Gennemførelsesforordning

Anvendelse Af EU-retten, Udførelse Af Tjenesteydelser, Teknisk Specifikation, Databeskyttelse, Teknisk Norm, Udveksling Af Information, Elektronisk Signatur, Digital Teknologi, Officielt Stempel, Informationssikkerhed, Digitalt Indre Marked

Europa-Kommissionen, Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi

EU-regler og standarder for validering af elektroniske signaturer og segl

(Kommissionens gennemførelsesforordning (EU) 2025/1945 af 29. september 2025 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår validering af kvalificerede elektroniske signaturer og kvalificerede elektroniske segl og validering af avancerede elektroniske signaturer baseret på kvalificerede certifikater og af avancerede elektroniske segl baseret på kvalificerede certifikater)

Artikel 1

Referencestandarder og specifikationer

1. De referencestandarder og specifikationer, der er omhandlet i , og , er fastsat i bilag I til nærværende forordning.

2. De referencestandarder og specifikationer, der er omhandlet i , og , er fastsat i bilag II til nærværende forordning.

Artikel 2

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 29. september 2025.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.

Europa-Parlamentets og Rådets forordning (EU) 2024... af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.euro...).

Europa-Parlamentets og Rådets forordning (EU) 2016... af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: data.europa.eu/eli/reg/2016/679/oj).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37, ELI: data.europa.eu/eli/dir/2002/58/oj).

Europa-Parlamentets og Rådets forordning (EU) 2018... af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: data.europa.eu/eli/reg/2018/1725/oj).

BILAG I

Liste over referencestandarder og specifikationer for validering af kvalificerede elektroniske signaturer og kvalificerede elektroniske segl

Standard ETSI TS 119 172-4 V1.1.1 (2021-05) (»ETSI TS 119 172-4«) og ETSI TS 119 102-2 V1.4.1 (2023-06) (»ETSI TS 119 102-2«) finder anvendelse med følgende tilpasninger:

For ETSI TS 119 172-4: 1) 2.1 Normative references: — [1] ETSI EN 319 102-1 V1.4.1 (2024-06) »Electronic Signatures and Trust Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 1: Creation and Validation«. — Alle henvisninger til »ETSI TS 119 102-1 [1]« skal forstås som henvisninger til »ETSI EN 319 102-1 [1]«. — [2] ETSI TS 119 612 V2.3.1 (2024-11) »Electronic Signatures and Infrastructures (ESI) Trusted Lists«. — [13] ETSI TS 119 101 V1.1.1 (2016-03) »Electronic Signatures and Infrastructures (ESI) Policy and security requirements for applications for signature creation and signature validation«. 2) 4.2 Validation constraints and validation procedures, krav REQ-4.2-03, afsnittet »X.509 valideringsbegrænsninger«, litra c): — i) Hvis et slutenhedscertifikat repræsenterer et tillidsanker, må RevocationCheckingConstraints ikke anvendes. — ii) Hvis et slutenhedscertifikat ikke repræsenterer et tillidsanker, skal RevocationCheckingConstraints sættes til »eitherCheck« som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.1. — iii) Hvis et slutenhedscertifikat repræsenterer et tillidsanker, må RevocationFreshnessConstraints, som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.2, ikke anvendes. — iv) Hvis et slutenhedscertifikat ikke repræsenterer et tillidsanker, skal RevocationFreshnessConstraints, som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.2, anvendes med en maksimal værdi på 24 timer for signeringscertifikatet. Der fastsættes ingen værdi for RevocationFreshnessConstraints for andre certifikater end signeringscertifikatet, herunder certifikater, der understøtter tidsstempler. 3) 4.3 Requirements on signature validation and applicability rules checking practices — REQ-4.3-02 Signaturvalideringsapplikationer skal være i overensstemmelse med ETSI TS 119 101 [13]. 4) 4.4 Technical applicability (rules) checking process — REQ-4.4.2-03 Hvis nogen af de kontroller, der er angivet i REQ-4.4.2-01, fejler, a) stopper processen b) skal signaturen være teknisk bestemt som ubestemt, dvs. hverken som en EU-kvalificeret elektronisk signatur eller som et EU-kvalificeret elektronisk segl, og c) ovennævnte resultat og resultaterne af processer i alle de mellemliggende processer skal afspejles i rapporten om kontrol af reglerne for anvendelse af signaturer.

ETSI TS 119 172-4 — Electronic Signatures and Infrastructures (ESI) Signature Policies Part 4: Signature applicability rules (validation policy) for European qualified electronic signatures/seals using trusted lists, V1.1.1 (2021-05).

ETSI TS 119 102-2 — Electronic Signatures and Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 2: Signature Validation Report, V1.4.1 (2023-06).

BILAG II

Liste over referencestandarder og specifikationer for validering af avancerede elektroniske signaturer baseret på kvalificerede certifikater og avancerede elektroniske segl baseret på kvalificerede certifikater

Standard ETSI TS 119 172-4 V1.1.1 (2021-05) (»ETSI TS 119 172-4«) og ETSI TS 119 102-2 V1.4.1 (2023-06) (»ETSI TS 119 102-2«) finder anvendelse med følgende tilpasninger:

For ETSI TS 119 172-4: 1) 2.1 Normative references: — [1] ETSI EN 319 102-1 V1.4.1 (2024-06) »Electronic Signatures and Trust Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 1: Creation and Validation«. — Alle henvisninger til »ETSI TS 119 102-1 [1]« skal forstås som henvisninger til »ETSI EN 319 102-1 [1]«. — [2] ETSI TS 119 612 V2.3.1 (2024-11) »Electronic Signatures and Infrastructures (ESI) Trusted Lists«. — [13] ETSI TS 119 101 V1.1.1 (2016-03) »Electronic Signatures and Infrastructures (ESI) Policy and security requirements for applications for signature creation and signature validation«. 2) 4.2 Validation constraints and validation procedures, krav REQ-4.2-03, afsnittet »X.509 valideringsbegrænsninger«, litra c): — i) Hvis et slutenhedscertifikat repræsenterer et tillidsanker, må RevocationCheckingConstraints ikke anvendes. — ii) Hvis et slutenhedscertifikat ikke repræsenterer et tillidsanker, skal RevocationCheckingConstraints sættes til »eitherCheck« som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.1. — iii) Hvis et slutenhedscertifikat repræsenterer et tillidsanker, må RevocationFreshnessConstraints, som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.2, ikke anvendes. — iv) Hvis et slutenhedscertifikat ikke repræsenterer et tillidsanker, skal RevocationFreshnessConstraints, som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.2, anvendes med en maksimal værdi på 24 timer for signeringscertifikatet. Der fastsættes ingen værdi for RevocationFreshnessConstraints for andre certifikater end signeringscertifikatet, herunder certifikater, der understøtter tidsstempler. 3) 4.3 Requirements on signature validation and applicability rules checking practices — REQ-4.3-02 Signaturvalideringsapplikationer skal være i overensstemmelse med ETSI TS 119 101 [13]. 4) 4.4 Technical applicability (rules) checking process — REQ-4.4.2-03 Hvis nogen af de kontroller, der er angivet i REQ-4.4.2-01, fejler, a) stopper processen b) skal signaturen være teknisk bestemt som ubestemt, dvs. hverken som en avanceret elektronisk signatur baseret på et EU-kvalificeret certifikat eller som et avanceret elektronisk segl baseret på et EU-kvalificeret certifikat, og c) ovennævnte resultat og resultaterne af processer i alle de mellemliggende processer skal afspejles i rapporten om kontrol af reglerne for anvendelse af signaturer. — REQ-4.4.2-04 udgår. — REQ-4.4.2-05 udgår. — REQ-4.4.2-06 På dette tidspunkt i TARC-processen bestemmes det, hvis følgende betingelser er opfyldt: a) signeringscertifikatet er bestemt, på det bedste signaturtidspunkt, som et EU-kvalificeret certifikat for elektroniske signaturer (henholdsvis for elektroniske segl), som specificeret i REQ-4.4.2-02 a), og b) resultatet af den proces, der er udført som specificeret i pkt. 4.2 i dette dokument, er TOTAL-PASSED at den digitale signatur er teknisk egnet til at gennemføre en avanceret elektronisk EU-signatur baseret på et kvalificeret certifikat (henholdsvis et avanceret elektronisk EU-segl baseret på et kvalificeret certifikat), og ellers bestemmes signaturen teknisk som hverken en avanceret elektronisk EU-signatur baseret på et kvalificeret certifikat eller et avanceret elektronisk EU-segl baseret på et kvalificeret certifikat.

ETSI TS 119 102-2 — Electronic Signatures and Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 2: Signature Validation Report, V1.4.1 (2023-06).

ELI: http://data.europa.eu/eli/reg\_impl/2025/1945/oj

ISSN 1977-0634 (electronic edition)

Indledning og bemærkninger

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2025/1945](lovguiden.dk/loven/32025R1945)

af 29. september 2025

om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. ... for så vidt angår validering af kvalificerede elektroniske signaturer og kvalificerede elektroniske segl og validering af avancerede elektroniske signaturer baseret på kvalificerede certifikater og af avancerede elektroniske segl baseret på kvalificerede certifikater

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) nr. ... af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF , særlig artikel 32, stk. 3, artikel 32a, stk. 3, artikel 40 og artikel 40a, og

ud fra følgende betragtninger:

(1)

Kvalificerede elektroniske signaturer, kvalificerede elektroniske segl, avancerede elektroniske signaturer baseret på kvalificerede certifikater for elektroniske signaturer og avancerede elektroniske segl baseret på kvalificerede certifikater for elektroniske segl sikrer, forudsat at deres gyldighed kan bekræftes, integriteten og ægtheden af signerede eller forseglede data for modtagerparter og øger sikkerheden med hensyn til underskriverens eller den forseglende parts identitet. Disse elektroniske signaturer og segl spiller en afgørende rolle i det digitale erhvervsmiljø ved at fremme overgangen fra traditionelle papirbaserede processer til elektroniske tilsvarende processer.

(2)

Den formodning om overholdelse, der er fastsat i , , , og , bør finde anvendelse, hvis processerne for validering af kvalificerede elektroniske signaturer, kvalificerede elektroniske segl, avancerede elektroniske signaturer baseret på kvalificerede certifikater for elektroniske signaturer og avancerede elektroniske segl baseret på kvalificerede certifikater for elektroniske segl overholder de tekniske standarder, der er fastsat i nærværende forordning. Disse standarder bør afspejle etableret praksis og være bredt anerkendt inden for de relevante sektorer. De bør tilpasses, så de omfatter yderligere kontrol, der sikrer muligheden for at verificere den tekniske gyldighed af disse signaturer og segl og, hvor det er relevant, deres status som kvalificeret.

(3)

Kommissionen vurderer regelmæssigt nye teknologier, praksisser, standarder eller tekniske specifikationer. I overensstemmelse med betragtning 75 til Europa-Parlamentets og Rådets f... bør Kommissionen efter behov revidere og ajourføre denne forordning for at sikre dens overensstemmelse med den globale udvikling, nye teknologier, standarder eller tekniske specifikationer og for at følge bedste praksis på det indre marked.

(4)

Europa-Parlamentets og Rådets forordning (EU) 2016... og, hvor det er relevant, Europa-Parlamentets og Rådets direktiv 2002/58/EF finder anvendelse på alle behandlingsaktiviteter vedrørende personoplysninger i henhold til nærværende forordning.

(5)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med og afgav udtalelse den 6. juni 2025.

(6)

Foranstaltningerne i nærværende forordning er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved —

VEDTAGET DENNE FORORDNING:

EU-regler og standarder for validering af elektroniske signaturer og segl

Artikel 1

Referencestandarder og specifikationer

1. De referencestandarder og specifikationer, der er omhandlet i , og , er fastsat i bilag I til nærværende forordning.

2. De referencestandarder og specifikationer, der er omhandlet i , og , er fastsat i bilag II til nærværende forordning.

Artikel 2

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 29. september 2025.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.

BILAG I

Liste over referencestandarder og specifikationer for validering af kvalificerede elektroniske signaturer og kvalificerede elektroniske segl

Standard ETSI TS 119 172-4 V1.1.1 (2021-05) (»ETSI TS 119 172-4«) og ETSI TS 119 102-2 V1.4.1 (2023-06) (»ETSI TS 119 102-2«) finder anvendelse med følgende tilpasninger:

ETSI TS 119 102-2 — Electronic Signatures and Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 2: Signature Validation Report, V1.4.1 (2023-06).

BILAG II

Liste over referencestandarder og specifikationer for validering af avancerede elektroniske signaturer baseret på kvalificerede certifikater og avancerede elektroniske segl baseret på kvalificerede certifikater

Standard ETSI TS 119 172-4 V1.1.1 (2021-05) (»ETSI TS 119 172-4«) og ETSI TS 119 102-2 V1.4.1 (2023-06) (»ETSI TS 119 102-2«) finder anvendelse med følgende tilpasninger:

For ETSI TS 119 172-4: 1) 2.1 Normative references: — [1] ETSI EN 319 102-1 V1.4.1 (2024-06) »Electronic Signatures and Trust Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 1: Creation and Validation«. — Alle henvisninger til »ETSI TS 119 102-1 [1]« skal forstås som henvisninger til »ETSI EN 319 102-1 [1]«. — [2] ETSI TS 119 612 V2.3.1 (2024-11) »Electronic Signatures and Infrastructures (ESI) Trusted Lists«. — [13] ETSI TS 119 101 V1.1.1 (2016-03) »Electronic Signatures and Infrastructures (ESI) Policy and security requirements for applications for signature creation and signature validation«. 2) 4.2 Validation constraints and validation procedures, krav REQ-4.2-03, afsnittet »X.509 valideringsbegrænsninger«, litra c): — i) Hvis et slutenhedscertifikat repræsenterer et tillidsanker, må RevocationCheckingConstraints ikke anvendes. — ii) Hvis et slutenhedscertifikat ikke repræsenterer et tillidsanker, skal RevocationCheckingConstraints sættes til »eitherCheck« som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.1. — iii) Hvis et slutenhedscertifikat repræsenterer et tillidsanker, må RevocationFreshnessConstraints, som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.2, ikke anvendes. — iv) Hvis et slutenhedscertifikat ikke repræsenterer et tillidsanker, skal RevocationFreshnessConstraints, som defineret i ETSI TS 119 172-1 [3], afsnit A.4.2.1, tabel A.2, række (m)2.2, anvendes med en maksimal værdi på 24 timer for signeringscertifikatet. Der fastsættes ingen værdi for RevocationFreshnessConstraints for andre certifikater end signeringscertifikatet, herunder certifikater, der understøtter tidsstempler. 3) 4.3 Requirements on signature validation and applicability rules checking practices — REQ-4.3-02 Signaturvalideringsapplikationer skal være i overensstemmelse med ETSI TS 119 101 [13]. 4) 4.4 Technical applicability (rules) checking process — REQ-4.4.2-03 Hvis nogen af de kontroller, der er angivet i REQ-4.4.2-01, fejler, a) stopper processen b) skal signaturen være teknisk bestemt som ubestemt, dvs. hverken som en avanceret elektronisk signatur baseret på et EU-kvalificeret certifikat eller som et avanceret elektronisk segl baseret på et EU-kvalificeret certifikat, og c) ovennævnte resultat og resultaterne af processer i alle de mellemliggende processer skal afspejles i rapporten om kontrol af reglerne for anvendelse af signaturer. — REQ-4.4.2-04 udgår. — REQ-4.4.2-05 udgår. — REQ-4.4.2-06 På dette tidspunkt i TARC-processen bestemmes det, hvis følgende betingelser er opfyldt: a) signeringscertifikatet er bestemt, på det bedste signaturtidspunkt, som et EU-kvalificeret certifikat for elektroniske signaturer (henholdsvis for elektroniske segl), som specificeret i REQ-4.4.2-02 a), og b) resultatet af den proces, der er udført som specificeret i pkt. 4.2 i dette dokument, er TOTAL-PASSED at den digitale signatur er teknisk egnet til at gennemføre en avanceret elektronisk EU-signatur baseret på et kvalificeret certifikat (henholdsvis et avanceret elektronisk EU-segl baseret på et kvalificeret certifikat), og ellers bestemmes signaturen teknisk som hverken en avanceret elektronisk EU-signatur baseret på et kvalificeret certifikat eller et avanceret elektronisk EU-segl baseret på et kvalificeret certifikat.

ETSI TS 119 102-2 — Electronic Signatures and Infrastructures (ESI) Procedures for Creation and Validation of AdES Digital Signatures Part 2: Signature Validation Report, V1.4.1 (2023-06).

ELI: http://data.europa.eu/eli/reg\_impl/2025/1945/oj

ISSN 1977-0634 (electronic edition)