(1)

I kommissionens meddelande av den 19 februari 2020, Att forma EU:s digitala framtid, tillkännages att Europaparlamentets och rådets förordning (EU) nr 910/2014 (4) ska revideras i syfte att förbättra dess effektivitet, utvidga dess förmåner till den privata sektorn och främja betrodda digitala identiteter för alla européer.

(2)

I sina slutsatser av den 1–2 oktober 2020 uppmanade Europeiska rådet kommissionen att föreslå en utveckling av ett unionsomfattande ramverk för säker offentlig elektronisk identifiering, inklusive interoperabla elektroniska underskrifter, så att människor kan ha kontroll över sin identitet och sina uppgifter på nätet och få tillgång till offentliga, privata och gränsöverskridande digitala tjänster.

(3)

I policyprogrammet för det digitala decenniet, inrättat genom Europaparlamentets och rådets beslut (EU) 2022/2481 (5), fastställs syftena och de digitala målen för ett unionsramverk som, senast 2030, är avsett att leda till en omfattande utbyggnad av en betrodd, frivillig och användarkontrollerad digital identitet som erkänns i hela unionen och som innebär att varje användare kan kontrollera sina uppgifter vid onlineinteraktioner.

(4)

I den europeiska förklaringen om digitala rättigheter och principer för det digitala decenniet, som kungjordes av Europaparlamentet, rådet och kommissionen (6) (förklaringen), understryks allas rätt att ha tillgång till digitala tekniker, produkter och tjänster som är säkra och trygga och utformade på ett sätt som skyddar den personliga integriteten. Detta inbegriper att säkerställa att alla människor i unionen erbjuds en tillgänglig, säker och tillförlitlig digital identitet som ger tillgång till ett brett utbud av nättjänster och offlinetjänster och som är skyddad mot cybersäkerhetsrisker och it-brottslighet, däribland personuppgiftsincidenter och stöld eller manipulation av identiteten. I förklaringen anges även att alla har rätt till skydd av sina personuppgifter. Denna rätt innefattar kontrollen över hur uppgifterna används och vem som får ta del av dem.

(5)

Unionsmedborgarna och invånare i unionen bör ha en rätt till en digital identitet som står under deras egen kontroll och som innebär att de kan utöva sina rättigheter i den digitala miljön och delta i den digitala ekonomin. För att nå detta syfte bör ett europeiskt ramverk för digital identitet inrättas som ger unionsmedborgare och invånare i unionen tillgång till offentliga och privata nättjänster och offlinetjänster i hela unionen.

(6)

Ett harmoniserat ramverk för digital identitet bör bidra till att skapa en digitalt mer integrerad union genom att minska de digitala hindren mellan medlemsstaterna och ge unionsmedborgarna och invånare i unionen möjlighet att dra nytta av digitaliseringens fördelar och samtidigt öka öppenheten och skyddet av deras rättigheter.

(7)

En mer harmoniserad strategi för elektronisk identifiering bör minska de risker och kostnader som den nuvarande fragmenteringen har lett till på grund av användningen av olika nationella lösningar eller, i vissa medlemsstater, frånvaron av sådana lösningar för elektronisk identifiering. En sådan strategi bör stärka den inre marknaden genom att göra det möjligt för unionsmedborgare, invånare i unionen enligt definitionen i nationell rätt och företag att identifiera sig och att autentisera sin identitet online och offline på ett säkert, tillförlitligt, användarvänligt, enkelt, tillgängligt och harmoniserat sätt i hela unionen. Den europeiska digitala identitetsplånboken bör förse fysiska och juridiska personer i hela unionen med harmoniserade medel för elektronisk identifiering som möjliggör autentisering och utbyte av data som är kopplade till deras identitet. Alla bör ha möjlighet att komma åt offentliga och privata tjänster på ett säkert sätt genom ett förbättrat ekosystem för betrodda tjänster och med verifierade identitetsbevis och elektroniska attributsintyg, till exempel akademiska kvalifikationer, inbegripet universitetsexamina eller andra utbildnings- eller yrkeskvalifikationer. Det europeiska ramverket för digital identitet är avsett att åstadkomma en övergång från användningen av endast nationella lösningar för elektronisk identifiering till tillhandahållande av elektroniska attributsintyg som är giltiga och rättsligt erkända i hela unionen. Tillhandahållare av elektroniska attributsintyg bör omfattas av en tydlig och enhetlig uppsättning av regler, medan offentliga förvaltningar bör kunna förlita sig på elektroniska dokument i ett visst format.

(8)

Flera medlemsstater har infört och använder medel för elektronisk identifiering som godtas av tjänsteleverantörer i unionen. Dessutom gjordes investeringar i både nationella och gränsöverskridande lösningar på grundval av förordning (EU) nr 910/2014, inbegripet interoperabilitet i anmälda system för elektronisk identifiering enligt den förordningen. För att säkerställa komplementaritet och ett snabbt ibruktagande av europeiska digitala identitetsplånböcker av nuvarande användare av anmälda medel för elektronisk identifiering och för att minimera konsekvenserna för befintliga tjänsteleverantörer, förväntas de europeiska digitala identitetsplånböckerna dra nytta av att bygga vidare på erfarenheterna av befintliga medel för elektronisk identifiering och av infrastrukturen för anmälda system för elektronisk identifiering på unionsnivå och nationell nivå.

(9)

Europaparlamentets och rådets förordning (EU) 2016/679 (7) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (8) är tillämpliga på all behandling av personuppgifter i enlighet med förordning (EU) nr 910/2014. Lösningarna inom det interoperabilitetsramverk som föreskrivs i den här förordningen är också förenliga med dessa regler. Unionsrätten om dataskydd innehåller dataskyddsprinciper, såsom uppgiftsminimering och principen om ändamålsbegränsning, och skyldigheter, såsom inbyggt dataskydd och dataskydd som standard.

(10)

För att förbättra unionsföretagens konkurrenskraft bör tillhandahållare av både nättjänster och offlinetjänster kunna förlita sig på lösningar för elektronisk identifiering som erkänns i hela unionen, oavsett vilken medlemsstat dessa lösningar tillhandahålls i, och därmed dra nytta av en harmoniserad unionsstrategi för tillförlitlighet, säkerhet och interoperabilitet. Både användare och tjänsteleverantörer bör kunna gynnas av att samma rättsliga värde ges till elektroniska attributsintyg i hela unionen. Ett harmoniserat ramverk för digital identitet är avsett att skapa ekonomiskt värde genom att underlätta tillgången till varor och tjänster, genom att avsevärt minska driftskostnaderna för elektroniska identifierings- och autentiseringsförfaranden, t.ex. vid anslutning av nya kunder, genom att minska risken för it-brottslighet, såsom identitetsstöld, datastöld och nätbedrägeri, och på så sätt främja effektivitetsvinster och en säker digital omställning bland unionens mikroföretag och små och medelstora företag.

(11)

Europeiska digitala identitetsplånböcker bör underlätta tillämpningen av engångsprincipen och på så sätt minska den administrativa bördan och stödja gränsöverskridande rörlighet för unionsmedborgare och invånare i unionen och företag i unionen samt främja utvecklingen av interoperabla e-förvaltningstjänster i hela unionen.

(12)

Förordning (EU) 2016/679, Europaparlamentets och rådets förordning (EU) 2018/1725 (9) och direktiv 2002/58/EG är tillämpliga på behandlingen av personuppgifter i samband med genomförandet av denna förordning. Därför bör specifika skyddsåtgärder fastställas i denna förordning för att förhindra att tillhandahållare av medel för elektronisk identifiering och elektroniska attributsintyg kombinerar personuppgifter som erhållits vid tillhandahållande av andra tjänster med personuppgifter som behandlas för att tillhandahålla de tjänster som omfattas av tillämpningsområdet för denna förordning. Personuppgifter som rör tillhandahållandet av de europeiska digitala identitetsplånböckerna bör hållas logiskt avskilda från andra data som innehas av tillhandahållaren av den europeiska digitala identitetsplånboken. Denna förordning bör inte hindra tillhandahållare av europeiska digitala identitetsplånböcker från att tillämpa ytterligare tekniska åtgärder som bidrar till skyddet av personuppgifter, såsom fysisk åtskillnad mellan personuppgifter som rör tillhandahållandet av europeiska digitala identitetsplånböcker och andra uppgifter som innehas av tillhandahållaren. Utan att det påverkar tillämpningen av förordning (EU) 2016/679 specificeras i denna förordning ytterligare tillämpningen av principerna om ändamålsbegränsning, uppgiftsminimering, inbyggt dataskydd och dataskydd som standard.

