) (v nadaljnjem besedilu: ETSI TS 119 431-1) se uporablja za ocenjevanje skladnosti s politiko EU Server Signing Application Service v2 v skladu s Prilogo A k navedenemu standardu, z naslednjimi prilagoditvami:

(1)

2.1 Normativne reference

—	[1] ETSI EN 319 401 V3.1.1 (2024-06): „Elektronski podpisi in infrastrukture zaupanja (ESI) – Splošne zahteve politike za ponudnike storitev zaupanja“;

—	[7] Evropska certifikacijska skupina za kibernetsko varnost, podskupina za kriptografijo: „Dogovorjeni kriptografski mehanizmi“, ki jih je objavila Agencija Evropske unije za kibernetsko varnost (ENISA) (1).

(2)

6.1 Odgovornosti v zvezi z objavo in repozitorijem

—	OVR-6.1-04: Informacije iz OVR-6.1-01 morajo biti javno in mednarodno dostopne.

(3)

6.4.4 Nadzor osebja

—

OVR-6.4.4-02: Ponudniki aplikacijskih storitev za podpisovanje na strežniku (SSASP) zaposlujejo osebje v zaupanja vrednih vlogah in, kadar je to ustrezno, podizvajalce v zaupanja vrednih vlogah, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije, pridobljene s formalnim usposabljanjem in poverilnicami, ali izkušnje ali kombinacijo obojega.

—	OVR-6.4.4-03: Skladnost z OVR-6.4.4-02 vključuje redne posodobitve (vsaj na vsakih 12 mesecev) v zvezi z novimi grožnjami in trenutnimi varnostnimi praksami.

(4)

6.4.9 Prekinitev zagotavljanja storitev SSASP

—	OVR-6.4.9-02: Načrt za prenehanje zagotavljanja SSASP je skladen z izvedbenimi akti, sprejetimi v skladu s členom 24(5) Uredbe (EU) št. 910/2014 [i.1].

(5)

6.5.5 Nadzor varnosti omrežja

—	OVR-6.5.5-02: Pregled ranljivosti, ki ga zahteva REQ-7.8-13 iz ETSI EN 319 401 [1], se izvede vsaj enkrat na četrtletje.

—	OVR-6.5.5-03: Požarni zidovi se konfigurirajo tako, da se preprečijo vsi protokoli in dostopi, ki niso potrebni za delovanje ponudnika storitev zaupanja.

(6)

6.8.5 Kriptografski nadzor

—	OVR-6.8.5-01: Vzpostavljen mora biti ustrezen varnostni nadzor za upravljanje vseh kriptografskih tehnik SSASP v njihovem celotnem življenjskem ciklu.

—	OVR-6.8.5-02: Kar zadeva OVR-6.8.5-01, SSASP izbere in uporablja ustrezne kriptografske tehnike, skladne z dogovorjenimi kriptografskimi mehanizmi, ki jih je odobrila evropska certifikacijska skupina za kibernetsko varnost in objavila agencija ENISA [7].

(7)

Priloga A, oddelek A.3 Splošne zahteve

—	OVR-A.3-02 [EUSPv2]: Izjava ponudnika storitev zaupanja o praksi vključuje sklic na certificiranje uporabljene naprave za ustvarjanje kvalificiranega podpisa v skladu z zahtevami iz Uredbe (EU) št. 910/2014 [i.1], Priloga II.

(1) https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.