This document is an excerpt from the EUR-Lex website
Document 32025R2243
Commission Implementing Regulation (EU) 2025/2243 of 6 November 2025 laying down detailed specifications regarding the functional requirements for eFTI platforms in accordance with Regulation (EU) 2020/1056 of the European Parliament and of the Council
Kommissionens genomförandeförordning (EU) 2025/2243 av den 6 november 2025 om fastställande av närmare specifikationer med avseende på de funktionella kraven för eFTI-plattformar i enlighet med Europaparlamentets och rådets förordning (EU) 2020/1056
Kommissionens genomförandeförordning (EU) 2025/2243 av den 6 november 2025 om fastställande av närmare specifikationer med avseende på de funktionella kraven för eFTI-plattformar i enlighet med Europaparlamentets och rådets förordning (EU) 2020/1056
C/2025/7442
EUT L, 2025/2243, 7.11.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/2243/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Europeiska unionens |
SV L-serien |
|
2025/2243 |
7.11.2025 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/2243
av den 6 november 2025
om fastställande av närmare specifikationer med avseende på de funktionella kraven för eFTI-plattformar i enlighet med Europaparlamentets och rådets förordning (EU) 2020/1056
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2020/1056 av den 15 juli 2020 om elektronisk godstransportinformation (1), särskilt artikel 9.2, och
av följande skäl:
|
(1) |
Enligt förordning (EU) 2020/1056 ska de behöriga myndigheterna i medlemsstaterna godta föreskriven information när den görs tillgänglig elektroniskt av de berörda ekonomiska aktörerna i enlighet med kraven i den förordningen, och mer specifikt genom plattformar för elektronisk godstransportinformation (eFTI-plattformar) som har certifiering som visar att de uppfyller kraven i den förordningen. |
|
(2) |
De berörda ekonomiska aktörerna och leverantörerna av IKT-lösningar bör på ett flexibelt sätt kunna återanvända IKT-lösningar som för närvarande används inom transport- och logistiksektorn, exempelvis för att hantera interna processflöden och kommunikationen med affärspartner i leveranskedjan, i syfte att utveckla eFTI-plattformar. Möjligheten att bygga vidare på befintliga lösningar skulle möjliggöra en snabbare och kostnadseffektiv utveckling av eFTI-plattformar och skapa förutsättningar för ett snabbare och bredare införande av eFTI bland berörda ekonomiska aktörer, utan att det skulle kräva betydande teknikinvesteringar eller påverka deras affärsprocesser i större utsträckning. |
|
(3) |
Enligt artikel 12 i förordning (EU) 2020/1056 bör ett certifieringsförfarande för eFTI-plattformar införas genom vilket uppfyllelsen av kraven i artikel 9.1 i den förordningen ska bedömas. När en certifiering har utfärdats av ett organ för bedömning av överensstämmelse som är ackrediterat i någon av medlemsstaterna i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (2) är den giltig i alla medlemsstater. De närmare gemensamma funktionella och tekniska specifikationer för eFTI-plattformarnas funktion som fastställs i denna förordning bör därför göra det möjligt för kommissionen att i ett senare skede, i enlighet med artikel 12 i förordning (EU) 2020/1056, fastställa de närmare regler som krävs för att säkerställa en enhetlig bedömning av eFTI-plattformarnas överensstämmelse i samband med certifieringen av dem. |
|
(4) |
Känsligheten hos kommersiella data är fortfarande en viktig faktor som påverkar de ekonomiska aktörernas vilja att lämna ut uppgifter elektroniskt. För att öka tilliten bland de berörda ekonomiska aktörerna bör kraven för eFTI-plattformar säkerställa att de uppgifter som lagras av ekonomiska aktörer på eFTI-plattformar endast görs tillgängliga för behöriga myndigheter via säkra och autentiserade förbindelser med de system som används av de behöriga myndigheterna. Dessutom bör de uppgifter som görs tillgängliga för behöriga myndigheter begränsas till de informationskrav som anges i begärandena om åtkomst till eFTI-data, och endast när de behöriga myndigheterna skickar dessa begäranden i enlighet med de funktionella och tekniska specifikationer som fastställs i kommissionens genomförandeförordning (EU) 2024/1942 (3). Av samma skäl bör de berörda ekonomiska aktörerna få information, bland annat genom realtidsaviseringar, om alla begäranden från behöriga myndigheter om åtkomst till de uppgifter som de har gjort tillgängliga på eFTI-plattformen, inbegripet om uppföljande meddelanden när sådana skickas. |
|
(5) |
I genomförandeförordning (EU) 2024/1942 fastställs gemensamma förfaranden och närmare regler för behöriga myndigheters åtkomst till och behandling av information som berörda ekonomiska aktörer gör tillgänglig på eFTI-plattformar. Detta inbegriper särskilda funktionella och tekniska krav för kommunikationen mellan de IKT-system som används av de behöriga myndigheterna och eFTI-plattformarna. För att säkerställa interoperabilitet och sömlös kommunikation mellan de system som används av de behöriga myndigheterna och eFTI-plattformarna bör de gemensamma funktionella och tekniska kraven för eFTI-plattformar vara förenliga med de krav som fastställs för de system som används av de behöriga myndigheterna. |
|
(6) |