(13)

De europeiska digitala identitetsplånböckerna bör ha en funktion i form av en gemensam instrumentpanel som är inbäddad i dess utformning för att säkerställa att användarna har en högre grad av öppenhet, integritet och kontroll när det gäller deras data. Den funktionen bör ha ett enkelt, användarvänligt gränssnitt med en översikt över alla förlitande parter med vilka användaren delar data, inklusive attribut, och vilken typ av uppgifter som delats med varje förlitande part. Den bör göra det möjligt för användare att spåra alla transaktioner som utförs genom den europeiska digitala identitetsplånboken med åtminstone följande uppgifter: tidpunkt och datum för transaktionen, identifiering av motparten, begärda personuppgifter och delade uppgifter. Denna information bör lagras även om transaktionen inte fullföljs. Det bör inte vara möjligt att bestrida äktheten hos den information som ingår i transaktionshistoriken. En sådan funktion bör vara aktiv som utgångspunkt. Den bör göra det möjligt för användare att enkelt begära att en förlitande part omedelbart raderar personuppgifter enligt artikel 17 i förordning (EU) 2016/679 och att enkelt rapportera den förlitande parten till den behöriga nationella dataskyddsmyndigheten om en påstått olaglig eller misstänkt begäran om personuppgifter tagits emot, direkt via den europeiska digitala identitetsplånboken.

(14)

Medlemsstaterna bör integrera olika integritetsbevarande tekniker, såsom nollkunskapsbevis, i den europeiska digitala identitetsplånboken. Dessa kryptografiska metoder bör göra det möjligt för en förlitande part att validera om ett visst påstående baserat på personens identifieringsuppgifter och attributsintyg är sant, utan att några uppgifter med anknytning till detta påstående förmedlas, och därigenom bevara användarens integritet.

(15)

Denna förordning fastställer harmoniserade villkor för inrättandet av ett ramverk för europeiska digitala identitetsplånböcker som ska tillhandahållas av medlemsstaterna. Alla unionsmedborgare och invånare i unionen enligt definitionen i nationell rätt bör på ett säkert sätt kunna begära, välja, kombinera, lagra, radera, dela och visa identitetsuppgifter och begära att deras personuppgifter raderas på ett användarvänligt och bekvämt sätt under användarens egen kontroll, samtidigt som selektivt utlämnande av personuppgifter möjliggörs. Denna förordning återspeglar gemensamma europeiska värden och respekterar grundläggande rättigheter, rättsliga garantier och ansvarsskyldighet, och skyddar därmed demokratiska samhällen, unionsmedborgare och invånare i unionen. De tekniker som används för att uppnå dessa mål bör utformas för att uppnå högsta möjliga nivå av säkerhet, integritet, användarvänlighet, tillgänglighet, användbarhet och sömlös interoperabilitet. Medlemsstaterna bör säkerställa lika tillgång till elektronisk identifiering för alla sina medborgare och invånare. Medlemsstaterna bör inte, varken direkt eller indirekt, begränsa tillgången till offentliga eller privata tjänster för fysiska eller juridiska personer som väljer att inte använda en europeisk digital identitetsplånbok och bör göra lämpliga alternativa lösningar tillgängliga.

(16)

Medlemsstaterna bör förlita sig på de möjligheter som denna förordning erbjuder för att på eget ansvar tillhandahålla europeiska digitala identitetsplånböcker för användning av fysiska och juridiska personer som är bosatta på deras territorium. För att ge medlemsstaterna flexibilitet och öka utnyttjandet den senaste tekniken bör denna förordning möjliggöra tillhandahållande av europeiska digitala identitetsplånböcker direkt av en medlemsstat, på uppdrag av en medlemsstat eller oberoende av en medlemsstat men med erkännande av den medlemsstaten.

(17)

För registreringsändamål bör förlitande parter tillhandahålla den information som krävs för att möjliggöra elektronisk identifiering och autentisering av dem gentemot europeiska digitala identitetsplånböcker. När förlitande parter deklarerar sin avsedda användning av den europeiska digitala identitetsplånboken bör de tillhandahålla information om de uppgifter som de eventuellt kommer att begära för att tillhandahålla sina tjänster och om skälet till begäran. Registreringen av förlitande parter underlättar medlemsstaternas kontroller av lagenligheten hos de förlitande parternas verksamhet i enlighet med unionsrätten. Registreringsskyldigheten enligt denna förordning bör inte påverka de skyldigheter som fastställs i annan unionsrätt eller nationell rätt, såsom den information som ska lämnas till de registrerade i enlighet med förordning (EU) 2016/679. Förlitande parter bör följa de garantier som erbjuds genom artiklarna 35 och 36 i den förordningen, särskilt genom att utföra konsekvensbedömningar avseende dataskydd och genom att samråda med de behöriga dataskyddsmyndigheterna innan de behandlar uppgifter, om konsekvensbedömningar avseende dataskydd visar att behandlingen skulle leda till en hög risk. Sådana garantier bör utgöra ett stöd för förlitande parters lagliga behandling av personuppgifter, i synnerhet avseende särskilda kategorier av uppgifter, såsom hälsouppgifter. Registreringen av förlitande parter syftar till att öka öppenheten i och förtroendet för användningen av europeiska digitala identitetsplånböcker. Registreringen bör vara kostnadseffektiv och stå i proportion till de relaterade riskerna för att säkerställa att den sprids bland tjänsteleverantörerna. I detta sammanhang bör registreringen innebära att automatiserade förfaranden används, inbegripet att medlemsstaterna förlitar sig på och använder befintliga register, och den bör inte innefatta något förfarande för förhandsgodkännande. Registreringsprocessen bör möjliggöra en rad olika användningsfall som kan skilja sig åt i fråga om driftsätt – antingen online eller offline – eller i fråga om kravet på autentisering av enheter för interaktion med den europeiska digitala identitetsplånboken. Registreringen bör uteslutande gälla förlitande parter som tillhandahåller tjänster genom digital interaktion.

(18)

Att skydda unionsmedborgare och invånare i unionen mot obehörig eller bedräglig användning av europeiska digitala identitetsplånböcker är av stor betydelse för att säkerställa förtroende för och en bred spridning av europeiska digitala identitetsplånböcker. Användarna bör förses med ett effektivt skydd mot sådant missbruk. I synnerhet när fakta som utgör grunden för bedräglig eller annan olaglig användning av en europeisk digital identitetsplånbok fastställs av en nationell rättslig myndighet i samband med ett annat förfarande, bör tillsynsorgan som ansvarar för utfärdare av europeiska digitala identitetsplånböcker efter anmälan vidta nödvändiga åtgärder för att säkerställa att registreringen av den förlitande parten och inkluderingen av förlitande parter i autentiseringsmekanismen återkallas eller tillfälligt upphävs till dess att den anmälande myndigheten bekräftar att de konstaterade oriktigheterna har åtgärdats.

(19)

Alla europeiska digitala identitetsplånböcker bör göra det möjligt för användarna att identifiera och autentisera sig på elektronisk väg online och offline över gränserna för att få tillgång till ett stort utbud av offentliga och privata tjänster. Utan att det påverkar medlemsstaternas behörigheter när det gäller identifieringen av deras medborgare och invånare kan europeiska digitala identitetsplånböcker även användas för att tillgodose de institutionella behoven vid offentliga förvaltningar, internationella organisationer samt EU:s institutioner, organ och byråer. I många sektorer är det viktigt med autentisering offline, bland annat i hälso- och sjukvårdssektorn, där tjänsterna ofta tillhandahålls vid direkta kontakter, och e-recept bör kunna autentiseras med hjälp av QR-koder eller liknande tekniker. För att säkerställa en hög tillitsnivå vad gäller system för elektronisk identifiering bör de europeiska digitala identitetsplånböckerna utnyttja den potential som erbjuds via manipuleringssäkra lösningar såsom säkerhetsdetaljer för att uppfylla säkerhetskraven i denna förordning. Europeiska digitala identitetsplånböcker bör även göra det möjligt för användarna att skapa och använda kvalificerade elektroniska underskrifter och stämplar som godtas i hela unionen. När fysiska personer väl har börjat använda en europeisk digital identitetsplånbok bör de, som utgångspunkt och kostnadsfritt, kunna använda den för att underteckna med kvalificerade elektroniska underskrifter utan att behöva genomgå några ytterligare administrativa förfaranden. Användare bör kunna underteckna eller stämpla egna förklaringar eller attribut. För att ge personer och företag i hela unionen fördelar i form av enkel hantering och sänkta kostnader, däribland genom att tillåta behörigheter att företräda och elektroniska fullmakter, bör medlemsstaterna tillhandahålla europeiska digitala identitetsplånböcker på grundval av gemensamma standarder och tekniska specifikationer för att säkerställa sömlös interoperabilitet och på adekvat sätt höja it-säkerhetsnivån, stärka motståndskraften mot cyberattacker och på så vis avsevärt minska de potentiella riskerna med den pågående digitaliseringen för unionsmedborgare, invånare i unionen och företag. Det är endast medlemsstaternas behöriga myndigheter som kan fastställa identiteter med en hög tillförlitlighetsnivå och därmed garantera att en person faktiskt är den person som han eller hon påstår sig vara. Därför måste tillhandahållandet av de europeiska digitala identitetsplånböckerna bygga på den juridiska identiteten för unionsmedborgare, invånare i unionen eller juridiska personer. Användning av den juridiska identiteten bör inte hindra användarna av de europeiska digitala identitetsplånböckerna från att få tillgång till tjänster under en pseudonym om det inte finns något rättsligt krav på juridisk identitet för autentisering. Tilliten till de europeiska digitala identitetsplånböckerna skulle förstärkas om utfärdande och förvaltande parter hade varit tvungna att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa den högsta säkerhetsnivå som står i rimlig proportion till riskerna för fysiska personers rättigheter och friheter i enlighet med förordning (EU) 2016/679.

