(Kommissionens gennemførelsesforordning (EU) 2025/848 af 6. maj 2025 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår registrering af tegnebogsmodtagere)
Ved denne forordning fastsættes der regler for registrering af tegnebogsmodtagere.
I denne forordning forstås ved:
(1)
»tegnebogsmodtager«: en modtagerpart, der har til hensigt at benytte tegnebogsenheder til levering af offentlige eller private tjenester ved hjælp af digital interaktion
(2)
»tegnebogsenhed«: en unik konfiguration af en tegnebogsløsning, der omfatter tegnebogsforekomster, sikre kryptografiske tegnebogsapplikationer og sikre kryptografiske tegnebogsanordninger, som en tegnebogsudbyder leverer til en individuel tegnebogsbruger
(3)
»tegnebogsløsning«: en kombination af software, hardware, tjenester, indstillinger og konfigurationer, herunder tegnebogsforekomster, en eller flere sikre kryptografiske tegnebogsapplikationer og en eller flere sikre kryptografiske tegnebogsanordninger
(4)
»tegnebogsforekomst«: den applikation, der er installeret og konfigureret på en tegnebogsbrugers enhed eller miljø, som er en del af en tegnebogsenhed, og som tegnebogsbrugeren bruger til at interagere med tegnebogsenheden
(5)
»sikker kryptografisk tegnebogsapplikation«: en applikation, der forvalter kritiske aktiver ved at være knyttet til og anvende de kryptografiske og ikkekryptografiske funktioner, der leveres af en sikker kryptografisk tegnebogsanordning
(6)
»sikker kryptografisk tegnebogsanordning«: en anordning, der er sikret mod manipulation, og som tilvejebringer et miljø, der er knyttet til og anvendes af den sikre kryptografiske tegnebogsapplikation til at beskytte kritiske aktiver og tilvejebringe kryptografiske funktioner til sikker udførelse af kritiske operationer
(7)
»kritiske aktiver«: aktiver i eller i forbindelse med en tegnebogsenhed af så ekstraordinær betydning, at det i alvorlig grad vil svække muligheden for at have tillid til tegnebogsenheden, hvis deres tilgængelighed, fortrolighed eller integritet kompromitteres
(8)
»tegnebogsudbyder«: en fysisk eller juridisk person, der leverer tegnebogsløsninger
(9)
»tegnebogsbruger«: en bruger, der har kontrol over tegnebogsenheden
(10)
»nationalt register over tegnebogsmodtagere«: et nationalt elektronisk register, der anvendes af en medlemsstat til at gøre oplysninger om de tegnebogsmodtagere, der er registreret i den pågældende medlemsstat, offentligt tilgængelige, jf. artikel 5b, stk. 5, i forordning (EU) nr. 910/2014
(11)
»udbyder af adgangscertifikater for tegnebogsmodtagere«: en fysisk eller juridisk person, der er bemyndiget af en medlemsstat til at udstede adgangscertifikater for tegnebogsmodtagere til tegnebogsmodtagere, der er registreret i den pågældende medlemsstat
(12)
»adgangscertifikat for tegnebogsmodtager«: et certifikat for elektroniske segl eller signaturer, der autentificerer og validerer tegnebogsmodtageren, og som er udstedt af en udbyder af adgangscertifikater for tegnebogsmodtagere
(13)
»udbyder af personidentifikationsdata«: en fysisk eller juridisk person, der er ansvarlig for at udstede og tilbagekalde personidentifikationsdata og sikre, at en brugers personidentifikationsdata er kryptografisk bundet til en tegnebogsenhed
(14)
»registrator af tegnebogsmodtagere«: det organ, der er ansvarligt for at oprette og føre listen over registrerede tegnebogsmodtagere etableret på vedkommendes område, og som er udpeget af en medlemsstat
(15)
»registreringscertifikat for tegnebogsmodtagere«: et dataobjekt, der beskriver modtagerpartens tilsigtede anvendelse og angiver de attributter, som modtagerparten har registreret, at vedkommende har til hensigt at anmode brugerne om
(16)
»udbyder af registreringscertifikater for tegnebogsmodtagere«: en fysisk eller juridisk person, der er bemyndiget af en medlemsstat til at udstede registreringscertifikater for tegnebogsmodtagere til tegnebogsmodtagere, der er registreret i den pågældende medlemsstat.
1. Medlemsstaterne opretter og fører mindst ét nationalt register over tegnebogsmodtagere med oplysninger om de registrerede tegnebogsmodtagere, der er etableret i den pågældende medlemsstat.
2. Registret skal som minimum omfatte oplysningerne i bilag I.
3. Medlemsstaterne udpeger mindst én registrator til at forvalte og drive mindst ét nationalt register over tegnebogsmodtagere.
4. Medlemsstaterne gør oplysningerne i bilag I om registrerede tegnebogsmodtagere offentligt tilgængelige online, både i menneskeligt læsbar form og i en form, der egner sig til automatiseret behandling.
