KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/2532

av den 16 december 2025

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller referensstandarder och specifikationer för kvalificerade elektroniska arkiveringstjänster

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 45j.2, och

av följande skäl:

(1)

Genom Europaparlamentets och rådets förordning (EU) 2024/1183 (2) infördes en förteckning över nya betrodda tjänster och kvalificerade betrodda tjänster, inbegripet den kvalificerade elektroniska arkiveringstjänsten, i förordning (EU) nr 910/2014. Kommissionen ska upprätta en förteckning över referensstandarder och, vid behov, fastställa specifikationer för sådana tjänster.

(2)

Elektronisk arkivering är en tjänst för mottagande, lagring, hämtning och radering av elektroniska uppgifter och elektroniska dokument för att säkerställa deras hållbarhet och läsbarhet samt för att bevara deras integritet, konfidentialitet och ursprungsbevis under hela bevarandeperioden. Kvalificerade elektroniska arkiveringstjänster spelar en avgörande roll i den digitala affärsmiljön genom att främja övergången från traditionella pappersbaserade processer till motsvarande elektroniska processer. För att säkerställa att elektroniska data och elektroniska dokument bevarar presumtionen om deras integritet och ursprung under hela den period som de bevaras av den kvalificerade tillhandahållaren av betrodda tjänster, och för att uppnå en hög grad av öppenhet och förtroende bland alla deltagare i informationens livscykel, är det nödvändigt att fastställa en gemensam uppsättning specifikationer för kvalificerade elektroniska arkiveringstjänster.

(3)

För att öka bevisvärdet, säkerheten och tillförlitligheten hos de kvalificerade elektroniska arkiveringstjänsterna, där elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar används för att skapa, underteckna, stämpla eller intyga datum och tidpunkt för, till exempel, arkivering av bevis, bevisförteckningar, händelseförteckningar, förteckningar över korrekt genomförande av förfaranden eller arkivering av bekräftelserapporter, bör kvalificerade betrodda tjänster användas.

(4)

Den presumtion om överensstämmelse som fastställs i artikel 45j.2 i förordning (EU) nr 910/2014 bör endast tillämpas när de icke-kvalificerade elektroniska arkiveringstjänster uppfyller de krav som fastställs i den här förordningen. Referensstandarderna för kvalificerade elektroniska arkiveringstjänster bör återspegla etablerade metoder och vara allmänt erkända inom de relevanta sektorerna. De bör anpassas så att de omfattar ytterligare kontroller som säkerställer säkerheten och tillförlitligheten hos de kvalificerade elektroniska arkiveringstjänsterna.

(5)

Om en tillhandahållare av betrodda tjänster uppfyller kraven i denna förordning bör tillsynsorganen presumera att de relevanta kraven i förordning (EU) nr 910/2014 är uppfyllda och vederbörligen överväga denna presumtion för att bevilja en betrodd tjänst status som kvalificerad eller för att bekräfta sådan status. Det är dock fortfarande tillåtet för en kvalificerad tillhandahållare av betrodda tjänster att använda andra metoder för att visa att kraven i förordning (EU) nr 910/2014 är uppfyllda.

(6)

För att bevara integriteten hos och ursprungsbeviset för elektroniska data och elektroniska dokument som innehåller en eller flera kvalificerade elektroniska underskrifter eller stämplar bör kvalificerade elektroniska arkiveringstjänster använda förfaranden och teknik som kan förlänga tillförlitligheten hos dessa elektroniska underskrifter och stämplar utöver den tekniska giltighetsperioden, åtminstone under hela bevarandeperioden.

(7)

Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. I enlighet med skäl 75 i förordning (EU) 2024/1183 bör kommissionen vid behov se över och, vid behov, uppdatera denna förordning för att hålla den i linje med den globala utvecklingen, ny teknik, nya metoder samt nya standarder eller tekniska specifikationer och för att följa bästa praxis på den inre marknaden.

(8)	Europaparlamentets och rådets förordning (EU) 2016/679 (3) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (4) är tillämpliga på behandlingen av personuppgifter enligt denna förordning.

(9)	Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (5) och avgav ett yttrande den 21 oktober 2025 (6).

