Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32025R2162

Kommissionens genomförandeförordning (EU) 2025/2162 av den 27 oktober 2025 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller ackreditering av organ för bedömning av överensstämmelse som utför bedömning av kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, rapporten om bedömning av överensstämmelse och systemet för bedömning av överensstämmelse

C/2025/7180

EUT L, 2025/2162, 28.10.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/2162/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2025/2162/oj

European flag

Europeiska unionens
officiella tidning

SV

L-serien

2025/2162

28.10.2025

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/2162

av den 27 oktober 2025

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller ackreditering av organ för bedömning av överensstämmelse som utför bedömning av kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, rapporten om bedömning av överensstämmelse och systemet för bedömning av överensstämmelse

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 20.4, och

av följande skäl:

(1)

Enligt artiklarna 20.1 och 21.1 i förordning (EU) nr 910/2014 ska kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller granskas av organ för bedömning av överensstämmelse. De resulterande rapporterna om bedömning av överensstämmelse bekräftar huruvida kraven i den förordningen och i artikel 21 i Europaparlamentets och rådets direktiv (EU) 2022/2555 (2) är uppfyllda. Det är därför nödvändigt att inrätta en harmoniserad och robust ram för ackreditering av organ för bedömning av överensstämmelse, de system för bedömning av överensstämmelse som de genomför, de bedömningar av överensstämmelse som de utför i enlighet med dessa system och de resulterande rapporterna om bedömning av överensstämmelse.

(2)

Ackrediteringen av de organ för bedömning av överensstämmelse som bedömer kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, rapporten om bedömning av överensstämmelse och systemet för bedömning av överensstämmelse bör uppfylla kraven i denna förordning. Organen för bedömning av överensstämmelse kan uppfylla dessa krav antingen oberoende av varandra, genom användning av sammansatt certifiering, eller genom underentreprenad till vederbörligen ackrediterade enheter.

(3)

De organ för bedömning av överensstämmelse som ackrediterats för att bedöma kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller vad gäller utfärdande av kvalificerade elektroniska attributsintyg bör tillåtas att utfärda den rapport om bedömning av överensstämmelse som krävs enligt artikel 45f.3 i förordning (EU) nr 910/2014.

(4)

För att bidra till insynen i ackrediteringsprocessen bör det ackrediteringsintyg som utfärdas till ett organ för bedömning av överensstämmelse i enlighet med artikel 5 i Europaparlamentets och rådets förordning (EG) nr 765/2008 (3) innehålla tillräcklig information för att tredje parter ska kunna kontrollera att det ackrediterade organet för bedömning av överensstämmelse är behörigt att utföra en bedömning av överensstämmelse enligt förordning (EU) nr 910/2014.

(5)

För att upprätthålla ackrediteringsintygens integritet och korrekthet bör de nationella ackrediteringsorganen säkerställa att dessa intyg återspeglar aktuell information.

(6)

För att säkerställa ackrediteringsprocessens integritet får det ackrediteringsintyg som utfärdas till ett organ för bedömning av överensstämmelse när som helst tillfälligt upphävas eller återkallas för varje kvalificerad betrodd tjänst som organet för bedömning av överensstämmelse har ackrediterats för att bedöma. Tillfälligt upphävande eller återkallande kan ske efter det att det nationella ackrediteringsorganet har ålagt sanktioner, eller frivilligt av organet för bedömning av överensstämmelse självt.

(7)

I syfte att harmonisera denna ackrediteringsram bör denna förordning baseras på etablerade standarder som återspeglar etablerade metoder och är allmänt erkända inom de berörda sektorerna.

(8)

För att öka insynen bör organen för bedömning av överensstämmelse offentliggöra de intyg om överensstämmelse som de utfärdar. Intygen om överensstämmelse bekräftar de positiva certifieringsbeslut som fattats av organen för bedömning av överensstämmelse. Det är dock endast tillsynsorganet som beviljar tillhandahållaren av betrodda tjänster, och de betrodda tjänster som den tillhandahåller, status som kvalificerad, eller återkallar den.

(9)

För att bedöma om kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller uppfyller kraven i förordning (EU) nr 910/2014 och artikel 21 i direktiv (EU) 2022/2555 bör organen för bedömning av överensstämmelse använda ett system för bedömning av överensstämmelse. Organen för bedömning av överensstämmelse bör tillämpa standarder som referensvärden för att bedöma kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, med beaktande av de versioner och anpassningar av dessa standarder som fastställs i de tjänstespecifika genomförandeakter som grundar sig på förordning (EU) nr 910/2014. Dessa standarder bör återspegla etablerad praxis och vara allmänt erkända inom de relevanta sektorerna.

(10)

I systemen för bedömning av överensstämmelse fastställs de regler och förfaranden som ska användas av organen för bedömning av överensstämmelse vid deras bedömningar av kvalificerade tillhandahållare av betrodda tjänster och av de kvalificerade betrodda tjänster som de tillhandahåller. De systemen utvärderas i förhållande till kraven i denna förordning av de nationella ackrediteringsorganen. Innehållet i sådana system ändras med tiden. För att underlätta tillämpningen av på varandra följande versioner av systemen för bedömning av överensstämmelse bör de ackrediterade organen för bedömning av överensstämmelse införa ett särskilt förfarande för att hantera hur det system för vilket de är ackrediterade utvecklas.

(11)

För att övervaka utvecklingen och underhållet av systemen för bedömning av överensstämmelse bör varje system för bedömning av överensstämmelse tilldelas en systemägare. Systemägaren kan vara ett organ för bedömning av överensstämmelse, ett statligt organ eller en statlig myndighet, en branschorganisation, en grupp organ för bedömning av överensstämmelse eller ett annat lämpligt organ eller grupp av organ, och kan vara ett annat organ än det organ för bedömning av överensstämmelse som driver systemet.

(12)

För att säkerställa kontinuiteten i de tjänster som organen för bedömning av överensstämmelse tillhandahåller bör ackrediteringen av dem fortsätta att gälla för tidigare versioner av standarder som det hänvisas till i systemet för bedömning av överensstämmelse. I dessa fall bör organen för bedömning av överensstämmelse uttryckligen hänvisa till dessa tidigare versioner av standarderna, inklusive år och versionsnummer.

