Gennemførelsesforordning

Udførelse Af Tjenesteydelser, Datakriminalitet, Databeskyttelse, Teknisk Norm, Personoplysninger, ETSI, Elektronisk Signatur, Informationssikkerhed, Digitalt Indre Marked

Europa-Kommissionen, Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi

Risikostyring for ikkekvalificerede tillidstjenester under eIDAS-reglerne

(Kommissionens gennemførelsesforordning (EU) 2025/2160 af 27. oktober 2025 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår referencestandarder, specifikationer og procedurer for risikostyring i forbindelse med levering af ikkekvalificerede tillidstjenester)

Artikel 1

Referencestandarder

De referencestandarder, der er omhandlet i artikel 19a, stk. 2, i forordning (EU) nr. 910/2014, er anført i bilaget til nærværende forordning.

Artikel 2

Risikostyringspolitikker

1. De risikostyringspolitikker, der er omhandlet i artikel 19a, stk. 1, i forordning (EU) nr. 910/2014, skal klart angive, hvilke tillidstjenester de gælder for, være specifikke for de pågældende tillidstjenester og godkendes af ledelsesorganet for den ikkekvalificerede tillidstjenesteudbyder.

2. Risikostyringspolitikkerne skal som minimum omfatte alle følgende elementer:

det overordnede risikotoleranceniveau i overensstemmelse med alvorligheden og det krævede sikkerhedsniveau for tillidstjenesterne, under hensyntagen til den seneste teknologiske udvikling

de relevante risikokriterier, herunder som minimum sandsynligheden for, virkningen af og niveauet for risikoen, under hensyntagen til efterretninger om cybertrusler og sårbarheder

en tilgang til afdækning og dokumentation af de risici, der er forbundet med leveringen af tillidstjenester, under hensyntagen til det fulde omfang af det informationssystem, der anvendes af den ikkekvalificerede tillidstjenesteudbyder, herunder risici forbundet med systemets komponenter samt med eventuelle aktive eller passive parter, der er involveret i implementeringen af systemet eller leveringen af tillidstjenester

en proces for evaluering af de afdækkede risici på grundlag af de risikokriterier, der er omhandlet i litra b)

en proces for indkredsning, prioritering og løbende overvågning af gennemførelsen af passende risikobehandlingsforanstaltninger

en proces for kontinuerlig overvågning af gennemførelsen af risikostyringspolitikkerne.

3. Ikkekvalificerede tillidstjenesteudbydere skal etablere passende procedurer og opbevare dokumenter for at sikre, at kravene i den gældende lovgivning gennemføres.

4. Ikkekvalificerede tillidstjenesteudbydere skal etablere passende dokumenterede procedurer, der sikrer overvågning af ændringer i EU's og nationale love og regler, som kan påvirke leveringen af tillidstjenester.

Artikel 3

Afdækning, dokumentation og evaluering af risici

Ikkekvalificerede tillidstjenesteudbydere skal afdække, dokumentere og evaluere alle risici, der er omhandlet i artikel 19a, stk. 1, i forordning (EU) nr. 910/2014, i overensstemmelse med de risikostyringspolitikker, der er omhandlet i artikel 2, og skal navnlig:

afdække risici i forhold til tredjeparter

afdække potentielle enkelte fejlpunkter i leveringen af tillidstjenester

evaluere de afdækkede risici på grundlag af de risikokriterier, der er omhandlet i artikel 2, stk. 2, litra b).

Artikel 4

Risikobehandlingsforanstaltninger

1. I overensstemmelse med de politikker, der er omhandlet i artikel 2, skal ikkekvalificerede tillidstjenesteudbydere planlægge, dokumentere og gennemføre risikobehandlingsforanstaltninger og navnlig varetage følgende opgaver:

indkredse og prioritere passende risikobehandlingsforanstaltninger

udvælge, godkende og dokumentere de valgte risikobehandlingsforanstaltninger, herunder deres sikkerhedskrav og operationelle procedurer, i en risikobehandlingsplan, samt specificere, hvem der er ansvarlig for at gennemføre risikobehandlingsforanstaltningerne, og hvornår de bør gennemføres

