Uradni list
Evropske unije
SL
Serija L
|
|
Uradni list |
SL Serija L |
|
2026/798 |
8.4.2026 |
IZVEDBENA UREDBA KOMISIJE (EU) 2026/798
z dne 7. aprila 2026
o določitvi pravil za uporabo Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta glede referenčnih standardov in specifikacij za pristop uporabnikov k uporabi evropskih denarnic za digitalno identiteto na daljavo s sredstvi elektronske identifikacije, ki izpolnjujejo srednjo raven zanesljivosti, v povezavi z dodatnimi postopki pristopa na daljavo, kadar kombinacija izpolnjuje zahteve glede visoke ravni zanesljivosti
EVROPSKA KOMISIJA JE –
ob upoštevanju Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (1) in zlasti člena 5a(24) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Pristop uporabnikov k uporabi evropskih denarnic za digitalno identiteto (v nadaljnjem besedilu: denarnice) je ključni korak pri preverjanju identitete uporabnikov denarnic ter povezovanju osebnih identifikacijskih podatkov uporabnikov z njihovimi denarnicami in uporabniško napravo, na kateri so nameščene enote denarnice. |
|
(2) |
Za spodbujanje visoke ravni zaupanja in varnosti ter harmoniziranega pristopa v državah članicah za pristop uporabnikov k uporabi denarnic s postopki pristopa na daljavo s sredstvi elektronske identifikacije, ki izpolnjujejo srednjo raven zanesljivosti, ta izvedbeni akt določa specifikacije in postopke za olajšanje pristopa uporabnikov k uporabi evropske denarnice za digitalno identiteto s sredstvi elektronske identifikacije, ki izpolnjujejo srednjo raven zanesljivosti, v povezavi z dodatnimi postopki pristopa na daljavo, kadar skupaj izpolnjujejo zahteve glede visoke ravni zanesljivosti. |
|
(3) |
Ti standardi bi morali odražati uveljavljene prakse in biti splošno priznani v ustreznih sektorjih. Prilagoditi bi jih bilo treba tako, da bi vključevali zahteve, ki zagotavljajo varnost in zanesljivost pristopa uporabnikov. |
|
(4) |
Izvedbena uredba Komisije (EU) 2015/1502 (2) določa, da kadar so sredstva elektronske identifikacije izdana z visoko ravnjo zanesljivosti in ob upoštevanju tveganj za spremembo identifikacijskih podatkov osebe, se ne zahteva ponavljanje postopkov za dokazovanje in preverjanje identitete. Države članice morajo zato za namene te uredbe v takem primeru uporabljati sredstva elektronske identifikacije z visoko ravnjo zanesljivosti, tudi za postopek pristopa. |
|
(5) |
Kadar uporabniki v državah članicah uporabljajo denarnice s sredstvi elektronske identifikacije, ki niso bila priglašena Komisiji, bi moral raven zanesljivosti tega sredstva potrditi organ za ugotavljanje skladnosti, opredeljen v členu 2(13) Uredbe (ES) št. 765/2008 Evropskega parlamenta in Sveta (3), ali enakovreden organ in dokazati, da so rezultati tega predhodnega postopka izdaje sredstva elektronske identifikacije še vedno veljavni. |
|
(6) |
Čeprav Priloga določa zahteve, ki jih je treba izpolniti za določeno raven dokazovanja identitete, ki jo je treba doseči, to še ne pomeni enakovrednosti v zvezi z ravnjo zanesljivosti, kot je opredeljena v členu 8 Uredbe (EU) št. 910/2014. Zato bi bilo treba šteti, da zahteve iz Priloge izvajajo zahteve iz Izvedbene uredbe (EU) 2015/1502, izpolnjevati pa jih mora ponudnik identifikacijskih podatkov osebe ali subjekt, ki opravlja storitve dokazovanja identitete v imenu navedenega ponudnika. |
|
(7) |
Komisija redno ocenjuje nove tehnologije, prakse in tehnične specifikacije. V skladu z uvodno izjavo 75 Uredbe (EU) 2024/1183 Evropskega parlamenta in Sveta (4) bi morala Komisija pregledovati in po potrebi posodabljati to izvedbeno uredbo, da bi bila usklajena s svetovnim razvojem, novimi tehnologijami, standardi ali tehničnimi specifikacijami ter sledila najboljšim praksam na notranjem trgu, zlasti kar zadeva pristop uporabnikov k uporabi denarnice. |
|
(8) |
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (5) ter, kadar je to ustrezno, Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta (6) in Direktiva 2002/58/ES Evropskega parlamenta in Sveta (7) se uporabljajo za dejavnosti obdelave osebnih podatkov na podlagi te uredbe. |
|
(9) |
V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 30. januarja 2026 (8). |
|
(10) |
Odbor, ustanovljen s členom 48 Uredbe (EU) št. 910/2014, ni podal mnenja v roku, ki ga je določil njegov predsednik – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Referenčni standardi in specifikacije iz člena 5a(24) Uredbe (EU) št. 910/2014 so določeni v Prilogi k tej uredbi.