(10)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Elektronisk arkivering av dokument som är försedda med en kvalificerad elektronisk underskrift eller en kvalificerad elektronisk stämpel

1. Vid arkivering av elektroniska uppgifter eller elektroniska dokument som innehåller kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar ska leverantörer av kvalificerade elektroniska arkiveringstjänster säkerställa att tillförlitligheten hos dessa kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar upprätthålls, även efter deras tekniska giltighetsperiod, och att integriteten och riktigheten hos de kvalificerade elektroniska underskrifternas och stämplarnas ursprung bibehålls, åtminstone fram till utgången av den rättsliga eller avtalsmässiga bevarandeperioden.

2. Vid tillämpning av punkt 1 får leverantörer av kvalificerade elektroniska arkiveringstjänster förlita sig på en kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter eller på en kvalificerad tjänst för bevarande av kvalificerade elektroniska stämplar.

Artikel 2

Referensstandarder och specifikationer för tillhandahållande av kvalificerade elektroniska arkiveringstjänster

De referensstandarder och specifikationer som avses i artikel 45j.2 i förordning (EU) nr 910/2014 anges i bilagan till den här förordningen.

Artikel 3

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 16 december 2025.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6) Europeiska datatillsynsmannens formella synpunkter på utkastet till genomförandeförordning om tillämpningsföreskrifter för förordning (EU) nr 910/2014 vad gäller referensstandarder och specifikationer för kvalificerade elektroniska arkiveringstjänster.

BILAGA

Förteckning över referensstandarder och specifikationer för kvalificerade elektroniska arkiveringstjänster

CEN/TS 18170:2025 (”CEN/TS 18170”) gäller med följande anpassningar:

Normativa hänvisningar (avsnitt 2)

—	Etsi EN 319 401 V3.1.1 (2024-06), Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers

—	Etsi EN 319 421 V1.3.1 (2025-07), Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps

—	ISO 14721:2025, Space Data System Practices – Reference model for an open archival information system (OAIS)

—	ACM-ECCG, European Cybersecurity Certification Group, Sub-group on Cryptography: Agreed Cryptographic Mechanisms, offentliggjord av Europeiska unionens cybersäkerhetsbyrå (Enisa).

—	CIR (EU) 2024/482, kommissionens genomförandeförordning (EU) 2024/482 (1).

—	CIR (EU) 2024/3144, kommissionens genomförandeförordning (EU) 2024/3144 (2).

—	ISO/IEC 15408:2022 (delarna 1–5) Information security, cybersecurity and privacy protection – Evaluation criteria for IT security.

—	FIPS PUB 140-3 (2019) Security Requirements for Cryptographic Modules.

Förklaring om policy och metoder (avsnitt 6.1)

—	Kraven i CEN/TS 18170, avsnitt 6.1 ska tillämpas.

—	De krav som anges i Etsi EN 319 401, avsnitt 5 ska tillämpas.

—

EATSP ska fastställa förfaranden för att underrätta tillsynsorganet om alla ändringar i tillhandahållandet av den elektroniska betrodda arkiveringstjänsten och om avsikten att upphöra med denna verksamhet, i enlighet med verksamhetskrav och relevanta lagar och andra författningar, inbegripet i enlighet med kraven i de genomförandeakter som antagits i enlighet med artikel 24.5 i förordning (EU) nr 910/2014 [i.2].

—

EATSP ska underrätta det behöriga tillsynsorganet åtminstone

—	en månad innan någon ändring genomförs,

—	tre månader före det planerade upphörandet av tillhandahållandet av betrodda tjänster.

Villkor (avsnitt 6.2)

—	Kraven i CEN/TS 18170, avsnitt 6.2 ska tillämpas.

—	Abonnenter på och parter som är beroende av den elektroniska betrodda arkiveringstjänsten ska informeras på ett tydligt, begripligt och lättillgängligt sätt, på en allmänt tillgänglig plats och enskilt, om de exakta villkoren innan de ingår ett avtalsförhållande.

Personalresurser (avsnitt 7.3)

—	Kraven i CEN/TS 18170, avsnitt 7.3 ska tillämpas.

—

EATSP:s personal i betrodda roller som arbetar för tillhandahållaren av tjänster för bevarande och, i tillämpliga fall, underleverantörer i betrodda roller, ska kunna uppfylla kravet på expertkunskap, erfarenhet och kvalifikationer genom formell utbildning och meriter, eller faktisk erfarenhet, eller en kombination av dessa. Detta ska omfatta regelbundna (minst var tolfte månad) uppdateringar om nya hot och aktuella säkerhetsrutiner.

Kryptografiska kontroller och kryptografisk övervakning (avsnitt 7.6)

—	Arkiveringssystemet måste garantera att uppgifter och dokument behandlas konfidentiellt under arkivets hela livscykel, från det att de deponeras till dess att de tas bort.