De ekonomiska aktörernas åtkomst till eFTI-plattformarna bör också säkerställas genom säkra och transparenta mekanismer för åtkomsthantering. Endast auktoriserade användare bör kunna få åtkomst till och behandla eFTI-data för de ekonomiska aktörernas räkning. Auktorisationen bör baseras på behandlingsrättigheter som är tydligt definierade och utfärdas under kontroll av de ekonomiska aktörer som innehar rättigheterna eller skyldigheterna avseende uppgifterna i fråga, i enlighet med tillämplig EU-rätt eller nationell rätt eller särskilda kommersiella avtal. Auktorisation bör endast ges till användare som har identifierats och autentiserats på ett tillförlitligt sätt med hjälp av medel för elektronisk identifiering som uppfyller kraven i Europaparlamentets och rådets förordning (EU) nr 910/2014 (4). Sådana mekanismer för åtkomsthantering bör öka de ekonomiska aktörernas tillit när det gäller att dela eFTI-data vid källan och skulle därför bland annat undanröja behovet av flera datalagringsplatser och minska de därmed sammanhängande kostnaderna samt datahanteringens och synkroniseringens komplexitet. |
|
(7) |
De bestämmelser som avses i artikel 2.1 i förordning (EU) 2020/1056 gör det möjligt för berörda ekonomiska aktörer att i de flesta fall återanvända affärsdokument för att tillhandahålla den godstransportinformation som efterfrågas. De närmare specifikationerna i denna förordning bör ha samma andemening på så sätt att de fokuserar på hur godstransportinformation bör delas elektroniskt med de behöriga myndigheterna. De bör inte ange krav avseende affärsdokumentens elektroniska format och användning för att de inte ska påverka godstransportinformationen utöver tillämpningsområdet för förordning (EU) 2020/1056 eller de ekonomiska aktörernas flexibilitet att utarbeta och utbyta information med andra företag. Det är därför lämpligt att det i denna förordning fastställs specifikationer för eFTI-datasetets sammansättning som gör det möjligt för de berörda ekonomiska aktörerna att visa att de uppfyller de tillämpliga informationskrav på unionsnivå och nationell nivå som avses i artikel 2.1 i förordning (EU) 2020/1056 genom att endast dela samma data en gång. eFTI-datasetet bör ha en sammansättning som överensstämmer med de specifikationer för det gemensamma eFTI-datasetet och eFTI-underdataseten som fastställs i bilagan till kommissionens delegerade förordning (EU) 2024/2024 (5). När de ekonomiska aktörerna tillhandahåller information för ett eFTI-dataset bör de i största möjliga utsträckning kunna återanvända den information som finns tillgänglig i deras interna elektroniska datahanteringssystem, såsom resursplaneringssystem eller transportledningssystem för företag, som de använder för att hantera kommersiella transportdokument som fraktsedlar eller transportordrar. |
|
(8) |
Enligt artikel 4 i förordning (EU) 2020/1056 är de berörda ekonomiska aktörerna inte skyldiga att göra uppgifter tillgängliga elektroniskt för de behöriga myndigheterna, eftersom de även fortsättningsvis har rätt att tillhandahålla den föreskrivna godstransportinformationen i form av pappersdokument. eFTI-plattformsoperatörerna bör därför se till att de berörda ekonomiska aktörerna informeras om att de genom att behandla uppgifter på en eFTI-plattform samtycker till att den föreskrivna information om godstransporter som registreras och på annat sätt behandlas som eFTI-data på en eFTI-plattform görs tillgänglig för de behöriga myndigheterna via den plattformen, på respektive aktörs vägnar, när plattformen tar emot en begäran om åtkomst till eFTI-data från de behöriga myndigheterna som skickas i enlighet med kraven i genomförandeförordning (EU) 2024/1942. eFTI-plattformsoperatörerna bör också säkerställa att aktörerna informeras om att de genom att behandla uppgifter på en eFTI-plattform samtycker till att eFTI-plattformen gör motsvarande poster i databehandlingsloggen tillgängliga för revision i enlighet med tillämplig EU-rätt eller nationell rätt. |
|
(9) |
I artikel 27.3 i Europaparlamentets och rådets förordning (EU) 2024/1157 (6) föreskrivs att det centrala system för elektroniskt inlämnande och utbyte av information och dokument som rör avfallstransporter mellan berörda ekonomiska aktörer och behöriga myndigheter, även kallat det digitala systemet för avfallstransporter (Diwass), som inrättas i enlighet med den förordningen, ska vara interoperabelt med miljön för eFTI-utbyte. I artikel 5.2 i kommissionens genomförandeförordning (EU) 2025/1290 (7) anges vidare att användare som företräder berörda ekonomiska aktörer som agerar som transportörer för transporter av avfall ska få åtkomst till Diwass genom en eFTI-plattform som är sammankopplad med det systemet genom ett programmeringsgränssnitt. För att säkerställa interoperabilitet mellan eFTI-plattformarna och Diwass är det nödvändigt att fastställa specifikationer för utbyte av avfallsrelaterad information som omfattas av förordning (EU) 2020/1056 enligt artikel 2.1 a iv i den förordningen. Sådan interoperabilitet gör det lättare för transportörer som utför avfallstransporter att på elektronisk väg styrka efterlevnaden av kraven på åtkomst till föreskriven information under transporten, i enlighet med de bestämmelser som avses i artikel 2.1 i förordning (EU) 2020/1056, och med de krav på information om transporter av avfall som fastställs i förordning (EU) 2024/1157. |
|
(10) |
