(Kommissionens gennemførelsesforordning (EU) 2025/1566 af 29. juli 2025 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår referencestandarder for kontrol af identiteten af og attributter knyttet til personer, til hvem et kvalificeret certifikat eller en kvalificeret elektronisk attestering af attributter skal udstedes)
De referencestandarder og specifikationer, der er omhandlet i , er fastsat i bilaget til nærværende forordning.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den finder anvendelse fra den 19. august 2027.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 29. juli 2025.
EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.
Europa-Parlamentets og Rådets forordning (EU) 2024... af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.euro...).
Europa-Parlamentets og Rådets forordning (EU) 2016... af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: data.europa.eu/eli/reg/2016/679/oj).
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37, ELI: data.europa.eu/eli/dir/2002/58/oj).
Europa-Parlamentets og Rådets forordning (EU) 2018... af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: data.europa.eu/eli/reg/2018/1725/oj).
Standarden ETSI TS 119 461 V2.1.1 (2025-02), for så vidt angår overensstemmelse med bilag C, punkt C.3, finder anvendelse med følgende tilpasninger:
1)
2.1 Normative referencer (Normative references) — [1] ETSI EN 319 401 V3.1.1 (2024-06): »Elektroniske signaturer og infrastrukturer (ESI) Generelle policykrav til trust service-udbydere«.
2)
C.3 Brugstilfælde for udstedelse af kvalificerede certifikater eller kvalificerede elektroniske attesteringer af attributter i overensstemmelse med , , og (Use cases for issuance of qualified certificate or qualified electronic attestations of attributes in accordance with Article 24(1), (1a) and (1b) of Regulation (EU) No 910/2014) — [BETINGET] QTS-C3-01: Hvis identitetskontrol for et kvalificeret certifikat eller en kvalificeret elektronisk attestering foretages i forbindelse med identitetskontrol med henblik på udstedelse af autoritativ dokumentation, skal denne identitetskontrolprocedure: — være peerevalueret eller certificeret af et akkrediteret overensstemmelsesvurderingsorgan til at opfylde sikringsniveauet »høj« i overensstemmelse med forordning (EU) nr. 910/2014, eller — opfylde kravene i punkt C3.1 til C3.6.
3)
C.3.4 Brugstilfælde for godtgørelse af identitet ved hjælp af andre identifikationsmidler (Use case for identity proofing by other identification means) — QTS-C.3.4-06A: Det uafhængige overensstemmelsesvurderingsorgan, der er omhandlet i [BETINGET] QTS-C.3.4-06, punkt c), skal være akkrediteret som beskrevet i , og hvis alle relevante krav er opfyldt, bør vurderingen resultere i et overensstemmelsescertifikat på grundlag af en certificeringskontrol. Denne formelle certificeringsprocedure skal være baseret på en sikkerhedsevalueringsprocedure, der henviser til de sikringsniveauer, der er angivet for de anmeldte elektroniske identifikationsmidler eller certificerede europæiske digitale identitetstegnebøger i henhold til forordning (EU) nr. 910/2014, og skal omfatte streng prøvning med henblik på evaluering af modstandsdygtigheden over for potentielle sikkerhedstrusler. Disse evalueringer skal anvende relevante tekniske standarder til at påvise robusthed over for sådanne angreb.
4)
9.2.3.4 Brugsscenarie for automatiseret drift (Use case for automated operation) — USE-9.2.3.4-04: Udbyderen af identitetsgodtgørelsestjenesten (IPSP — Identity Proofing Service Provider) skal fastsætte målværdier for procentsatsen for falsk accept (FAR – False Acceptance Rate) og procentsatsen for falsk afvisning (FRR – False Rejection Rate) i fuldt ud automatiserede processer for godtgørelse af identitet på grundlag af en risikoanalyse og en egen trusselsefterretningsprocedure ved at følge den metode, der er fastlagt i ENISA-rapporten »Methodology for sectoral cybersecurity assessments« [i.28], eller en tilsvarende metode. Disse målværdier skal være lig med eller lavere end dem, der er fastsat for hybride brugstilfælde, hvis sådanne findes. Udbyderen af identitetsgodtgørelsestjenesten skal opretholde disse målværdier for FAR og FRR konsekvent, understøttet af en risikoanalyse og en egen trusselsefterretningsprocedure.
5)
8.3.3 Kontrol af fysisk identitetsdokument (Validation of physical identity document) — VAL-8.3.3-21: Effektiviteten af foranstaltningerne til opfyldelse af kravene VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A og VAL-8.3.3-07X skal prøves af et akkrediteret laboratorium eller en national kompetent myndighed, når sådanne er udpeget, senest den 19. august 2027, og derefter gentages hvert andet år.
6)
7.12. Virksomhedsafbrydelse og planer i tilfælde af virksomhedsafbrydelse (Termination and termination plans) — OVR-7.12-02: Planen i tilfælde af virksomhedsafbrydelse skal opfylde kravene i de gennemførelsesretsakter, der er vedtaget i henhold til [i.1].
ELI: http://data.europa.eu/eli/reg\_impl/2025/1566/oj
ISSN 1977-0634 (electronic edition)