(20)

Användningen av en kvalificerad elektronisk underskrift bör vara kostnadsfri för alla fysiska personer för icke-yrkesmässiga ändamål. Det bör vara möjligt för medlemsstaterna att föreskriva åtgärder för att hindra att fysiska personer kostnadsfritt använder kvalificerade elektroniska underskrifter för yrkesmässiga ändamål och samtidigt säkerställa att alla sådana åtgärder står i proportion till identifierade risker och är motiverade.

(21)

Det är fördelaktigt att underlätta spridningen och användningen av europeiska digitala identitetsplånböcker genom att på ett smidigt sätt integrera dem i ekosystemet av offentliga och privata digitala tjänster som redan införts på nationell, lokal eller regional nivå. För att uppnå detta mål bör medlemsstaterna kunna föreskriva rättsliga och organisatoriska åtgärder för att öka flexibiliteten för tillhandahållare av europeiska digitala identitetsplånböcker och medge ytterligare funktioner i de europeiska digitala identitetsplånböckerna utöver vad som fastställs i denna förordning, bland annat genom ökad interoperabilitet med befintliga nationella medel för elektronisk identifiering. Sådana ytterligare funktioner bör inte på något sätt inverka negativt på tillhandahållandet av de europeiska digitala identitetsplånböckernas centrala funktioner som föreskrivs i denna förordning och inte heller främja befintliga nationella lösningar framför europeiska digitala identitetsplånböcker. Eftersom sådana ytterligare funktioner går utöver denna förordning omfattas de inte av de bestämmelser om gränsöverskridande användning av europeiska digitala identitetsplånböcker som fastställs i denna förordning.

(22)

Europeiska digitala identitetsplånböcker bör ha en funktion för att generera pseudonymer, som användarna väljer och hanterar, för autentisering vid åtkomst till nättjänster.

(23)

För att uppnå en hög nivå av säkerhet och tillförlitlighet innehåller denna förordning krav för de europeiska digitala identitetsplånböckerna. Plånböckernas efterlevnad med dessa krav bör intygas av ackrediterade organ för bedömning av överensstämmelse som utses av medlemsstaterna.

(24)

För att undvika skilda tillvägagångssätt och harmonisera genomförandet av de krav som fastställs i denna förordning bör kommissionen, med avseende på certifiering av europeiska digitala identitetsplånböcker, anta genomförandeakter i syfte att fastställa en förteckning över referensstandarder och, vid behov, specifikationer och förfaranden i syfte att formulera närmare tekniska specifikationer av dessa krav. I den mån intyg om överensstämmelse för de europeiska digitala identitetsplånböckerna med relevanta cybersäkerhetskrav inte omfattas av befintliga ordningar för cybersäkerhetscertifiering som avses i denna förordning, och när det gäller andra krav än cybersäkerhetskrav som är relevanta för europeiska digitala identitetsplånböcker, bör medlemsstaterna inrätta nationella certifieringssystem i enlighet med de harmoniserade krav som fastställs i och antas i enlighet med denna förordning. Medlemsstaterna bör överföra sina utkast till nationella certifieringssystem till den europeiska samarbetsgruppen för digital identitet, som bör kunna utfärda yttranden och rekommendationer.

(25)

Certifiering av överensstämmelse med de cybersäkerhetskrav som fastställs i denna förordning bör, i förekommande fall, bygga på de relevanta europeiska ordningar för cybersäkerhetscertifiering som inrättats i enlighet med Europaparlamentets och rådets förordning (EU) 2019/881 (10), som inrättar en frivillig europeisk ram för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster.

(26)

För att kontinuerligt bedöma och minska säkerhetsrelaterade risker bör certifierade europeiska digitala identitetsplånböcker bli föremål för regelbundna sårbarhetsbedömningar som syftar till att upptäcka eventuella sårbarheter i den europeiska digitala identitetsplånbokens certifierade produkt-, process- och tjänsterelaterade komponenter.

(27)

Genom att skydda användare och företag mot cybersäkerhetsrisker bidrar de väsentliga cybersäkerhetskrav som fastställs i denna förordning också till att förbättra skyddet av personuppgifter och individers integritet. När det gäller både standardiseringen och certifieringen av cybersäkerhetsaspekter bör synergier övervägas genom samarbete mellan kommissionen, europeiska standardiseringsorganisationer, Europeiska unionens cybersäkerhetsbyrå (Enisa), Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU) 2016/679, och de nationella tillsynsmyndigheterna med ansvar för dataskydd.

(28)

Anslutning av unionsmedborgare och invånare i unionen till den europeiska digitala identitetsplånboken bör underlättas genom att man förlitar sig på medel för elektronisk identifiering som utfärdats med tillitsnivå hög. Medel för elektronisk identifiering som utfärdats med tillitsnivå väsentlig bör endast användas om harmoniserade tekniska specifikationer och förfaranden med hjälp av medel för elektronisk identifiering som utfärdats med tillitsnivå väsentlig i kombination med kompletterande medel för kontroll av identitet möjliggör uppfyllande av kraven i denna förordning vad gäller tillitsnivå hög. Sådana kompletterande medel bör vara tillförlitliga och lätta att använda och skulle kunna bygga på möjligheten att använda förfaranden för anslutning på distans, kvalificerade certifikat som stöds av kvalificerade elektroniska underskrifter, kvalificerade elektroniska attributsintyg eller en kombination av dessa. För att säkerställa tillräcklig spridning av de europeiska digitala identitetsplånböckerna bör harmoniserade tekniska specifikationer och förfaranden för anslutning av användare med hjälp av medel för elektronisk identifiering, inbegripet sådana som utfärdats med tillitsnivå väsentlig, fastställas i genomförandeakter.

(29)

Syftet med denna förordning är att förse användaren med en helt mobil, säker och användarvänlig europeisk digital identitetsplånbok. Som en övergångsåtgärd till dess att certifierade manipuleringssäkra lösningar, såsom säkerhetskomponenter i användarnas enheter, finns tillgängliga bör de europeiska digitala identitetsplånböckerna kunna förlita sig på certifierade externa säkerhetskomponenter för skyddet av kryptografiskt material och andra känsliga uppgifter eller på anmälda medel för elektronisk identifiering med tillitsnivå hög för att påvisa överensstämmelse med de relevanta kraven i denna förordning vad gäller den europeiska digitala identitetsplånbokens tillitsnivå. Denna förordning bör inte påverka nationella villkor avseende utfärdande och användning av certifierade externa säkerhetskomponenter om denna övergångsåtgärd är beroende av dessa.

(30)

De europeiska digitala identitetsplånböckerna bör garantera högsta möjliga dataskydds- och säkerhetsnivå för elektronisk identifiering och autentisering som underlättar tillgången till offentliga och privata tjänster, oavsett om uppgifterna lagras lokalt eller genom molnbaserade lösningar, där vederbörlig hänsyn tas till de olika risknivåerna.

(31)

De europeiska digitala identitetsplånböckerna bör ha inbyggd säkerhet och innefatta avancerade säkerhetsfunktioner för att skydda mot identitetsstöld och annan datastöld, tillgänglighetsförlust och alla andra cyberhot. Säkerheten bör innefatta toppmoderna krypterings- och lagringsmetoder som är tillgängliga och dekrypterbara endast för användaren, och som förlitar sig på totalsträckskrypterad kommunikation med andra europeiska digitala identitetsplånböcker och förlitande parter. Dessutom bör de europeiska digitala identitetsplånböckerna kräva en säker, uttrycklig och aktiv bekräftelse av användaren för de operationer som utförs via de europeiska digitala identitetsplånböckerna.

(32)

Kostnadsfri användning av europeiska digitala identitetsplånböcker bör inte leda till behandling av data utöver data som är nödvändig för tillhandahållandet av tjänster relaterade till europeiska digitala identitetsplånböcker. Denna förordning bör inte tillåta behandling av personuppgifter som lagras i eller härrör från användningen av den europeiska digitala identitetsplånboken av tillhandahållaren av den europeiska digitala identitetsplånboken för andra ändamål än tillhandahållandet av tjänster relaterade till europeiska digitala identitetsplånböcker. För att säkerställa integritet bör tillhandahållare av europeiska digitala identitetsplånböcker säkerställa icke-observerbarhet genom att inte samla in uppgifter och inte ha insyn i de transaktioner som utförs av användarna av den europeiska digitala identitetsplånboken. Denna icke-observerbarhet innebär att tillhandahållarna inte kan se detaljerade uppgifter om användarens transaktioner. I specifika fall, baserat på användarens uttryckliga föregående samtycke i vart och ett av dessa specifika fall, och i full överensstämmelse med förordning (EU) 2016/679, skulle tillhandahållare av europeiska digitala identitetsplånböcker emellertid kunna beviljas tillgång till den information som krävs för tillhandahållandet av en viss tjänst som gäller europeiska digitala identitetsplånböcker.

(33)

Transparensen i europeiska digitala identitetsplånböcker och tillhandahållarnas ansvarsskyldighet är viktiga faktorer för att skapa social tillit och få till stånd acceptans för ramverket. De europeiska digitala identitetsplånböckernas funktionssätt bör därför vara transparent och i synnerhet medge kontrollerbar behandling av personuppgifter. För att uppnå detta bör medlemsstaterna lämna ut källkoden för programvarukomponenter i användartillämpningen av europeiska digitala identitetsplånböcker, inbegripet dem som rör behandling av personuppgifter och uppgifter om juridiska personer. Offentliggörandet av denna källkod under en licens med öppen källkod bör göra det möjligt för samhället, inbegripet användare och utvecklare, att förstå hur koden fungerar samt revidera och granska koden. Detta skulle öka användarnas förtroende för ekosystemet och bidra till de europeiska digitala identitetsplånböckernas säkerhet genom att göra det möjligt för vem som helst att rapportera sårbarheter och fel i koden. På det hela taget bör detta ge leverantörerna incitament att leverera och upprätthålla en mycket säker produkt. I vissa fall kan dock offentliggörandet av källkoden för bibliotek, kommunikationskanaler eller andra element som inte finns på användarenheten begränsas av medlemsstaterna, av vederbörligen motiverade skäl, särskilt med hänsyn till den allmänna säkerheten.

(34)

Att använda europeiska digitala identitetsplånböcker liksom att upphöra att använda dem bör vara användarens exklusiva rättighet och val. Medlemsstaterna bör utarbeta enkla och säkra förfaranden så att användarna kan begära att giltigheten för europeiska digitala identitetsplånböcker omedelbart återkallas, även i händelse av förlust eller stöld. Vid användarens död eller när en juridisk persons verksamhet upphör bör en mekanism inrättas som gör det möjligt för den myndighet som ansvarar för att reglera arvet efter den fysiska personen eller tillgångarna hos den juridiska personen att begära att europeiska digitala identitetsplånböcker omedelbart återkallas.

(35)

För att främja spridningen av europeiska digitala identitetsplånböcker och en bredare användning av digitala identiteter bör medlemsstaterna inte bara främja fördelarna med de relevanta tjänsterna, utan bör även, i samarbete med den privata sektorn, forskare och den akademiska världen, utveckla utbildningsprogram som syftar till att stärka de digitala färdigheterna hos sina medborgare och invånare, särskilt för utsatta grupper, såsom personer med funktionsnedsättning och äldre personer. Medlemsstaterna bör också öka medvetenheten om fördelarna och riskerna med europeiska digitala identitetsplånböcker genom informationskampanjer.

(36)

För att säkerställa att det europeiska ramverket för digital identitet är öppet för innovation och teknisk utveckling och att det är framtidssäkrat uppmuntras medlemsstaterna att gemensamt inrätta testmiljöer där innovativa lösningar kan testas i en kontrollerad och säker miljö i syfte att förbättra lösningarnas funktion, personuppgiftsskydd, säkerhet och interoperabilitet och lägga grunden för framtida uppdateringar av tekniska referenser och rättsliga krav. Denna miljö bör även uppmuntra deltagande av små och medelstora företag, uppstartsföretag och enskilda innovatörer och forskare samt berörda parter från branschen. Sådana initiativ bör bidra till och stärka regelefterlevnaden och den tekniska robustheten hos de europeiska digitala identitetsplånböcker som ska tillhandahållas unionsmedborgare och invånare i unionen, och därigenom förhindra att det utvecklas lösningar som inte är förenliga med unionsrätten om dataskydd eller som är sårbara vad gäller säkerheten.

(37)

Genom Europaparlamentets och rådets förordning (EU) 2019/1157 (11) kommer säkerheten för identitetskort att utökas med ytterligare säkerhetsdetaljer i augusti 2021. Medlemsstaterna bör överväga om det är möjligt att anmäla dem inom ramen för systemen för elektronisk identifiering för att utöka den gränsöverskridande tillgången till medel för elektronisk identifiering.

(38)

Anmälningen av system för elektronisk identifiering bör förenklas och påskyndas för att främja tillgången till bekväma, tillförlitliga, säkra och innovativa lösningar för autentisering och identifiering och, i förekommande fall, uppmuntra privata leverantörer av lösningar för identifiering att erbjuda system för elektronisk identifiering till medlemsstaternas myndigheter för anmälning som nationella system för elektronisk identifiering enligt förordning (EU) nr 910/2014.

(39)

En effektivisering av de nuvarande förfarandena för anmälan och sakkunnigbedömning kommer att förhindra skilda synsätt på bedömningen av olika anmälda system för elektronisk identifiering och bygga upp förtroendet mellan medlemsstaterna. Nya, förenklade mekanismer är avsedda att främja medlemsstaternas samarbete i frågor som rör säkerheten och interoperabiliteten med avseende på deras anmälda system för elektronisk identifiering.

(40)

Medlemsstaterna bör kunna utnyttja nya, flexibla verktyg för att säkerställa att kraven i denna förordning och i de relevanta genomförandeakter som antas enligt denna uppfylls. Denna förordning bör ge medlemsstaterna möjlighet att använda rapporter och bedömningar, som utförts av ackrediterade organ för bedömning av överensstämmelse, såsom föreskrivs i samband med de certifieringsordningar som ska inrättas på unionsnivå enligt förordning (EU) 2019/881, som stöd i deras arbete med att anpassa systemen, eller delar av dessa, till förordning (EU) nr 910/2014.

(41)

Offentliga tjänsteleverantörer använder de uppgifter för personidentifiering som finns tillgängliga genom systemen för elektronisk identifiering enligt förordning (EU) nr 910/2014 för att matcha den elektroniska identiteten hos användare från andra medlemsstater med de uppgifter för personidentifiering som tillhandahålls dessa användare i den medlemsstat som utför den gränsöverskridande identitetsmatchningsprocessen. För att säkerställa korrekt identitetsmatchning när medlemsstaterna agerar som förlitande parter krävs det dock i många fall, trots användningen av den minimiuppsättning uppgifter som tillhandahålls inom ramen för de anmälda systemen för elektronisk identifiering, ytterligare information om användaren och specifika kompletterande unika identifieringsförfaranden som genomförs på nationell nivå. För att ytterligare stödja användbarheten hos medel för elektronisk identifiering, tillhandahålla bättre offentliga nättjänster och öka rättssäkerheten när det gäller användarnas elektroniska identitet bör förordning (EU) nr 910/2014 kräva att medlemsstaterna vidtar specifika åtgärder online för att säkerställa otvetydig identitetsmatchning när användare avser att få åtkomst till gränsöverskridande offentliga nättjänster.

(42)

Vid utvecklingen av europeiska digitala identitetsplånböcker är det mycket viktigt att ta hänsyn till användarnas behov. Meningsfulla användningsfall och nättjänster som förlitar sig på europeiska digitala identitetsplånböcker bör vara tillgängliga. För användarnas bekvämlighet och för att säkerställa gränsöverskridande tillgång till sådana tjänster är det viktigt att vidta åtgärder för att underlätta en liknande strategi för utformning, utveckling och genomförande av nättjänster i alla medlemsstater. Icke-bindande riktlinjer för hur nättjänster som förlitar sig på europeiska digitala identitetsplånböcker ska utformas, utvecklas och genomföras har potential att bli ett användbart verktyg för att uppnå detta mål. Sådana riktlinjer bör utarbetas med beaktande av unionens interoperabilitetsramverk. Medlemsstaterna bör ha en ledande roll när det gäller att anta dessa riktlinjer.

(43)

I enlighet med Europaparlamentets och rådets direktiv (EU) 2019/882 (12) bör personer med funktionsnedsättning kunna använda europeiska digitala identitetsplånböcker, betrodda tjänster och slutanvändarprodukter som används i samband med tillhandahållandet av dessa tjänster på samma villkor som andra användare.

(44)

För att säkerställa en effektiv efterlevnad av denna förordning bör det fastställas en miniminivå för de maximala administrativa sanktionsavgifterna för både kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster. Medlemsstaterna bör föreskriva effektiva, proportionella och avskräckande sanktioner. Vid fastställandet av sanktionerna bör vederbörlig hänsyn tas till de berörda enheternas storlek, deras affärsmodeller och överträdelsernas allvar.

(45)

Medlemsstaterna bör fastställa regler om sanktioner för överträdelser såsom direkta eller indirekta metoder som leder till förväxling mellan icke-kvalificerade och kvalificerade betrodda tjänster eller till att icke-kvalificerade tillhandahållare av betrodda tjänster missbrukar EU-förtroendemärket. EU-förtroendemärket bör inte användas på villkor som direkt eller indirekt leder till uppfattningen att icke-kvalificerade betrodda tjänster som tillhandahålls av dessa tillhandahållare är kvalificerade.

(46)

Denna förordning bör inte gälla frågor som avser ingående av och giltigheten hos avtal eller andra rättsliga förpliktelser om unionsrätten eller nationell rätt föreskriver vissa formkrav. Den bör inte heller inverka på nationella formkrav avseende offentliga register, i synnerhet inte kommersiella register eller fastighetsregister.