5. De oplysninger, der er omhandlet i stk. 2, gøres tilgængelige via en enkelt fælles applikationsprogrammeringsgrænseflade (»API«) og via et nationalt websted. De skal være underskrevet eller forseglet elektronisk af eller på vegne af registratoren i overensstemmelse med de fælles krav til en enkelt API i bilag II, afsnit 1.
6. Medlemsstaterne sikrer, at den API, der er omhandlet i stk. 5, opfylder de fælles krav i bilag II, afsnit 2.
7. Medlemsstaterne sikrer, at registrene er i overensstemmelse med de relevante fælles registreringspolitikker, jf. artikel 4.
1. Medlemsstaterne fastlægger og offentliggør en eller flere nationale registreringspolitikker for de nationale registre over tegnebogsmodtagere, der er etableret på deres område.
2. Medlemsstaterne kan medtage eller genbruge eksisterende sektorspecifikke eller nationale registreringspolitikker.
3. Den nationale registreringspolitik skal som minimum omfatte oplysninger om:
a)
hvilke identifikations- og autentifikationsprocedurer, der finder anvendelse på tegnebogsmodtagere under registreringsprocessen
b)
hvilken dokumentation der kræves med hensyn til identitet, virksomhedsregistrering, gældende rettigheder og andre relevante oplysninger om tegnebogsmodtageren
c)
de autentiske kilder eller andre officielle elektroniske fortegnelser, og hvor disse kilder eller fortegnelser kan tilgås for at få nøjagtige data
d)
eventuelle andre oplysninger eller anden dokumentation, der kræves som led i registreringsprocessen
e)
hvor det er relevant, hvilke automatiserede midler tegnebogsmodtagerne kan bruge til at registrere eller ajourføre en eksisterende registrering
f)
hvilke klagemuligheder der er til rådighed for tegnebogsmodtagerne i henhold til lovgivningen og procedurerne i den medlemsstat, hvor det nationale register er etableret
g)
reglerne og procedurerne for bekræftelse af de registrerede tegnebogsmodtageres identitet og af alle andre relevante oplysninger fra tegnebogsmodtageren.
4. De procedurer og den dokumentation, der er omhandlet i stk. 3, litra (a) og (b), skal gøre det muligt for tegnebogsmodtagerne at angive, med hvilke specifikke rettigheder vedkommende handler, jf. bilag I.
5. I de tilfælde, hvor det er relevant, må kravene i den nationale registreringspolitik ikke være til hinder for en automatiseret registreringsproces.
1. Tegnebogsmodtagerne opgiver som minimum de oplysninger, der er fastsat i bilag I, til de nationale registre.
2. Tegnebogsmodtagerne sørger for, at de afgivne oplysninger er nøjagtige på tidspunktet for registreringen.
3. Tegnebogsmodtagerne ajourfører uden unødigt ophold alle oplysninger, der tidligere er blevet registreret i det nationale register over tegnebogsmodtagere.
1. Registratorerne indfører letanvendelige elektroniske og, hvor det er muligt, automatiserede registreringsprocesser for tegnebogsmodtagere.
2. Registratorerne behandler ansøgninger om registrering uden unødigt ophold og giver ansøgeren et svar vedrørende anmodningen om registrering inden for den frist, der er fastsat i den gældende registreringspolitik, ved hjælp af passende midler og i overensstemmelse med lovgivningen og procedurerne i den medlemsstat, hvor det nationale register er etableret.
3. Hvis det er muligt, kontrollerer registratorerne på en automatiseret måde:
a)
nøjagtigheden, gyldigheden, ægtheden og integriteten af de oplysninger, der kræves i henhold til artikel 5
b)
hvis det er relevant, fuldmagter hos repræsentanter for tegnebogsmodtagerne, der er udfærdiget og indgivet i overensstemmelse med lovgivningen og procedurerne i den medlemsstat, hvor det nationale register er etableret
c)
hvilken type rettigheder, tegnebogsmodtagerne har, jf. bilag I
d)
at der ikke allerede findes en registrering i et andet nationalt register.
4. Registratorerne kontrollerer de oplysninger, der er omhandlet i stk. 3, i forhold til den dokumentation, som tegnebogsmodtagerne har fremlagt, eller i forhold til relevante autentiske kilder eller andre officielle elektroniske fortegnelser i den medlemsstat, hvor det nationale register er etableret, som registratorerne har adgang til i overensstemmelse med gældende nationale lov og procedurer.
5. Kontrollen af tegnebogsmodtagernes rettigheder som omhandlet i stk. 3, litra (c), foretages i overensstemmelse med bilag III.
6. Hvis registratoren ikke kan bekræfte oplysningerne i overensstemmelse med stk. 3-5, afviser registratoren registreringen.
7. Når en tegnebogsmodtager ikke længere har til hensigt at benytte tegnebogsenheder til levering af offentlige eller private tjenester under en specifik registrering, underretter vedkommende den relevante registrator uden unødigt ophold og anmoder om annullering af registreringen.
1. Medlemsstaterne giver mindst én certificeringsmyndighed tilladelse til at udstede adgangscertifikater for tegnebogsmodtagere.
2. Medlemsstaterne sikrer, at udbydere af adgangscertifikater for tegnebogsmodtagere udelukkende udsteder adgangscertifikater for tegnebogsmodtagere til registrerede tegnebogsmodtagere.
3. Medlemsstaterne gennemfører på en syntaktisk og semantisk harmoniseret måde certifikatpolitikkerne og erklæringerne om certificeringspraksis for adgangscertifikater for tegnebogsmodtagere i overensstemmelse med kravene i bilag IV.
1. Medlemsstaterne kan give mindst én certificeringsmyndighed tilladelse til at udstede registreringscertifikater for tegnebogsmodtagere.
2. Hvis en medlemsstat har givet tilladelse til udstedelse af registreringscertifikater for tegnebogsmodtagere, skal den pågældende medlemsstat:
a)
kræve, at udbydere af registreringscertifikater for tegnebogsmodtagere udelukkende udsteder registreringscertifikater for tegnebogsmodtagere til registrerede tegnebogsmodtagere
b)
sikre, at hver tilsigtet anvendelse fremgår af registreringscertifikatet for tegnebogsmodtagere
c)
sikre, at registreringscertifikaterne for tegnebogsmodtagere indeholder en generel adgangspolitik, der er syntaktisk og semantisk harmoniseret i hele Unionen og informerer brugerne om, at tegnebogsmodtageren kun har tilladelse til at anmode om de data, der er angivet i registreringscertifikatet, for den tilsigtede anvendelse, der er registreret i registreringscertifikatet
d)
sikre, at de udbydere af tegnebogsløsninger, der er etableret i den pågældende medlemsstat, overholder den generelle adgangspolitik ved at informere brugerne, når en tegnebogsmodtager anmoder om data, der ikke er angivet i registreringscertifikatet
e)
gennemføre registreringscertifikaterne for tegnebogsmodtagere på en syntaktisk og semantisk harmoniseret måde og i overensstemmelse med kravene i bilag V
f)
indføre særlige certifikatpolitikker og erklæringer om certificeringspraksis for registreringscertifikater for tegnebogsmodtagere i overensstemmelse med kravene i bilag V
g)
sikre, at tegnebogsmodtagerne opgiver en URL-adresse for databeskyttelsespolitikken for den tilsigtede anvendelse.
3. Den politik, der er nævnt i litra g), skal fremgå af registreringscertifikatet for tegnebogsmodtagere.
1. Registratorerne suspenderer eller annullerer en registrering af en tegnebogsmodtager, hvis en tilsynsmyndighed anmoder om en sådan suspension eller annullering i henhold til artikel 46a, stk. 4, litra f), i forordning (EU) nr. 910/2014.
2. Registratorerne kan suspendere eller annullere en registrering af en tegnebogsmodtager, hvis registratorerne har grund til at tro et af følgende:
a)
registreringen indeholder urigtige, forældede eller vildledende oplysninger
b)
tegnebogsmodtageren overholder ikke registreringspolitikken
c)
tegnebogsmodtageren anmoder om flere attributter, end vedkommende har registreret i overensstemmelse med artikel 5 og artikel 6
d)
tegnebogsmodtageren handler på anden vis i strid med EU-retten eller national ret på en måde, der vedrører vedkommendes rolle som tegnebogsmodtager.
3. Registratorerne suspenderer eller annullerer en registrering af en tegnebogsmodtager, hvis anmodningen om annullering eller suspension fremsættes af den samme tegnebogsmodtager.
4. Når registratoren overvejer suspension eller annullering i overensstemmelse med stk. 2, foretager registratoren en proportionalitetsvurdering under hensyntagen til indvirkningen på de grundlæggende rettigheder, sikkerheden og fortroligheden for så vidt angår brugerne i økosystemet samt omfanget af den forstyrrelse, som suspensionen eller annulleringen vil forårsage, og de forbundne omkostninger for både tegnebogsmodtageren og brugeren. På grundlag af resultatet af denne vurdering kan registratoren suspendere eller annullere registreringen med eller uden forudgående varsel til den berørte tegnebogsmodtager.
5. Når registreringen af en tegnebogsmodtager suspenderes eller annulleres, informerer registratoren udbyderen af de pågældende adgangscertifikater for tegnebogsmodtagere, udbyderen af de pågældende registreringscertifikater for tegnebogsmodtagere og den berørte tegnebogsmodtager om handlingen uden unødigt ophold og senest 24 timer efter suspensionen eller annulleringen. Meddelelsen skal indeholde oplysninger om årsagerne til suspensionen eller annulleringen og om de tilgængelige klagemuligheder eller retsmidler.
6. Hvis det er relevant, tilbagekalder udbyderen af adgangscertifikater for tegnebogsmodtagere og udbyderen af registreringscertifikater for tegnebogsmodtagere uden unødigt ophold henholdsvis adgangscertifikaterne og registreringscertifikaterne for den tegnebogsmodtager, for hvilken registreringen er blevet suspenderet eller annulleret.
Registratorerne opbevarer i ti år fortegnelser over de oplysninger, som tegnebogsmodtagerne har givet, og som er registreret i overensstemmelse med bilag I med henblik på registrering af en tegnebogsmodtager og udstedelsen af adgangscertifikater for tegnebogsmodtagere og registreringscertifikater for tegnebogsmodtagere, samt over enhver senere ændring af disse oplysninger.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den finder anvendelse fra den 24. december 2026.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 6. maj 2025.
EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.
Kommissionens henstilling (EU) 2021/946 af 3. juni 2021 om en fælles EU-værktøjskasse for en koordineret tilgang til en ramme for en europæisk digital identitet (EUT L 210 af 14.6.2021, s. 51, ELI: data.europa.eu/eli/reco/2021/946/oj).
Europa-Parlamentets og Rådets forordning (EU) 2024/1183 af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.euro...).
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: data.europa.eu/eli/reg/2016/679/oj).
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37, ELI: data.europa.eu/eli/dir/2002/58/oj).
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: data.europa.eu/eli/reg/2018/1725/oj).
| 1. | Hvis det er relevant, tegnebogsmodtagerens navn, som det fremgår af en officiel fortegnelse, sammen med denne officielle fortegnelses identifikationsdata. a) Hvis ikke relevant, finder punkt 2 anvendelse. |
|---|
| 2. | Hvis det er relevant, et brugervenligt navn på tegnebogsmodtageren, der kan være enten et handelsnavn eller et tjenestenavn, der er genkendeligt for brugeren. |
|---|
| 3. | Hvis det er relevant, en eller flere identifikatorer for tegnebogsmodtageren, som de fremgår af en officiel fortegnelse, sammen med denne officielle fortegnelses identifikationsdata, udtrykt som: a) et registrerings- og identifikationsnummer for økonomiske operatører (»EORI-nummer«) som omhandlet i Kommissionens gennemførelsesforordning (EU) nr. 1352/2013 b) et registreringsnummer som registreret i et nationalt selskabsregister c) en identifikator for juridiske enheder (»LEI-kode«) som omhandlet i Kommissionens gennemførelsesforordning (EU) 2022/1860 d) et momsregistreringsnummer e) et punktafgiftsnummer som omhandlet i artikel 2, nr. 12), i Rådets forordning (EU) nr. 389/2012 f) et skatteregistreringsnummer g) en europæisk entydig identifikator (»EUID«) som omhandlet i Kommissionens gennemførelsesforordning (EU) 2021/1042 h) andre nationale identifikatorer. |
|---|
| 4. | Den fysiske adresse, hvor tegnebogsmodtageren er etableret. |
|---|
| 5. | Hvis det er relevant, en URL-adresse, der tilhører tegnebogsmodtageren. |
|---|
| 6. | Hvis identifikatoren er udtrykt i overensstemmelse med punkt 3, litra a), d), f) eller h), angives landeindikatoren for den medlemsstat, hvor tegnebogsmodtageren er etableret, med præfiks ved hjælp af ISO 3166-1 Alpha 2-koder, med undtagelse af landeindikatoren for Grækenland, som skal være »EL«. |
|---|
| 7. | Kontaktoplysninger for tegnebogsmodtageren, mindst én af følgende oplysninger: a) et websted, hvor tegnebogsmodtageren kan kontaktes i spørgsmål om helpdesk og support b) et telefonnummer, hvor tegnebogsmodtageren kan kontaktes i spørgsmål om dennes registrering og tilsigtede anvendelse af tegnebogsenhederne c) en e-mailadresse, hvor tegnebogsmodtageren kan kontaktes i spørgsmål om dennes registrering og tilsigtede anvendelse af tegnebogsenheden. |
|---|
| 8. | En beskrivelse af den type tjenester, som tegnebogsmodtageren leverer. |
|---|
| 9. | For hver tilsigtet anvendelse en liste over de data, herunder attesteringer og attributter, som modtagerparten har til hensigt at anmode om, et brugervenligt navn og et teknisk navn, attesteringstypen og eventuelle andre syntakser, som dataene er grupperet efter, i et maskinlæsbart format til automatiseret behandling. |
|---|
| 10. | For hver tilsigtet anvendelse en beskrivelse af den tilsigtede anvendelse af de data, som tegnebogsmodtageren har til hensigt at anmode om fra tegnebogsenheder. |
|---|
| 11. | En angivelse af, om tegnebogsmodtageren er en offentlig myndighed. |
|---|
| 12. | Tegnebogsmodtagerens rettigheder, angivet som følger: a) »Service_Provider« for tegnebogsmodtagere, der er udbydere af tjenesteydelser b) »QEAA_Provider« for tegnebogsmodtagere, der er kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede elektroniske attesteringer af attributter c) »Non_Q_EAA_Provider« for tegnebogsmodtagere, der er tillidstjenesteudbydere, der udsteder ikkekvalificerede elektroniske attesteringer af attributter d) »PUB_EAA_Provider« for tegnebogsmodtagere, der er udbydere af elektroniske attesteringer af attributter udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde e) »PID_Provider« for tegnebogsmodtagere, der er udbydere af personidentifikationsdata f) »QCert_for_ESeal_Provider« for tegnebogsmodtagere, der er kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater for elektroniske segl g) »QCert_for_ESig_Provider« for tegnebogsmodtagere, der er kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater for elektroniske signaturer h) »rQSigCDs_Provider« for tegnebogsmodtagere, der er kvalificerede tillidstjenesteudbydere, der leverer kvalificerede tillidstjenester til forvaltning af et kvalificeret system til elektronisk signaturgenerering på afstand i) »rQSealCDs_Provider« for tegnebogsmodtagere, der er kvalificerede tillidstjenesteudbydere, der leverer kvalificerede tillidstjenester til forvaltning af et kvalificeret system til elektronisk seglgenerering på afstand j) »ESig_ESeal_Creation_Provider« for tegnebogsmodtagere, der er ikkekvalificerede tillidstjenesteudbydere, der leverer en ikkekvalificeret tillidstjeneste til generering af elektroniske signaturer og elektroniske segl på afstand. |
|---|
| 13. | Med hensyn til punkt 12, litra c), kan medlemsstaterne fastsætte yderligere underrettigheder for at angive, hvilke attesteringer en bestemt ikkekvalificeret udsteder af elektroniske attesteringer af attributter skal udstede. |
|---|
| 14. | Hvis det er relevant, en angivelse af, at tegnebogsmodtageren benytter en formidler, der handler på vegne af modtagerparten, og som har til hensigt at anvende tegnebogen. |
|---|
| 15. | Hvis det er relevant, en tilknytning til den formidler, som tegnebogsmodtageren benytter, og som handler på vegne af modtagerparten og har til hensigt at anvende tegnebogen. |
|---|
Kommissionens gennemførelsesforordning (EU) nr. 1352/2013 af 4. december 2013 om fastlæggelse af de blanketter, der er foreskrevet i Europa-Parlamentets og Rådets forordning (EU) nr. 608/2013 om toldmyndighedernes håndhævelse af intellektuelle ejendomsrettigheder (EUT L 341 af 18.12.2013, s. 10, ELI: data.europa.eu/eli/reg%5Fimpl/2013/1352/oj).
Kommissionens gennemførelsesforordning (EU) 2022/1860 af 10. juni 2022 om fastlæggelse af gennemførelsesmæssige tekniske standarder for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 for så vidt angår standarder, formater, hyppighed og metoder og ordninger i forbindelse med indberetning (EUT L 262 af 7.10.2022, s. 68, ELI: data.europa.eu/eli/reg%5Fimpl/2022/1860/oj).
Rådets forordning (EU) nr. 389/2012 af 2. maj 2012 om administrativt samarbejde på punktafgiftsområdet og om ophævelse af forordning (EF) nr. 2073/2004 (EUT L 121 af 8.5.2012, s. 1, ELI: data.europa.eu/eli/reg/2012/389/oj).
Kommissionens gennemførelsesforordning (EU) 2021/1042 af 18. juni 2021 om regler for anvendelsen af Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 for så vidt angår tekniske specifikationer og procedurer for registersammenkoblingssystemet og om ophævelse af Kommissionens gennemførelsesforordning (EU) 2020/2244 (EUT L 225 af 25.6.2021, s. 7, ELI: data.europa.eu/eli/reg%5Fimpl/2021/1042/oj).
| — | JavaScript Object Notation (»JSON«) |
|---|
| — | IETF 7515 for JSON-websignaturer. |
|---|
1)
Den enkelte fælles API skal: a) være en REST API, der understøtter JSON som format og er underskrevet i overensstemmelse med de relevante krav, der er angivet i afsnit 1 b) give enhver anmodende part mulighed for uden forudgående autentifikation at søge efter, og anmode om fuldstændige lister over, oplysninger i registret om registrerede tegnebogsmodtagere, herunder også delvise match, på grundlag af fastsatte parametre, herunder, hvor det er relevant, tegnebogsmodtagerens officielle registreringsnummer eller virksomhedsregistreringsnummer, tegnebogsmodtagerens navn eller de oplysninger, der er omhandlet i artikel 8, stk. 2, litra g), og bilag I, punkt 12, 13, 14 og 15 c) sikre, at svar på anmodninger som omhandlet i litra (b), der matcher mindst én tegnebogsmodtager, omfatter en eller flere erklæringer om oplysninger om registrerede tegnebogsmodtagere og oplysninger i overensstemmelse med bilag I samt nuværende og historiske adgangscertifikater for tegnebogsmodtagere og registreringscertifikater for tegnebogsmodtagere, men ikke kontaktoplysningerne i bilag I, punkt 4 d) være offentliggjort som en OpenAPI version 3 sammen med den relevante dokumentation og de relevante tekniske specifikationer, så der sikres interoperabilitet i hele Unionen e) omfatte sikkerhedsfunktioner, herunder sikkerhed gennem standardindstillinger og indbygget sikkerhed, for at sikre tilgængeligheden og integriteten af API'en og tilgængeligheden af oplysningerne via den.