(13)

För att öka flexibiliteten bör de nationella ackrediteringsorganen tillåtas erbjuda ackreditering med flexibel omfattning som gör det möjligt för organen för bedömning av överensstämmelse att under särskilda omständigheter inkludera ytterligare verksamhet i ackrediteringens omfattning utan att det nationella ackrediteringsorganet behöver göra en utvärdering. Vid utformningen av ackrediteringen med flexibel omfattning beaktar de nationella ackrediteringsorganen ackrediteringen med flexibel omfattning som fastställts av den europeiska samarbetsorganisationen för ackreditering, som utsetts i enlighet med förordning (EG) nr 765/2008. Om de nationella ackrediteringsorganen tillåter organen för bedömning av överensstämmelse att använda sådan ackreditering med flexibel omfattning, bör de ange detta i ackrediteringsintyget av öppenhetsskäl. För att öka flexibiliteten även i de fall då de nationella ackrediteringsorganen inte erbjuder ackreditering med flexibel omfattning bör de noggrant, innan de gör en ny utvärdering av det ackrediterade organet för bedömning av överensstämmelse, överväga effekterna av de ändringar av systemet för bedömning av överensstämmelse för vilka det organet har ackrediterats.

(14)

Vad gäller kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, bör systemägarna, för att säkerställa att systemen för bedömning av överensstämmelse är tillförlitliga, säkerställa att det i deras system för bedömning av överensstämmelse inte tillåts att positiva certifieringsbeslut, eller intyg om överensstämmelse, utfärdas, om bedömningen av överensstämmelse leder till fastställande av bristande överensstämmelse med kraven i förordning (EU) nr 910/2014, eller med artikel 21 i direktiv (EU) 2022/2555. Även om rapporterna om bedömning av överensstämmelse kan inkludera brister i överensstämmelse och potentiella saneringsplaner, bör inget intyg om överensstämmelse eller ett positivt certifieringsbeslut utfärdas om bristande överensstämmelse konstateras.

(15)

För att insyn i systemägarnas metoder ska säkerställas bör de offentliggöra en sammanfattning av sina system för bedömning av överensstämmelse. Sammanfattningen bör innehålla en beskrivning av uppsättningen regler och förfaranden som ska följas för att bedöma om kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller överensstämmer med kraven som fastställs i förordning (EU) nr 910/2014 och i artikel 21 i direktiv (EU) 2022/2555.

(16)

För att främja kvaliteten, säkerheten och tillförlitligheten hos den verksamhet som bedrivs av den kvalificerade tillhandahållaren av betrodda tjänster bör rapporten om bedömning av överensstämmelse, när så är lämpligt, identifiera möjligheter till förbättringar i syfte att förfina hur den kvalificerade tillhandahållaren av betrodda tjänster, och de kvalificerade betrodda tjänster som den tillhandahåller, uppfyller de tillämpliga kraven.

(17)

För att främja öppenhet och underlätta tillsynsorganens kontroll av att en bedömd kvalificerad tillhandahållare av betrodda tjänster, och de kvalificerade betrodda tjänster som den tillhandahåller, uppfyller de tillämpliga kraven bör rapporten om bedömning av överensstämmelse innehålla viss minimiinformation. För att underlätta identifieringen av de tjänsteposter som ska förtecknas i den nationella förteckningen över betrodda tjänsteleverantörer i enlighet med artikel 22 i förordning (EU) nr 910/2014 bör i synnerhet, i tillämpliga fall, en detaljerad beskrivning av den funktionella hierarkin för infrastrukturen för kryptering med öppen nyckel, per typ av kvalificerad betrodd tjänst, tillhandahållas i rapporten om bedömning av överensstämmelse.

(18)

För att främja öppenhet, och underlätta kontroll och övervakning, i samband med ackreditering av organ för bedömning av överensstämmelse i enlighet med förordning (EU) nr 910/2014 bör de nationella ackrediteringsorganen, i tillämpliga fall, tillhandahålla en historik över ackrediteringens omfattning, inbegripet start- och, i tillämpliga fall, slutdatumet för ackrediteringen för varje kvalificerad betrodd tjänst.

(19)

För att säkerställa kontinuitet för de organ för bedömning av överensstämmelse som redan har ackrediterats, och för att stödja övergången till de regler som fastställs i denna förordning, skulle de organ för bedömning av överensstämmelse som för närvarande är ackrediterade enligt standarden Etsi EN 319 403 version 2.2.2, eller en tidigare version av denna, inte behöva omackrediteras enligt förordning (EU) nr 910/2014 förrän den 17 maj 2027. Efter detta datum bör det nationella ackrediteringsorganet utvärderas i förhållande till kraven i denna förordning av organen för bedömning av överensstämmelse.

(20)

Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (4) bör kommissionen vid behov se över och uppdatera denna genomförordning för att hålla den i linje med den globala utvecklingen, ny teknik samt nya standarder eller tekniska specifikationer och för att följa bästa praxis på den inre marknaden.

(21)

Europaparlamentets och rådets förordning (EU) 2016/679 (5) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (6) är tillämpliga på behandlingen av personuppgifter enligt denna förordning.

(22)

Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (7) och avgav ett yttrande den 8 augusti 2025 (8).

(23)

De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Definitioner

I denna förordning gäller följande definitioner:

(1)

systemägare: en enhet eller en grupp av enheter som ansvarar för att utveckla och underhålla ett system för bedömning av överensstämmelse.

(2)

certifieringsbeslut: ett certifieringsbeslut som följer på en bedömning av överensstämmelse som utförts av ett organ för bedömning av överensstämmelse, då detta organ bekräftar att en specifik kvalificerad tillhandahållare av betrodda tjänster och den kvalificerade betrodda tjänst som den tillhandahåller uppfyller (positivt beslut) eller inte uppfyller (negativt beslut) kraven i förordning (EU) nr 910/2014 och artikel 21 i direktiv (EU) 2022/2555.

(3)

intyg om överensstämmelse: ett dokument genom vilket ett organ för bedömning av överensstämmelse intygar att ett certifieringsbeslut som bekräftar att en specifik kvalificerad tillhandahållare av betrodda tjänster och den kvalificerade betrodda tjänst som den tillhandahåller uppfyller kraven i förordning (EU) nr 910/2014 och artikel 21 i direktiv (EU) 2022/2555.