(47)

Tillhandahållandet och användningen av betrodda tjänster och de fördelar detta innebär vad gäller bekvämlighet och rättssäkerhet i samband med gränsöverskridande transaktioner, i synnerhet när kvalificerade betrodda tjänster används, blir allt viktigare för internationell handel och internationellt samarbete. Unionens internationella partner håller på att inrätta tillitsramverk som har inspirerats av förordning (EU) nr 910/2014. För att underlätta erkännandet av kvalificerade betrodda tjänster och deras tillhandahållare kan kommissionen anta genomförandeakter för att fastställa de villkor enligt vilka tillitsramverk i tredjeländer skulle kunna anses vara likvärdiga med tillitsramverket för kvalificerade betrodda tjänster och tillhandahållare av sådana tjänster i denna förordning. En sådan strategi bör komplettera möjligheten till ett ömsesidigt erkännande av betrodda tjänster och tillhandahållare av sådana tjänster som är etablerade i unionen och i tredjeländer i enlighet med artikel 218 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Vid fastställandet av de villkor som måste uppfyllas av tillitsramverk i tredjeländer för att anses vara likvärdiga med tillitsramverket för kvalificerade betrodda tjänster och tillhandahållare av sådana tjänster enligt förordning (EU) nr 910/2014, bör även efterlevnaden av de relevanta bestämmelserna i Europaparlamentets och rådets direktiv (EU) 2022/2555 (13) och förordning (EU) 2016/679 säkerställas, liksom användningen av förteckningar över betrodda tjänsteleverantörer som avgörande komponenter för att bygga upp förtroende.

(48)

Denna förordning bör främja valfrihet och möjligheten att byta mellan europeiska digitala identitetsplånböcker om en medlemsstat har godkänt mer än en lösning för europeiska digitala identitetsplånböcker på sitt territorium. För att undvika inlåsningseffekter i sådana situationer bör tillhandahållarna av europeiska digitala identitetsplånböcker där detta är tekniskt genomförbart säkerställa effektiv portabilitet för uppgifter på begäran av användare av europeiska digitala identitetsplånböcker, och de bör inte tillåtas använda avtalsenliga, ekonomiska eller tekniska spärrar för att förhindra eller försvåra ett effektivt byte mellan olika europeiska digitala identitetsplånböcker.

(49)

För att säkerställa att de europeiska digitala identitetsplånböckerna fungerar korrekt behöver tillhandahållare av europeiska digitala identitetsplånböcker effektiv interoperabilitet och rättvisa, rimliga och icke-diskriminerande villkor för att de europeiska digitala identitetsplånböckerna ska få tillgång till specifika maskinvaru- och programvarufunktioner hos mobila enheter. Dessa komponenter skulle särskilt kunna omfatta NFC-antenner och säkerhetskomponenter, inbegripet universella smartkort, inbäddade säkerhetskomponenter, microSD-kort och Bluetooth Low Energy. Tillgången till komponenterna skulle kunna kontrolleras av mobilnätsoperatörer och tillverkare av utrustning. Därför bör tillverkare av originalutrustning för mobila enheter eller tillhandahållare av elektroniska kommunikationstjänster inte neka tillgång till sådana komponenter när de behövs för att tillhandahålla tjänster relaterade till de europeiska digitala identitetsplånböckerna. Dessutom bör de företag som betecknas som grindvakter för centrala plattformstjänster enligt kommissionens förteckning i Europaparlamentets och rådets förordning (EU) 2022/1925 (14) fortsätta att omfattas av de särskilda bestämmelserna i den förordningen, på grundval av artikel 6.7 i den förordningen.

(50)

För att anpassa de skyldigheter avseende cybersäkerhet som införts för tillhandahållare av betrodda tjänster, och för att dessa tillhandahållare och deras respektive behöriga myndigheter ska kunna gynnas av den rättsliga ram som inrättas genom direktiv (EU) 2022/2555, ska betrodda tjänster vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med det direktivet, däribland åtgärder mot systembrister, mänskliga fel, olagliga handlingar eller naturfenomen, för att hantera säkerhetsriskerna i de nätverk och informationssystem som dessa tillhandahållare använder för att tillhandahålla sina tjänster, liksom för att anmäla allvarliga incidenter och cyberhot i enlighet med det direktivet. När det gäller rapporteringen av incidenter bör tillhandahållare av betrodda tjänster anmäla varje incident som har en betydande inverkan på tillhandahållandet av deras tjänster, däribland sådana som orsakas av stöld eller förlust av anordningar, skador på nätverkskablar eller incidenter i samband med identifieringen av personer. Kraven och rapporteringsskyldigheterna för hanteringen av riskerna för cybersäkerheten enligt direktiv (EU) 2022/2555 bör ses som komplement till de krav som införs för tillhandahållare av betrodda tjänster enligt denna förordning. I tillämpliga fall bör nationella förfaranden eller riktlinjer som fastställts med avseende på genomförandet av säkerhets- och rapporteringskraven och övervakningen av efterlevnaden av sådana krav enligt förordning (EU) nr 910/2014 fortsätta att tillämpas av de behöriga myndigheter som utses enligt direktiv (EU) 2022/2555. Denna förordning påverkar inte skyldigheten att anmäla personuppgiftsincidenter enligt förordning (EU) 2016/679.

(51)

Vederbörlig hänsyn bör tas för att säkerställa ett effektivt samarbete mellan de tillsynsorgan som utses i enlighet med artikel 46b i förordning (EU) nr 910/2014 och de behöriga myndigheter som utses eller fastställs i enlighet med artikel 8.1 i direktiv (EU) 2022/2555. Om ett sådant tillsynsorgan skiljer sig från en sådan behörig myndighet bör de bedriva ett nära och effektivt samarbete genom att utbyta relevant information för att säkerställa en effektiv tillsyn och att tillhandahållarna av betrodda tjänster uppfyller kraven i förordning (EU) nr 910/2014 och direktiv (EU) 2022/2555. I synnerhet bör de tillsynsorganen som utses i enlighet med förordning (EU) nr 910/2014 ha rätt att begära att behöriga myndigheter som utses eller fastställs i enlighet med direktiv (EU) 2022/2555 tillhandahåller all relevant information som behövs för att bevilja status som kvalificerad och för att utföra tillsynsåtgärder för att kontrollera att tillhandahållarna av betrodda tjänster uppfyller de relevanta kraven i direktiv (EU) 2022/2555 eller kräva att de åtgärdar bristerna.

(52)

Det är av avgörande betydelse att det föreskrivs en rättslig ram för att främja gränsöverskridande erkännande mellan befintliga nationella rättssystem för elektroniska tjänster för rekommenderade leveranser. En sådan ram kan även skapa nya marknadsmöjligheter för tillhandahållare av betrodda tjänster i unionen att erbjuda nya unionsomfattande elektroniska tjänster för rekommenderade leveranser. För att säkerställa att data som skickas med hjälp av en kvalificerad elektronisk tjänst för rekommenderade leveranser levereras till rätt adressat bör kvalificerade elektroniska tjänster för rekommenderade leveranser med komplett säkerhet säkerställa identifieringen av adressaten, medan en hög tillförlitlighetsnivå skulle räcka när det gäller identifiering av avsändaren. Tillhandahållare av kvalificerade elektroniska tjänster för rekommenderade leveranser bör av medlemsstaterna uppmuntras att göra sina tjänster interoperabla med sådana kvalificerade elektroniska tjänster för rekommenderade leveranser som tillhandahålls av andra kvalificerade tillhandahållare av betrodda tjänster i syfte att enkelt överföra elektroniska rekommenderade uppgifter mellan två eller flera kvalificerade tillhandahållare av betrodda tjänster och främja god sed på den inre marknaden.

(53)

I de flesta fall kan unionsmedborgare och invånare i unionen inte utbyta digital information över gränserna om sin identitet, t.ex. adress, ålder och yrkeskvalifikationer, körkort och andra tillstånd eller betalningsuppgifter, på ett säkert sätt och med en hög nivå av dataskydd.

(54)

Det bör vara möjligt att utfärda och hantera tillförlitliga elektroniska attribut och bidra till att minska den administrativa bördan genom att ge unionsmedborgare och invånare i unionen möjlighet att använda dem i privata och offentliga transaktioner. Unionsmedborgare och invånare i unionen bör till exempel kunna bevisa innehav av ett giltigt körkort som har utfärdats av en myndighet i en medlemsstat och som kan verifieras och godtas av de berörda myndigheterna i andra medlemsstater. De bör även kunna förlita sig på sina uppgifter om social trygghet eller framtida digitala resehandlingar i ett gränsöverskridande sammanhang.

(55)

Alla tillhandahållare av tjänster som utfärdar attesterade attribut i elektroniskt format, såsom examensbevis, licenser, personbevis eller befogenheter och uppdrag att företräda fysiska eller juridiska personer eller agera på deras vägnar bör anses vara en tillhandahållare av betrodda elektroniska attributsintyg. Ett elektroniskt attributsintyg bör inte förvägras rättslig verkan på grund av att det har elektronisk form eller inte uppfyller kraven för ett kvalificerat elektroniskt attributsintyg. Allmänna krav bör fastställas för att säkerställa att kvalificerade elektroniska attributsintyg har samma rättsliga verkan som lagligen utfärdade intyg i pappersform. Sådana krav bör emellertid gälla utan att det påverkar tillämpningen av unionsrätt eller nationell rätt som omfattar ytterligare sektorsspecifika krav med underliggande rättsliga verkningar vad gäller formen och, i synnerhet, det gränsöverskridande erkännandet av kvalificerade elektroniska attributsintyg i tillämpliga fall.