2)
De erklæringer, der er omhandlet i litra c), skal være udfærdiget i form af elektronisk underskrevne eller forseglede JSON-filer med et format og en struktur, der er i overensstemmelse med kravene til elektroniske signaturer eller segl i afsnit 1.
| 1. | Kontrollen af, at en tegnebogsmodtager er udbyder af kvalificerede elektroniske attesteringer af attributter, udbyder af kvalificerede certifikater for elektroniske signaturer eller segl eller udbyder af en kvalificeret tillidstjeneste til forvaltning af kvalificerede systemer til elektronisk signatur- eller seglgenerering på afstand, baseres på de nationale positivlister, der offentliggøres i overensstemmelse med artikel 22 i forordning (EU) nr. 910/2014. |
|---|
| 2. | Kontrollen af, at en tegnebogsmodtager er udbyder af ikkekvalificerede elektroniske attesteringer af attributter eller udbyder af elektronisk signatur- eller seglgenerering på afstand som en ikkekvalificeret tillidstjeneste, baseres, hvor det er relevant, på de nationale positivlister, der offentliggøres i overensstemmelse med artikel 22 i forordning (EU) nr. 910/2014, eller, for ikkekvalificerede tillidstjenesteudbydere, der ikke er registreret på de nationale positivlister, på kontrolprocedurer, som medlemsstaterne har fastsat i deres registreringspolitikker, jf. artikel 4. |
|---|
| 3. | Kontrollen af, at en tegnebogsmodtager er udbyder af personidentifikationsdata, baseres på den liste over udbydere af personidentifikationsdata, som Kommissionen offentliggør i overensstemmelse med artikel 5a, stk. 18, i forordning (EU) nr. 910/2014. |
|---|
| 4. | Kontrollen af, at en tegnebogsmodtager er udbyder af elektroniske attesteringer af attributter udstedt af eller på vegne af en offentlig myndighed med ansvar for en autentisk kilde, baseres på den liste, der offentliggøres af Kommissionen i overensstemmelse med artikel 45f, stk. 3, i forordning (EU) nr. 910/2014. |
|---|
| 1. | Den certifikatpolitik for adgangscertifikater for tegnebogsmodtagere, der gælder for levering af adgangscertifikater for tegnebogsmodtagere, skal beskrive de sikkerhedskrav, der gælder for, og de regler, der angiver anvendelsen af, adgangscertifikater for tegnebogsmodtagere, så tegnebogsmodtagerne kan få udstedt og anvende sådanne certifikater i deres interaktioner med tegnebogsløsninger. |
|---|
| 2. | Den erklæring om certificeringspraksis for adgangscertifikater for tegnebogsmodtagere, der gælder for levering af adgangscertifikater for tegnebogsmodtagere, skal beskrive den praksis, som en udbyder af adgangscertifikater for tegnebogsmodtagere anvender ved udstedelse, forvaltning, tilbagekaldelse og fornyelse af adgangscertifikater for tegnebogsmodtagere. |
|---|
| 3. | Den certifikatpolitik og erklæring om certificeringspraksis, der gælder for levering af adgangscertifikater for tegnebogsmodtagere, skal være syntaktisk og semantisk harmoniseret i hele Unionen og, hvor det er relevant, som minimum opfylde kravene i den normaliserede certifikatpolitik (»NCP«) som specificeret i standard ETSI EN 319411-1 version 1.4.1 (2023-10) og skal omfatte: a) en klar beskrivelse af public key-infrastrukturhierarkiet og certificeringsstierne fra slutenhedens adgangscertifikater for tegnebogsmodtagere til toppen af det hierarki, der anvendes til at udstede dem, med angivelse af det eller de forventede tillidsankre i hierarkiet og de forventede stier, som bør være baseret på den tillidsramme, der er etableret i overensstemmelse med artikel 5a, stk. 18, i forordning (EU) nr. 910/2014 b) en fyldestgørende beskrivelse af procedurerne for udstedelse af adgangscertifikater for tegnebogsmodtagere, herunder for kontrol af identiteten og enhver anden attribut for den tegnebogsmodtager, som der skal udstedes et certifikat til c) forpligtelsen for udbyderne af adgangscertifikater for tegnebogsmodtagere til ved udstedelse af et adgangscertifikat for tegnebogsmodtagere at kontrollere, at: — tegnebogsmodtageren er opført med en gyldig registreringsstatus i et nationalt register over tegnebogsmodtagere i den medlemsstat, hvor den pågældende tegnebogsmodtager er etableret — alle oplysninger i adgangscertifikatet for tegnebogsmodtagere er korrekte og i overensstemmelse med de registreringsoplysninger, der er tilgængelige fra det pågældende register d) en fyldestgørende beskrivelse af procedurerne for tilbagekaldelse af adgangscertifikater for tegnebogsmodtagere e) forpligtelsen for udbyderne af adgangscertifikater for tegnebogsmodtagere til at gennemføre foranstaltninger og processer med henblik: — løbende overvågning af alle ændringer i det nationale