(Kommissionens gennemførelsesforordning (EU) 2025/1567 af 29. juli 2025 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår forvaltning af kvalificerede elektroniske signaturgenereringssystemer på afstand og af kvalificerede elektroniske seglgenereringssystemer på afstand som kvalificerede tillidstjenester)
Referencestandarderne og specifikationerne for forvaltning af kvalificerede elektroniske signaturgenereringssystemer på afstand og kvalificerede elektroniske seglgenereringssystemer på afstand som kvalificerede tillidstjenester, jf. , og , er fastsat i bilaget til nærværende forordning.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den finder anvendelse fra den 19. august 2027.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 29. juli 2025.
EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.
Europa-Parlamentets og Rådets forordning (EU) 2024... af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.euro...).
Europa-Parlamentets og Rådets forordning (EU) 2016... af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: data.europa.eu/eli/reg/2016/679/oj).
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37, ELI: data.europa.eu/eli/dir/2002/58/oj).
Europa-Parlamentets og Rådets forordning (EU) 2018... af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: data.europa.eu/eli/reg/2018/1725/oj).
Standard ETSI TS 119 431-1 V1.3.1 (2024-12) (»ETSI TS 119 431-1«) finder anvendelse med henblik på vurdering af overensstemmelsen med politikken for EU's serversigneringsapplikationstjeneste v2 (EU Server Signing Application Service v2 Policy) i overensstemmelse med bilag A til nævnte standard med følgende tilpasninger:
1)
2.1 Normative referencer (Normative references) — [1] ETSI EN 319 401 V3.1.1 (2024-06): »Elektroniske signaturer og infrastrukturer (ESI) Generelle policykrav til trust service-udbydere« — [7] Den Europæiske Cybersikkerhedscertificeringsgruppe, undergruppen for kryptografi: »Agreed Cryptographic Mechanisms«, offentliggjort af Den Europæiske Unions Agentur for Cybersikkerhed (»ENISA«) .
2)
6.1 Offentliggørelses- og registeransvar (Publication and repository responsibilities) — OVR-6.1-04: Oplysningerne i OVR-6.1-01 ovenfor skal være offentligt og internationalt tilgængelige.
3)
6.4.4 Personalekontrolforanstaltninger (Personnel controls) — OVR-6.4.4-02: Udbydere af serversigneringsapplikationstjenester (SSASP'er) skal i betroede roller engagere personale og, hvis det er relevant, underleverandører, der har opnået den nødvendige ekspertviden, erfaring og kvalifikation gennem formel uddannelse og eksaminer eller faktisk erfaring eller en kombination af de to. — OVR-6.4.4-03: Overholdelse af OVR-6.4.4-02 skal omfatte regelmæssige (mindst hver 12. måned) opdateringer om nye trusler og aktuel sikkerhedspraksis.
4)
6.4.9 Afbrydelse af tjenester hos udbydere af serversigneringsapplikationstjenester (SSASP service termination) — OVR-6.4.9-02: Udbydere af serversigneringsapplikationstjenesters plan i tilfælde af virksomhedsafbrydelse skal være i overensstemmelse med de gennemførelsesretsakter, der er vedtaget i henhold til [i.1].
5)
6.5.5 Netværkssikkerhedskontroller (Network security controls) — OVR-6.5.5-02: Den sårbarhedsscanning, der kræves i REQ-7.8-13 i ETSI EN 319 401 [1], skal udføres mindst én gang pr. kvartal. — OVR-6.5.5-03: Firewalls skal være konfigurerede til at forhindre alle protokoller og al adgang, der ikke er nødvendige for tillidstjenesteudbyderens (TSP'ens) drift.
6)
6.8.5 Kryptografiske kontroller (Cryptographic controls) — OVR-6.8.5-01: Der skal være indført passende sikkerhedskontroller til forvaltning af alle kryptografiske teknikker hos udbyderen af serversigneringsapplikationstjenesten og i hele deres livscyklus. — OVR-6.8.5-02: For så vidt angår OVR-6.8.5-01 udvælger og anvender udbyderen af serversigneringsapplikationstjenesten passende kryptografiske teknikker, der er i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [7].
7)
Bilag A, afsnit A.3 Generelle krav (General requirements) — OVR-A.3-02 [EUSPv2]: Tillidstjenesteudbyderens erklæring om praksis skal indeholde en henvisning til certificeringen af det anvendte kvalificerede elektroniske signatur-/seglgenereringssystem i overensstemmelse med kravene i bilag II til forordning (EU) nr. 910/2014 [i.1].
certification.enisa.europa.eu/publications/eucc-gu....
ELI: http://data.europa.eu/eli/reg\_impl/2025/1567/oj
ISSN 1977-0634 (electronic edition)