(4)

system för bedömning av överensstämmelse: en uppsättning regler och förfaranden som organ för bedömning av överensstämmelse ska använda för att bedöma om kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller överensstämmer med kraven i förordning (EU) nr 910/2014 och med artikel 21 i direktiv (EU) 2022/2555.

(5)

rapport om bedömning av överensstämmelse: ett dokument som innehåller detaljerad information, i tillämpliga fall som komplement till information som ingår i ett certifieringsbeslut och tillhörande intyg om överensstämmelse, om den metod som använts för att, i enlighet med ett system för bedömning av överensstämmelse, utföra en bedömning av om en specifik kvalificerad tillhandahållare av betrodda tjänster och den kvalificerade betrodda tjänst som den tillhandahåller överensstämmer med kraven i förordning (EU) nr 910/2014 och artikel 21 i direktiv (EU) 2022/2555 samt om resultaten av bedömningen av överensstämmelse.

(6)

ackreditering: en ackreditering enligt definitionen i artikel 2.10 i förordning (EG) nr 765/2008.

(7)

ackreditering med flexibel omfattning: ackreditering där de specifika bedömningar av överensstämmelse för vilka ackreditering söks, eller har beviljats, uttrycks så att organen för bedömning av överensstämmelse ska kunna ändra de metoder och andra parametrar som omfattas av den behörighet för organet för bedömning av överensstämmelse som bekräftats av det nationella ackrediteringsorganet.

(8)

nationellt ackrediteringsorgan: ett nationellt ackrediteringsorgan enligt definitionen i artikel 2.11 i förordning (EG) nr 765/2008.

Artikel 2

Ackreditering av organ för bedömning av överensstämmelse

1.   För att fatta certifieringsbeslut i enlighet med ett särskilt system för bedömning av överensstämmelse ska organen för bedömning av överensstämmelse ackrediteras i enlighet med standarden EN ISO/IEC 17065:2012 kompletterad med standarden Etsi EN 319 403–1 v2.3.1.

2.   Ackrediteringen av de organ för bedömning av överensstämmelse som avses i punkt 1 ska utföras av ett nationellt ackrediteringsorgan i enlighet med standarden EN ISO/IEC 17011:2017.

Artikel 3

Ackrediteringsintyg utfärdat till organ för bedömning av överensstämmelse

1.   De nationella ackrediteringsorganen ska säkerställa att de ackrediteringsintyg som de utfärdar till organen för bedömning av överensstämmelse innehåller åtminstone följande uppgifter:

a)

Ackrediteringsintygets unika identifieringskod.

b)

Datum för ackrediteringsintygets utfärdande.

c)

Namn och land, i enlighet med vad som anges i de nationella officiella registren, för det nationella ackrediteringsorgan som utfärdar ackrediteringsintyget.

d)

Namn och, i tillämpliga fall, registreringsnummer i enlighet med vad som anges i de nationella officiella registren, för det ackrediterade organet för bedömning av överensstämmelse.

e)

Ackrediteringens omfattning, med avseende på en eller flera av följande kvalificerade betrodda tjänster:

Utfärdande av kvalificerade certifikat för elektroniska signaturer.

Utfärdande av kvalificerade certifikat för elektroniska stämplar.

Utfärdande av kvalificerade certifikat för autentisering av webbplatser.

Kvalificerad valideringstjänst för kvalificerade elektroniska underskrifter.

Kvalificerad valideringstjänst för kvalificerade elektroniska stämplar.

Kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter.

Kvalificerad tjänst för bevarande av kvalificerade elektroniska stämplar.

Skapande av kvalificerade elektroniska tidsstämplar.

Tillhandahållande av kvalificerade elektroniska tjänster för rekommenderade leveranser.

Kvalificerade tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans.

Kvalificerade tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska stämplar på distans.

Tillhandahållande av kvalificerade elektroniska arkiveringstjänster.

Utfärdande av kvalificerade elektroniska attributsintyg.

Registrering av elektroniska uppgifter i en kvalificerad elektronisk liggare.

f)

Identifiering, i förekommande fall inbegripet den specifika versionen, av det system för bedömning av överensstämmelse för vilket organet för bedömning av överensstämmelse har ackrediterats.

g)

Uppgift om användning av ackrediteringen med flexibel omfattning, i förekommande fall.

h)

Identifiering, i förekommande fall, av det dokument som beskriver utformningen och genomförandet av ackrediteringen med flexibelt tillämpningsområde.

2.   De nationella ackrediteringsorganen ska säkerställa att startdatumet och, i förekommande fall, slutdatumet för ackrediteringen av organet för bedömning av överensstämmelse för utförande av bedömningen av överensstämmelse för de kvalificerade betrodda tjänster som avses i punkt 1 e, inbegripet specifika datum för varje kvalificerad betrodd tjänst, beroende på vad som är tillämpligt, ingår i de ackrediteringsuppgifter som avses i artikel 20.1b i förordning (EU) nr 910/2014.

3.   De nationella ackrediteringsorganen ska säkerställa att alla relevanta ändringar som görs i förhållande till den information som tillhandahålls i enlighet med punkt 1 tydligt återspeglas i ackrediteringsintyget.

4.   Ackrediteringsintyget ska tydligt beskriva omfattningen av den ackreditering som organet för bedömning av överensstämmelse har, i enlighet med artikel 2.1.

Artikel 4

Omprövning av befintlig ackreditering

1.   Systemägaren ska införa förfaranden för att övervaka alla ändringar av de standarder som avses i artikel 2.1 eller artikel 6.3, eller av ett system för bedömning av överensstämmelse som ägs av denne och på grundval av vilket ett organ för bedömning av överensstämmelse har ackrediterats i enlighet med artikel 2.

2.   Systemägaren ska i god tid underrätta det nationella ackrediteringsorganet om de ändringar som identifierats till följd av de förfaranden som avses i punkt 1.

3.   Om det nationella ackrediteringsorganet inte har tillämpat ackreditering med flexibel omfattning på ackrediterade organ för bedömning av överensstämmelse, ska det nationella ackrediteringsorganet avgöra om de ändringar som identifierats till följd av de förfaranden som avses i punkt 1 sannolikt i väsentlig grad kommer att påverka de ackrediterade organens förmåga att utföra bedömningar av överensstämmelse enligt de system för vilka de har ackrediterats.