(56)

En bred tillgång till och användbarhet för europeiska digitala identitetsplånböcker bör leda till att de godtas i större utsträckning och öka förtroendet för dem både hos privatpersoner och hos privata tillhandahållare av tjänster. Privata förlitande parter som tillhandahåller tjänster till exempel inom områdena transport, energi, bankväsende och finansiella tjänster, social trygghet, hälso- och sjukvård, dricksvatten, posttjänster, digital infrastruktur, telekommunikation eller utbildning bör därför godta att de europeiska digitala identitetsplånböckerna används i samband med tillhandahållandet av tjänster där en säker autentisering för onlineidentifiering krävs enligt unionsrätten eller nationell rätt eller genom avtalsenliga skyldigheter. Varje begäran som den förlitande parten framställer om information från användaren av en europeisk digital identitetsplånbok bör vara nödvändig för och stå i proportion till den avsedda användningen i ett givet fall, bör vara förenlig med principen om uppgiftsminimering och bör säkerställa transparens när det gäller vilka uppgifter som delas och för vilka ändamål. För att underlätta användningen och godtagandet av europeiska digitala identitetsplånböcker bör allmänt accepterade branschstandarder och specifikationer beaktas när plånböckerna införs.

(57)

Om mycket stora onlineplattformar, enligt artikel 33.1 i Europaparlamentets och rådets förordning (EU) 2022/2065 (15), kräver att användarna är autentiserade för att få tillgång till nättjänster bör dessa plattformar vara skyldiga att godta användning av europeiska digitala identitetsplånböcker på användarens frivilliga begäran. Användarna bör inte vara tvungna att använda en europeisk digital identitetsplånbok för att få tillgång till privata tjänster, och deras tillgång till tjänster bör inte begränsas eller hindras på grund av att de inte använder en europeisk digital identitetsplånbok. Om användarna emellertid vill göra det, bör stora onlineplattformar godta dem i detta syfte, med iakttagande av principen om uppgiftsminimering och användarnas rätt att använda pseudonymer som de fritt väljer. Med tanke på de mycket stora onlineplattformarnas räckvidd, i synnerhet när det gäller antalet mottagare av tjänsten och antalet ekonomiska transaktioner, är skyldigheten att godta europeiska digitala identitetsplånböcker nödvändig för att öka användarnas skydd mot bedrägerier och säkerställa en hög nivå av dataskydd.

(58)

Uppförandekoder på unionsnivå bör utarbetas för att bidra till allmän tillgång till och användbarhet hos medel för elektronisk identifiering, däribland de europeiska digitala identitetsplånböckerna, inom denna förordnings tillämpningsområde. Uppförandekoderna bör underlätta ett brett erkännande av medel för elektronisk identifiering, däribland europeiska digitala identitetsplånböcker, bland de tjänsteleverantörer som inte klassificeras som mycket stora plattformar och som förlitar sig på tredje parts tjänster för elektronisk identifiering för användarautentisering.

(59)

Selektivt utlämnande är ett begrepp som ger dataägaren rätt att endast lämna ut vissa delar av en större datamängd, så att den mottagande enheten endast kan inhämta information som är nödvändig för tillhandahållandet av en tjänst som begärs av en användare. De europeiska digitala identitetsplånböckerna bör ha tekniska egenskaper som möjliggör ett selektivt utlämnande av attribut till förlitande parter. Det bör vara tekniskt möjligt för användaren att selektivt utelämna attribut, inbegripet från flera olika elektroniska intyg, och att kombinera och presentera dem sömlöst för förlitande parter. Denna funktion bör vara en grundläggande inbyggd funktion i europeiska digitala identitetsplånböcker som förstärker bekvämligheten och skyddet av personuppgifter, inbegripet uppgiftsminimering.

(60)

Såvida inte särskilda bestämmelser i unionsrätten eller nationell rätt kräver att användarna ska identifiera sig bör åtkomst till tjänster med hjälp av en pseudonym inte förbjudas.

(61)

Attribut som tillhandahålls av kvalificerade tillhandahållare av betrodda tjänster som en del av kvalificerade attributsintyg bör verifieras mot autentiska källor, antingen direkt av den kvalificerade tillhandahållaren av betrodda tjänster eller genom särskilt utsedda mellanhänder som erkänns på nationell nivå i enlighet med unionsrätten eller nationell rätt för ett säkert utbyte av intygade attribut mellan tillhandahållare av identitetslösningar eller attributsintyg och förlitande parter. Medlemsstaterna bör inrätta lämpliga mekanismer på nationell nivå för att säkerställa att sådana kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg kan kontrollera, på grundval av samtycke från den person till vilken intyget utfärdas, äktheten hos de attribut som bygger på autentiska källor. Lämpliga mekanismer bör kunna innefatta användningen av särskilda mellanhänder eller tekniska lösningar som i enlighet med nationell rätt ger tillgång till de autentiska källorna. Säkerställandet av tillgång till en mekanism som möjliggör kontroll av attribut mot autentiska källor avser att underlätta för kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade elektroniska attributsintyg att uppfylla sina skyldigheter enligt förordning (EU) nr 910/2014. En ny bilaga till den förordningen bör innehålla en förteckning över kategorier av attribut avseende vilka medlemsstaterna ska säkerställa att åtgärder vidtas för att göra det möjligt för kvalificerade tillhandahållare av elektroniska attributsintyg att på användarens begäran på elektronisk väg kontrollera deras äkthet gentemot den relevanta autentiska källan.

(62)

Säker elektronisk identifiering och tillhandahållande av attributsintyg bör erbjuda ytterligare flexibilitet och lösningar inom sektorn för finansiella tjänster för att göra det möjligt att identifiera kunder och utbyta särskilda attribut som behövs för att, till exempel, uppfylla kraven på kundkontroll enligt en framtida förordning om inrättande av myndigheten för bekämpning av penningtvätt och lämplighetskraven i lagstiftningen om investerarskydd, eller för att bidra till efterlevnaden av kraven på stark kundautentisering för onlineidentifiering vid kontoinloggning och inledande av transaktioner inom betaltjänstområdet.

(63)

Den rättsliga verkan av en elektronisk underskrift ska inte bestridas på den grunden att den är i elektronisk form eller inte uppfyller kraven för en kvalificerad elektronisk underskrift. Det är dock i nationell rätt som den rättsliga verkan av elektroniska underskrifter ska fastställas, med undantag för de krav som föreskrivs i denna förordning, enligt vilka den rättsliga verkan av en kvalificerad elektronisk underskrift ska anses vara likvärdig med en handskriven underskrift. Vid fastställandet av elektroniska underskrifters rättsliga verkan bör medlemsstaterna beakta principen om proportionalitet mellan det rättsliga värdet av en handling som ska undertecknas och den säkerhetsnivå och kostnad som en elektronisk underskrift kräver. För att öka tillgängligheten till och användningen av elektroniska underskrifter uppmuntras medlemsstaterna att överväga användningen av avancerade elektroniska underskrifter för de dagliga transaktioner för vilka de tillhandahåller en tillräcklig nivå av säkerhet och tillförlitlighet.

(64)

För att säkerställa enhetliga certifieringsmetoder i hela unionen bör kommissionen utfärda riktlinjer för certifiering och omcertifiering av kvalificerade anordningar för skapande av elektroniska underskrifter och kvalificerade anordningar för skapande av elektroniska stämplar, inbegripet vad gäller deras giltighet och tidsbegränsningar. Denna förordning hindrar inte de offentliga eller privata organ som har certifierade kvalificerade anordningar för skapande av elektroniska underskrifter från att omcertifiera sådana anordningar för en kort certifieringsperiod, baserat på resultaten av den föregående certifieringsprocessen, om en sådan omcertifiering inte kan utföras inom den rättsligt fastställda tidsramen av ett annat skäl än en överträdelse eller en säkerhetsincident, utan att det påverkar skyldigheten att utföra en sårbarhetsbedömning och utan att det påverkar tillämplig certifieringspraxis.