løbende overvåge gennemførelsen af risikobehandlingsforanstaltningerne

2. Risikobehandlingsplanen, jf. stk. 1, litra b), skal begrunde accepten af resterende risici på en forståelig måde.

3. Som led i de risikobehandlingsforanstaltninger, der er omhandlet i stk. 1, skal ikkekvalificerede tillidstjenesteudbydere også:

hvor det er relevant, kontrollere identiteten af brugerne af tillidstjenesten direkte eller via en tredjepart og offentliggøre oplysninger om de anvendte metoder til identitetskontrol

med henblik på at tilvejebringe bevismateriale i retssager og sikre tjenestekontinuitet registrere følgende oplysninger og opbevare dem sikkert, så længe det er nødvendigt i overensstemmelse med EU-retten eller national ret, herunder efter at den ikkekvalificerede tillidstjenesteudbyders aktiviteter er ophørt: — alle relevante oplysninger, der indsamles i forbindelse med registrering og onboarding af brugere af tillidstjenester, herunder, hvor det er relevant, identitetskontrol af brugerne — autentificeringsdata, der er tildelt brugeren af tillidstjenesten, hvis det er relevant, og — enhver ændring af status for public key-certifikater eller andet kryptografisk materiale, der anvendes til levering af tillidstjenesten.

Artikel 5

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 27. oktober 2025.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80, ELI: data.europa.eu/eli/dir/2022/2555/oj).

Kommissionens gennemførelsesforordning (EU) 2024/2690 af 17. oktober 2024 om regler for anvendelsen af direktiv (EU) 2022/2555 for så vidt angår tekniske og metodologiske krav til foranstaltninger til styring af cybersikkerhedsrisici og yderligere præcisering af de tilfælde, hvor en hændelse anses for at være væsentlig, for så vidt angår DNS-tjenesteudbydere, topdomænenavneadministratorer og udbydere af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner og af platforme for sociale netværkstjenester og af tillidstjenester (EUT L, 2024/2690, 18.10.2024, ELI: http://data.eur...).

Europa-Parlamentets og Rådets forordning (EU) 2024/1183 af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.euro...).

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (, ELI: ).

Indledning og bemærkninger

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2025/2160

af 27. oktober 2025

om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår referencestandarder, specifikationer og procedurer for risikostyring i forbindelse med levering af ikkekvalificerede tillidstjenester

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF , særlig artikel 19a, stk. 2, og

ud fra følgende betragtninger:

(1)

Ikkekvalificerede tillidstjenesteudbydere spiller en vigtig rolle i det digitale miljø, fordi de leverer tillidstjenester, der muliggør sikre elektroniske transaktioner. Forordning (EU) nr. 910/2014 stiller færre reguleringsmæssige krav til ikkekvalificerede tillidstjenesteudbydere end til kvalificerede tillidstjenesteudbydere. Alle tillidstjenesteudbydere er imidlertid underlagt krav om sikkerhed og ansvar med henblik på at sikre rettidig omhu, gennemsigtighed og ansvarlighed i forbindelse med deres aktiviteter og tjenester.

(2)

Ikkekvalificerede tillidstjenesteudbydere kan betragtes som vigtige eller væsentlige enheder i overensstemmelse med artikel 3 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 . Kommissionens gennemførelsesforordning (EU) 2024/2690 , der fastsætter tekniske og metodologiske krav til foranstaltninger til styring af cybersikkerhedsrisici, finder derfor anvendelse på disse udbydere. Anvendelsesområdet for kravene i artikel 19a, stk. 1, litra a), i forordning (EU) nr. 910/2014 vedrører imidlertid risikostyringsprocedurer med hensyn til juridiske, erhvervsmæssige, operationelle og andre direkte eller indirekte risici i forbindelse med leveringen af ikkekvalificerede tillidstjenester. For at supplere den risikostyringsramme, der er fastsat i gennemførelsesforordning (EU) 2024/2690, og for at muliggøre en sammenhængende tilgang til styringen af alle relevante typer risici, bør der fastsættes specifikationer og procedurer for ikkekvalificerede tillidstjenesteudbyderes styring af disse risici. Vejledning fra Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) eller nationale kompetente myndigheder i henhold til direktiv (EU) 2022/2555 kan støtte ikkekvalificerede tillidstjenesteudbydere i udformningen og gennemførelsen af passende risikostyringspolitikker.

(3)

Formodningen om overholdelse, jf. artikel 19a, stk. 2, i forordning (EU) nr. 910/2014, bør kun finde anvendelse, hvis ikkekvalificerede tillidstjenesteudbydere opfylder kravene i nærværende forordning. De referencestandarder, der henvises til i bilaget, bør afspejle etableret praksis og være bredt anerkendt inden for de relevante sektorer. For at sikre, at ikkekvalificerede tillidstjenesteudbydere forvalter juridiske, erhvervsmæssige, operationelle og andre direkte eller indirekte risici i forbindelse med leveringen af den ikkekvalificerede tillidstjeneste i overensstemmelse med artikel 19a, stk. 1, i forordning (EU) nr. 910/2014, bør ikkekvalificerede tillidstjenesteudbydere overholde de elementer i standarderne, der er anført i bilaget, samt de risikostyringskrav, der er fastsat i nærværende forordning med henblik på formodningen om overholdelse.

(4)

Hvis en ikkekvalificeret tillidstjenesteudbyder opfylder kravene i denne gennemførelsesforordning, bør tilsynsorganerne formode, at de relevante krav i forordning (EU) nr. 910/2014 er opfyldt. En ikkekvalificeret tillidstjenesteudbyder kan imidlertid stadig anvende anden praksis til at påvise overholdelse af kravene i forordning (EU) nr. 910/2014.

(5)

For at sikre, at de afdækkede risici håndteres på passende vis, bør de risikostyringspolitikker, som ikkekvalificerede tillidstjenesteudbydere følger, omfatte procedurer for risikodokumentation og -evaluering samt for indkredsning, udvælgelse og implementering af passende risikobehandlingsforanstaltninger. Gennemførelsen af risikobehandlingsforanstaltninger bør løbende overvåges. For så vidt angår de oplysninger, som ikkekvalificerede tillidstjenesteudbydere registrerer og opbevarer som led i deres risikobehandlingsforanstaltninger, bør ikkekvalificerede tillidstjenesteudbydere sikre disse datas integritet og fortrolighed. For at øge gennemsigtigheden og støtte tilsynsaktiviteterne bør ikkekvalificerede tillidstjenesteudbydere desuden offentliggøre de metoder til identitetskontrol, de anvender. Da ikke alle afdækkede risici kan imødegås fuldt ud ved at undgå, afbøde eller overføre dem til andre enheder, bør eventuelle resterende risici godkendes af ledelsesorganerne hos ikkekvalificerede tillidstjenesteudbydere. Kriterierne for accept af resterende risici bør begrundes på en forståelig måde.

(6)

Kommissionen vurderer regelmæssigt nye teknologier, praksisser, standarder og tekniske specifikationer. I overensstemmelse med betragtning 75 til Europa-Parlamentets og Rådets forordning (EU) 2024/1183 bør Kommissionen revidere og om nødvendigt ajourføre denne gennemførelsesforordning for at sikre dens overensstemmelse med den globale udvikling, nye teknologier, praksisser, standarder eller tekniske specifikationer og for at følge bedste praksis på det indre marked.

(7)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 og, hvor det er relevant, Europa-Parlamentets og Rådets direktiv 2002/58/EF finder anvendelse på alle behandlingsaktiviteter vedrørende personoplysninger i henhold til nærværende forordning.

(8)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 og afgav udtalelse den 8. august 2025 .

(9)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 48 i forordning (EU) nr. 910/2014 —

VEDTAGET DENNE FORORDNING:

Risikostyring for ikkekvalificerede tillidstjenester under eIDAS-reglerne

Artikel 1

Referencestandarder

De referencestandarder, der er omhandlet i artikel 19a, stk. 2, i forordning (EU) nr. 910/2014, er anført i bilaget til nærværende forordning.

Artikel 2

Risikostyringspolitikker

2. Risikostyringspolitikkerne skal som minimum omfatte alle følgende elementer:

det overordnede risikotoleranceniveau i overensstemmelse med alvorligheden og det krævede sikkerhedsniveau for tillidstjenesterne, under hensyntagen til den seneste teknologiske udvikling

de relevante risikokriterier, herunder som minimum sandsynligheden for, virkningen af og niveauet for risikoen, under hensyntagen til efterretninger om cybertrusler og sårbarheder

en proces for evaluering af de afdækkede risici på grundlag af de risikokriterier, der er omhandlet i litra b)

en proces for indkredsning, prioritering og løbende overvågning af gennemførelsen af passende risikobehandlingsforanstaltninger

en proces for kontinuerlig overvågning af gennemførelsen af risikostyringspolitikkerne.

3. Ikkekvalificerede tillidstjenesteudbydere skal etablere passende procedurer og opbevare dokumenter for at sikre, at kravene i den gældende lovgivning gennemføres.

Artikel 3

Afdækning, dokumentation og evaluering af risici

afdække risici i forhold til tredjeparter

afdække potentielle enkelte fejlpunkter i leveringen af tillidstjenester

evaluere de afdækkede risici på grundlag af de risikokriterier, der er omhandlet i artikel 2, stk. 2, litra b).

Artikel 4

Risikobehandlingsforanstaltninger

indkredse og prioritere passende risikobehandlingsforanstaltninger

løbende overvåge gennemførelsen af risikobehandlingsforanstaltningerne

2. Risikobehandlingsplanen, jf. stk. 1, litra b), skal begrunde accepten af resterende risici på en forståelig måde.

3. Som led i de risikobehandlingsforanstaltninger, der er omhandlet i stk. 1, skal ikkekvalificerede tillidstjenesteudbydere også:

hvor det er relevant, kontrollere identiteten af brugerne af tillidstjenesten direkte eller via en tredjepart og offentliggøre oplysninger om de anvendte metoder til identitetskontrol

Artikel 5

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 27. oktober 2025.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

EUT L 257 af 28.8.2014, s. 73, ELI: data.europa.eu/eli/reg/2014/910/oj.

Udførelse Af Tjenesteydelser, Datakriminalitet, Databeskyttelse, Teknisk Norm, Personoplysninger, ETSI, Elektronisk Signatur, Informationssikkerhed, Digitalt Indre Marked

Europa-Kommissionen, Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi

Risikostyring for ikkekvalificerede tillidstjenester under eIDAS-reglerne

Artikel 1

Referencestandarder

Artikel 2

Risikostyringspolitikker

Artikel 3

Afdækning, dokumentation og evaluering af risici

Artikel 4

Risikobehandlingsforanstaltninger

Artikel 5

Ikrafttræden

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

Indledning og bemærkninger

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2025/2160

af 27. oktober 2025

om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår referencestandarder, specifikationer og procedurer for risikostyring i forbindelse med levering af ikkekvalificerede tillidstjenester

Command Palette

Udførelse Af Tjenesteydelser, Datakriminalitet, Databeskyttelse, Teknisk Norm, Personoplysninger, ETSI, Elektronisk Signatur, Informationssikkerhed, Digitalt Indre Marked

Europa-Kommissionen, Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi

Indledning og bemærkninger

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2025/2160

af 27. oktober 2025

om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 for så vidt angår referencestandarder, specifikationer og procedurer for risikostyring i forbindelse med levering af ikkekvalificerede tillidstjenester

Risikostyring for ikkekvalificerede tillidstjenester under eIDAS-reglerne

Artikel 1

Referencestandarder

Artikel 2

Risikostyringspolitikker

Artikel 3

Afdækning, dokumentation og evaluering af risici

Artikel 4

Risikobehandlingsforanstaltninger

Artikel 5

Ikrafttræden

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

BILAG

Liste over referencestandarder for ikkekvalificerede tillidstjenesteudbydere