4.   Om det nationella ackrediteringsorganet i enlighet med punkt 3 fastställer att ändringar påverkar förmågan hos organen för bedömning av överensstämmelse att utföra bedömningar av överensstämmelse, ska det begära att organet för bedömning av överensstämmelse vidtar lämpliga åtgärder inom en rimlig föreskriven period.

5.   Om organet för bedömning av överensstämmelse inte kan eller inte är villigt att vidta de åtgärder som avses i punkt 4 inom föreskriven tid, ska det nationella ackrediteringsorganet omedelbart återkalla eller tillfälligt upphäva ackrediteringen.

6.   Om det nationella ackrediteringsorganet i enlighet med punkt 3 fastställer att ändringar inte påverkar förmågan hos organen för bedömning av överensstämmelse att utföra bedömningar av överensstämmelse, får det vid behov utvidga giltigheten och omfattningen av ackrediteringen av det bedömda organet för bedömning av överensstämmelse.

7.   När så är lämpligt ska det nationella ackrediteringsorganet uppdatera ackrediteringsintyget i god tid för att det ska återspegla resultatet av omprövningen av ackrediteringen enligt denna artikel.

8.   Om ett organ för bedömning av överensstämmelse mottar en begäran enligt punkt 4, ska det i god tid informera alla kvalificerade tillhandahållare av betrodda tjänster som det tidigare har bedömt inom ramen för det relevanta systemet för bedömning av överensstämmelse om eventuella konsekvenser som omprövningen av ackrediteringen av organet för bedömning av överensstämmelse kan ha på dessa kvalificerade tillhandahållare av betrodda tjänster, inbegripet när det gäller framtida certifieringsbeslut som fattas av organet för bedömning av överensstämmelse inom ramen för det systemet.

Artikel 5

Organ för bedömning av överensstämmelse

1.   Organ för bedömning av överensstämmelse ska göra de intyg om överensstämmelse som de utfärdar tillgängliga i en offentlig förteckning som underhålls av det organet för bedömning av överensstämmelse för det ändamålet.

2.   Vid utläggande på entreprenad av utförandet av bedömningar av överensstämmelse ska organet för bedömning av överensstämmelse ta vederbörlig hänsyn till den typ av verksamhet som ska utföras. Organet för bedömning av överensstämmelse ska säkerställa att underleverantören uppfyller de standarder som anges i bilaga I för den specifika verksamhet som läggs ut på underentreprenad.

3.   Organ för bedömning av överensstämmelse ska, när de utfärdar ett certifieringsbeslut, säkerställa att den kvalificerade tillhandahållare av betrodda tjänster som beslutet avser kan lämna in de fullständiga rapporter om bedömning av överensstämmelse som motsvarar det beslutet till tillsynsorganen.

Artikel 6

System för bedömning av överensstämmelse

1.   Varje system för bedömning av överensstämmelse ska ange identifiera en systemägare.

2.   Ett system för bedömning av överensstämmelse ska överensstämma med systemtyp 6 i standarden EN ISO/IEC 17067:2013 och med de krav som fastställs i denna artikel.

3.   Systemägarna ska säkerställa att deras system för bedömning av överensstämmelse åtminstone omfattar de standarder, beroende på vad som är tillämpligt, som anges i bilaga II genom att ange år och versionsnummer för dessa standarder.

4.   Om en ackreditering med flexibel omfattning är tillämplig ska systemägare säkerställa att det anges i systemet för bedömning av överensstämmelse.

5.   Systemägare ska säkerställa att det i deras system för bedömning av överensstämmelse fastställs processer och förfaranden för åtminstone följande:

a)

Mottagande och hantering av klagomål riktade till systemägaren om genomförandet av systemet för bedömning av överensstämmelse.

b)

Anmälningar från organet för bedömning av överensstämmelse till det tillsynsorgan som utsetts i enlighet med artikel 46b.1 i förordning (EU) nr 910/2014 om utfärdande av intyg om överensstämmelse och eventuella ändringar av dessa.

c)

I tillämpliga fall, utläggande av utförandet av de bedömningar av överensstämmelse som utförs av organet för bedömning av överensstämmelse på entreprenad.

d)

Utförande av årliga kontroller på grundval av de tillämpliga kraven i avsnitt 7.9 i standarden ISO/IEC 17065:2012.

e)

Den kvalificerade tillhandahållaren av betrodda tjänster: hantering av, och anmälan till organet för bedömning av överensstämmelse och till det behöriga tillsynsorganet, av alla ändringar som påverkar det verksamhet som bedrivs av de kvalificerade tillhandahållarna av betrodda tjänster eller de kvalificerade betrodda tjänster som de tillhandahåller.

f)

Kontroll av bevisning för att organet för bedömning av överensstämmelse

har tillräcklig kunskap och expertis om tillämpningen av särskilda standarder för den kvalificerade betrodda tjänst som tillhandahålls av den kvalificerade tillhandahållaren av betrodda tjänster, i enlighet med punkt 3,

har yrkeserfarenhet av bedömning av överensstämmelse från minst tre bedömningar av tillhandahållare av betrodda tjänster eller tre bedömningar av ledningssystem för informationssäkerhet, och

kan säkerställa att det finns en grupp tillgänglig bestående av minst två kvalificerade personer som har den expertis som krävs för att utföra sådana bedömningar av överensstämmelse.

6.   Systemägarna ska säkerställa att deras system för bedömning av överensstämmelse innehåller krav på att de kvalificerade tillhandahållarna av betrodda tjänster har infört processer, förfaranden och arbetsinstruktioner för att underrätta organet för bedömning av överensstämmelse minst en månad innan de kvalificerade tillhandahållarna av betrodda tjänster genomför någon betydande förändring i tillhandahållandet av de kvalificerade betrodda tjänster som certifierats enligt det systemet och minst tre månader innan de avser att upphöra med tillhandahållandet av tjänsterna eller delar av dem.

7.   Systemägarna ska säkerställa att det i deras system för bedömning av överensstämmelse inte tillåts att positiva certifieringsbeslut, eller intyg om överensstämmelse, utfärdas, om bedömningen av överensstämmelse leder till identifiering av bristande överensstämmelse hos de bedömda kvalificerade tillhandahållarna av betrodda tjänster och den kvalificerade betrodda tjänst som de tillhandahåller med kraven i förordning (EU) nr 910/2014 och i artikel 21 i direktiv (EU) 2022/2555.