—	De krav som specificeras i Etsi EN 319 401 underavsnitt 7.5 ”Kryptografiska kontroller” ska gälla.

—	Ursprunget för de uppgifter som ska arkiveras i det elektroniska arkiveringssystemet ska fastställas av EATSP. Om de använder elektroniska underskrifter eller elektroniska stämplar för det ändamålet, ska de elektroniska underskrifterna eller elektroniska stämplarna vara kvalificerade.

—

När EATSP digitalt signerar (en del av) ett digitalt föremål eller en digital post ska EATSP:s privata signeringsnyckel innehas och användas antingen i en kvalificerad anordning för skapande av elektroniska underskrifter eller stämplar eller i en säker krypteringsanordning som är ett tillförlitligt system som certifierats i enlighet med

de gemensamma kriterierna för utvärdering av informationsteknologisk säkerhet, såsom dessa anges i ISO/IEC 15408 eller i Common Criteria for Information Technology Security Evaluation, version CC:2022, delarna 1–5, som offentliggjorts av deltagarna i Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security och certifierats på nivå EAL 4 eller högre, eller

b)	den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (CIR (EU) 2024/482, CIR (EU) 2024/3144) och certifierats på nivå EAL 4 eller högre, eller

c)	till och med den 31.12.2030, FIPS PUB 140-3 nivå 3.

—	Denna certifiering ska avse ett säkerhetsmål eller en skyddsprofil, eller en modulkonstruktion och säkerhetsdokumentation, som uppfyller kraven i detta dokument, på grundval av en riskanalys och med beaktande av fysiska och andra icke-tekniska säkerhetsåtgärder.

—	Om krypteringshårdvaran omfattas av en EUCC-certifiering (IR (EU) 2024/482, CIR (EU) 2024/3144), ska hårdvaran konfigureras och användas i enlighet med den certifieringen.

—

EATSP ska övervaka styrkan hos den kryptografiska algoritm som har använts och används. Om en av de använda algoritmerna eller parametrarna inte anses vara lämplig enligt definitionen i riskhanteringen, ska EATSP antingen uppdatera den relaterade arkiveringspolicyn eller skapa en ny arkiveringsprofil för att hantera AIP:erna och fastställa och vidta lämpliga åtgärder.

—	Utvärderingen av de kryptografiska algoritmerna och EATSP:s användning av dem ska överensstämma med Agreed Cryptographic Mechanisms som godkänts av den europeiska gruppen för cybersäkerhetscertifiering och offentliggjorts av Enisa (ACM-ECCG).

—	Tekniska komponenter i EATS ska autentisera varandra på grundval av kryptografisk teknik innan de kommunicerar.

Nätverk (avsnitt 7.9)

—	De krav som specificeras i Etsi EN 319 401, underavsnitt 7.8 ”Nätverkssäkerhet” ska gälla.

—	Den sårbarhetsskanning som krävs enligt REQ-7.8-13 i Etsi EN 319 401 ska utföras minst en gång per kvartal.

—	Det penetrationstest som krävs enligt REQ-7.8-17X i Etsi EN 319 401 ska utföras minst en gång om året.

—	Brandväggar ska konfigureras så att de förhindrar alla protokoll och åtkomster som inte krävs för driften av EATSP.

Insamling av bevis (avsnitt 7.11)

—	De krav som specificeras i Etsi EN 319 401, underavsnitt 7.10 ”Insamling av bevis” ska gälla, även för kritiska och icke-kritiska händelser (se underavsnitt 13.2).

EATSP:s avslutande och plan för avslutande (avsnitt 7.13)

—	Kraven i CEN/TS 18170, avsnitt 7.13) ska tillämpas.

—	EATSP:s plan för avslutande ska uppfylla kraven i de genomförandeakter som antagits i enlighet med artikel 24.5 i förordning (EU) nr 910/2014.

Tillförlitlig tidpunkt för händelserna (avsnitt 13.3.1)

—	Kraven i CEN/TS 18170, avsnitt 13.3.1) ska tillämpas.

—	När tidsstämplar används ska EATSP använda en kvalificerad tidsstämpel.

(1) Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

(2) Kommissionens genomförandeförordning (EU) 2024/3144 av den 18 december 2024 om ändring av genomförandeförordning (EU) 2024/482 vad gäller tillämpliga internationella standarder och om rättelse av den genomförandeförordningen (EUT L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj).