(EU) 2025/2162Prováděcí nařízení Komise (EU) 2025/2162 ze dne 27. října 2025, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o akreditaci subjektů posuzování shody provádějících posuzování kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru, zprávu o posouzení shody a režim posuzování shody

Publikováno:	Úř. věst. L 2162, 28.10.2025	Druh předpisu:	Prováděcí nařízení
Přijato:	27. října 2025	Autor předpisu:	Evropská komise
Platnost od:	17. listopadu 2025	Nabývá účinnosti:	17. listopadu 2025
Platnost předpisu:	Ano	Pozbývá platnosti:

Konsolidované znění předpisu s účinností od 28. října 2025

Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.

Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu

►B

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2025/2162

ze dne 27. října 2025,

kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o akreditaci subjektů posuzování shody provádějících posuzování kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru, zprávu o posouzení shody a režim posuzování shody

(Úř. věst. L 2162 28.10.2025, s. 1)

Opraveno:

►C1	Oprava, Úř. věst. L 90069, 3.2.2026, s. 1 ((EU) 2025/21622025/2162)

▼B

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2025/2162

ze dne 27. října 2025,

Článek 1

Definice

Pro účely tohoto nařízení se rozumí:

„vlastníkem režimu“ subjekt nebo skupina subjektů, který/která je odpovědný/odpovědná za vývoj a údržbu režimu posuzování shody;

„rozhodnutím o certifikaci“ rozhodnutí o certifikaci, které následuje po posouzení shody provedeném subjektem posuzování shody, kdy tento subjekt kladně nebo záporně potvrdí shodu konkrétního kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytované kvalifikované služby vytvářející důvěru s požadavky stanovenými v nařízení (EU) č. 910/2014 a s článkem 21 směrnice (EU) 2022/2555;

„certifikátem shody“ dokument, kterým subjekt posuzování shody osvědčuje rozhodnutí o certifikaci, které kladně potvrzuje, že konkrétní kvalifikovaný poskytovatel služeb vytvářejících důvěru a jím poskytovaná kvalifikovaná služba vytvářející důvěru splňují požadavky stanovené v nařízení (EU) č. 910/2014 a v článku 21 směrnice (EU) 2022/2555;

„režimem posuzování shody“ soubor pravidel a postupů, které mají subjekty posuzování shody používat pro účely posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru s požadavky stanovenými v nařízení (EU) č. 910/2014 a s článkem 21 směrnice (EU) 2022/2555;

„zprávou o posouzení shody“ dokument, který poskytuje podrobné informace, jež v příslušných případech doplňují informace obsažené v rozhodnutí o certifikaci a souvisejícím certifikátu shody, o metodě použité k provedení – v souladu s režimem posuzování shody – posouzení shody konkrétního kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytované kvalifikované služby vytvářející důvěru s požadavky nařízení (EU) č. 910/2014 a článku 21 směrnice (EU) 2022/2555 a o výsledcích tohoto posouzení shody;

„akreditací“ akreditace ve smyslu čl. 2 bodu 10 nařízení (ES) č. 765/2008;

„akreditací s flexibilním rozsahem“ akreditace, u níž jsou konkrétní činnosti posuzování shody, pro které je požadována nebo udělena akreditace, vyjádřeny tak, aby mohly subjekty posuzování shody provádět změny metodiky a dalších parametrů, které spadají do působnosti subjektu posuzování shody potvrzené vnitrostátním akreditačním orgánem;

„vnitrostátním akreditačním orgánem“ vnitrostátní akreditační orgán ve smyslu čl. 2 bodu 11 nařízení (ES) č. 765/2008.

Článek 2

Akreditace subjektů posuzování shody

Pro účely přijímání rozhodnutí o certifikaci v souladu s konkrétním režimem posuzování shody jsou subjekty posuzování shody akreditovány v souladu s normou EN ISO/IEC 17065:2012 doplněnou normou ETSI EN 319 403 -1 v2.3.1.

Akreditaci subjektů posuzování shody podle odstavce 1 provádí vnitrostátní akreditační orgán v souladu s normou EN ISO/IEC 17011:2017.