8.   Systemägarna ska säkerställa att det i deras system för bedömning av överensstämmelse fastställs ett förfarande för utfärdande av intyg om överensstämmelse. De ska särskilt föreskriva att de kvalificerade tillhandahållarna av betrodda tjänster omedelbart underrättar det behöriga tillsynsorganet om varje ändring av ett intyg om överensstämmelse. De ska också föreskriva att de kvalificerade tillhandahållarna av betrodda tjänster avstår från att tillhandahålla de berörda kvalificerade betrodda tjänsterna eller från att annonsera om hänvisningar till dessa, till dess att det behöriga tillsynsorganet på nytt bekräftar statusen kvalificerad. Detta förfarande ska uppfylla kraven i avsnitt 7.11 i standarden ISO/IEC 17065:2012.

9.   Systemägarna ska säkerställa att det i deras system för bedömning av överensstämmelse anges vilket förfarande för bedömning av överensstämmelse som ska genomföras under ett tillräckligt antal persondagar, och ska säkerställa att tillräckliga resurser och tillräcklig tid avsätts för bedömningen av överensstämmelse, med beaktande av bedömningens omfattning och komplexitet.

10.   Systemägarna ska göra en sammanfattning av systemet för bedömning av överensstämmelse allmänt tillgänglig för nedladdning. Sammanfattningen ska innehålla en beskrivning av uppsättningen regler och förfaranden som ska följas för att bedöma om kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller överensstämmer med kraven i förordning (EU) nr 910/2014 och med artikel 21 i direktiv (EU) 2022/2555.

11.   Systemägarna ska säkerställa att deras system för bedömning av överensstämmelse innehåller ett krav på att minst en kontrollöverensstämmelsebedömning genomförs årligen för varje utvärderad kvalificerad betrodd tjänst.

Artikel 7

Rapport om bedömning av överensstämmelse

1.   Den rapport om bedömning av överensstämmelse som avses i artikel 20.1 i förordning (EU) nr 910/2014 ska överensstämma med specifikationerna i bilaga III.

2.   Rapporten om bedömning av överensstämmelse ska betraktas som en del av den certifieringsdokumentation som specificeras i avsnitt 7.7 i standarden Etsi EN 319 403–1.

Artikel 8

Ackrediteringsuppgifter

1.   Alla berörda parter kan kostnadsfritt begära aktuell och tidigare information om tillämpningsområde, startdatum och, i tillämpliga fall, slutdatum för ackrediteringen av organ för bedömning av överensstämmelse, för varje typ av kvalificerad betrodd tjänst som organet för bedömning av överensstämmelse har eller har haft ackreditering för att bedöma. Denna information ska göras tillgänglig av de nationella ackrediteringsorganen.

2.   Aktuell och tidigare information enligt punkt 1 ska göras tillgänglig under en period av minst sex år efter det att organet för bedömning av överensstämmelse ackrediterades.

Artikel 9

Övergångsbestämmelser

De organ för bedömning av överensstämmelse som före den 17 november 2025 har ackrediterats med hänvisning till standarden Etsi EN 319 403 version 2.2.2, eller tidigare version, för bedömning av överensstämmelse med förordning (EU) nr 910/2014 av kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller ska anses uppfylla kraven i artikel 2.1 till och med den 17 maj 2027.

Artikel 10

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 27 oktober 2025.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1)   EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3)  Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).

(4)  Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(5)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8)   EDPS formella synpunkter på utkastet vad gäller ackreditering av organ för bedömning av överensstämmelse som utför bedömning av kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller |Europeiska datatillsynsmannen.

BILAGA I

Referensstandarder för utläggande på entreprenad av bedömning av överensstämmelse

(1)

EN ISO/IEC 17025:2017 för provningsverksamhet.

(2)

EN ISO/IEC 1–17021:2015 för revision av förvaltningssystem.

(3)

EN ISO/IEC 17020:2012 för inspektionsverksamhet.

(4)

EN ISO/IEC 17065:2012 för bedömning av överensstämmelse.

BILAGA II

Referensstandarder för system för bedömning av överensstämmelse

De standarder som avses i artikel 6.3 är Etsi TS 119 612 v2.4.1 och följande:

Kvalificerad betrodd tjänst

Relevanta standarder

Utfärdande av kvalificerade certifikat för elektroniska signaturer

Etsi EN 319 411 –2

Etsi EN 301 549

Etsi EN 319 412 –1

Etsi EN 319 412 –2

Etsi EN 319 412 –5

Etsi TS 119 461

Etsi EN 319 401

Utfärdande av kvalificerade certifikat för elektroniska stämplar

Etsi EN 319 411 –2

Etsi TS 119 495

Etsi EN 301 549

Etsi EN 319 412 –1

Etsi EN 319 412 –2

Etsi EN 319 412 –3

Etsi EN 319 412 –5

Etsi TS 119 461

Etsi EN 319 401

Utfärdande av kvalificerade certifikat för autentisering av webbplatser

Etsi EN 319 411 –2

Etsi TS 119 411 –5

Etsi TS 119 495

Etsi EN 301 549

Etsi EN 319 412 –1

Etsi EN 319 412 –4

Etsi EN 319 412 –5

Etsi TS 119 461

Etsi EN 319 401

Kvalificerad valideringstjänst för kvalificerade elektroniska underskrifter

Etsi TS 119 441

Etsi TS 119 442

Etsi EN 319 102 –1

Etsi TS 119 102 –2

Etsi TS 119 172 –4

Etsi EN 301 549

Etsi EN 319 401

Kvalificerad valideringstjänst för kvalificerade elektroniska stämplar

Etsi TS 119 441

Etsi TS 119 442

Etsi EN 319 102 –1

Etsi TS 119 102 –2

Etsi TS 119 172 –4

Etsi EN 301 549

Etsi EN 310 401

Kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter

Etsi TS 119 511

Etsi TS 119 172 –4

Etsi TS 119 512

Etsi EN 301 549

Etsi EN 310 401

Kvalificerad tjänst för bevarande av kvalificerade elektroniska stämplar

Etsi TS 119 511

Etsi TS 119 172 –4

Etsi TS 119 512

Etsi EN 301 549

Etsi EN 319 401

Skapande av kvalificerade elektroniska tidsstämplar

Etsi EN 319 421

Etsi EN 319 422

Etsi EN 301 549

Etsi EN 319 401

Tillhandahållande av kvalificerade elektroniska tjänster för rekommenderade leveranser

Etsi EN 319 521

Etsi EN 319 522

Etsi EN 319 531

Etsi EN 319 532

Etsi EN 301 549

Etsi TS 119 461

Etsi EN 319 401

Kvalificerade tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans

Etsi TS 119 431 –1

Etsi EN 301 549

Etsi TS 119 461

Etsi EN 319 401

Kvalificerade tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska stämplar på distans

Etsi TS 119 431 –1

Etsi EN 301 549

Etsi TS 119 461

Etsi EN 319 401

Tillhandahållande av kvalificerade elektroniska arkiveringstjänster

ISO 14641

ISO 14721

CEN/TS 18170

Etsi TS 301 549

Etsi EN 319 401

Etsi EN 119 511

Utfärdande av kvalificerade elektroniska attributsintyg

Etsi TS 119 471

Etsi EN 301 549

Etsi TS 119 461

Etsi EN 319 401

Registrering av elektroniska uppgifter i en kvalificerad elektronisk liggare

Etsi EN 319 401

Etsi EN 301 549

CEN/TS 18170

ISO 23257

ISO/TS 23635

Etsi EN 319 122 –1

Etsi EN 319 132 –1

Etsi EN 319 182 –1

BILAGA III

Specifikationer för rapporter om bedömning av överensstämmelse

De rapporter om bedömning av överensstämmelse som avses i artikel 7.1 ska omfatta följande:

(1)

Åtföljas av ett tydligt certifieringsbeslut i enlighet med klausul 7.6 i standarden Etsi EN 319403–1 v2.3.1 (Etsi EN 319403–1), som bekräftar huruvida den bedömda tillhandahållaren av betrodda tjänster och de bedömda kvalificerade betrodda tjänster som den tillhandahåller eller avser att tillhandahålla uppfyller kraven i förordning (EU) nr 910/2014 och i artikel 21 i direktiv (EU) 2022/2555.

(2)

Ange namnet på den kvalificerade tillhandahållaren av betrodda tjänster och, i tillämpliga fall, dess registreringsnummer, i enlighet med vad som anges i de officiella registren, dess officiella postadress och elektroniska adress samt, i tillämpliga fall, samma information för alla dotterbolag, anknutna juridiska enheter, entreprenörer och underleverantörer som driver komponenter av betrodda tjänster inom ramen för den kvalificerade tillhandahållarens tillhandahållande av kvalificerade betrodda tjänster.

(3)

Innehålla en detaljerad beskrivning av omfattningen av bedömningen av den kvalificerade tillhandahållaren av betrodda tjänster, inbegripet de specifika kvalificerade betrodda tjänster som omfattas av bedömningen.

(4)

Innehålla tillräcklig bevisning som visar att den kvalificerade tillhandahållaren av betrodda tjänster och de kvalificerade betrodda tjänster som den tillhandahåller uppfyller kraven i förordning (EU) nr 910/2014 och i artikel 21 i direktiv (EU) 2022/2555.

(5)

Ange namnet på organet för bedömning av överensstämmelse och, i tillämpliga fall, dess registreringsnummer, i enlighet med vad som anges i de officiella registren, dess registrerade postadress och dess elektroniska adress.

(6)

Ange följande:

a)

Namn och land för det nationella ackrediteringsorgan som har ackrediterat organet för bedömning av överensstämmelse.

b)

Namnen på de fysiska personer som av organet för bedömning av överensstämmelse involverats i utförandet av bedömningen av överensstämmelse och deras respektive roll i bedömningen.

c)

En länk till det nationella ackrediteringsorganets officiella webbplats och även till det ackrediteringsintyg som utfärdats av det nationella ackrediteringsorganet till organet för bedömning av överensstämmelse.

d)

I tillämpliga fall, den digitala ackrediteringssymbolen.

e)

Det system för bedömning av överensstämmelse för vilket organet för bedömning av överensstämmelse har ackrediterats i enlighet med artikel 2.1.

f)

Undersökningar rörande bedömningen av överensstämmelse för den bedömning av överensstämmelse som utförs, skälen till att de valts ut, och den metod som använts, inklusive urvalsmetod och provningsförfaranden.

g)

Det ackrediterade systemet för bedömning av överensstämmelse samt dess relevanta dokument eller en länk till den plats där det systemet för bedömning av överensstämmelse och de relevanta dokumenten finns tillgängliga.

(7)

Innehålla minst en kvalificerad elektronisk underskrift, om rapporten tillhandahålls i elektronisk form, eller en handskriven underskrift, om rapporten tillhandahålls i pappersform, med uppgift om namn och titel på den eller de ansvariga personer som är bemyndigade att anta certifieringsbeslutet på uppdrag av organet för bedömning av överensstämmelse.

(8)

Avse en kvalificerad tillhandahållare av betrodda tjänster.

(9)

Identifiera, i enlighet med avsnitt 5.5.3 i standarden Etsi TS 119612 v.2.4.1, tjänsternas digitala identiteter (service digital identities) för varje typ av kvalificerad betrodd tjänst, för vilken överensstämmelse med kraven i förordning (EU) nr 910/2014 och i artikel 21 i direktiv (EU) 2022/2555, bekräftas, med tillhandahållande av följande information:

a)

Om den kvalificerade betrodda tjänsten inte är baserad på teknik med infrastruktur för kryptering med öppen nyckel, en identifierare uttryckt som en URI som unikt identifierar den kvalificerade betrodda tjänsten.

b)

Om den kvalificerade betrodda tjänsten är baserad på teknik med infrastruktur för kryptering med öppen nyckel, åtminstone följande:

SKI (Subject Key Identifier) enligt definitionen i IETF RFC 5280.

Base64 PEM-representationen av det tillhörande digitala certifikatet X.509v3.

I tillämpliga fall, uppgift om huruvida specifika uppsättningar eller deluppsättningar av slutmottagarcertifikat som utfärdats av eller enligt tjänstens digitala identitet (service digital identity) undantas från eller uttryckligen ingår i certifieringsbeslutet och på grundval av vilka kriterier de kan identifieras.

Uppgift om huruvida tjänstens digitala identitet avser en slutmottagare eller en certifieringsmyndighet, med klargörande av om det rör sig om ett utfärdandecertifikat, mellanliggande certifikat eller rotcertifikat.

Beskrivning av hur tjänstens digitala identitet används i samband med motsvarande kvalificerade betrodda tjänst.

(10)

I tillämpliga fall tillhandahålla en detaljerad beskrivning av den funktionella hierarkin för infrastrukturen för kryptering med öppen nyckel, per typ av kvalificerad betrodd tjänst och för alla tjänsters digitala identiteter som identifierats i enlighet med punkt 11, inbegripet åtminstone följande:

a)

Illustration av den funktionella hierarkin för infrastrukturen för kryptering med öppen nyckel som identifierar rotcertifikatutfärdarna, certifieringsmyndigheterna för mellanliggande certifikat, certifieringsmyndigheterna för utfärdandecertifikat och certifieringsvägarna mellan dem.

b)

Identifiering av varje certifieringsmyndighet som illustreras i led a genom SKI (Subject Key Identifier) enligt definitionen i IETF RFC 5280.

c)

För var och en av certifieringsmyndigheterna för utfärdandecertifikat som identifierats i enlighet med led b, förteckningen över de olika uppsättningar certifikat som varje certifieringsmyndighet utfärdar under sina specifika policyer på olika områden, tillsammans med följande för varje uppsättning:

Kriterier som otvetydigt identifierar uppsättningens certifikat, antingen som en förteckning över certifikatpolicyidentifierare som överensstämmer med innehållet i certifikatpolicyns certifikatsförlängning enligt definitionen i IETF RFC 5280 eller andra kriterier som fastställs i genomförandeakter som antagits i enlighet med artikel 22.5 i förordning (EU) nr 910/2014.

Uppgift om huruvida uppsättningens certifikat antingen är kvalificerade eller icke-kvalificerade.

Uppgift om huruvida certifikaten i uppsättningen antingen avser elektroniska signaturer eller elektroniska stämplar, eller autentisering av webbplatser eller inget av de ändamålen och, i det senare fallet, för vilka andra ändamål användning av dem är avsedd.

En uppgift om huruvida den privata nyckel som motsvarar den öppna nyckel som certifierats i certifikaten för uppsättningarna befinner sig i en kvalificerad anordning för skapande av elektroniska underskrifter eller stämplar lokalt eller på distans.

(11)

Inkludera följande, i enlighet med punkt 2:

a)

En uttömmande förteckning över tredje parter, inklusive underleverantörer, som tillhandahåller komponenter eller tjänstekomponenter för kvalificerade betrodda tjänster genom att deras namn, såsom de identifierats i punkt 2, anges tillsammans med platsen för de anläggningar där de motsvarande komponenterna av tjänsterna utförs.

b)

Uppgift om huruvida dessa tredje parter och anläggningar har varit föremål för bedömning av överensstämmelse och i vilken utsträckning.

(12)

I förekommande fall beskriva innehållet i den post som ska införas, eller uppdateras, i den relevanta nationella förteckningen över betrodda tjänsteleverantörer, i enlighet med resultatet av bedömningen.

(13)

Inkludera en uttömmande förteckning över interna dokument från offentliga och kvalificerade tillhandahållare av betrodda tjänster, som är korrekt identifierade, inklusive versionering, som har ingått i bedömningen av överensstämmelse, inbegripet åtminstone följande dokumentation, enligt punkt 8, för vilken en kopia antingen ska tillhandahållas tillsammans med rapporten om bedömning av överensstämmelse eller på annat sätt göras tillgänglig för det behöriga tillsynsorganet på dess begäran:

a)

En förklaring om de metoder som den kvalificerade tillhandahållaren av betrodda tjänster använder för att tillhandahålla de kvalificerade betrodda tjänsterna.

b)

En uppsättning regler som anger de kvalificerade betrodda tjänsternas tillämplighet på en viss grupp eller klass av tillämpning med gemensamma säkerhetskrav (policyer för kvalificerade betrodda tjänster).

c)

Villkoren för avtalen med certifikatinnehavarna.

d)

Planen för avslutande av kvalificerade betrodda tjänster.

e)

Den dokumentation som rör riskbedömningen och som syftar till att visa att kraven i artikel 24.2 fa och fb i förordning (EU) nr 910/2014 och artikel 21 i direktiv (EU) 2022/2555 är uppfyllda.

f)

Planen för anmälan av säkerhetsincidenter, vilken syftar till att visa att kraven i artikel 24.2 fa och fb i förordning (EU) nr 910/2014 och artikel 21 i direktiv (EU) 2022/2555 har uppfyllts.

g)

Förteckningen över alla interna handlingar som styrker ett effektivt genomförande av de metoder som deklarerats och använts av den kvalificerade tillhandahållaren av betrodda tjänster för att tillhandahålla de kvalificerade betrodda tjänsterna.

h)

Stiftelseurkund och bolagsordning eller stadgar för den kvalificerade tillhandahållaren av betrodda tjänster, i enlighet med tillämplig nationell lagstiftning, tillsammans med följande:

Redogörelse för den affärsverksamhet som inte avser tillhandahållande av betrodda tjänster.

Organisationsschema.

Information om ägarstruktur.

I tillämpliga och i förekommande fall, en rapport över revisorns räkenskaper för företagets två senaste räkenskapsår, eller från dagen för bildandet till dagen för undertecknandet av rapporten om bedömning av överensstämmelse, beroende på vilken period som är kortast.

i)

Bevis för att den kvalificerade tillhandahållaren av betrodda tjänster, i enlighet med tillämplig nationell lagstiftning, förfogar över tillräckliga ekonomiska medel och, i tillämpliga fall, har skaffat sig lämplig ansvarsförsäkring för tillhandahållandet av de kvalificerade betrodda tjänsterna.

j)

En förteckning över de standarder som verksamheterna uppges uppfylla.

k)

En förteckning över de standarder som insatserna granskas, utvärderas, certifieras eller bedöms överensstämma med, tillsammans med uppgifter om det bakomliggande revisions-, utvärderings-, certifierings- eller bedömningssystemet, beroende på vad som är tillämpligt.

l)

Förteckningen över kvalificerade anordningar för skapande av elektroniska underskrifter eller kvalificerade anordningar för skapande av elektroniska stämplar och deras certifieringsrelaterade information när den kvalificerade tillhandahållaren av betrodda tjänster levererar eller tillgängliggör sådan utrustning för sina användare.

m)

Förteckningen över anordningar som används av den kvalificerade tillhandahållaren av betrodda tjänster som ett tillförlitligt system eller en tillförlitlig produkt, inbegripet säkerhetsmoduler eller krypteringshårdvaror, för att skydda sina egna nycklar, och information om certifiering av dem, när den kvalificerade tillhandahållaren av betrodda tjänster använder sådana anordningar för att säkra de processer som stöder de kvalificerade betrodda tjänster som den tillhandahåller.

(14)

innehålla en bedömning av uppfyllandet av de krav som gäller för relevanta kvalificerade betrodda tjänster enligt förordning (EU) nr 910/2014 och, i tillämpliga fall, i enlighet med de genomförandeakter och delegerade akter som är tillämpliga på den kvalificerade betrodda tjänsten och som antagits i enlighet med

artikel 24.1c i förordning (EU) nr 910/2014 vad gäller kontrollen av identitet och attribut för de personer som det kvalificerade certifikatet eller det kvalificerade elektroniska intyget ska utfärdas till,

artikel 24.5 i förordning (EU) nr 910/2014 vad gäller kraven för kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller kvalificerade betrodda tjänster,

artikel 28.6 i förordning (EU) nr 910/2014 vad gäller utfärdande av kvalificerade certifikat för elektroniska underskrifter,

artikel 38.6 i förordning (EU) nr 910/2014 vad gäller utfärdande av kvalificerade certifikat för elektroniska stämplar,

artikel 45.2 i förordning (EU) nr 910/2014 vad gäller utfärdande av kvalificerade certifikat för autentisering av webbplatser,

artikel 33.2 i förordning (EU) nr 910/2014 vad gäller kvalificerad valideringstjänst för kvalificerade elektroniska underskrifter,

artikel 33.2 och artikel 40 i förordning (EU) nr 910/2014 vad gäller kvalificerad valideringstjänst för kvalificerade elektroniska stämplar,

artikel 34.2 i förordning (EU) nr 910/2014 vad gäller kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter,

artikel 34.2 och artikel 40 i förordning (EU) nr 910/2014 vad gäller kvalificerad tjänst för bevarande av kvalificerade elektroniska stämplar,

artikel 42.2 i förordning (EU) nr 910/2014 vad gäller skapande av elektroniska tidsstämplingar,

artikel 44.2 i förordning (EU) nr 910/2014 vad gäller tillhandahållande av kvalificerade elektroniska tjänster för rekommenderade leveranser,

artikel 29a.2 i förordning (EU) nr 910/2014 vad kvalificerade tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska underskrifter på distans,

artikel 29a.2 och artikel 39a i förordning (EU) nr 910/2014 vad gäller r kvalificerade tjänster för förvaltning av kvalificerade anordningar för skapande av elektroniska stämplar på distans,

artikel 45j.2 i förordning (EU) nr 910/2014 vad gäller tillhandahållande av kvalificerade elektroniska arkiveringstjänster,

artikel 45d.5 i förordning (EU) nr 910/2014 vad gäller utfärdande av kvalificerade elektroniska attributsintyg,

artikel 45l.3 i förordning (EU) nr 910/2014 vad gäller registrering av elektroniska uppgifter i en kvalificerad elektronisk liggare.

(15)

Innehålla en bedömning av uppfyllandet av de krav som gäller för en kvalificerad tillhandahållare av betrodda tjänster och för de relevanta kvalificerade betrodda tjänsterna enligt artikel 21 i direktiv (EU) 2022/2555 och enligt de genomförandeakter som är tillämpliga på den kvalificerade betrodda tjänsten och som antagits i enlighet med artikel 21.5 i det direktivet.

(16)

Innehålla en förklaring, i tillämpliga fall, om att det inte förekommer något fall av brist på överensstämmelse, oavsett kritikalitet. Om bristande överensstämmelse konstateras i rapporten ska rapporten innehålla en plan för korrigerande åtgärder och en tidsplan för dessa, som tillhandahålls av den kvalificerade tillhandahållaren av betrodda tjänster och godkänns av organet för bedömning av överensstämmelse, tillsammans med en beskrivning av de planerade utvärderingsuppgifter som organet för bedömning av överensstämmelse ska utföra för att utvärdera att dessa avvikelser har korrigerats.

(17)

Anger, när så är lämpligt och nödvändigt, om det finns utrymme för förbättringar i hur väl de kvalificerade betrodda tjänster som tillhandahålls av den kvalificerade tillhandahållaren av betrodda tjänster uppfyller relevanta krav.

(18)

För varje steg i bedömningen av överensstämmelse, inbegripet dokumentgranskning, bedömning av genomförandet och inspektioner på plats, fastställa avseende vilken tidsperiod bedömningen utfördes och den tid i persondagar som organet för bedömning av överensstämmelse tog för att utföra bedömningen.

(19)

I motsvarande rapport om specifika krav ange de detaljerade kontroller av överensstämmelse och kontrollmål som har genomförts under bedömningen eller inkludera en hänvisning till separat tillgängliga bedömningsrapporter där sådan information ingår, förutsatt att sådana separata bedömningsrapporter

a)

utfärdas av organ för bedömning av överensstämmelse som ackrediterats i enlighet med förordning (EU) nr 910/2014,

b)

godkänts av de organ för bedömning av överensstämmelse som utfärdar rapporten om bedömning av överensstämmelse.

(20)

Ange omfattningen hos, en beskrivning av och resultaten från en betydande uppsättning tester eller produktionsprover, och bedömningen av dem, för alla relevanta och tillämpliga typer av resultat från de bedömda kvalificerade betrodda tjänsterna.

(21)

Ange följande tidsfrister:

a)

Den tidsfrist inom vilken nästa övervakning av överensstämmelse ska genomföras.

b)

Den tidsfrist inom vilken nästa bedömning av överensstämmelse ska genomföras i enlighet med artikel 20.1 i förordning (EU) nr 910/2014.

(22)

Innehålla en uttrycklig förklaring om att certifieringsdokumenten, inklusive rapporten om bedömning av överensstämmelse, är avsedda att användas även av det behöriga nationella tillsynsorganet.

ELI: http://data.europa.eu/eli/reg_impl/2025/2162/oj

ISSN 1977-0820 (electronic edition)

Top