IZVEDBENA UREDBA KOMISIJE (EU) 2025/1568

z dne 29. julija 2025

o določitvi pravil za uporabo Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta glede postopkovne ureditve za medsebojne strokovne preglede shem elektronske identifikacije in za sodelovanje pri organizaciji takih pregledov v okviru Skupine za sodelovanje ter o razveljavitvi Izvedbenega sklepa Komisije (EU) 2015/296

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (1) ter zlasti člena 12(6) in člena 46e(7) Uredbe,

ob upoštevanju naslednjega:

(1)

Uredba (EU) št. 910/2014 določa mehanizem medsebojnega strokovnega pregleda v zvezi s shemami elektronske identifikacije, ki jih je treba priglasiti, v katerem lahko države članice prostovoljno sodelujejo. Medsebojni strokovni pregledi bi morali državam članicam omogočiti razumevanje shem elektronske identifikacije, ki jih je treba priglasiti v skladu s členom 9(1), točka (a), Uredbe (EU) št. 910/2014, in jim zagotoviti učinkovito sodelovanje z namenom zagotavljanja interoperabilnosti teh shem ter krepitve zaupanja po vsej Uniji. Medsebojni strokovni pregledi bi morali biti organizirani tako, da se zagotovita pravična porazdelitev prizadevanj in široka zastopanost vseh držav članic, in se ne bi smeli razumeti kot revizije.

(2)

Z Izvedbenim sklepom Komisije (EU) 2015/296 (2) je bila določena postopkovna ureditev za sodelovanje na področju shem elektronske identifikacije v okviru nekdanje mreže za sodelovanje eIDAS, vključno z medsebojnimi strokovnimi pregledi, ki jih izvajajo člani navedene mreže. Ker bo naloge medsebojnega strokovnega pregleda zdaj organizirala skupina za sodelovanje na področju evropske digitalne identitete, ustanovljena na podlagi Sklepa Komisije C(2024) 6132 z dne 5 septembra 2024 o ustanovitvi skupine za sodelovanje na področju evropske digitalne identitete in spremembi Izvedbenega sklepa (EU) 2015/296, v skladu s členom 46e(1) Uredbe (EU) št. 910/2014 (v nadaljnjem besedilu: Skupina za sodelovanje), bi bilo treba Izvedbeni sklep (EU) 2015/296 razveljaviti.

(3)

Da bi bili medsebojni strokovni pregledi zlahka dostopni, bi morala imeti vsaka država članica možnost zahtevati začetek medsebojnega strokovnega pregleda. V zahtevi bi morali biti navedeni razlogi za medsebojni strokovni pregled in vključene zadostne informacije, ki potrjujejo, da lahko medsebojni strokovni pregled prispeva k interoperabilnosti ali varnosti shem elektronske identifikacije, ki jih je treba priglasiti. V ta namen je treba oblikovati enotna pravila za minimalne zahtevane informacije, da bi se zagotovilo učinkovito in pravočasno dokončanje medsebojnega strokovnega pregleda. Komisija lahko organizira sestanke skupine za sodelovanje, da se omogoči pravočasen začetek in zaključek medsebojnega strokovnega pregleda.

(4)

Kadar država članica drugim državam članicam zagotovi informacije o shemi elektronske identifikacije v skladu s členom 7, točka (g), Uredbe (EU) št. 910/2014 (v nadaljnjem besedilu: predhodna priglasitev), bi bilo treba navedeni ukrep uradno obravnavati kot zahtevo države članice priglasiteljice za izvedbo medsebojnega strokovnega pregleda njene sheme elektronske identifikacije.

(5)

Za zagotovitev učinkovite priprave in izvedbe medsebojnega strokovnega pregleda bi bilo treba opredeliti standardizirane vloge in odgovornosti pri medsebojnem strokovnem pregledu. Države članice bi morale imeti možnost, da imenujejo predstavnike za izpolnjevanje teh vlog in odgovornosti. Ker je ključnega pomena zagotoviti, da vsi medsebojni strokovni pregledi potekajo nemoteno ter da se izvajajo racionalizirano in hitro, bi se morale države članice, ki sodelujejo pri tem medsebojnem strokovnem pregledu, dogovoriti o praktičnih vidikih vsakega medsebojnega strokovnega pregleda, predvidoma o njegovem natančnem obsegu in časovnem okviru.

(6)

Za zagotovitev, da vse države članice prispevajo k izvajanju mehanizma medsebojnih strokovnih pregledov in da lahko izkoristijo vzajemno učenje, bi morali predstavniki vsake države članice prispevati k pravični porazdelitvi prizadevanj med državami članicami pri vseh medsebojnih strokovnih pregledih, ki jih je treba izvesti.

(7)

Za spodbujanje visoke ravni zaupanja v sheme elektronske identifikacije, ki bi bile vključene v medsebojni strokovni pregled, bi morale države članice zagotoviti minimalne zahtevane informacije, hkrati pa zagotoviti zaupnost potencialno občutljivih informacij. Take informacije bi morale v okviru medsebojnih strokovnih pregledov oceniti tri delovne skupine, od katerih ima vsaka mandat, ki ustreza osrednjim temam za ocenjevanje sheme elektronske identifikacije, kot je določeno v izvedbenih uredbah Komisije (EU) 2015/1501 (3) in (EU) 2015/1502 (4).

(8)

Ker je bila angleščina z Izvedbenim sklepom (EU) 2015/296 že določena kot jezik sodelovanja, razen če ni dogovorjeno drugače, države članice skladno z obstoječo prakso postopek medsebojnega strokovnega pregleda izvajajo v angleščini. Zato bi morale države članice ustrezne informacije za medsebojni strokovni pregled zagotoviti vsaj v angleščini. Vendar pa prevajanje ne bi smelo povzročati nerazumnih upravnih ali finančnih bremen. V zvezi s tem lahko države članice prosto uporabljajo orodja za samodejno prevajanje, vključno s tistimi, ki jih zagotavlja Komisija.

(9)

Ob upoštevanju pomena medsebojnih strokovnih pregledov kot orodja za zagotavljanje zanesljivosti priglašenih shem elektronske identifikacije bi bilo treba vzpostaviti racionaliziran postopek za sprejetje jasnega in celovitega končnega poročila o medsebojnem strokovnem pregledu. Med tem postopkom bi morale Skupina za sodelovanje in države članice, ki sodelujejo v medsebojnem strokovnem pregledu, imeti možnost, da državi članici, katere shema elektronske identifikacije je vključena v medsebojni strokovni pregled, postavijo dodatna vprašanja, ta država članica pa bi morala imeti možnost, da predloži dodatne pripombe. Za zagotovitev preglednosti bi bilo treba postopek dokončati z objavo mnenja Skupine za sodelovanje o zaključku medsebojnega strokovnega pregleda.

(10)

Ker se sheme elektronske identifikacije po zaključku medsebojnega strokovnega pregleda lahko spremenijo, je treba vzpostaviti tudi postopek za začetek posodabljanja predhodnih medsebojnih strokovnih pregledov, če lahko take spremembe vplivajo na interoperabilnost, varnost ali zanesljivost priglašene sheme elektronske identifikacije. To bi omogočilo, da bi ob razvoju shem elektronske identifikacije medsebojni strokovni pregledi ostali pomembni tudi v prihodnje.

(11)	Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (5) ter, kadar je to ustrezno, Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta (6) in Direktiva 2002/58/ES Evropskega parlamenta in Sveta (7) se uporabljajo za dejavnosti obdelave osebnih podatkov na podlagi te uredbe.

(12)	V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 28. maja 2025.

(13)	Ukrepi iz te uredbe so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 48 Uredbe (EU) št. 910/2014 –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Splošna načela za medsebojni strokovni pregled

1. Kadar država članica predhodno priglasi shemo elektronske identifikacije Komisiji in drugim državam članicam, se medsebojni strokovni pregled začne v skladu s členom 2.

2. Država članica, ki predhodno priglasi shemo elektronske identifikacije, lahko predhodno priglasitev kadar koli umakne. Kadar država članica umakne predhodno priglasitev sheme elektronske identifikacije, se šteje, da je medsebojni strokovni pregled zaključen.

3. Vsaka država članica se lahko odloči za sodelovanje pri medsebojnem strokovnem pregledu sheme elektronske identifikacije druge države članice.

4. Vsaka država članica, vključena v medsebojni strokovni pregled, krije stroške lastne udeležbe v tem postopku.

5. Predstavniki držav članic, ki izvajajo medsebojni strokovni pregled, uporabijo informacije, pridobljene z medsebojnim strokovnim pregledom, izključno za namene tega pregleda in tretjim osebam ne razkrijejo nobenih občutljivih ali zaupnih informacij, pridobljenih med njegovim izvajanjem.

6. Država članica, ki se odloči za sodelovanje pri medsebojnem strokovnem pregledu sheme elektronske identifikacije druge države članice, razkrije vsa nasprotja interesov v zvezi s predstavniki, ki jih imenuje ta država članica. V primeru nasprotja interesov lahko država članica, katere shema elektronske identifikacije je predmet medsebojnega strokovnega pregleda, zavrne sodelovanje ustreznega predstavnika pri ocenjevanju njene sheme elektronske identifikacije.

7. Vsi spori, ki nastanejo med medsebojnim strokovnim pregledom v zvezi z dejavnostmi medsebojnega strokovnega pregleda, kot je določeno v členu 4(4) te uredbe, se rešujejo v skladu s poslovnikom Skupine za sodelovanje.

8. Shema elektronske identifikacije v dveh letih od zaključenega medsebojnega strokovnega pregleda ne sme biti ponovno strokovno pregledana, razen kadar so bile pri medsebojno strokovno pregledani shemi elektronske identifikacije opravljene bistvene spremembe iz člena 6(1).

Člen 2

Začetek medsebojnega strokovnega pregleda

1. Predhodna priglasitev obsega vsaj:

(a)	primerjavo med predhodno priglašeno shemo elektronske identifikacije in zahtevami iz Izvedbene uredbe (EU) 2015/1502 v obliki dokumenta za evidentiranje ravni zanesljivosti za medsebojni strokovni pregled v skladu s Prilogo I k tej uredbi;

(b)	opis sheme elektronske identifikacije na visoki ravni, njenega ekosistema in elektronske identifikacije v državi članici, ki je opravila predhodno priglasitev, v obliki bele knjige v skladu s Prilogo II k tej uredbi;

(c)	informacije o interoperabilnosti sheme elektronske identifikacije in zahtevah iz Izvedbene uredbe (EU) 2015/1501 v obliki dokumenta za evidentiranje okvira interoperabilnosti v skladu s predlogo iz Priloge III k tej uredbi.

2. Komisija informacije za predhodno priglasitev posreduje Skupini za sodelovanje.

3. Informacije, ki se zahtevajo v skladu z odstavkom 1, točka (c), se zagotovijo vsaj v angleščini. Državam članicam ni treba prevesti nobenih dokumentov, če bi to povzročilo nerazumno upravno ali finančno breme.

Člen 3

Priprava medsebojnega strokovnega pregleda

1. Po potrditvi prejema popolne predhodne priglasitve Komisija obvesti Skupino za sodelovanje o začetku medsebojnega strokovnega pregleda in organizira sestanek, pri čemer država članica, ki je opravila predhodno priglasitev, predhodno priglašeno shemo elektronske identifikacije uvrsti na dnevni red sestanka, da jo predstavi Skupini za sodelovanje.

2. Predsednik Skupine za sodelovanje zagotovi, da se načrtovani sestanek iz odstavka 1 izvede najpozneje dva meseca po tem, ko je Skupina za sodelovanje obveščena o začetku medsebojnega strokovnega pregleda.

3. Datum predstavitve se šteje za uradni datum začetka medsebojnega strokovnega pregleda.

4. Potem ko je država članica, ki je opravila predhodno priglasitev, izvedla predstavitev iz odstavka 3, lahko druge države članice imenujejo predstavnike, ki bodo v njihovem imenu sodelovali pri medsebojnem strokovnem pregledu. Če to storijo, zagotovijo imena in kontaktne podatke svojih predstavnikov. Ti imenovani predstavniki sestavljajo skupino za medsebojni strokovni pregled.

Člani skupine za medsebojni pregled se dogovorijo o dodelitvi naslednjih vlog:

(a)	en koordinator, ki bo odgovoren za organizacijo medsebojnega strokovnega pregleda in upravljanje komunikacije z državami članicami, Skupino za sodelovanje in Komisijo;

(b)	največ trije poročevalci, odvisno od obsega medsebojnega strokovnega pregleda, od katerih vsak vodi delovno skupino iz člena 4(2);

(c)	vsaj en aktivni član na delovno skupino, ki bo pomagal pri sestavljanju vprašanj in zagotavljanju povratnih informacij poročevalcem ter prispeval k pripravi končnega poročila o medsebojnem strokovnem pregledu.

5. Koordinator iz odstavka 4, točka (a), nadzoruje pravilno izvajanje medsebojnega strokovnega pregleda in spremlja skladnost s postopkovnimi zahtevami iz te uredbe. V ta namen koordinator pravočasno izvede naslednje naloge:

(a)	organizacija vprašanj in odgovorov;

(b)	dokončanje poročila o medsebojnem strokovnem pregledu;

(c)	priprava mnenja o shemi elektronske identifikacije, ki je bila vključena v medsebojni strokovni pregled.

6. Poročevalci iz odstavka 4, točka (b), opredelijo vprašanja za državo članico, ki je opravila predhodno priglasitev, in pripravijo elemente poročila o medsebojnem strokovnem pregledu, ki se nanašajo na področje odgovornosti njihove delovne skupine.

7. Ob upoštevanju smernic Skupine za sodelovanje se država članica, ki je opravila predhodno priglasitev, in države članice, vključene v medsebojni strokovni pregled, dogovorijo o vseh organizacijskih ureditvah v zvezi z medsebojnim strokovnim pregledom, ki niso posebej določene v tej uredbi, vključno s pravili in smernicami glede zaupnosti in nasprotij interesov.

8. Medsebojni strokovni pregled traja največ tri mesece od uradnega datuma začetka medsebojnega strokovnega pregleda iz odstavka 3 in se lahko podaljša za največ dva meseca, če se s tem strinjajo vse države članice, vključene v medsebojni strokovni pregled.

Člen 4

Organizacija medsebojnega strokovnega pregleda

1. Skupina za medsebojni strokovni pregled opravi medsebojni strokovni pregled na podlagi informacij, ki jih v skladu s členom 2(1) predloži država članica, ki je opravila predhodno priglasitev.

2. Medsebojni strokovni pregled se organizira v treh delovnih skupinah ali z uporabo katerega koli drugega postopka, dogovorjenega v Skupini za sodelovanje v skladu z njenim poslovnikom. Kadar se uporabljajo delovne skupine, vsako delovno skupino sestavljata poročevalec in vsaj en aktivni član.

3. Delovne skupine iz odstavka 2 so naslednje:

(a)	delovna skupina za prijavo, ki strokovno pregleduje usklajenost predhodno priglašene sheme elektronske identifikacije z zahtevami v zvezi s prijavo, kot je določeno v oddelku 2.1 Priloge k Izvedbeni uredbi (EU) 2015/1502;

(b)

delovna skupina za upravljanje sredstev elektronske identifikacije in avtentikacijo, ki strokovno pregleduje usklajenost predhodno priglašene sheme elektronske identifikacije z zahtevami v zvezi z upravljanjem sredstev elektronske identifikacije in avtentikacijo, kot je določeno v oddelkih 2.2 in 2.3 Priloge k Izvedbeni uredbi (EU) št. 1502/2015;

(c)	delovna skupina za upravljanje in organizacijo, ki strokovno pregleduje usklajenost predhodno priglašene sheme elektronske identifikacije z zahtevami v zvezi z upravljanjem in organizacijo, kot je določeno v oddelku 2.4 Izvedbene uredbe (EU) 2015/1502.

4. Medsebojni strokovni pregled med drugim vključuje vsaj eno od naslednjih dejavnosti:

(a)	oceno ustrezne dokumentacije, ki jo predloži država članica, ki je opravila predhodno priglasitev;

(b)	pregled postopkov, opisanih kot del te dokumentacije;

(c)	tehnične seminarje;

(d)	upoštevanje ocen neodvisnih tretjih strani, kadar so na voljo ustrezne ocene te vrste;

(e)	pripravo poročila o medsebojnem strokovnem pregledu, ki povzema ugotovitve in rezultate medsebojnega strokovnega pregleda.

5. Delovne skupine lahko od države članice, ki je opravila predhodno priglasitev, ustrezno utemeljeno zahtevajo dodatne informacije, ki morajo biti podprte z dodatno dokumentacijo, kadar informacije, predložene v skladu s členom 2(1), ne zadostujejo za zaključek medsebojnega strokovnega pregleda.

6. Država članica, ki je opravila predhodno priglasitev, izpolnjuje take zahteve, razen kadar velja eno od naslednjega:

(a)	nima takih informacij ali dokumentacije in bi pridobitev teh informacij povzročila nerazumno upravno breme;

(b)	zahtevane informacije ali dokumentacija se nanašajo na vprašanja javne ali nacionalne varnosti;

(c)	informacije se nanašajo na vprašanja poslovnih ali poklicnih skrivnosti ali skrivnosti podjetij;

(d)	zaradi občutljivosti informacij ni mogoče vzpostaviti varnega kanala za sporočanje informacij članom skupine za medsebojni strokovni pregled.

7. V takih primerih država članica, ki je opravila predhodno priglasitev, koordinatorja obvesti o razlogih za zavrnitev predložitve zahtevanih informacij ali dokumentacije in predloži podroben povzetek informacij ali redigirano različico dokumentacije.

Člen 5

Rezultat medsebojnega strokovnega pregleda

1. Brez poseganja v člen 3(9) skupina za medsebojni strokovni pregled:

(a)

predloži osnutek poročila o medsebojnem strokovnem pregledu državi članici, ki je opravila predhodno priglasitev, najpozneje tri mesece po datumu začetka medsebojnega strokovnega pregleda iz člena 3(3), razen če je medsebojni strokovni pregled predmet podaljšanja v skladu s členom 3(8), pri čemer je treba poročilo predložiti v skladu z dogovorjenim podaljšanjem;

(b)

Komisiji in Skupini za sodelovanje predloži osnutek končnega poročila o medsebojnem strokovnem pregledu po upoštevanju morebitnih pripomb države članice, ki je opravila predhodno priglasitev, o vsebini osnutka poročila o medsebojnem strokovnem pregledu in najpozneje tri mesece in dva tedna po uradnem datumu začetka medsebojnega strokovnega pregleda v skladu s členom 3(3), razen če je medsebojni strokovni pregled predmet podaljšanja v skladu s členom 3(8), pri čemer je treba poročilo predložiti v skladu z dogovorjenim podaljšanjem;

(c)

državi članici, ki je opravila predhodno priglasitev, predloži osnutek mnenja o predhodno priglašeni shemi elektronske identifikacije najpozneje tri mesece in dva tedna po uradnem datumu začetka medsebojnega strokovnega pregleda iz člena 3(3), razen če je medsebojni strokovni pregled predmet podaljšanja v skladu s členom 3(8), pri čemer je treba poročilo predložiti v skladu z dogovorjenim podaljšanjem, in pripravi osnutek mnenja z uporabo predloge iz Priloge IV;

(d)

Komisiji in Skupini za sodelovanje predloži osnutek končnega mnenja o predhodno priglašeni shemi elektronske identifikacije najpozneje tri mesece in tri tedne po datumu začetka medsebojnega strokovnega pregleda iz člena 3(3), razen če je medsebojni strokovni pregled predmet podaljšanja v skladu s členom 3(8), pri čemer je treba poročilo predložiti v skladu z dogovorjenim podaljšanjem.

2. Preden Skupina za sodelovanje sprejme in na posebnem spletnem mestu Komisije objavi svoje končno mnenje o zaključku medsebojnega strokovnega pregleda v skladu z odstavkom 9, lahko od države članice, ki je opravila predhodno priglasitev, ali skupine za medsebojni strokovni pregled zahteva dodatne informacije ali pojasnila.

3. Država članica, ki je opravila predhodno priglasitev, predloži zahtevane dodatne informacije iz odstavka 2, razen kadar velja eno od naslednjega:

(a)	država članica nima takih informacij in bi pridobitev teh informacij povzročila nerazumno upravno breme;

(b)	informacije se nanašajo na vprašanja javne ali nacionalne varnosti;

(c)	informacije se nanašajo na vprašanja poslovnih ali poklicnih skrivnosti ali skrivnosti podjetij;

(d)	zaradi občutljivosti informacij ni mogoče vzpostaviti varnega kanala za sporočanje informacij Skupini za sodelovanje.

4. V končnem poročilu o medsebojnem strokovnem pregledu se navedejo informacije, ki jih je zahtevala skupina za medsebojni strokovni pregled ali Skupina za sodelovanje, vendar jih ni bilo mogoče zagotoviti iz enega ali več razlogov iz odstavka 3, brez navedbe razlogov, ki jih je navedla država članica, ki je opravila predhodno priglasitev. Vpliv morebitne nerazpoložljivosti informacij lahko skupina za medsebojne strokovne preglede preuči v končnem poročilu o medsebojnem strokovnem pregledu.

5. Skupina za medsebojni strokovni pregled končno poročilo o medsebojnem strokovnem pregledu in osnutek končnega mnenja predloži Skupini za sodelovanje najpozneje štiri mesece ali v primeru podaljšanja v skladu s členom 3(8) najpozneje šest mesecev po uradnem datumu začetka medsebojnega strokovnega pregleda v skladu s členom 3(3).

6. V končnem mnenju skupine za medsebojni strokovni pregled o shemi elektronske identifikacije države članice, ki je opravila predhodno priglasitev, se navedejo vse zaveze, ki jih je sprejela ta država članica.

7. Po predstavitvi končnega poročila o medsebojnem strokovnem pregledu in končnega mnenja skupine za medsebojni strokovni pregled Skupina za sodelovanje sprejme in objavi svoje mnenje o zaključku medsebojnega strokovnega pregleda, v katerem navede, če in kako shema elektronske identifikacije, ki je bila strokovno pregledana, izpolnjuje zahteve iz Izvedbene uredbe (EU) 2015/1502, ki se uporabljajo za ravni zanesljivosti, ki jih navede država članica, ki je vložila predhodno priglasitev, v skladu s Prilogo I k tej uredbi. Postopek sprejetja se izvede v skladu s poslovnikom Skupine za sodelovanje.

8. Skupina za sodelovanje v svojem mnenju opredeli državo članico, ki je opravila predhodno priglasitev, ter predhodno priglašeno shemo elektronske identifikacije in njeno raven zanesljivosti. V mnenju se navede tudi, ali je bil medsebojni strokovni pregled uspešno dokončan.

9. Informacije, predložene v skladu s členom 2(1), objavi Skupina za sodelovanje, razen če je država članica, ki je predložila te informacije, pisno navedla, da se take informacije ne smejo objaviti.

Člen 6

Bistvene spremembe v shemah elektronske identifikacije, ki so bile vključene v medsebojni strokovni pregled

1. Kadar se priglašena shema elektronske identifikacije spremeni na način, ki bi lahko vplival na njeno interoperabilnost, varnost ali zanesljivost, država članica, ki je opravila priglasitev, o teh spremembah brez nepotrebnega odlašanja obvesti Skupino za sodelovanje in posodobi predhodno predložene informacije.

2. Po prejemu uradnega obvestila iz odstavka 1 in če je bila priglašena shema elektronske identifikacije vključena v medsebojni strokovni pregled, lahko katera koli država članica Skupine za sodelovanje zahteva posodobitev medsebojnega strokovnega pregleda.

3. V primeru zahteve za posodobitev se ustrezno uporabljajo postopki iz členov 3 do 5, skupina za medsebojni strokovni pregled pa medsebojni strokovni pregled omeji na elemente, ki so bili spremenjeni v skladu s prvotno priglasitvijo, in na učinke teh sprememb.

Člen 7

Razveljavitev

Izvedbeni sklep (EU) 2015/296 se razveljavi.

Člen 8

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 29. julija 2025

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1) UL L 257, 28.8.2014, str. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj http://data.europa.eu/eli/reg/2014/910/2024-10-18.

(2) Izvedbeni sklep Komisije (EU) 2015/296 z dne 24. februarja 2015 o določitvi postopkovne ureditve za sodelovanje med državami članicami na področju elektronske identifikacije v skladu s členom 12(7) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (UL L 53, 25.2.2015, str. 14, ELI: http://data.europa.eu/eli/dec_impl/2015/296/oj).

(3) Izvedbena uredba Komisije (EU) 2015/1501 z dne 8. septembra 2015 o interoperabilnostnem okviru v skladu s členom 12(8) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (UL L 235, 9.9.2015, str. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(4) Izvedbena uredba Komisije (EU) 2015/1502 z dne 8. septembra 2015 o določitvi minimalnih tehničnih specifikacij in postopkov za ravni zanesljivosti za sredstva elektronske identifikacije v skladu s členom 8(3) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (UL L 235, 9.9.2015, str. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).

(5) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

PRILOGA I

Seznam minimalnih informacij, ki jih je treba navesti v dokumentu za evidentiranje ravni zanesljivosti za medsebojni strokovni pregled iz člena 2(1), točka (a)

Dokument za evidentiranje ravni zanesljivosti za medsebojni strokovni pregled iz člena 2(1), točka (a), vključuje vsaj naslednje informacije:

(1)

splošne informacije, vključno z:

(a)	imenom države članice priglasiteljice;

(b)	imenom sheme elektronske identifikacije (če obstaja);

(c)	ravnjo ali ravnmi zanesljivosti sheme elektronske identifikacije, ki so označene kot nizka, srednja ali visoka;

(2)

organ ali organe, pristojne za shemo elektronske identifikacije, vključno z:

(a)	imenom ali imeni organa ali organov, pristojnih za shemo elektronske identifikacije;

(b)	elektronskim naslovom organa ali organov, pristojnih za shemo elektronske identifikacije;

(3)

informacije o zadevnih strankah, subjektih in organih, ki so vključeni v shemo elektronske identifikacije, vključno z:

(a)	imenom subjekta ali subjektov, ki urejajo postopek registracije enoličnih identifikacijskih podatkov osebe;

(b)	imenom izdajatelja ali izdajateljev sredstva elektronske identifikacije in, kadar je to ustrezno, navedbo, ali gre za izdajatelja ali izdajatelje v skladu s členom 7(a), točka (i), (ii) ali (iii), Uredbe (EU) št. 910/2014;

(c)	imenom stranke ali strank, ki opravljajo postopek avtentikacije (v nadaljnjem besedilu: vozlišče eIDAS);

(d)	imenom ali imeni organizacije ali organizacij za upravljanje, ki sodelujejo v ureditvi nadzora v zvezi s shemo elektronske identifikacije;

(4)

opis sheme elektronske identifikacije, vključno z:

(a)

kadar je to ustrezno, dokumentom ali dokumenti, ki se priložijo za vsako od naslednjih tem:

—	kratek opis sheme elektronske identifikacije, vključno z okoliščinami, v katerih deluje, njenim področjem uporabe in razpoložljivostjo za zasebne zanašajoče se stranke,

—	seznam dodatnih značilnosti, ki se lahko na podlagi sheme elektronske identifikacije zagotavljajo v zvezi s fizičnimi osebami, če to zahteva zanašajoča se stranka,

—	seznam dodatnih značilnosti, ki se lahko na podlagi sheme elektronske identifikacije zagotavljajo v zvezi s pravnimi osebami, če to zahteva zanašajoča se stranka;

(b)

veljavno ureditvijo nadzora, odgovornosti in upravljanja, vključno z:

—

opisom ureditve nadzora sheme elektronske identifikacije, vključno s postopkom ocenjevanja v zvezi z naslednjim:

—	ureditvijo nadzora, ki velja za izdajatelja ali izdajatelje sredstva elektronske identifikacije,

—	ureditvijo nadzora, ki velja za stranko ali stranke, ki upravljajo vozlišče eIDAS.

Kadar je to ustrezno, ti opisi vključujejo vloge, odgovornosti in pooblastila organizacij za upravljanje, ki sodelujejo v ureditvi nadzora iz točke 3(d), in subjekt, kateremu poročajo. Če organizacije ne poročajo organu, pristojnemu za shemo, se navedejo popolni podatki o subjektu, kateremu poročajo;

—

opisom veljavne nacionalne ureditve odgovornosti, vključno z:

—	opisom odgovornosti države članice na podlagi člena 11(1) Uredbe (EU) št. 910/2014,

—	opisom odgovornosti izdajatelja ali izdajateljev sredstva elektronske identifikacije na podlagi člena 11(2) Uredbe (EU) št. 910/2014,

—	opisom odgovornosti stranke ali strank, ki upravljajo vozlišče eIDAS, na podlagi člena 11(3) Uredbe (EU) št. 910/2014;

—	ureditvami za upravljanje, začasno razveljavitev ali preklic celotne sheme elektronske identifikacije, posebnih sredstev elektronske identifikacije, vozlišča eIDAS ali njegovih ogroženih delov;

(c)

opisom elementov sheme elektronske identifikacije, vključno z:

—	opisom, kako so bile izpolnjene zahteve v zvezi z minimalnimi tehničnimi specifikacijami in postopki za ravni zanesljivosti za sredstva elektronske identifikacije, kot so določene v Izvedbeni uredbi (EU) 2015/1502, da se utemelji navedena raven zanesljivosti za prijavo;

—

opisom, kako se v okviru sheme elektronske identifikacije obravnavajo naslednji postopki, vključno z dokumentacijo za kombinacijo možnosti, ki jih je izbrala država članica, za:

—	prijavo in registracijo,

—	dokazovanje in preverjanje identitete fizične osebe,

—	dokazovanje in preverjanje identitete pravne osebe,

—	povezavo med sredstvi elektronske identifikacije fizičnih in pravnih oseb;

—

kar zadeva upravljanje sredstev elektronske identifikacije, opisom, kako se v okviru sredstev elektronske identifikacije obravnavajo naslednji postopki:

—	značilnosti in zasnova sredstev elektronske identifikacije, vključno s podatki o izdajanju varnostnih potrdil, kadar je to ustrezno,

—	izdaja, dostava in aktiviranje,

—	začasna razveljavitev, preklic in ponovno aktiviranje,

—	podaljšanje in zamenjava;

—	kar zadeva avtentikacijo, opisom mehanizma za avtentikacijo, vključno s pogoji dostopa do avtentikacije za zanašajoče se stranke, ki niso organi javnega sektorja;

—

kar zadeva upravljanje in organizacijo, opisom upravljanja in organizacije naslednjih vidikov:

—	splošnih določb o upravljanju in organizaciji,

—	objavljenih obvestil in uporabniških informacij,

—	upravljanja informacijske varnosti,

—	vodenja evidenc,

—	prostorov in osebja,

—	tehničnega nadzora,

—	skladnosti in revizije;

(d)	opisom, kako so izpolnjene zahteve glede interoperabilnosti ter minimalne tehnične zahteve in zahteve glede operativne varnosti;

(e)

seznamom vse predložene podporne dokumentacije in izjavo, v kateri je opredeljeno, na katere od zgoraj navedenih elementov se nanašajo, vključno s sklici na vso nacionalno zakonodajo, ki zadeva zagotavljanje elektronske identifikacije v zvezi s priglasitvijo, ter ustreznimi revizijskimi poročili, izjavami o praksi certificiranja in poročili o preizkusih;

(f)	ustreznimi dokumenti in informacijami v zvezi s certificiranjem sheme elektronske identifikacije v skladu s členom 12a(1) in, kadar je to ustrezno, členom 12a(5) Uredbe (EU) št. 910/2014.