De uppgifter som de ekonomiska aktörerna registrerar på eFTI-plattformarna kommer att ha ett betydande kommersiellt värde, både för att de berörda ekonomiska aktörerna ska kunna visa att de uppfyller de administrativa kraven och som underlag för kommersiella transaktioner, tillhandahållande av tjänster samt uppföljning och planering av verksamheten. Det är därför viktigt att eFTI-plattformsoperatörerna, utöver strikta rutiner för åtkomsthantering, inför åtgärder som säkerställer kontinuerlig åtkomst till och lagring av dessa uppgifter samt uppgifternas säkerhet, oavsett om de lagras på fysiska lagringsenheter som kontrolleras av eFTI-plattformsoperatören eller i datamoln som köps som en del av datalagringstjänster. I detta syfte, och utan att det påverkar tillämpliga cybersäkerhetskrav på EU-nivå eller nationell nivå, bör eFTI-plattformsoperatörerna följa senaste internationella bästa praxis och de senaste internationella standarderna för dataskydd och datasäkerhet, bland annat ISO 27001, ISO 27017 och ISO 27701. När personuppgifter behandlas i samband med tillämpningen av denna genomförandeförordning gäller Europaparlamentets och rådets förordning (EU) 2016/679 (8). |
|
(11) |
För att eFTI-plattformsoperatörerna ska kunna ta hänsyn till den ständiga tekniska utvecklingen och ändrade standarder bör de närmare specifikationerna i denna förordning inte vara mer omfattande än vad som är nödvändigt för att säkerställa en funktionell och minimal teknisk interoperabilitet med andra komponenter i miljön för eFTI-utbyte, i enlighet med genomförandeförordning (EU) 2024/1942. Samtidigt kan sömlös interoperabilitet mellan dessa olika IKT-komponenter inte uppnås utan en uppsättning gemensamma och närmare tekniska specifikationer som enkelt kan uppdateras och delas mellan alla berörda parter. Tekniska vägledningar bör därför utarbetas till stöd för genomförandet av denna förordning med deltagande av berörda parter från både offentlig och privat sektor, särskilt den arbetsgrupp av experter som utses av medlemsstaterna för att fungera som ett nätverk för operativ support i enlighet med artikel 13 i genomförandeförordning (EU) 2024/1942, och relevanta arbetsgrupper eller undergrupper till expertgruppen i forumet för digitala transporter och digital logistik (9). |
|
(12) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (10) och avgav ett yttrande den 8 juli 2025. |
|
(13) |
De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 15.1 i förordning (EU) 2020/1056. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Definitioner
I denna förordning gäller följande definitioner:
|
1. |
IKT-system: en organiserad sammansättning av informations- och kommunikationsteknik (IKT) som inbegriper maskinvara, programvara och nätverk som kopplas samman och styrs genom interaktion eller ömsesidigt beroende för att fylla ett antal specifika funktioner. |
|
2. |
assisterande IKT-system: ett identifierbart IKT-system utanför en eFTI-plattform, exempelvis en annan eFTI-plattform, genom vilket företagsanvändarna ansluter till en eFTI-plattform för att få åtkomst till och behandla eFTI-data. |
|
3. |
eFTI-data: uppgifter som utgör föreskriven information enligt definitionen i artikel 3.1 i förordning (EU) 2020/1056. |
|
4. |
eFTI-plattformsoperatör: en fysisk eller juridisk person som anses vara rättsligt ansvarig för en eFTI-plattforms funktion. |
|
5. |
eFTI-sluss: en IKT-komponent eller en uppsättning IKT-komponenter som utför de funktioner som anges i artikel 6 i genomförandeförordning (EU) 2024/1942. |
|
6. |
företagsanvändare: en fysisk eller juridisk person som är en berörd ekonomisk aktör eller som är behörig att företräda en berörd ekonomisk aktör i enlighet med förordning (EU) 2020/1056, eller en annan ekonomisk aktör som är datainnehavare i enlighet med punkt 23, och som behandlar uppgifter på en eFTI-plattform för den berörda ekonomiska aktörens eller en annan datainnehavares räkning. |
|
7. |
inloggningssession: en begränsad tidsperiod under vilken en företagsanvändare ges åtkomst till en eFTI-plattform. |
|
8. |
förflyttning av försändelse: transport av en uppsättning varor med ett enda egendrivet transportmedel, med eller utan transportutrustning såsom släpvagn, lastpall eller container, från samma lastnings- eller övertagandeplats till samma lossnings- eller överlämningsplats, enligt villkoren i ett enda transportavtal. |
|
9. |
eFTI-dataset för förflyttning av försändelse eller eFTI CMDS: en unikt identifierbar uppsättning eFTI-data som tillsammans utgör den föreskrivna godstransportinformationen för en specifik förflyttning av försändelse. |
|
10. |
tillämpliga krav på föreskriven information: de krav på föreskriven information som avses i artikel 2.1 i förordning (EU) 2020/1056 och som gäller för en specifik förflyttning av försändelse. |
|
11. |
identifierare för eFTI-underdataseten: identifierare i formatet ”EUyy” eller ”XXyy” för de eFTI-underdataset som fastställs i avsnitten 3 och 4 i bilagan till delegerad förordning (EU) 2024/2024. |
|
12. |
UUID för eFTI CMDS: det unika nummer som avses i artikel 11.2 c i genomförandeförordning (EU) 2024/1942 och som automatiskt tilldelas av en eFTI-plattform till ett eFTI-dataset som utgör ett eFTI CMDS. |
|
13. |
unikt id-nummer på begäran: det unika nummer på en begäran om åtkomst till eFTI-data från en tjänsteman vid en behörig myndighet som utfärdas och tilldelas begäran i enlighet med artikel 3.2 c i genomförandeförordning (EU) 2024/1942. |
|
14. |
uppföljande meddelande: meddelande mellan behöriga myndigheter och berörda ekonomiska aktörer enligt definitionen i artikel 1.6 i genomförandeförordning (EU) 2024/1942. |
|
15. |
användargränssnitt mellan människa och maskin: ett webbaserat eller programbaserat grafiskt användargränssnitt som gör det möjligt för fysiska personer att utföra databehandling på en eFTI-plattform. |
|
16. |
medel för elektronisk identifiering: en materiell och/eller immateriell enhet som innehåller personidentifieringsuppgifter och som används för autentisering för åtkomst till en onlinetjänst eller, i tillämpliga fall, en offlinetjänst. |
|
17. |