register over tegnebogsmodtagere, hvori de tegnebogsmodtagere, som de har udstedt adgangscertifikater til, er registreret — tilbagekaldelse, når ændringer kræver det, af ethvert certifikat for tegnebogsmodtagere, som udbyderen har udstedt til den pågældende tegnebogsmodtager, navnlig når indholdet af certifikatet ikke længere er korrekt og i overensstemmelse med de registrerede oplysninger, eller når registreringen af tegnebogsmodtageren suspenderes eller annulleres f) en fyldestgørende beskrivelse af procedurerne og mekanismerne for den i hele Unionen harmoniserede validering af adgangscertifikater for tegnebogsmodtagere g) forpligtelsen for udbyderne af adgangscertifikater for tegnebogsmodtagere til at give relevante interessenter, herunder tegnebogsmodtagere for så vidt angår deres egne certifikater, kompetente tilsynsorganer og databeskyttelsesmyndigheder, mulighed for at anmode om tilbagekaldelse af adgangscertifikater for tegnebogsmodtagere h) forpligtelsen for udbyderne af adgangscertifikater for tegnebogsmodtagere til at registrere alle sådanne tilbagekaldelser i deres certifikatdatabase og til at offentliggøre certifikaternes status som tilbagekaldt rettidigt og under alle omstændigheder senest 24 timer efter modtagelsen af anmodningen om tilbagekaldelse i) forpligtelsen for udbyderne af adgangscertifikater for tegnebogsmodtagere til at give oplysninger om status med hensyn til gyldighed eller tilbagekaldelse for certifikater for tegnebogsmodtagere, der er udstedt af den pågældende udbyder j) hvis det er relevant, en beskrivelse af, hvordan udbyderne af adgangscertifikater for tegnebogsmodtagere skal føre log over alle adgangscertifikater for tegnebogsmodtagere, som de har udstedt, i overensstemmelse med Internet Engineering Task Force's (»IETF's«) request for comment (»RFC«) 9162 Certificate Transparency version 2.0 k) forpligtelsen om at, adgangscertifikater for tegnebogsmodtagere skal indeholde: — placeringen af det certifikat, der understøtter den avancerede elektroniske signatur eller det avancerede elektroniske segl på certifikatet, så hele certificeringsstien er etableret op til det forventede tillidsanker i det public key-infrastrukturhierarki, som udbyderen benytter — en maskinlæsbar henvisning til den gældende certifikatpolitik og erklæring om certificeringspraksis — de oplysninger, der er omhandlet i bilag I, punkt 1, 2, 3, 5, 6 og 7, litra a), b) og c). |
|---|
| 4. | Den tilbagekaldelse, der er omhandlet i punkt 3, litra g), får virkning straks efter offentliggørelsen. |
|---|
| 5. | De oplysninger, der er omhandlet i punkt 3, litra h), skal på automatiseret vis gøres tilgængelige som minimum på certifikatniveau, og de skal være tilgængelige til enhver tid og ud over certifikatets gyldighedsperiode på en pålidelig, gratis og effektiv måde i overensstemmelse med certifikatpolitikken. |
|---|
| 1. | Den certifikatpolitik for registreringscertifikater for tegnebogsmodtagere, der gælder for levering af registreringscertifikater for tegnebogsmodtagere, skal beskrive de sikkerhedskrav, der gælder for, og de regler, der angiver anvendelsen af, registreringscertifikater for tegnebogsmodtagere, så tegnebogsmodtagerne kan få udstedt og anvende sådanne certifikater i deres interaktioner med tegnebogsløsninger. Certifikatpolitikken for registreringscertifikater for tegnebogsmodtagere skal offentliggøres i menneskeligt læsbar form. |
|---|
| 2. | Den erklæring om certificeringspraksis for registreringscertifikater for tegnebogsmodtagere, der gælder for levering af registreringscertifikater for tegnebogsmodtagere skal beskrive den praksis, som en udbyder af registreringscertifikater for tegnebogsmodtagere anvender ved udstedelse, forvaltning, tilbagekaldelse og fornyelse af registreringscertifikater for tegnebogsmodtagere, og, hvis det er relevant, hvordan de er forbundet med adgangscertifikater for tegnebogsmodtagere, der er udstedt til tegnebogsmodtagere. Erklæringen om certificeringspraksis for registreringscertifikater for tegnebogsmodtagere skal offentliggøres i menneskeligt læsbar form. |
|---|
