KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/1566

av den 29 juli 2025

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller referensstandarder för kontroll av identitet och attribut för den person till vilken det kvalificerade certifikatet eller det kvalificerade elektroniska attributsintyget utfärdas

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 24.1c, och

av följande skäl:

(1)

Enligt artikel 24 i förordning (EU) nr 910/2014 ska kvalificerade tillhandahållare av betrodda tjänster kontrollera identiteten och i förekommande fall eventuella särskilda attribut för den fysiska eller juridiska personen när de utfärdar kvalificerade certifikat eller kvalificerade elektroniska attributsintyg till den personen.

(2)

För att säkerställa likabehandling och förtroende för resultatet av kontrollprocessen bör kontroller utföras på ett likvärdigt sätt av alla kvalificerade tillhandahållare av betrodda tjänster när de utfärdar ett kvalificerat certifikat eller ett kvalificerat elektroniskt attributsintyg. I enlighet med målen i förordning (EU) nr 910/2014 har ett antal standarder valts ut för att uppfylla dessa särskilda krav. Dessa standarder bör återspegla etablerad praxis och vara allmänt erkända inom de relevanta sektorerna. Dessa standarder bör anpassas så att de omfattar ytterligare kontroller som säkerställer den kvalificerade betrodda tjänstens säkerhet och tillförlitlighet, samtidigt som de underlättar gränsöverskridande interoperabilitet och en väl fungerande inre marknad.

(3)

En lämplig övergångsperiod bör medges för kvalificerade tillhandahållare av betrodda tjänster så att de kan uppfylla kraven i förordning (EU) nr 910/2014. I syfte att säkerställa en tillräcklig tidsram för revision av tillhandahållare av betrodda tjänster vad gäller överensstämmelse med kraven i denna förordning bör denna förordning börja tillämpas 24 månader efter att den har trätt i kraft.

(4)

Kommissionen utvärderar regelbundet ny teknik samt nya metoder, standarder eller tekniska specifikationer. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (2) bör kommissionen vid behov se över och uppdatera denna förordning för att hålla den i linje med den globala utvecklingen, ny teknik samt nya standarder eller tekniska specifikationer och för att följa praxis på den inre marknaden.

(5)	Europaparlamentets och rådets förordning (EU) 2016/679 (3) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (4) är tillämpliga på all behandling av personuppgifter i enlighet med denna förordning.

(6)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (5) och avgav ett yttrande den 6 juni 2025.

(7)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

De referensstandarder och specifikationer som avses i artikel 24.1c i förordning (EU) nr 910/2014 anges i bilagan till den här förordningen.

Artikel 2

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 19 augusti 2027.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 29 juli 2025.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

BILAGA

Referensstandard för kontroll av identitet och attribut för personer till vilka ett kvalificerat certifikat eller ett kvalificerat elektroniskt attributsintyg ska utfärdas

Standarden Etsi TS 119 461 V2.1.1 (2025-02) för överensstämmelse med punkt C.3 i bilaga C gäller, med följande anpassningar:

(1)

2.1 Normativa hänvisningar

—	[1] Etsi EN 319 401 V3.1.1 (2024-06): Electronic Signatures and Trust Infrastructures (ESI). General Policy Requirements for Trust Service Providers.

(2)

C.3 Användningsfall för utfärdande av kvalificerade certifikat eller kvalificerade elektroniska attributsintyg i enlighet med artikel 24.1, 24.1a och 24.1b i förordning (EU) nr 910/2014

—

[CONDITIONAL] QTS-C3-01: Om identitetskontroll för ett kvalificerat certifikat eller ett kvalificerat elektroniskt intyg utförs i samband med identitetskontroll för att utfärda auktoritativa bevis ska detta förfarande för identitetskontroll

—	ha varit föremål för en sakkunnigbedömning eller certifierats av ett ackrediterat organ för bedömning av överensstämmelse och därmed uppfylla tillitsnivå hög i enlighet med förordning (EU) nr 910/2014, eller

—	uppfylla kraven i punkt C3.1–C3.6.

(3)

C.3.4 Användningsfall för styrkande av identitet med andra identifieringsmetoder

—

QTS-C.3.4-06A: Det oberoende organ för bedömning av överensstämmelse som avses i [CONDITIONAL] QTS-C.3.4-06, led c, ska vara ackrediterat enligt artikel 3.18 i förordning (EU) nr 910/2014, och om alla tillämpliga krav är uppfyllda bör bedömningen resultera i ett intyg om överensstämmelse som grundar sig på en certifieringsrevision. Detta formella certifieringsförfarande ska baseras på en säkerhetsutvärderingsprocess som avser de tillitsnivåer som fastställts för anmälda medel för elektronisk identifiering eller certifierade europeiska digitala identitetsplånböcker enligt förordning (EU) nr 910/2014 och ska omfatta noggranna tester för att utvärdera resistens mot potentiella säkerhetshot. Dessa utvärderingar ska tillämpa relevanta tekniska standarder för att visa att de är robusta mot sådana attacker.

(4)

9.2.3.4 Användningsfall för automatisk drift

—

USE-9.2,3.4-04: Tjänsteleverantören för styrkande av identitet ska fastställa målvärden för fel av typ I och II, på grundval av en riskanalys och dess underrättelseförfarande avseende hot, genom att använda den metod som fastställs i Enisas rapport Methodology for sectoral cybersecurity assessments [i.28] eller en likvärdig metod, i helt automatiserade förfaranden för styrkande av identitet. Dessa målvärden ska vara lika med eller lägre än de som fastställts för hybridanvändningsfall, om sådana finns. Tjänsteleverantören för styrkande av identitet ska konsekvent upprätthålla dessa målvärden för fel av typ I och II, med stöd av en riskanalys och dess underrättelseförfarande för hot.

(5)

8.3.3 Validering av fysisk identitetshandling

—

VAL-8.3,3-21: Ändamålsenligheten hos åtgärderna för att uppfylla kraven VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A och VAL-8.3.3-07X ska testas av ett ackrediterat laboratorium eller en nationell behörig myndighet, när de utses, senast 19 augusti 2027 och sedan upprepas vartannat år.

(6)

7.12. Upphörande och planer för upphörande

—	OVR-7.12-02: Planen för verksamhetens upphörande ska uppfylla kraven i de genomförandeakter som antagits i enlighet med artikel 24.5 i förordning (EU) nr 910/2014.