Člen 2
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 7. aprila 2026
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 257, 28.8.2014, str. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Izvedbena uredba Komisije (EU) 2015/1502 z dne 8. septembra 2015 o določitvi minimalnih tehničnih specifikacij in postopkov za ravni zanesljivosti za sredstva elektronske identifikacije v skladu s členom 8(3) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (UL L 235, 9.9.2015, str. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
(3) Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(4) Uredba (EU) 2024/1183 Evropskega parlamenta in Sveta z dne 11. aprila 2024 o spremembi Uredbe (EU) št. 910/2014 v zvezi z vzpostavitvijo evropskega okvira za digitalno identiteto (UL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Uradne pripombe ENVP k osnutku izvedbene uredbe Komisije o pristopu uporabnikov k uporabi evropskih denarnic za digitalno identiteto.
PRILOGA
Seznam referenčnih standardov in specifikacij
Skladnost se oceni na podlagi določb ETSI TS 119 461 V2.1.1 (2025-02), navedenih v oddelku 1, ob upoštevanju prilagoditev, navedenih v oddelku 2.
Oddelek 1 – Veljavne določbe
|
– |
5 |
Ocena operativnega tveganja; |
|
– |
6 |
Politike in prakse; |
|
– |
7 |
Upravljanje in delovanje storitve dokazovanja identitete; |
|
– |
8 |
Zahteve glede storitve dokazovanja identitete; |
|
– |
9.1 |
Uvod, skladnost s tem dokumentom, splošne zahteve za vse primere uporabe; |
|
– |
9.2.2 |
Primeri uporabe osebnega dokumenta za nadzorovano dokazovanje identitete na daljavo; |
|
– |
9.2.3 |
Primeri uporabe osebnega dokumenta za nenadzorovano dokazovanje identitete na daljavo; |
|
– |
9.2.4 |
Primer uporabe za dokazovanje identitete z avtentikacijo, ki temelji na uporabi sredstev elektronske identifikacije; |
|
– |
9.5 |
Primeri uporabe za dodatno dokazovanje identitete, da se zviša raven dokazovanja identitete s prehodom iz osnovne na razširjeno raven dokazovanja. |
Oddelek 2 – Prilagoditve
|
(1) |
5 |
Ocena operativnega tveganja |
|
|
|
– |
OVR-5-01: Uporabljajo se zahteve iz določbe 5 ETSI EN 319 401 [1]. |
|
|
– |
|
||
|
(2) |
6.1 |
Izjava o politiki storitve dokazovanja identitete |
|
|
|
– |
OVR-6.1-02: Ponudnik storitev za dokazovanje identitete v svoji izjavi o politiki opredeli primere uporabe, za katere se zahteva skladnost s tem dokumentom. |
|
|
– |
|
||
|
(3) |
7.9 |
Ranljivosti in obvladovanje incidentov |
|
|
|
– |
OVR-7.9-02: Obveznosti poročanja iz ETSI EN 319401 [1] REQ-7.9.2-02X in določbe 7.9.3 se izpolnijo v skladu z zahtevami okvira za dokazovanje identitete in obveznostmi ponudnika identifikacijskih podatkov osebe, ki se zanaša na storitev ponudnika storitev za dokazovanje identitete. |
|
|
– |
PRIMER: Poročanje nadzornemu organu, ki nadzoruje ponudnika evropskih denarnic za digitalno identiteto s sedežem v državi članici, ki ga je imenovala, lahko poteka v sodelovanju med ponudnikom storitev za dokazovanje identitete in ponudnikom identifikacijskih podatkov osebe. |
||
|
(4) |
7.10 |
Zbiranje dokazov |
|
|
|
– |
OVR-7.10-01: Uporabljajo se zahteve iz določbe 7.10 ETSI EN 319 401 [1]. |
|
|
– |
|
||
|
– |
|
||
|
(5) |
7.11 |
Upravljanje neprekinjenega poslovanja |
|
|
|
– |