system för elektronisk identifiering: ett system för elektronisk identifiering genom vilket medel för elektronisk identifiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person. |
|
18. |
autentisering: en elektronisk process som gör det möjligt att bekräfta en fysisk eller juridisk persons elektroniska identifiering eller att bekräfta ursprunget för och integriteten hos uppgifter i elektronisk form. |
|
19. |
avancerad elektronisk underskrift: en elektronisk underskrift som uppfyller kraven i artikel 26 i förordning (EU) nr 910/2014. |
|
20. |
avancerad elektronisk stämpel: en elektronisk stämpel som uppfyller kraven i artikel 36 i förordning (EU) nr 910/2014. |
|
21. |
registrerad användare: en företagsanvändare som har identifierats, autentiserats och auktoriserats i enlighet med kraven i artikel 4.2 a. |
|
22. |
icke-registrerad användare: en företagsanvändare som endast har åtkomst till en eFTI-plattform på grundval av tillfälliga åtkomst- och behandlingsrättigheter som beviljats i enlighet med kraven i artikel 5.1 b. |
|
23. |
datainnehavare: en fysisk eller juridisk person som enligt tillämplig unionsrätt, nationell lagstiftning eller privata avtal har rätt eller skyldighet att använda och tillgängliggöra uppgifter som också utgör föreskriven information i enlighet med de krav som avses i artikel 2.1 i förordning (EU) 2020/1056. |
|
24. |
primär administratör: en registrerad företagsanvändare som har rätt att ändra de uppgifter som registrerats i en registrerad användares användarprofil, inbegripet att skapa eller radera användarprofiler. |
|
25. |
tillfällig administratör: en registrerad företagsanvändare som har rätt att bevilja databehandlingsrättigheter till icke-registrerade användare. |
|
26. |
tvåfaktorsautentisering: en säkerhetsmetod för identitets- och åtkomsthantering som kräver två former av identifiering för åtkomst till en eFTI-plattform. |
|
27. |
certifieringsmärke: en kodad hänvisning till eFTI-plattformen som intygar att dess certifieringsstatus är giltig och som bör åtfölja all information som görs tillgänglig för behöriga myndigheter genom en certifierad eFTI-plattform, i enlighet med artikel 12.3 i förordning (EU) 2020/1056. |
|
28. |
digitalt system för avfallstransporter (Diwass): det centrala system som avses i artikel 27.3 i förordning (EU) 2024/1157. |
|
29. |
avfallstransportör: en verksamhetsutövare enligt definitionen i artikel 2.2.13 i genomförandeförordning (EU) 2025/1290. |
|
30. |
avfallstransportdokument: de dokument som avses i artiklarna 9.2, 16.1 och 18.4 i förordning (EU) 2024/1157. |
|
31. |
uppgifter om kombinerade transporter: den föreskrivna information som avses i artikel 3 i rådets direktiv 92/106/EEG (11). |
|
32. |
kvalificerad elektronisk tidsstämpling: en elektronisk stämpling som uppfyller kraven i artikel 42 i förordning (EU) nr 910/2014. |
Artikel 2
eFTI-plattformarnas systemarkitektur
eFTI-plattformarna ska ha en systemarkitektur som består av en kombination av IKT-komponenter eller IKT-system som uppfyller kraven i denna förordning.
KAPITEL II
ÅTKOMST TILL eFTI-PLATTFORMAR
Artikel 3
Behöriga myndigheters åtkomst till eFTI-plattformar
1. eFTI-plattformarna ska göra det möjligt för behöriga myndigheter att få åtkomst till eFTI-data enbart genom maskin till maskin-kommunikation via en säker förbindelse mellan eFTI-plattformen och en eFTI-sluss. En eFTI-plattform ska upprätta en sådan förbindelse till minst en eFTI-sluss.
2. För att möjliggöra den kommunikation som avses i punkt 1 ska en eFTI-plattform tillhandahålla följande funktionaliteter:
|
a) |
Validera en begäran om åtkomst till eFTI-data eller ett uppföljande meddelande som mottas från eFTI-slussen genom att kontrollera eFTI-slussens säkerhetsnyckel. |
|
b) |
Behandla begäran om åtkomst till eFTI-data genom att identifiera
|
|
c) |
Skapa en verifieringskedja för begäran om åtkomst till eFTI-data genom att registrera åtminstone följande information:
|
|
d) |
Utarbeta och skicka svaret på begäran om åtkomst till eFTI-data till eFTI-slussen enligt vad som är tillämpligt:
|
|
e) |
Skapa en verifieringskedja för svaret som gör det möjligt att hämta åtminstone följande information:
|
|
f) |
Behandla det uppföljande meddelandet genom att
|
|
g) |
Skapa en verifieringskedja för det uppföljande meddelandet som gör det möjligt att hämta åtminstone följande information:
|
Artikel 4
Företagsanvändarnas åtkomst till eFTI-plattformarna
1. eFTI-plattformarna ska göra det möjligt för företagsanvändarna att få åtkomst till och behandla eFTI-data genom en eller båda av följande metoder:
|
a) |
Användargränssnitt mellan människa och maskin. |
|
b) |
Maskin till maskin-kommunikation via säkra förbindelser till andra IKT-system som fungerar som assisterande IKT-system. |
2. För åtkomst till och behandling av eFTI-data genom gränssnitt mellan människa och maskin ska eFTI-plattformarna tillhandahålla funktionaliteter som säkerställer följande:
|
a) |
För varje registrerad användare:
|
|
b) |
För icke-registrerade användare: identifiering, autentisering och auktorisering av användarna genom den auktorisationsmekanism som avses i artikel 5.1 b. |
3. Det system för elektronisk identifiering som avses i punkt 2 a i ska åtminstone uppfylla kraven i artikel 8.2 b i förordning (EU) nr 910/2014.
För användare som får åtkomst till och behandlar eFTI-data som överensstämmer med de informationskrav som avses i artikel 2.1 a iv i förordning (EU) 2020/1056 ska de medel för elektronisk identifiering som avses i punkt 2 a i i denna artikel innehålla en hänvisning till det identifieringsnummer för avfallstransportören som avses i artikel 9 i genomförandeförordning (EU) 2025/1290.
4. För åtkomst till och behandling av eFTI-data genom maskin till maskin-kommunikation ska eFTI-plattformarna tillhandahålla funktionaliteter som för varje assisterande IKT-system säkerställer följande:
|
a) |
Identifiering och autentisering av den företagsanvändare under vars rättsliga ansvar det assisterande IKT-systemet används, med hjälp av ett register där åtminstone följande information registreras och uppdateras:
|
|
b) |
Auktorisation för den företagsanvändare under vars rättsliga ansvar det assisterande IKT-systemet används, med hjälp av det auktorisationsregister som avses i artikel 5.1 a. |
5. eFTI-plattformsoperatörerna ska fastställa och vidta åtgärder för erforderlig anslutning av assisterande IKT-system som åtminstone omfattar
|
a) |
kontroll av att det assisterande IKT-systemet identifierar och autentiserar de användare som har rätt att fungera som företagsanvändare av eFTI-plattformen med hjälp av medel för elektronisk identifiering som utfärdats genom ett system för elektronisk identifiering som uppfyller kraven i punkt 3, |
|
b) |
kontroll av att det assisterande IKT-systemet utför åtkomstkontroll för användare som har rätt att fungera som företagsanvändare av eFTI-plattformen, genom ett sådant auktorisationsregister som avses i artikel 5.1 a. |
6. För varje inloggningssession ska eFTI-plattformen säkerställa identifiering, autentisering och auktorisering av företagsanvändaren innan företagsanvändaren tillåts behandla eFTI-data.
Artikel 5
Auktorisationsmekanism
1. eFTI-plattformarna ska använda en eller båda av följande typer av auktorisationsmekanismer:
|
a) |
Kontroll av användarens behandlingsrättigheter genom auktorisationsregister där registrerade användares behandlingsrättigheter registreras, uppdateras och är tillgängliga i revisionssyfte och som ska utgöra huvudmekanismen för auktorisering. |
|
b) |
Utfärdande och kontroll av tillfälliga behandlingsrättigheter genom auktorisationsregister där behörighetsuppgifter för tillfällig åtkomst för sporadiska icke-registrerade användare registreras. |
2. De auktorisationsregister som avses i punkt 1 ska upprättas och administreras som en separat IKT-komponent. Denna separata IKT-komponent ska antingen ingå i eFTI-plattformen eller utgöra en del av ett IKT-system utanför den eFTI-plattform med vilken eFTI-plattformen upprättar en säker anslutning, i enlighet med artikel 12.4.
3. I de auktorisationsregister som avses i punkt 1 a ska det finnas en unikt identifierbar användarprofil för varje registrerad företagsanvändare som innehåller åtminstone följande information:
|
a) |
Unik identifiering av företagsanvändaren i form av en kodad hänvisning. |
|
b) |
Behandlingsrättigheter i form av hänvisningar som omfattar
|
|
c) |
Uppgift om huruvida företagsanvändaren får agera primär eller tillfällig administratör. |
|
d) |
För företagsanvändare som har utsetts till primära administratörer: de unika id-numren för de befintliga registrerade användarprofiler som de har rätt att ändra. |
|
e) |
För företagsanvändare som har utsetts till tillfälliga administratörer: de tillfälliga behandlingsrättigheter som de har rätt att bevilja till icke-registrerade användare i form av hänvisningar till de behandlingsåtgärder som avses i artikel 8. |
|
f) |
Uppgift om huruvida företagsanvändaren får begära aviseringar som rör begäranden om åtkomst till eFTI-data från behöriga myndigheter och tillhörande uppföljande meddelanden om de avser det eFTI CMDS som företagsanvändaren har behandlingsrättigheter för. |
4. eFTI-plattformsoperatören eller, om auktorisationsregistret utgör en komponent i ett IKT-system utanför eFTI-plattformen, det externa IKT-systemets operatör ska vidta åtgärder för att säkerställa att de företagsanvändare som får fungera som primära administratörer registreras på rätt sätt. Dessa åtgärder ska bestå av åtminstone följande:
|
a) |
Identifiering och autentisering i enlighet med kraven i artikel 4.2 a. |
|
b) |
Kontroll av behörighetsuppgifter som visar att företagsanvändaren är datainnehavare eller rättslig företrädare för en datainnehavare, eller att företagsanvändaren har befogenhet att på en datainnehavares vägnar tillåta behandling av uppgifter för vilka denna datainnehavare har rättigheter eller skyldigheter enligt artikel 1.23. |
|
c) |
Registrering av dessa behörighetsuppgifter i revisionssyfte. |
5. Den auktorisationsmekanism som avses i punkt 1 b ska omfatta funktionaliteter som åtminstone
|
a) |
gör det möjligt för användare som är tillfälliga administratörer att bevilja tillfälliga behandlingsrättigheter till icke-registrerade användare genom att i ett särskilt register registrera behörighetsuppgifter för tillfällig åtkomst för icke-registrerade användare som åtminstone innehåller
|
|
b) |
gör det möjligt för registrerade användare som är tillfälliga administratörer att ge tillfällig åtkomst till eFTI-data till de icke-registrerade användare för vilka de har registrerat behörighetsuppgifter för tillfällig åtkomst genom att med hjälp av den icke-registrerade användarens registrerade kontaktuppgifter skicka ett meddelande som innehåller
|
|
c) |
när åtkomst till eFTI-plattformen begärs av en icke-registrerad användare, ger den icke-registrerade användaren åtkomst till eFTI-plattformen genom tvåfaktorsautentisering och gör det möjligt för denne att utföra behandlingsåtgärder på grundval av sina behandlingsrättigheter, vilka registrerats i enlighet med led a, |
|
d) |
avslutar en icke-registrerad användares inloggningssession så snart någon av följande händelser inträffar:
|
6. Den information som registreras i auktorisationsregistren i enlighet med punkterna 1–5 ska sparas i revisionssyfte åtminstone under den tidsperiod under vilken det eFTI CMDS som användaren i fråga utförde behandlingsåtgärder på måste förbli åtkomligt i enlighet med tillämplig nationell lagstiftning eller unionslagstiftning, i enlighet med artikel 9.1 i i förordning (EU) 2020/1056.
7. eFTI-plattformarna ska radera all information som utgör personuppgifter enligt förordning (EU) 2016/679 inom rimlig tid efter att den tidsperiod som avses i punkt 6 har löpt ut.
Artikel 6
Kommunikation med Diwass
1. För att de berörda ekonomiska aktörerna ska kunna göra den föreskrivna information som avses i artikel 2.1 a iv i förordning (EU) 2020/1056 tillgänglig för de behöriga myndigheterna ska eFTI-plattformarna upprätta säkra förbindelser med det centrala system som avses i artikel 27.3 i förordning (EU) 2024/1157 genom ett programmeringsgränssnitt i enlighet med artikel 5.2 i genomförandeförordning (EU) 2025/1290 eller, om det görs tillgängligt av en medlemsstat, genom anslutning till det lokala system som drivs av en behörig myndighet i den medlemsstaten i enlighet med artikel 27.4 i förordning (EU) 2024/1157 och som är sammankopplat med det centrala systemet i enlighet med kraven i genomförandeförordning (EU) 2025/1290.
2. Om eFTI-plattformarna upprättar någon av de förbindelser som avses i punkt 1 ska de också tillhandahålla motsvarande ytterligare funktionaliteter i enlighet med artikel 9.2 i denna förordning.
Artikel 7
Öppenhet
1. eFTI-plattformarna ska tillhandahålla funktionaliteter som gör det möjligt för företagsanvändarna att begära och ta emot aviseringar, inbegripet i form av periodiska rapporter, på grundval av erforderliga auktorisationer. Dessa aviseringar och rapporter ska omfatta begäranden om åtkomst till eFTI-data från behöriga myndigheter och tillhörande uppföljande meddelanden. De ska också omfatta företagsanvändarnas behandling när den företagsanvändare som begär aviseringarna eller rapporterna är en datainnehavare eller har behandlingsrättigheter för uppgifterna i fråga enligt det auktorisationsregister som avses i artikel 5.1 a med avseende på de uppgifterna.
2. Om de aviseringar eller rapporter som avses i punkt 1 gäller begäranden om åtkomst till eFTI-data från behöriga myndigheter och tillhörande uppföljande meddelanden ska aviseringarna innehålla åtminstone följande information:
|
a) |
Datum och tidpunkt för mottagandet av begäran om åtkomst till eFTI-data och det uppföljande meddelandet, om ett sådant har skickats. |
|
b) |
Den medlemsstat som den behöriga myndighet som har skickat begäran om åtkomst till eFTI-data tillhör. |
|
c) |
UUID:n för det eFTI CMDS som begäran om åtkomst till eFTI-data avser. |
|
d) |
Informationen i det uppföljande meddelandet, om ett sådant har skickats. |
KAPITEL III
DATABEHANDLING PÅ eFTI-PLATTFORMAR
Artikel 8
eFTI CMDS
1. eFTI-plattformarna ska hantera behandlingen av eFTI-data på grundval av unikt identifierbara dataset, som var och en utgör ett eFTI CMDS.
2. eFTI CMDS ska genereras genom att man väljer alla de dataelement som utgör de eFTI-underdataset som motsvarar de tillämpliga kraven på föreskriven information för en specifik förflyttning av försändelse. Alla dataelement som är gemensamma för två eller fler eFTI-underdataset ska endast inkluderas en gång.
3. Alla eFTI-data som behandlas på en eFTI-plattform ska överensstämma med de definitioner och tekniska egenskaper, inbegripet struktur, kodförteckningar och verksamhetsregler, som fastställs i delegerad förordning (EU) 2024/2024.
Artikel 9
Behandlingsåtgärder
1. eFTI-plattformarna ska tillhandahålla funktionaliteter som gör det möjligt för företagsanvändarna, efter kontroll av deras behandlingsrättigheter genom en sådan auktorisationsmekanism som avses i artikel 5, att utföra följande behandlingsåtgärder på eFTI-data:
|
a) |
Skapa eFTI CMDS. |
|
b) |
Redigera eFTI CMDS. |
|
c) |
Läsa uppgifter i eFTI CMDS. |
|
d) |
Ladda ned en kopia av uppgifter i eFTI CMDS. |
|
e) |
Avsändarens underskrift. |
|
f) |
Transportörens underskrift. |
|
g) |
Mottagarens underskrift. |
|
h) |
Stämpel för kombinerad transport från behörig myndighet i kusthamn eller inlandshamn eller på järnvägsstation. |
|
i) |
Arkivera eFTI CMDS. |
2. De funktionaliteter på eFTI-plattformarna som avses i artikel 6 ska göra det möjligt för företagsanvändarna, efter kontroll av deras behandlingsrättigheter genom en sådan auktorisationsmekanism som avses i artikel 5, att utföra följande behandlingsåtgärder på eFTI-data:
|
a) |
Ladda ned en kopia av avfallstransportdokument. |
|
b) |
Skicka bekräftelser på överföring av avfallstransporter från transportörer i enlighet med del B punkt 3 och del C punkt 3 i bilaga II till genomförandeförordning (EU) 2025/1290. |
|
c) |
Redigera inskickade bekräftelser på överföring av avfallstransporter från transportörer i enlighet med del B punkt 4 och del C punkt 4 i bilaga II till genomförandeförordning (EU) 2025/1290. |
3. De behandlingsåtgärder som avses i punkterna 1 och 2 ska vara de som anges i bilagan, tillsammans med de åtgärder som ska utföras av eFTI-plattformarna för att göra det möjligt för företagsanvändarna att utföra dessa åtgärder.