Článek 3

Osvědčení o akreditaci vydané subjektům posuzování shody

Vnitrostátní akreditační orgány zajistí, aby osvědčení o akreditaci, která vydají subjektům posuzování shody, obsahovala alespoň tyto informace:

jedinečný identifikační kód osvědčení o akreditaci;

datum vydání osvědčení o akreditaci;

název a zemi vnitrostátního akreditačního orgánu vydávajícího osvědčení o akreditaci, jak jsou uvedeny ve vnitrostátních úředních záznamech;

název a v příslušných případech registrační číslo akreditovaného subjektu posuzování shody, jak jsou uvedeny ve vnitrostátních úředních záznamech;

rozsah akreditace, pokud jde o jednu nebo více z těchto kvalifikovaných služeb vytvářejících důvěru:

—

vydávání kvalifikovaných certifikátů pro elektronické podpisy,

—

vydávání kvalifikovaných certifikátů pro elektronické pečetě,

—

vydávání kvalifikovaných certifikátů pro autentizaci internetových stránek,

—

kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických podpisů,

—

kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických pečetí,

—

kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů,

—

kvalifikovanou službu uchovávání kvalifikovaných elektronických pečetí,

—

vytváření kvalifikovaných elektronických časových razítek,

—

poskytování kvalifikovaných služeb elektronického doporučeného doručování,

—

kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku,

—

kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku,

—

poskytování kvalifikovaných služeb elektronické archivace,

—

vydávání kvalifikovaných elektronických potvrzení atributů,

—

zaznamenávání elektronických dat do kvalifikované elektronické knihy záznamů;

identifikaci režimu posuzování shody, pro který byl subjekt posuzování shody akreditován, v příslušných případech včetně jeho konkrétní verze;

v příslušných případech uvedení použití akreditace s flexibilním rozsahem;

v příslušných případech identifikaci dokumentu, v němž je popsán proces návrhu a provádění akreditace s flexibilním rozsahem.

Vnitrostátní akreditační orgány zajistí, aby datum zahájení a případně datum ukončení akreditace subjektu posuzování shody pro provádění posuzování shody kvalifikovaných služeb vytvářejících důvěru podle odst. 1 písm. e), v příslušných případech včetně konkrétních dat pro každou kvalifikovanou službu vytvářející důvěru, byly součástí údajů o akreditaci uvedených v čl. 20 odst. 1b nařízení (EU) č. 910/2014.

Vnitrostátní akreditační orgány zajistí, aby veškeré příslušné změny provedené v souvislosti s informacemi poskytnutými v souladu s odstavcem 1 byly jasně uvedeny v osvědčení o akreditaci.

Osvědčení o akreditaci jasně popisuje rozsah akreditace subjektu posuzování shody v souladu s čl. 2 odst. 1.

Článek 4

Přehodnocení stávající akreditace

Vlastník režimu zavede postupy pro sledování všech změn norem uvedených v čl. 2 odst. 1 nebo v čl. 6 odst. 3 nebo režimu posuzování shody, který vlastní a na jehož základě byl subjekt posuzování shody akreditován podle článku 2.

Vlastník režimu včas oznámí vnitrostátnímu akreditačnímu orgánu změny zjištěné v důsledku postupů uvedených v odstavci 1.

Pokud vnitrostátní akreditační orgán neuplatnil na akreditované subjekty posuzování shody akreditaci s flexibilním rozsahem, vnitrostátní akreditační orgán určí, zda změny identifikované v důsledku postupů uvedených v odstavci 1 mohou podstatně ovlivnit schopnost akreditovaných subjektů posuzování shody provádět posuzování shody podle režimů, pro něž byly akreditovány.

Pokud vnitrostátní akreditační orgán podle odstavce 3 určí, že změny mají vliv na schopnost subjektů posuzování shody provádět posuzování shody, požádá subjekt posuzování shody, aby v přiměřené stanovené lhůtě přijal vhodná opatření.

Pokud subjekt posuzování shody není schopen nebo ochoten přijmout opatření uvedená v odstavci 4 ve stanovené lhůtě, vnitrostátní akreditační orgán akreditaci neprodleně zruší nebo pozastaví.

Pokud vnitrostátní akreditační orgán podle odstavce 3 určí, že změny nemají vliv na schopnost subjektů posuzování shody provádět posuzování shody, může v příslušných případech prodloužit platnost a rozšířit rozsah akreditace posuzovaného subjektu posuzování shody.

Vnitrostátní akreditační orgán v příslušných případech včas aktualizuje osvědčení o akreditaci tak, aby odráželo výsledek přehodnocení akreditace podle tohoto článku.

Pokud subjekt posuzování shody obdrží žádost podle odstavce 4, včas informuje všechny kvalifikované poskytovatele služeb vytvářejících důvěru, které dříve posuzoval v rámci příslušného režimu posuzování shody, o všech dopadech, které může mít přehodnocení akreditace subjektu posuzování shody na tyto kvalifikované poskytovatele služeb vytvářejících důvěru, a to i s ohledem na budoucí rozhodnutí o certifikaci přijatá subjektem posuzování shody v rámci tohoto režimu.

Článek 5

Subjekty posuzování shody

Subjekty posuzování shody zpřístupňují certifikáty shody, které vydávají, ve veřejném úložišti, které daný subjekt posuzování shody za tímto účelem udržuje.

Kdykoli subjekt posuzování shody zadá provádění činností posuzování shody subdodavateli, zohledňuje náležitě povahu činnosti, která má být provedena. Subjekt posuzování shody zajistí, aby subdodavatel splňoval normy stanovené v příloze I pro konkrétní činnost, která je subdodavateli zadána.

Subjekty posuzování shody po vydání rozhodnutí o certifikaci zajistí, aby byl kvalifikovaný poskytovatel služeb vytvářejících důvěru, jehož se rozhodnutí týká, schopen předložit orgánům dohledu úplné zprávy o posouzení shody odpovídající tomuto rozhodnutí.

Článek 6

Režimy posuzování shody

U každého režimu posuzování shody je uveden vlastník režimu.

Režim posuzování shody je v souladu se schématem typu 6 normy EN ISO/IEC 17067:2013 a s požadavky stanovenými v tomto článku.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody zahrnovaly alespoň příslušné normy stanovené v příloze II, přičemž se uvede rok a číslo verze těchto norem.

Vlastníci režimů zajistí, aby v případě, že je použitelná akreditace s flexibilním rozsahem, byla tato skutečnost uvedena v režimu posuzování shody.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody zavedly procesy a postupy, které se týkají alespoň těchto bodů:

přijímání a vyřizování stížností zaslaných vlastníkovi režimu ohledně provádění režimu posuzování shody;

oznámení subjektu posuzování shody orgánu dohledu určenému podle čl. 46b odst. 1 nařízení (EU) č. 910/2014 o vydávání certifikátů shody a jejich změn;

v příslušných případech zadávání výkonu činností posuzování shody subdodavateli ze strany subjektu posuzování shody;

provádění ročních činností dozoru na základě příslušných požadavků bodu 7.9 normy ISO/IEC 17065:2012;

řízení a oznámení kvalifikovaného poskytovatele služeb vytvářejících důvěru subjektu posuzování shody a příslušnému orgánu dohledu, pokud jde o jakoukoli změnu, která má dopad na činnost kvalifikovaných poskytovatelů služeb vytvářejících důvěru nebo jimi poskytované kvalifikované služby vytvářející důvěru;

ověřování důkazů prokazujících, že subjekt posuzování shody:

—

má dostatečné znalosti a zkušenosti s uplatňováním specifických norem týkajících se kvalifikované služby vytvářející důvěru poskytované kvalifikovaným poskytovatelem služeb vytvářejících důvěru, jak je uvedeno v odstavci 3,

—

má odbornou zkušenost s posuzováním shody v rámci alespoň tří posouzení poskytovatelů služeb vytvářejících důvěru nebo tří posouzení systémů řízení bezpečnosti informací a