| 3. | Den certifikatpolitik og erklæring om certificeringspraksis for registreringscertifikater for tegnebogsmodtagere, der gælder for levering af registreringscertifikater for tegnebogsmodtagere, skal være syntaktisk og semantisk harmoniseret i hele Unionen og som minimum opfylde de gældende krav i NCP som specificeret i standard ETSI EN 319411-1 version 1.4.1 (2023-10) og skal omfatte: a) en klar beskrivelse af public key-infrastrukturhierarkiet og certificeringsstierne fra slutenhedens registreringscertifikater for tegnebogsmodtagere til toppen af det hierarki, der anvendes til at udstede dem, med angivelse af det eller de forventede tillidsankre i hierarkiet og de forventede stier b) en fyldestgørende beskrivelse af procedurerne for udstedelse af registreringscertifikater for tegnebogsmodtagere, herunder for kontrol af identiteten og enhver anden attribut for den tegnebogsmodtager, som der skal udstedes et certifikat til c) forpligtelsen for udbyderen af registreringscertifikater for tegnebogsmodtagere til ved udstedelse af et registreringscertifikat for tegnebogsmodtagere at kontrollere, at: — tegnebogsmodtageren er opført med en gyldig registreringsstatus i et nationalt register over tegnebogsmodtagere i den medlemsstat, hvor den pågældende tegnebogsmodtager er etableret — oplysningerne i registreringscertifikatet for tegnebogsmodtagere er korrekte og i overensstemmelse med de registreringsoplysninger, der er tilgængelige fra det pågældende register — adgangscertifikatet for tegnebogsmodtagere er gyldigt — beskrivelsen af procedurerne for tilbagekaldelse af registreringscertifikater for tegnebogsmodtagere er fyldestgørende d) forpligtelsen for udbyderen af registreringscertifikater for tegnebogsmodtagere til at gennemføre foranstaltninger og processer med henblik på: — løbende overvågning på en automatiseret måde af alle ændringer i det nationale register over tegnebogsmodtagere, hvori de tegnebogsmodtagere, som udbyderen har udstedt adgangscertifikater til, er registreret — genudstedelse af registreringscertifikatet for tegnebogsmodtagere — tilbagekaldelse, når ændringer kræver det, af ethvert registreringscertifikat for tegnebogsmodtagere, som udbyderen har udstedt til en given tegnebogsmodtager, navnlig når indholdet af certifikatet ikke længere er korrekt og i overensstemmelse med de registrerede oplysninger, eller når registreringen af tegnebogsmodtageren ændres, suspenderes eller annulleres e) en fyldestgørende beskrivelse af procedurerne og mekanismerne for den harmoniserede validering af registreringscertifikater for tegnebogsmodtagere f) forpligtelsen for udbyderen af registreringscertifikater for tegnebogsmodtagere til at give relevante interessenter, herunder tegnebogsmodtagere for så vidt angår deres egne certifikater, kompetente tilsynsorganer og databeskyttelsesmyndigheder, mulighed for at anmode om tilbagekaldelse af registreringscertifikater for tegnebogsmodtagere g) forpligtelsen for udbyderen af registreringscertifikater for tegnebogsmodtagere til at registrere alle sådanne tilbagekaldelser i sin certifikatdatabase og til at offentliggøre certifikaternes status som tilbagekaldt rettidigt og under alle omstændigheder senest 24 timer efter modtagelsen af anmodningen om tilbagekaldelse h) forpligtelsen for udbyderne af registreringscertifikater for tegnebogsmodtagere til at give oplysninger om status med hensyn til gyldighed eller tilbagekaldelse for registreringscertifikater for tegnebogsmodtagere, der er udstedt af den pågældende udbyder i) hvis det er relevant, en beskrivelse af, hvordan udbyderne af registreringscertifikater for tegnebogsmodtagere skal føre log over alle registreringscertifikater for tegnebogsmodtagere, som de har udstedt j) forpligtelsen om, at registreringscertifikater for tegnebogsmodtagere skal indeholde: — placeringen af valideringsdataene for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der anvendes til at underskrive eller forsegle registreringscertifikatet, så hele tillidskæden er etableret op til det forventede tillidsanker — en maskinlæsbar henvisning til den gældende certifikatpolitik og erklæring om certificeringspraksis — de oplysninger, der er omhandlet i bilag I, punkt 1, 2, 3, 5, 6 og 8, 9, 10, 11, 12, 13, 14 og 15 — URL-adressen til den databeskyttelsespolitik, der er omhandlet i artikel 8, stk. 2, litra g) — en generel adgangspolitik, jf. artikel 8, stk. 3 |
|---|
| 4. | Dataudvekslingsformatet for registreringscertifikater for modtagerparter er underskrevne JSON Web Tokens (IETF RFC 7519) og CBOR Web Tokens (IETF RFC 8392). |
|---|
| 5. | Den tilbagekaldelse, der er omhandlet i punkt 3, litra g), får virkning straks efter offentliggørelsen. |
|---|
| 6. | De oplysninger, der er omhandlet i punkt 3, litra h), skal på automatiseret vis gøres tilgængelige som minimum på certifikatniveau, og de skal være tilgængelige til enhver tid og ud over certifikatets gyldighedsperiode på en pålidelig, gratis og effektiv måde i overensstemmelse med certifikatpolitikken. |
|---|
ELI: http://data.europa.eu/eli/reg\_impl/2025/848/oj
ISSN 1977-0634 (electronic edition)