4. Innan en företagsanvändare tillåts behandla eFTI-data ska plattformen genom tydligt formulerade meddelanden informera användaren om att denne, genom att behandla uppgifterna på eFTI-plattformen, samtycker till att
|
a) |
de uppgifter som företagsanvändaren behandlar får göras tillgängliga automatiskt för de behöriga myndigheterna, särskilt när eFTI-plattformen mottar en begäran om åtkomst till eFTI-data från en behörig myndighet, för det specifika eFTI CMDS som dessa data ingår i. |
|
b) |
en verifieringskedja för företagsanvändarens databehandling registreras i enlighet med bestämmelserna i punkt 6 och får göras tillgänglig för de behöriga myndigheterna för samråd i enlighet med tillämplig unionsrätt eller nationell rätt. |
5. eFTI-plattformarna ska logga all behandling som utförs av en företagsanvändare på ett eFTI CMDS genom att registrera följande information för varje behandlat dataelement:
|
a) |
UUID:n för aktuellt eFTI CMDS. |
|
b) |
För registrerade användare: en kodad identifiering som är kopplad till deras användarkonto. |
|
c) |
För icke-registrerade användare: den identifieringsinformation som uppges av användaren i samband med den tvåfaktorsautentisering som avses i artikel 5.5 c. |
|
d) |
Datum och klockslag. |
|
e) |
Typ av åtgärd som utförts, identifierad i enlighet med punkterna 1 och 2. Om behandlingen innebär att ett dataelements värde ändras eller raderas ska även dataelementets ursprungliga värde registreras. |
6. eFTI-plattformarna ska registrera och lagra uppgifterna i ett eFTI CMDS lätt åtkomliga för både företagsanvändare och behöriga myndigheter i ett webbaserat datalagringssystem åtminstone så länge detta eFTI CMDS ges statusen ”aktivt” och, i tillämpliga fall, ”inaktivt” av eFTI-plattformen i enlighet med specifikationerna i bilagan till denna förordning.
7. eFTI-plattformarna ska göra de eFTI CMDS som har statusen ”kan arkiveras” eller ”arkiverade” och tillhörande åtgärdsloggar åtkomliga för behöriga myndigheter under de tidsperioder som avses i artikel 9.1 i i förordning (EU) 2020/1056.
8. eFTI-plattformarna ska radera all information som utgör personuppgifter enligt förordning (EU) 2016/679 inom rimlig tid efter att de tidsperioder som avses i punkt 8 har löpt ut.
Artikel 10
Användargränssnitt mellan människa och maskin
1. De gränssnitt mellan människa och maskin som avses i artikel 4.1 a ska tillhandahålla följande webbaserade eller programbaserade funktionaliteter:
|
a) |
Göra det möjligt för företagsanvändarna att interagera med eFTI-plattformen för eFTI-plattformens identifiering, autentisering och auktorisering i enlighet med artiklarna 4 och 5, och för behandling av eFTI-data på eFTI-plattformen i enlighet med artiklarna 5 och 9. |
|
b) |
Göra det möjligt för auktoriserade användare att ladda ned den unika elektroniska identifierande länken (UIL) för ett eFTI CMDS och skicka den till de behöriga myndigheterna i ett maskinläsbart format. |
|
c) |
Göra det möjligt för auktoriserade användare att ladda ned en människoläsbar kopia av ett eFTI CMDS och, i tillämpliga fall, av avfallstransportdokumenten, och att visa upp dessa kopior för kontroll av tjänstemän vid behöriga myndigheter när så krävs av dessa tjänstemän i enlighet med artikel 4.2 i förordning (EU) 2020/1056. |
2. De människoläsbara kopior som avses i punkt 1 d ska innehålla en maskinläsbar kodad hänvisning till eFTI-plattformens certifieringsmärke och uppgift om datum och tidpunkt för nedladdningen i form av en tidsstämpling.
3. eFTI-plattformars gränssnitt mellan människa och maskin ska inbegripa funktioner för åtkomstskydd för att förhindra obehörig åtkomst till eFTI-data och eFTI-plattformarnas funktioner när den enhet på vilken företagsanvändaren använder eFTI-plattformen inte står under användarens kontroll.
KAPITEL IV
TILLGÄNGLIGHET, SÄKERHET OCH RESILIENS
Artikel 11
Tillgänglighet
En eFTI-plattform ska vara tillgänglig för behöriga myndigheter, i enlighet med artikel 3, åtminstone så länge de eFTI CMDS som är registrerade på plattformen ges statusen ”aktiva” och, i tillämpliga fall, ”inaktiva” av eFTI-plattformen i enlighet med specifikationerna i bilagan till denna förordning.
Artikel 12
Säkerhet vid datautbyte
1. För kommunikation med en eFTI-sluss ska eFTI-plattformarna
|
a) |
ha en åtkomstpunkt för eDelivery som överensstämmer med specifikationerna för meddelandeutbyte i eDelivery, eller en åtkomstpunkt som överensstämmer med likvärdiga specifikationer för meddelandeutbyte som stöds av eFTI-slussen, om sådana specifikationer för meddelandeutbyte har fastställts av en medlemsstat i enlighet med artikel 9.4 i genomförandeförordning (EU) 2024/1942, |
|
b) |
använda säkra förfaranden och protokoll för att ta emot, registrera, hämta och validera säkerhetsnycklar eller säkerhetscertifikat för eFTI-slussen. |
2. De åtkomstpunkter som avses i punkt 1 a ska använda säkerhetscertifikat som genom en certifieringsmyndighet har utfärdats av den medlemsstat där eFTI-plattformen mottog det intyg om överensstämmelse som avses i artikel 12.1 i förordning (EU) 2020/1056.
3. All kommunikation mellan eFTI-plattformen och eFTI-slussen ska ske genom meddelandeutbyten som överensstämmer med specifikationerna i artikel 9.3 och 9.4 i genomförandeförordning (EU) 2024/1942.
4. För kommunikation med assisterande IKT-system eller andra externa IKT-system som hyser komponenter som utför vissa funktionaliteter på eFTI-plattformarna ska eFTI-plattformarna åtminstone
|
a) |
ha åtkomstpunkter med giltiga säkerhetsnycklar eller säkerhetscertifikat, |
|
b) |
använda säkra förfaranden och protokoll för att ta emot, registrera, hämta och validera säkerhetsnycklarna eller säkerhetscertifikaten för dessa andra IKT-system. |
5. För kommunikation med Diwass ska eFTI-plattformarna
|
a) |
ha åtkomstpunkter som överensstämmer med de specifikationer som avses i artikel 12 i genomförandeförordning (EU) 2025/1290, |
|
b) |
använda säkra förfaranden och protokoll för att ta emot, registrera, hämta och validera säkerhetsnyckeln för Diwass, |
|
c) |
ha ett programmeringsgränssnitt som gör det möjligt för dem att från Diwass ta emot uppgifter om mottagarens underskrift, när mottagaren är en avfallsbehandlingsanläggning enligt förordning (EU) 2024/1157. |
Artikel 13
Säkerhet för lagrade uppgifter
eFTI-plattformsoperatörerna ska fastställa och vidta åtgärder som garanterar säkerheten för och bevarandet av de uppgifter som lagras på eFTI-plattformarna, och särskilt
|
a) |
om eFTI-data lagras på fysiska lagringsenheter som hanteras av plattformsoperatören,
|
|
b) |
om eFTI-data lagras i molnet: åtgärder för att säkerställa att molnlagringsutrymmet köps från tjänsteleverantörer som uppfyller de huvudsakliga internationella standarderna och bästa praxis för molnsäkerhet och skydd av personuppgifter, |
|
c) |
åtgärder för att säkerställa att eFTI-data lagras inom unionen eller under unionens eller medlemsstaternas jurisdiktion. |
KAPITEL V
SLUTBESTÄMMELSER
Artikel 14
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 6 november 2025.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 249, 31.7.2020, s. 33, ELI: http://data.europa.eu/eli/reg/2020/1056/oj.
(2) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(3) Kommissionens genomförandeförordning (EU) 2024/1942 av den 5 juli 2024 om fastställande av gemensamma förfaranden och närmare regler för åtkomst till och behandling av elektronisk godstransportinformation i enlighet med Europaparlamentets och rådets förordning (EU) 2020/1056 (EUT L, 2024/1942, 20.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1942/oj).
(4) Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
(5) Kommissionens delegerade förordning (EU) 2024/2024 av den 26 juli 2024 om komplettering av förordning (EU) 2020/1056 genom fastställande av ett gemensamt eFTI-datasetet och eFTI-underdataset (EUT L, 2024/2024, 20.12.2024, ELI: http://data.europa.eu/eli/reg_del/2024/2024/oj).
(6) Europaparlamentets och rådets förordning (EU) 2024/1157 av den 11 april 2024 om transport av avfall, om ändring av förordningarna (EU) nr 1257/2013 och (EU) 2020/1056 och om upphävande av förordning (EG) nr 1013/2006 (EUT L, 2024/1157, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1157/oj).
(7) Kommissionens genomförandeförordning (EU) 2025/1290 av den 2 juli 2025 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1157 vad gäller nödvändiga krav för interoperabilitet mellan det centrala systemet för elektroniskt inlämnande och utbyte av information och dokument som rör transporter av avfall, och andra system eller annan programvara, samt andra tekniska och organisatoriska krav som är nödvändiga för det praktiska genomförandet av sådant elektroniskt inlämnande och utbyte av information och dokument (EUT L, 2025/1290, 14.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1290/oj).
(8) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(9) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sv&groupID=3280.
(10) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(11) Rådets direktiv 92/106/EEG av den 7 december 1992 om gemensamma regler för vissa former av kombinerad transport av gods mellan medlemsstaterna (EGT L 368, 17.12.1992, s. 38, ELI: http://data.europa.eu/eli/dir/1992/106/oj).
BILAGA
BEHANDLINGSÅTGÄRDER SOM KAN UTFÖRAS AV FÖRETAGSANVÄNDARNA PÅ eFTI-PLATTFORMARNA
(enligt artikel 9)
I tabellen beskrivs den behandling av eFTI-data som eFTI-plattformarna gör det möjligt för företagsanvändarna att utföra, i enlighet med artikel 9.1 och 9.2, och de automatiska åtgärder som eFTI-plattformarna måste utföra för att säkerställa att de behandlingsåtgärderna utförs, enligt följande:
|
a) |
I kolumnen med rubriken ”Åtgärd” anges det korta namn med vilket behandlingsåtgärden beskrivs i artikel 9.1 eller 9.2. |
|
b) |
I kolumnen med rubriken ”Åtgärd som utförs av företagsanvändare” beskrivs de handlingar som eFTI-plattformarna ska göra det möjligt för företagsanvändarna att utföra för att vidta motsvarande behandlingsåtgärd. |
|
c) |
I kolumnen med rubriken ”Åtgärd som utförs av eFTI-plattform” beskrivs de åtgärder som eFTI-plattformarna som minimum ska utföra i kombination med motsvarande åtgärder som utförs av företagsanvändarna, för att säkerställa att den behandlingen genomförs. Tabell
|
(1) Europaparlamentets och rådets förordning (EG) nr 1072/2009 av den 21 oktober 2009 om gemensamma regler för tillträde till den internationella marknaden för godstransporter på väg (EUT L 300, 14.11.2009, s. 72, ELI: http://data.europa.eu/eli/reg/2009/1072/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/2243/oj
ISSN 1977-0820 (electronic edition)