OVR-7.11-02: Postopki za krizno upravljanje iz ETSI EN 319401 [1] REQ-7.11.3-01X ustrezajo zahtevam okvira za dokazovanje identitete in obveznostim ponudnika identifikacijskih podatkov osebe, ki se zanaša na storitev ponudnika storitev za dokazovanje identitete. |
|
|
(6) |
7.12 |
Prenehanje in načrti za prenehanje zagotavljanja storitve |
|
|
|
– |
OVR-7.12-01: Uporabljajo se zahteve iz določbe 7.12 ETSI EN 319401 [1], razen REQ-7.12-11. |
|
|
– |
|
||
|
(7) |
8.1 |
Začetek |
|
|
|
– |
INI-8.1-05: Če je postopek dokazovanja identitete na daljavo prekinjen ali neuspešen, ponudnik storitev za dokazovanje identitete zagotovi, da posamezniki prejmejo zadostna pojasnila in pravna sredstva, zlasti v primeru nenadzorovanega dokazovanja identitete na daljavo. Informacije bi morale posameznikom omogočiti, da učinkovito prispevajo k hitri rešitvi težave in po potrebi v razmerju do ustreznega upravljavca uveljavljajo svoje pravice, ki jih imajo kot posamezniki, na katere se nanašajo osebni podatki, kot sta pravica do popravka ali možnost izpodbijanja odločbe. |
|
|
(8) |
8.2.1 |
Splošne zahteve |
|
|
|
– |
COL-8.2.1-08: Ponudnik storitev za dokazovanje identitete izvaja ukrepe za zagotovitev skladnosti z zahtevami glede vgrajenega in privzetega varstva podatkov v skladu s členom 25 Uredbe (EU) 2016/679 med postopkom pristopa, zlasti v zvezi z obdelavo biometričnih podatkov. Ustrezni ukrepi lahko vključujejo zadosten kriptografski nadzor, naprave in organizacijske ukrepe, ki izboljšujejo zasebnost. S temi ukrepi bi bilo treba zbiranje podatkov omejiti na to, kar je nujno potrebno za obdelavo biometričnih podatkov in vseh drugih osebnih podatkov, ki jih je treba zbrati iz fizičnih in digitalnih virov identifikacije za povezovanje osebnih identifikacijskih podatkov uporabnikov z njihovimi denarnicami in napravo, na kateri je nameščena enota denarnice. |
|
|
(9) |
8.2.4 |
Uporaba obstoječih sredstev elektronske identifikacije kot dokaz |
|
|
|
– |
[POGOJNO] COL-8.2.4-02X: Če je cilj osnovna raven dokazovanja identitete, je treba sredstva elektronske identifikacije priglasiti vsaj za srednjo raven zanesljivosti iz eIDAS ali pa mora njihovo raven zanesljivosti potrditi akreditirani organ za ugotavljanje skladnosti, opredeljen v členu 2(13) Uredbe (ES) št. 765/2008, ali enakovreden organ in če so izpolnjene vse veljavne zahteve, se na podlagi ocene izda certifikat o skladnosti, ki temelji na certifikacijski presoji. Ta formalni postopek certificiranja mora temeljiti na postopku ocenjevanja varnosti, ki se nanaša na ravni zanesljivosti, opredeljene za priglašena sredstva elektronske identifikacije ali certificirane evropske denarnice za digitalno identiteto v skladu z Uredbo (EU) št. 910/2014 [i.25]. |
|
|
– |
COL-8.2.4-02A: neveljavno. |
||
|
(10) |
8.3.1 |
Splošne zahteve |
|
|
|
– |
VAL-8.3.1-11X: S postopkom dokazovanja identitete se preveri, ali so dokazila v času dokazovanja identitete veljavna. |
|
|
(11) |
8.3.3 |
Potrjevanje fizičnega identifikacijskega dokumenta |
|
|
|
– |
VAL-8.3.3-21: Učinkovitost ukrepov za izpolnjevanje zahtev VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A in VAL-8.3.3-07X potrdi akreditirani organ za ugotavljanje skladnosti, opredeljen v členu 2(13) Uredbe (ES) št. 765/2008, ali enakovreden organ. |
|
|
– |
VAL-8.3.3-22: Referenčno podobo obraza iz fizičnega identifikacijskega dokumenta je treba zajeti z uporabo komunikacije v bližnjem polju, v okviru postopka pa je treba izvesti pasivno ali aktivno avtentikacijo čipa na fizičnem identifikacijskem dokumentu. |