(65)

Utfärdandet av certifikat för autentisering av webbplatser är avsett att ge användarna tillit, med en hög tillförlitlighetsnivå när det gäller identiteten hos den enhet som står bakom webbplatsen, oavsett vilken plattform som används för att visa identiteten. Dessa certifikat bör bidra till att bygga upp förtroendet för näthandeln, eftersom användarna kan förväntas hysa tillit till en webbplats som har autentiserats. Användningen av sådana certifikat bör vara frivillig. För att autentiseringen av webbplatser ska kunna bli ett sätt att stärka förtroendet, ge användaren en bättre upplevelse och främja tillväxten på den inre marknaden fastställs i denna förordning ett tillitsramverk som innefattar minimiskyldigheter vad gäller säkerhet och skadeståndsansvar för tillhandahållare av kvalificerade certifikat för autentisering av webbplatser och krav i fråga om utfärdandet av dessa certifikat. Nationella förteckningar över betrodda tjänsteleverantörer bör bekräfta att tjänster för autentisering av webbplatser och deras tillhandahållare av betrodda tjänster har status som kvalificerade, inbegripet att de fullt ut följer kraven i denna förordning när det gäller utfärdande av kvalificerade certifikat för autentisering av webbplatser. Erkännandet av kvalificerade certifikat för autentisering av webbplatser innebär att tillhandahållare av webbläsare inte bör neka äktheten hos kvalificerade certifikat för autentisering av webbplatser vars enda i syfte är att intyga kopplingen mellan webbplatsens domännamn och den fysiska eller juridiska person till vilken certifikatet är utfärdat eller bekräfta den personens identitet. Tillhandahållare av webbläsare bör visa de certifierade identitetsuppgifterna och de andra intygade attributen för slutanvändaren på ett användarvänligt sätt i webbläsarmiljön genom valfria tekniska medel. För detta ändamål bör tillhandahållare av webbläsare säkerställa stöd och interoperabilitet med kvalificerade certifikat för autentisering av webbplatser som utfärdats i fullständig överensstämmelse med denna förordning.Den skyldighet som innebär erkännande av och kompatibilitet med samt stöd för kvalificerade certifikat för autentisering av webbplatser påverkar inte friheten för tillhandahållare av webbläsare att säkerställa webbsäkerhet, domänautentisering och kryptering av webbtrafik på ett sätt och med hjälp av den teknik som de anser lämpligast. För att bidra till slutanvändarnas onlinesäkerhet bör tillhandahållare av webbläsare i undantagsfall kunna vidta säkerhetsåtgärder som är både nödvändiga och proportionella som en reaktion på välgrundade farhågor om säkerhetsincidenter eller integritetsförluster hos ett identifierat certifikat eller en identifierad uppsättning certifikat. Om tillhandahållare av webbläsare vidtar sådana säkerhetsåtgärder bör de, utan onödigt dröjsmål, underrätta kommissionen, det nationella tillsynsorganet om vilken enhet certifikatet utfärdades till och vilken kvalificerad tillhandahållare av betrodda tjänster som utfärdade certifikatet eller uppsättningen certifikat, om alla farhågor med avseende på en sådan säkerhetsincident eller integritetsförlust samt om vilka åtgärder som vidtagits avseende det enskilda certifikatet eller uppsättningen certifikat. Dessa åtgärder bör inte påverka den skyldighet som tillhandahållare av webbläsare har att erkänna kvalificerade certifikat för autentisering av webbplatser i enlighet med de nationella förteckningarna över betrodda tjänsteleverantörer. För att ytterligare skydda unionsmedborgare och invånare i unionen och främja användningen av kvalificerade certifikat för autentisering av webbplatser bör medlemsstaternas offentliga myndigheter överväga att införa kvalificerade certifikat för autentisering av webbplatser på sina egna webbplatser. De åtgärder som föreskrivs i denna förordning som syftar till att skapa ökad samstämmighet mellan medlemsstaternas skilda tillvägagångssätt och praxis när det gäller tillsynsförfaranden är avsedda att bidra till större förtroende och tillit för säkerhet, kvalitet och tillgänglighet avseende kvalificerade certifikat för autentisering av webbplatser.

(66)

Många medlemsstater har infört nationella krav för tjänster som tillhandahåller säker och tillförlitlig elektronisk arkivering för att möjliggöra långsiktig lagring av elektroniska uppgifter och elektroniska dokument och tillhörande betrodda tjänster. För att säkerställa rättssäkerhet, förtroende och harmonisering mellan medlemsstaterna bör en rättslig ram för kvalificerade elektroniska arkiveringstjänster inrättas, och den bör inspireras av ramen för de andra betrodda tjänster som föreskrivs i denna förordning. Den rättsliga ramen för kvalificerade elektroniska arkiveringstjänster bör erbjuda tillhandahållare och användare av betrodda tjänster en effektiv verktygslåda som omfattar funktionskrav för den elektroniska arkiveringstjänsten samt tydlig rättslig verkan när en kvalificerad elektronisk arkiveringstjänst används. Bestämmelserna bör vara tillämpliga på elektroniska uppgifter och elektroniska dokument skapade i elektronisk form liksom på pappersdokument som har skannats och digitaliserats. När så krävs bör bestämmelserna tillåta att bevarade elektroniska uppgifter och elektroniska dokument överförs till olika medier eller format i syfte att förlänga deras hållbarhet och läsbarhet bortom den tekniska giltighetstiden, samtidigt som förluster och ändringar förhindras i möjligaste mån. När elektroniska data och elektroniska dokument som lämnas till den elektroniska arkiveringstjänsten innehåller en eller flera kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar bör tjänsten använda förfaranden och teknik som kan förlänga deras tillförlitlighet under bevarandeperioden för sådana uppgifter, eventuellt genom användning av andra kvalificerade betrodda tjänster som inrättas genom denna förordning. För att skapa bevarandebevis när elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar används bör kvalificerade betrodda tjänster användas. I den mån som elektroniska arkiveringstjänster inte harmoniseras genom denna förordning bör medlemsstaterna kunna behålla eller införa nationella bestämmelser, i enlighet med unionsrätten, som rör dessa tjänster, såsom särskilda bestämmelser för tjänster som är integrerade i en organisation och som endast används för den organisationens interna arkiv. Denna förordning bör inte göra skillnad på elektroniska uppgifter och elektroniska dokument skapade i elektronisk form och fysiska dokument som har digitaliserats.

(67)

Nationella arkivs och minnesinstitutioners verksamhet regleras, i egenskap av organisationer som arbetar med att bevara det dokumenterade arvet i allmänhetens intresse, vanligtvis i nationell rätt och tillhandahåller inte nödvändigtvis betrodda tjänster i den mening som avses i denna förordning. I den mån sådana institutioner inte tillhandahåller sådana betrodda tjänster ska denna förordning inte påverka deras verksamhet.

(68)

Elektroniska liggare är en sekvens av elektroniska dataloggar som bör säkerställa dataintegriteten och riktigheten i deras kronologiska ordning. Elektroniska liggare bör upprätta en kronologisk sekvens av dataloggar. Tillsammans med annan teknik bör de bidra till lösningar för effektivare och omdanande offentliga tjänster såsom elektronisk röstning, gränsöverskridande samarbete mellan tullmyndigheter, gränsöverskridande samarbete mellan akademiska institutioner och registrering av äganderätt till fastigheter i decentraliserade fastighetsregister. Kvalificerade elektroniska liggare bör skapa en legal presumtion för den unika och korrekta sekventiella kronologiska ordningsföljden och integriteten hos dataloggarna i liggaren. På grund av sina specifika egenskaper, såsom den sekventiella kronologiska ordningsföljden för dataloggar, bör elektroniska liggare skiljas från andra betrodda tjänster såsom elektroniska tidsstämplingar och elektroniska tjänster för rekommenderade leveranser. För att säkerställa rättssäkerhet och främja innovation bör en unionsomfattande rättslig ram inrättas som föreskriver ett gränsöverskridande erkännande av betrodda tjänster för registrering av uppgifter i elektroniska liggare. Detta bör i tillräcklig utsträckning kunna förhindra att samma digitala tillgång kopieras och säljs mer än en gång till olika parter. Processen för att skapa och uppdatera en elektronisk liggare beror på vilken typ av liggare som används, nämligen om den är centraliserad eller distribuerad. Denna förordning bör säkerställa teknikneutralitet, dvs. varken gynna eller diskriminera någon teknik som används för att genomföra den nya betrodda tjänsten för elektroniska liggare. Dessutom bör hållbarhetsindikatorer för eventuella negativa effekter på klimatet eller andra miljörelaterade negativa effekter beaktas av kommissionen, med hjälp av lämpliga metoder, när den utarbetar de genomförandeakter där kraven för kvalificerade elektroniska liggare specificeras.

(69)

Rollen för tillhandahållare av betrodda tjänster för elektroniska liggare bör vara att säkerställa den sekventiella registreringen av uppgifter i liggaren. Denna förordning påverkar inte eventuella rättsliga skyldigheter som användare av elektroniska liggare har enligt unionsrätten eller nationell rätt. Till exempel bör användningsfall som inbegriper behandlingen av personuppgifter uppfylla kraven i förordning (EU) 2016/679 och användningsfall som rör finansiella tjänster bör uppfylla kraven i relevant unionsrätt om finansiella tjänster.