PRILOGA III

Predloga za dokument o evidentiranju okvira interoperabilnosti

Zahteve glede interoperabilnosti

Člen Izvedbene uredbe Komisije (EU) 2015/1501

Zahteva

Opis

Določitev nacionalnih ravni zanesljivosti

Določitev nacionalnih ravni zanesljivosti priglašenih shem elektronske identifikacije izpolnjuje zahteve iz Izvedbene uredbe (EU) 2015/1502. Rezultati določitve bodo priglašeni Komisiji z uporabo predloge za priglasitev iz Izvedbenega sklepa (EU) 2015/1984.

Vozlišča

1.	Vozlišče v eni državi članici se lahko poveže z vozlišči drugih držav članic.

2.	Vozlišča imajo sposobnost, da s tehničnimi sredstvi razlikujejo med organi javnega sektorja in drugimi zanašajočimi se strankami.

3.	Izvajanje tehničnih zahtev iz te uredbe v posamezni državi članici drugim državam članicam ne povzroča nesorazmernih tehničnih zahtev in stroškov zaradi sodelovanja pri izvajanju interoperabilnosti, ki jo je sprejela prva država članica.

Zasebnost in zaupnost podatkov

1.	Varstvo zasebnosti in zaupnosti izmenjanih podatkov ter ohranjanje celovitosti podatkov med vozlišči se zagotavlja z uporabo najboljših razpoložljivih tehničnih rešitev in varstvenih postopkov.

2.	Vozlišča ne hranijo osebnih podatkov, razen za namene iz člena 9(3) Izvedbene uredbe (EU) 2015/1501.

Celovitost in avtentičnost podatkov pri prenosu

Pri prenosu podatkov med vozlišči se zagotavljata celovitost in avtentičnost podatkov, s čimer se zagotovi, da so vsi zahtevki in odgovori avtentični ter da se vanje ni nepooblaščeno posegalo. Za ta namen vozlišča uporabljajo rešitve, ki so bile uspešno uporabljene pri čezmejni operativni uporabi.

Format sporočila za prenos podatkov

Vozlišča za sintakso uporabljajo skupne formate sporočil, ki temeljijo na standardih, ki so jih države članice že večkrat uporabile in dokazano delujejo v okolju izvajanja.

Sintaksa omogoča:

(a)	pravilno obdelavo minimalnega niza identifikacijskih podatkov osebe, ki enolično predstavljajo fizično ali pravno osebo;

(b)	pravilno obdelavo ravni zanesljivosti sredstva za elektronsko identifikacijo;

(c)	razlikovanje med organi javnega sektorja in drugimi zanašajočimi se strankami;

(d)	prožnost v primeru potreb po dodatnih značilnostih v zvezi z identifikacijo.

Upravljanje zaupnih podatkov in metapodatkov

1.	Operater vozlišča sporoči metapodatke o upravljanju vozlišča v standardizirani obliki, primerni za strojno obdelavo, na varen in zaupanja vreden način.

2.	Najmanj parametri v zvezi z varnostjo se prikličejo samodejno.

Operater vozlišča hrani podatke, s katerimi se v primeru incidenta lahko rekonstruira zaporedje izmenjanih sporočil, da se ugotovi kraj in narava incidenta. Podatki se hranijo v časovnem obdobju, ki je v skladu z nacionalnimi zahtevami, in vsebujejo najmanj naslednje elemente:

(a)

vozlišča;

(b)	identifikacijo sporočila;

(c)	datum in uro sporočila.

Informacijska varnost in varnostni standardi

1.	Operaterji vozlišč, ki zagotavljajo avtentikacijo, na podlagi izdajanja potrdil ali enakovrednih metod ocenjevanja ali usklajenosti z nacionalno zakonodajo dokažejo, da vozlišče izpolnjuje zahteve standarda ISO/IEC 27001 glede na vozlišča, ki sodelujejo v interoperabilnostnem okviru.

2.	Operaterji vozlišč brez nepotrebnega odlašanja izvajajo nujne varnostne posodobitve.

Identifikacijski podatki osebe

1.	Kadar se uporablja čezmejno, minimalni niz identifikacijskih podatkov osebe, ki enolično predstavljajo fizično ali pravno osebo, izpolnjuje zahteve iz Priloge k Izvedbeni uredbi (EU) 2015/1501.

2.	Kadar se uporablja čezmejno, minimalni podatkovni niz za fizično osebo, ki zastopa pravno osebo, vsebuje kombinacijo značilnosti iz Priloge k Izvedbeni uredbi (EU) 2015/1501 za fizične in pravne osebe.

3.	Podatki se prenašajo na podlagi prvotnih znakov in se, kadar je to ustrezno, tudi prečrkujejo v latinico.