Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32025R1567

Kommissionens genomförandeförordning (EU) 2025/1567 av den 29 juli 2025 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans och av kvalificerade anordningar för skapande av elektroniska stämplar på distans som kvalificerade betrodda tjänster

C/2025/5044

EUT L, 2025/1567, 30.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj

European flag

Europeiska unionens
officiella tidning

SV

L-serien

2025/1567

30.7.2025

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/1567

av den 29 juli 2025

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans och av kvalificerade anordningar för skapande av elektroniska stämplar på distans som kvalificerade betrodda tjänster

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artiklarna 29a.2 och 39a, och

av följande skäl:

(1)

Kvalificerade betrodda tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans och för förvaltning av kvalificerade anordningar för skapande av elektroniska stämplar på distans spelar en avgörande roll i den digitala affärsmiljön genom att främja övergången från traditionella pappersbaserade förfaranden till elektroniska motsvarigheter. Dessa kvalificerade betrodda tjänster bidrar till en säker och tillförlitlig förvaltning av dessa anordningar på distans för undertecknarna och skaparna av stämplar, på ett sätt som garanterar att villkoren för kvalificerade elektroniska underskrifter och kvalificerade elektroniska stämplar uppfylls.

(2)

För att öka rättssäkerheten och tillförlitligheten hos kvalificerade betrodda tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans och kvalificerade betrodda tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska stämplar på distans bör kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller dessa kvalificerade tjänster uppfylla de standarder som fastställs i denna förordning.

(3)

Dessa standarder bör återspegla etablerad praxis och vara allmänt erkända inom de relevanta sektorerna. De bör anpassas så att de omfattar kontroller som säkerställer de kvalificerade betrodda tjänsternas säkerhet och tillförlitlighet samt säkerställer att undertecknarna har ensam kontroll, med en hög grad av tillförlitlighet, över användningen av sina uppgifter för skapande av elektroniska underskrifter, respektive att skaparna av stämpeln har kontroll över användningen av sina uppgifter för skapande av elektroniska stämplar.

(4)

I syfte att säkerställa en lämplig tidsram för revision av tillhandahållare av betrodda tjänster vad gäller överensstämmelse med de nya kraven bör denna förordning börja tillämpas 24 månader efter att den har trätt i kraft.

(5)

Kommissionen utvärderar regelbundet ny teknik samt nya metoder, standarder eller tekniska specifikationer. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (2) bör kommissionen vid behov se över och uppdatera denna förordning för att hålla den i linje med den globala utvecklingen, ny teknik samt nya standarder eller tekniska specifikationer och för att följa praxis på den inre marknaden.

(6)

Europaparlamentets och rådets förordning (EU) 2016/679 (3) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (4) är tillämpliga på all behandling av personuppgifter i enlighet med denna förordning.

(7)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (5) och avgav ett yttrande den 6 juni 2025.

(8)

De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Referensstandarder och specifikationer

Referensstandarderna och specifikationerna för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans och av kvalificerade anordningar för skapande av elektroniska stämplar på distans som kvalificerade betrodda tjänster enligt artikel 29a.2 och artikel 39a i förordning (EU) nr 910/2014 anges i bilagan till den här förordningen.

Artikel 2

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 19 augusti 2027.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 29 juli 2025.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1)   EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

BILAGA

Förteckning över referensstandarder och specifikationer för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans och av kvalificerade anordningar för skapande av elektroniska stämplar på distans

Standarden Etsi TS 119 431-1 V1.3.1 (2024-12) (Etsi TS 119 431-1) gäller för bedömning av överensstämmelse med policyn EU Server Signing Application Service v2 i enlighet med bilaga A till den standarden, med följande anpassningar:

1.

2.1 Normativa hänvisningar

[1] Etsi EN 319 401 V3.1.1 (2024-06): Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers.

[7] Europeiska gruppen för cybersäkerhetscertifiering, undergruppen för kryptografi: Agreed Cryptographic Mechanisms, offentliggjord av Europeiska unionens cybersäkerhetsbyrå (Enisa(1).

2.

6.1 Ansvar för offentliggörande och datakatalog

OVR-6.1-04: Den information som anges i OVR-6.1-01 ovan ska vara offentligt och internationellt tillgänglig.

3.

6.4.4 Personalkontroller

OVR-6.4.4-02: Tjänsteleverantören för serversigneringsapplikationen ska anställa personal i betrodda roller och, i tillämpliga fall, underleverantörer i betrodda roller, som har nödvändig expertkunskap och erfarenhet och nödvändiga kvalifikationer genom formell utbildning och meriter, eller erfarenhet, eller en kombination av dessa.

OVR-6.4.4-03: Överensstämmelse med OVR-6.4.4-02 ska omfatta regelbundna (minst var tolfte månad) uppdateringar om nya hot och aktuella säkerhetsrutiner.

4.

6.4.9 Upphörande av tjänsten från tjänsteleverantören för serversigneringsapplikationen

OVR-6.4.9-02: Planen för verksamhetens upphörande från tjänsteleverantören för serversigneringsapplikationen ska överensstämma med de genomförandeakter som antagits i enlighet med artikel 24.5 i förordning (EU) nr 910/2014 [i.1].

5.

6.5.5 Nätverkssäkerhetskontroller

OVR-6.5.5-02: Den sårbarhetsskanning som krävs enligt REQ-7.8-13 i Etsi EN 319 401 [1] ska utföras minst en gång per kvartal.

OVR-6.5.5-03: Brandväggar ska konfigureras så att de förhindrar alla protokoll och åtkomster som inte krävs för driften av tillhandahållaren av betrodda tjänster.

6.

6.8.5 Kryptografiska kontroller

OVR-6.8.5-01: Lämpliga säkerhetskontroller ska finnas för hanteringen av alla krypteringstekniker tillhörande tjänsteleverantören för serversigneringsapplikationen under hela deras livscykel.

OVR-6.8.5-02: När det gäller OVR-6.8.5-01 ska tjänsteleverantören av serversigneringsapplikationen välja och använda lämpliga kryptografiska tekniker som överensstämmer med Agreed Cryptographic Mechanisms som godkänts av den europeiska gruppen för cybersäkerhetscertifiering och offentliggjorts av Enisa [7].

7.

Bilaga A, avsnitt A.3 Allmänna krav

OVR-A.3-02 [EUSPv2]: Förklaringen om praxis från tillhandahållaren av betrodda tjänster ska innehålla en hänvisning till certifieringen av den anordning för skapande av kvalificerade underskrifter som används i enlighet med kraven i förordning (EU) nr 910/2014 [i.1], bilaga II.

(1)   https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.

ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj

ISSN 1977-0820 (electronic edition)

Top