(70)

För att undvika fragmentering och hinder på den inre marknaden på grund av varierande standarder och tekniska begränsningar, och för att säkerställa en samordnad process för att undvika att genomförandet av det europeiska ramverket för digital identitet påverkas, krävs det ett förfarande för ett nära och strukturerat samarbete mellan kommissionen, medlemsstaterna, civilsamhället, den akademiska världen och den privata sektorn. För att uppnå detta mål bör medlemsstaterna och kommissionen samarbeta inom den ram som fastställs i kommissionens rekommendation (EU) 2021/946 (16) för att utarbeta en unionsgemensam verktygslåda för det europeiska ramverket för digital identitet. I detta sammanhang bör medlemsstaterna enas om en övergripande teknisk arkitektur och referensram, ett antal gemensamma standarder och tekniska referenser inbegripet erkända befintliga standarder samt en uppsättning riktlinjer och beskrivningar av bästa praxis som åtminstone omfattar all funktionalitet och interoperabilitet hos europeiska digitala identitetsplånböcker, inklusive elektroniska underskrifter, och hos tillhandahållaren av kvalificerade betrodda tjänster för elektroniska attributsintyg som fastställs i denna förordning. I detta sammanhang bör medlemsstaterna även komma överens om gemensamma inslag i en affärsmodell och en avgiftsstruktur för europeiska digitala identitetsplånböcker för att underlätta användningen, i synnerhet för små och medelstora företag i gränsöverskridande sammanhang. Innehållet i verktygslådan bör utvecklas parallellt med och återspegla resultatet av diskussionen och processen för antagandet av det europeiska ramverket för digital identitet.

(71)

Denna förordning föreskriver en harmoniserad nivå av kvalitet, tillförlitlighet och säkerhet när det gäller kvalificerade betrodda tjänster, oavsett var verksamheten bedrivs. En kvalificerad tillhandahållare av betrodda tjänster bör därför ha rätt att lägga ut sin verksamhet vad gäller tillhandahållandet av en kvalificerad betrodd tjänst på entreprenad i ett tredje land, om det tredje landet tillhandahåller tillräckliga garantier och säkerställer att tillsynsverksamhet och revisioner kan verkställas som om de hade bedrivits i unionen. Om efterlevnaden av denna förordning inte kan garanteras fullt ut bör tillsynsorganen kunna vidta proportionella och motiverade åtgärder, inbegripet återkallande av den tillhandahållna betrodda tjänstens status som kvalificerad.

(72)

För att säkerställa rättssäkerhet vad gäller giltigheten för avancerade elektroniska underskrifter baserade på kvalificerade certifikat är det viktigt att bedömningen av den förlitande part som utför valideringen av den avancerade elektroniska underskriften baserad på kvalificerade certifikat specificeras.

(73)

Tillhandahållare av betrodda tjänster bör använda krypteringsmetoder som återspeglar rådande bästa praxis och tillförlitliga tillämpningar av dessa algoritmer för att säkerställa säkerheten och tillförlitligheten hos sina betrodda tjänster.

(74)

I denna förordning fastställs en skyldighet för kvalificerade tillhandahållare av betrodda tjänster att kontrollera identiteten på en fysisk eller juridisk person till vilken det kvalificerade certifikatet eller det kvalificerade elektroniska attributsintyget utfärdas på grundval av olika harmoniserade metoder i hela unionen. För att säkerställa att kvalificerade certifikat och kvalificerade elektroniska attributsintyg utfärdas till den person som de tillhör och att de intygar den korrekta och unika uppsättning uppgifter som representerar den personens identitet, bör kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade certifikat eller utfärdar kvalificerade elektroniska attributsintyg, vid tidpunkten för utfärdandet av dessa certifikat och intyg med full säkerhet säkerställa identifieringen av den personen. Utöver den obligatoriska kontrollen av personens identitet, i tillämpliga fall för utfärdande av kvalificerade certifikat och vid utfärdande av ett kvalificerat elektroniskt attributsintyg, bör kvalificerade tillhandahållare av betrodda tjänster med full säkerhet säkerställa att de intygade attributen för den person till vilken det kvalificerade certifikatet eller det kvalificerade elektroniska attributsintyget utfärdas är korrekta och riktiga. Dessa krav på resultat och full säkerhet vid kontrollen av de intygade uppgifterna bör stödjas på lämpligt sätt, bland annat genom användning av en eller, när så krävs, en kombination av specifika metoder som föreskrivs i denna förordning. Det bör vara möjligt att kombinera dessa metoder för att ge en lämplig grund för kontroll av identiteten på den person till vilken det kvalificerade certifikatet eller ett kvalificerat elektroniskt attributsintyg utfärdas. En sådan kombination bör kunna innefatta användning av medel för elektronisk identifiering som uppfyller kraven på tillitsnivå väsentlig i kombination med andra metoder för identitetskontroll som skulle göra det möjligt att uppfylla de harmoniserade kraven i denna förordning vad gäller tillitsnivå hög som en del av ytterligare harmoniserade distansförfaranden och säkerställa identifiering med en hög tillförlitlighetsnivå. Dessa metoder bör inbegripa möjligheten för den kvalificerade tillhandahållare av betrodda tjänster som utfärdar ett kvalificerat elektroniskt attributsintyg att kontrollera de attribut som ska intygas på elektronisk väg på användarens begäran, i enlighet med unionsrätten eller nationell rätt, inbegripet mot autentiska källor.

(75)

För att hålla denna förordning i linje med den globala utvecklingen och för att följa praxis på den inre marknaden bör de delegerade akter och genomförandeakter som antas av kommissionen ses över och vid behov uppdateras regelbundet. Vid bedömningen av behovet av dessa uppdateringar bör hänsyn tas till ny teknik och nya metoder, standarder eller tekniska specifikationer.

(76)

Eftersom målen för denna förordning, nämligen utvecklingen av det unionsomfattande europeiska ramverket för digital identitet och av ett ramverk för betrodda tjänster, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av deras omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.

(77)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725.

(78)

Förordning (EU) nr 910/2014 bör därför ändras i enlighet med detta.

1.

Artikel 1 ska ersättas med följande:

2.

Artikel 2 ska ändras på följande sätt:

3.

Artikel 3 ska ändras på följande sätt:

4.

Artikel 5 ska ersättas med följande:

5.

I kapitel II ska följande avsnitt införas:

(*2)  Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70)."

(*3)  Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15)."

(*4)  Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36)."

(*5)  Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) (EUT L 277, 27.10.2022, s. 1).” "

6.

Följande rubrik ska införas före artikel 6:

7.

I artikel 7 ska led g ersättas med följande:

8.

I artikel 8.3 ska första stycket ersättas med följande:

9.

Artikel 9.2 och 9.3 ska ersättas med följande:

10.

I artikel 10 ska rubriken ersättas med följande:

”Säkerhetsincidenter som rör system för elektronisk identifiering”.

11.

Följande artikel ska införas:

12.

Artikel 12 ska ändras på följande sätt:

13.

Följande artiklar ska införas i kapitel II:

(*6)  Europaparlamentets och rådets förordning (EU) 2022/1925 av den 14 september 2022 om öppna och rättvisa marknader inom den digitala sektorn och om ändring av direktiv (EU) 2019/1937 och (EU) 2020/1828 (förordningen om digitala marknader) (EUT L 265, 12.10.2022, s. 1).” "

14.

Artikel 13.1 ska ersättas med följande:

15.

Artiklarna 14, 15 och 16 ska ersättas med följande:

(*7)  Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).”"

16.

I kapitel III avsnitt 2 ska titeln ersättas med följande:

”Icke-kvalificerade betrodda tjänster”

17.

Artiklarna 17 och 18 ska utgå.

18.

Följande artikel ska införas i kapitel III avsnitt 2:

19.

Artikel 20 ska ändras på följande sätt:

20.

Artikel 21 ska ändras på följande sätt:

21.

Artikel 24 ska ändras på följande sätt:

22.

Följande artikel ska införas i kapitel III, avsnitt 3:

23.

Artikel 25.3 ska utgå.

24.

Artikel 26 ska ändras på följande sätt:

25.

Artikel 27.4 ska utgå.

26.

Artikel 28.6 ska ersättas med följande:

27.

I artikel 29 ska följande punkt införas:

28.

Följande artikel ska införas:

29.

I artikel 30 ska följande punkt införas:

30.

Artikel 31.3 ska ersättas med följande:

31.

Artikel 32 ska ändras på följande sätt:

32.

Följande artikel ska införas:

33.

Artikel 33.2 ska ersättas med följande text:

34.

Artikel 34 ska ändras på följande sätt:

35.

Artikel 35.3 ska utgå.

36.

Artikel 36 ska ändras på följande sätt:

37.

Artikel 37.4 ska utgå.

38.

Artikel 38.6 ska ersättas med följande:

39.

Följande artikel ska införas:

40.

Följande artikel ska införas i kapitel III avsnitt 5:

41.

Artikel 41.3 ska utgå.

42.

Artikel 42 ska ändras på följande sätt:

43.

Artikel 44 ska ändras på följande sätt:

44.

Artikel 45 ska ersättas med följande:

45.

Följande artikel ska införas:

46.

Följande avsnitt ska läggas till i kapitel III:

47.

Följande kapitel ska införas:

48.

Artikel 47 ska ändras på följande sätt:

49.

Följande artikel ska införas i kapitel VI:

50.

Artikel 49 ska ersättas med följande:

51.

Artikel 51 ska ersättas med följande:

52.

Bilagorna I–IV ska ändras i enlighet med bilagorna I–IV till den här förordningen.

53.

Nya bilagor V, VI och VII ska läggas till i enlighet med bilagorna V, VI och VII till den här förordningen.