||
|
(12) |
9.1 |
Uvod, skladnost s tem dokumentom, splošne zahteve za vse primere uporabe |
|
|
|
– |
USE-9.1-01X: Da bi bil postopek dokazovanja identitete v skladu s tem dokumentom, mora biti v skladu s primerom uporabe iz določbe 9.5 tega dokumenta za razširjeno raven dokazovanja identitete. |
|
|
– |
USE-9.1-03X: neveljavno. |
||
|
(13) |
9.2.3.4 |
Primer uporabe za avtomatizirano delovanje |
|
|
|
– |
USE-9.2.3.4-04: Ponudnik storitev za dokazovanje identitete določi ciljne vrednosti za delež napačnih odobritev (FAR) in delež napačnih zavrnitev (FRR) na podlagi analize tveganja in postopka zbiranja obveščevalnih podatkov o grožnjah v skladu z metodologijo, določeno v poročilu agencije ENISA Metodologija za sektorske ocene kibernetske varnosti [i.28], ali enakovredno metodologijo v popolnoma avtomatiziranih postopkih dokazovanja identitete. Ciljne vrednosti, ki jih uporablja ponudnik storitev za dokazovanje identitete, morajo biti enake ali nižje kot tiste, ki so določene za primere hibridne uporabe, kadar obstajajo. Ponudnik storitev za dokazovanje identitete dosledno vzdržuje te ciljne vrednosti za delež napačnih odobritev in delež napačnih zavrnitev, pri čemer si pomaga z analizo tveganja in svojim postopkom zbiranja obveščevalnih podatkov o grožnjah. |
|
|
(14) |
9.5.1 |
Splošne zahteve |
|
|
|
– |
Prvi odstavek: Kadar je prosilec fizična oseba, vključno s fizično osebo, ki zastopa pravno osebo, in je bila identiteta prosilca dokazana na osnovni ravni dokazovanja identitete s sredstvi avtentikacije, ki temeljijo na uporabi elektronske identifikacije, ter jo je zdaj treba nagraditi na razširjeno raven dokazovanja identitete, se uporabljajo naslednje zahteve. |
|
|
– |
USE-9.5.1-08: Dodatno dokazovanje identitete, ki je potrebno za zvišanje zanesljivosti identitete, se uporablja samo za elektronsko identifikacijo, ki ni bila izdana na podlagi avtomatizirane primerjave slik obraza za prvotni postopek izdaje. |
||
|
(15) |
9.5.2 |
Primer uporabe za zvišanje ravni dokazovanja identitete na razširjeno raven dokazovanja identitete s popolnim dokazovanjem identitete z uporabo identifikacijskega dokumenta |
|
|
|
– |
USE-9.5.2-01: Zvišanje ravni dokazovanja identitete z osnovne na razširjeno raven dokazovanja identitete je v skladu z zahtevami glede razširjene ravni dokazovanja identitete iz enega od primerov uporabe, opisanih v določbah 9.2.2 ali 9.2.3 tega dokumenta za razširjeno raven dokazovanja identitete. |
|
|
(16) |
9.5.3 |
Primer uporabe za zvišanje ravni dokazovanja identitete na razširjeno raven dokazovanja identitete z uporabo predhodno zajete referenčne podobe obraza |
|
|
|
– |
USE-9.5.3-01: Za zajem referenčne podobe obraza in povezovanje potrebnih atributov identitete z njo se uporabi postopek dokazovanja identitete, ki izpolnjuje zahteve glede razširjene ravni dokazovanja identitete iz enega od primerov uporabe, opisanih v določbah 9.2.2 ali 9.2.3 tega dokumenta, ali postopek dokazovanja identitete, ki ga je strokovno pregledal ali potrdil akreditirani organ za ugotavljanje skladnosti, opredeljen v členu 2(13) Uredbe (ES) št. 765/2008, ali enakovreden organ, da se zagotovi skladnost z visoko ravnjo zanesljivosti v skladu z Uredbo (EU) št. 910/2014 [i.25]. |
ELI: http://data.europa.eu/eli/reg_impl/2026/798/oj
ISSN 1977-0804 (electronic edition)