—

může zajistit dostupnost týmu nejméně dvou kvalifikovaných osob, které mají potřebné odborné znalosti k provedení takového posouzení shody.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody vyžadovaly, aby kvalifikovaní poskytovatelé služeb vytvářejících důvěru měli zavedeny procesy, postupy a pracovní pokyny pro informování subjektu posuzování shody nejméně jeden měsíc před tím, než kvalifikovaní poskytovatelé služeb vytvářejících důvěru provedou jakoukoli významnou změnu v poskytování kvalifikovaných služeb vytvářejících důvěru certifikovaných v rámci daného režimu, a nejméně tři měsíce před tím, než hodlají poskytování služeb nebo jejich částí ukončit.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody neumožňovaly vydávání kladných rozhodnutí o certifikaci nebo jakýchkoli certifikátů shody, pokud posouzení shody vede ke zjištění nesouladu posuzovaných kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru s požadavky nařízení (EU) č. 910/2014 a článku 21 směrnice (EU) 2022/2555.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody stanovily postup pro vydávání certifikátu shody. Zejména vyžadují, aby kvalifikovaní poskytovatelé služeb vytvářejících důvěru neprodleně informovali příslušný orgán dohledu o jakékoli změně certifikátu shody. Rovněž vyžadují, aby se kvalifikovaní poskytovatelé služeb vytvářejících důvěru zdrželi poskytování dotčených kvalifikovaných služeb vytvářejících důvěru nebo propagace jakýchkoli odkazů na ně, dokud příslušný orgán dohledu znovu nepotvrdí status kvalifikovaného poskytovatele nebo kvalifikované služby. Tento postup je v souladu s požadavky uvedenými v bodě 7.11 normy ISO/IEC 17065:2012.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody stanovily proces posuzování shody, který má být proveden v dostatečném počtu člověkodnů, a zajistí, aby byly na posuzování shody vyčleněny dostatečné zdroje a čas s ohledem na rozsah a složitost posouzení.

10.

Vlastníci režimů zajistí, aby bylo shrnutí režimu posuzování shody veřejně přístupné ke stažení. Shrnutí obsahuje popis souboru pravidel a postupů používaných při posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru s požadavky nařízení (EU) č. 910/2014 a článku 21 směrnice (EU) 2022/2555.

11.

Vlastníci režimů zajistí, aby jejich režimy posuzování shody vyžadovaly, aby bylo pro každou hodnocenou kvalifikovanou službu vytvářející důvěru provedeno alespoň jedno dozorové posouzení shody ročně.

Článek 7

Zprávy o posouzení shody

Zpráva o posouzení shody podle čl. 20 odst. 1 nařízení (EU) č. 910/2014 je v souladu se specifikacemi stanovenými v příloze III.

Zpráva o posouzení shody se považuje za součást certifikační dokumentace uvedené v bodě 7.7 normy ETSI EN 319 403 -1.

Článek 8

Informace o akreditaci

Každá zúčastněná strana si může bezplatně vyžádat současné a dřívější informace o rozsahu, datu zahájení a případně datu ukončení akreditace subjektů posuzování shody pro každý typ kvalifikované služby vytvářející důvěru, k jejímuž posuzování je nebo byl subjekt posuzování shody akreditován. Tyto informace zpřístupní vnitrostátní akreditační orgány.

Současné a dřívější informace uvedené v odstavci 1 by měly být k dispozici nejméně po dobu šesti let od akreditace subjektu posuzování shody.

Článek 9

Ustanovení o ochraně předchozího stavu

Má se za to, že akreditace subjektů posuzování shody, které byly před 17. listopadem 2025 akreditovány s odkazem na normu ETSI EN 319 403 verzi 2.2.2 nebo dřívější verzi pro účely posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru s nařízením (EU) č. 910/2014, splňuje požadavky čl. 2 odst. 1 do 17. května 2027.

Článek 10

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

PŘÍLOHA I

Referenční normy pro zadávání činností posuzování shody subdodavatelům

EN ISO/IEC 17025:2017 pro zkušební činnosti;

EN ISO/IEC 17021-1:2015 pro auditování systémů řízení;

EN ISO/IEC 17020:2012 pro kontrolní činnosti;

EN ISO/IEC 17065:2012 pro činnosti posuzování shody.

PŘÍLOHA II

Referenční normy pro režimy posuzování shody

Normy uvedené v čl. 6 odst. 3 jsou ETSI TS 119 612 v2.4.1 a následující:

Kvalifikovaná služba vytvářející důvěru	Příslušné normy
Vydávání kvalifikovaných certifikátů pro elektronické podpisy	— ETSI EN 319 411 -2 — ETSI EN 301 549 — ETSI EN 319 412 -1 — ETSI EN 319 412 -2 — ETSI EN 319 412 -5 — ETSI TS 119 461 — ETSI EN 319 401
Vydávání kvalifikovaných certifikátů pro elektronické pečetě	— ETSI EN 319 411 -2 — ETSI TS 119 495 — ETSI EN 301 549 — ETSI EN 319 412 -1 — ETSI EN 319 412 -2 — ETSI EN 319 412 -3 — ETSI EN 319 412 -5 — ETSI TS 119 461 — ETSI EN 319 401
Vydávání kvalifikovaných certifikátů pro autentizaci internetových stránek	— ETSI EN 319 411 -2 — ETSI TS 119 411 -5 — ETSI TS 119 495 — ETSI EN 301 549 — ETSI EN 319 412 -1 — ETSI EN 319 412 -4 — ETSI EN 319 412 -5 — ETSI TS 119 461 — ETSI EN 319 401
Kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických podpisů	— ETSI TS 119 441 — ETSI TS 119 442 — ETSI EN 319 102 -1 — ETSI TS 119 102 -2 — ETSI TS 119 172 -4 — ETSI EN 301 549 — ETSI EN 319 401
▼C1
Kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických pečetí	— ETSI TS 119 441 — ETSI TS 119 442 — ETSI EN 319 102 -1 — ETSI TS 119 102 -2 — ETSI TS 119 172 -4 — ETSI EN 301 549 — ETSI EN 319 401
Kvalifikovaná služba uchovávání kvalifikovaných elektronických podpisů	— ETSI TS 119 511 — ETSI TS 119 172 -4 — ETSI TS 119 512 — ETSI EN 301 549 — ETSI EN 319 401
▼B
Kvalifikovaná služba uchovávání kvalifikovaných elektronických pečetí	— ETSI TS 119 511 — ETSI TS 119 172 -4 — ETSI TS 119 512 — ETSI EN 301 549 — ETSI EN 319 401
Vytváření kvalifikovaných elektronických časových razítek	— ETSI EN 319 421 — ETSI EN 319 422 — ETSI EN 301 549 — ETSI EN 319 401
Poskytování kvalifikovaných služeb elektronického doporučeného doručování	— ETSI EN 319 521 — ETSI EN 319 522 — ETSI EN 319 531 — ETSI EN 319 532 — ETSI EN 301 549 — ETSI TS 119 461 — ETSI EN 319 401
Kvalifikovaná služba správy kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku	— ETSI TS 119 431 -1 — ETSI EN 301 549 — ETSI TS 119 461 — ETSI EN 319 401
Kvalifikovaná služba správy kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku	— ETSI TS 119 431 -1 — ETSI EN 301 549 — ETSI TS 119 461 — ETSI EN 319 401
▼C1
Poskytování kvalifikovaných služeb elektronické archivace	— ISO 14641 — ISO 14721 — CEN/TS 18170 — ETSI EN 301 549 — ETSI EN 319 401 — ETSI EN 119 511
▼B
Vydávání kvalifikovaných elektronických potvrzení atributů	— ETSI TS 119 471 — ETSI EN 301 549 — ETSI TS 119 461 — ETSI EN 319 401
▼C1
Zaznamenávání elektronických dat do kvalifikované elektronické knihy záznamů	— ETSI EN 319 401 — ETSI EN 301 549 — CEN/TS 18170 — ISO 23257 — ISO/TS 23635 — ETSI EN 319 122 -1 — ETSI EN 319 132 -1 — ETSI TS 119 182 -1
▼B

PŘÍLOHA III

Specifikace zpráv o posouzení shody

Zpráva o posouzení shody podle čl. 7 odst. 1

je doprovázena jasným rozhodnutím o certifikaci v souladu s bodem 7.6 normy ETSI EN 319403-1 v2.3.1 (dále jen „ETSI EN 319403-1“), které potvrzuje, zda posuzovaný poskytovatel služeb vytvářejících důvěru a posuzované kvalifikované služby vytvářející důvěru, které poskytuje nebo hodlá poskytovat, splňují požadavky stanovené v nařízení (EU) č. 910/2014 a v článku 21 směrnice (EU) 2022/2555;

uvádí název kvalifikovaného poskytovatele služeb vytvářejících důvěru a v příslušných případech jeho registrační číslo, jak je uvedeno v úředních záznamech, jeho oficiální poštovní adresu a elektronickou adresu a případně tytéž informace o všech dceřiných společnostech, přidružených právnických osobách, dodavatelích a subdodavatelích, kteří provozují složky služeb vytvářejících důvěru v rámci poskytování kvalifikovaných služeb vytvářejících důvěru kvalifikovaným poskytovatelem služeb vytvářejících důvěru;

zahrnuje podrobný popis rozsahu posouzení kvalifikovaného poskytovatele služeb vytvářejících důvěru, včetně konkrétních kvalifikovaných služeb vytvářejících důvěru, na něž se posouzení vztahuje;

obsahuje dostatek důkazů o tom, že kvalifikovaný poskytovatel služeb vytvářejících důvěru a jím poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v nařízení č. 910/2014 a v článku 21 směrnice (EU) 2022/2555;

uvádí název subjektu posuzování shody a v příslušných případech jeho registrační číslo, jak je uvedeno v úředních záznamech, jeho oficiální poštovní adresu a elektronickou adresu;

uvádí tyto údaje:

název a zemi vnitrostátního akreditačního orgánu, který subjekt posuzování shody akreditoval;

jména fyzických osob, které subjekt posuzování shody zahrnuje do posuzování shody, a jejich konkrétní úlohu při tomto posuzování;

odkaz na oficiální internetové stránky vnitrostátního akreditačního orgánu a obsahující osvědčení o akreditaci vydané vnitrostátním akreditačním orgánem subjektu posuzování shody;

v příslušných případech symbol digitální akreditace;

režim posuzování shody, pro který byl subjekt posuzování shody akreditován v souladu s čl. 2 odst. 1;

otázky související s posuzováním shody v rámci provedeného posuzování shody, zdůvodnění jejich výběru a použitou metodiku, včetně metodiky výběru vzorků a zkušebních postupů;

akreditovaný režim posuzování shody a příslušné dokumenty nebo odkaz na místo, kde jsou tento režim posuzování shody a příslušné dokumenty k dispozici;

obsahuje alespoň jeden kvalifikovaný elektronický podpis, pokud je zpráva poskytována v elektronické podobě, nebo vlastnoruční podpis, pokud je poskytována v listinné podobě, včetně jména a funkce odpovědné osoby nebo osob, které jsou oprávněny přijmout rozhodnutí o certifikaci jménem subjektu posuzování shody;

týká se jednoho kvalifikovaného poskytovatele služeb vytvářejících důvěru;

identifikuje v souladu s bodem 5.5.3 normy ETSI TS 119612 v2.4.1 digitální identity služby podle typu kvalifikované služby vytvářející důvěru, pro kterou potvrzuje shodu s požadavky stanovenými v nařízení (EU) č. 910/2014 a v článku 21 směrnice (EU) 2022/2555, a uvádí tyto informace:

není-li kvalifikovaná služba vytvářející důvěru založena na technologii infrastruktury veřejných klíčů, identifikátor vyjádřený jako URI, který jednoznačně identifikuje kvalifikovanou službu vytvářející důvěru;

je-li kvalifikovaná služba vytvářející důvěru založena na technologii infrastruktury veřejných klíčů, alespoň tyto údaje:

—

identifikátor klíče subjektu podle definice v IETF RFC 5280,

—

přidružený digitální certifikát X.509v3 ve formátu Base64 PEM,

—

v příslušných případech údaj o tom, zda jsou konkrétní sady či dílčí sady certifikátů koncových subjektů vydaných digitální identitou služby nebo v jejím rámci z rozhodnutí o certifikaci vyloučeny nebo do něj výslovně zahrnuty a na základě jakých kritérií je lze identifikovat,

—

údaj o tom, zda se digitální identita služby vztahuje ke koncovému subjektu nebo certifikační autoritě, a objasnění, zda se jedná o vydávající, zprostředkující nebo kořenový certifikát,

—

popis toho, jak se digitální identita služby používá v kontextu příslušné kvalifikované služby vytvářející důvěru;

10)

v příslušných případech poskytuje podrobný popis funkční hierarchie infrastruktury veřejných klíčů podle typu kvalifikované služby vytvářející důvěru a pro všechny digitální identity služby identifikované v souladu s bodem 11, minimálně včetně:

znázornění hierarchie infrastruktury veřejných klíčů s uvedením kořenových certifikačních autorit, zprostředkujících certifikačních autorit, vydávajících certifikačních autorit a certifikačních cest mezi nimi;

identifikace každé certifikační autority uvedené v písmeni a) prostřednictvím identifikátoru klíče subjektu podle definice v IETF RFC 5280;

pro každou vydávající certifikační autoritu identifikovanou v souladu s písmenem b) seznamu různých sad certifikátů, které každá certifikační autorita vydává v rámci konkrétních politik, a pro každou sadu také:

—

kritérií, která jednoznačně identifikují certifikáty sady, což je buď seznam identifikátorů certifikační politiky, které odpovídají obsahu rozšíření certifikátu týkajícího se certifikační politiky, jak je definováno v IETF RFC 5280, nebo jiná kritéria stanovená v prováděcích aktech přijatých podle čl. 22 odst. 5 nařízení (EU) č. 910/2014,

—

údaje o tom, zda jsou certifikáty sady kvalifikované, nebo nekvalifikované,

—

údaje o tom, zda jsou certifikáty sady určeny buď pro elektronické podpisy, nebo pro elektronické pečetě, nebo pro autentizaci internetových stránek, nebo pro žádný z těchto účelů, a v tomto případě pro jaké další účely je jejich použití určeno,

—

údaje o tom, zda se soukromý klíč odpovídající veřejnému klíči certifikovanému v certifikátech sad nachází v místním kvalifikovaném prostředku pro vytváření podpisů nebo pečetí nebo kvalifikovaném prostředku pro vytváření podpisů nebo pečetí na dálku;

11)

v souladu s bodem 2 zahrnuje:

úplný seznam třetích stran, včetně subdodavatelů, které zajišťují složky kvalifikovaných služeb vytvářejících důvěru nebo složky služeb, s uvedením jejich názvu, jak je uvedeno v bodě 2, spolu s polohou lokalit, kde jsou příslušné složky služeb provozovány;

údaj o tom, zda tyto třetí strany a lokality byly předmětem posuzování shody a v jakém rozsahu;

12)

v příslušných případech popisuje obsah záznamu, který má být zařazen nebo aktualizován na příslušném vnitrostátním důvěryhodném seznamu v souladu s výsledkem posouzení;

13)

zahrnuje úplný seznam řádně identifikovaných interních dokumentů veřejných a kvalifikovaných poskytovatelů služeb vytvářejících důvěru, včetně jejich verzí, které byly součástí rozsahu posouzení shody, včetně alespoň následující dokumentace podle bodu 8, jejíž kopie se buď poskytne spolu se zprávou o posouzení shody, nebo se jinak zpřístupní příslušnému orgánu dohledu na jeho žádost:

prohlášení o postupech používaných kvalifikovaným poskytovatelem služeb vytvářejících důvěru při poskytování kvalifikovaných služeb vytvářejících důvěru;

souboru pravidel, který určuje použitelnost kvalifikovaných služeb vytvářejících důvěru pro určitou komunitu nebo třídu použití se společnými bezpečnostními požadavky („politiky kvalifikovaných služeb vytvářejících důvěru“);

podmínek týkajících se smluv s předplatiteli;

plánu ukončení kvalifikovaných služeb vytvářejících důvěru;

dokumentace, která se týká posouzení rizik a jejímž cílem je prokázat, že byly splněny požadavky čl. 24 odst. 2 písm. fa) a fb) nařízení (EU) č. 910/2014 a článku 21 směrnice (EU) 2022/2555;

plánu oznámení o narušení bezpečnosti, jehož cílem je prokázat, že byly splněny požadavky čl. 24 odst. 2 písm. fa) a fb) nařízení (EU) č. 910/2014 a článku 21 směrnice (EU) 2022/2555;

seznamu všech interních dokumentů, které dokládají účinné provádění postupů deklarovaných a používaných kvalifikovaným poskytovatelem služeb vytvářejících důvěru při poskytování kvalifikovaných služeb vytvářejících důvěru;

zakladatelské smlouvy a stanov nebo statutu kvalifikovaného poskytovatele služeb vytvářejících důvěru v souladu s platnými vnitrostátními právními předpisy, včetně těchto prvků:

—

výkazu obchodních činností, které nesouvisejí s poskytováním služeb vytvářejících důvěru,

—

organizačního schématu,

—

informace o vlastnické struktuře,

—

v příslušných případech a je-li k dispozici, zprávy o účetní závěrce vypracované auditorem účetních závěrek za předchozí dva účetní roky nebo od data založení společnosti do data podpisu zprávy o posouzení shody, podle toho, které období je kratší;

důkazu, že kvalifikovaný poskytovatel služeb vytvářejících důvěru má v souladu s platnými vnitrostátními právními předpisy dostatečné finanční zdroje a v příslušných případech uzavřel odpovídající pojištění odpovědnosti v souvislosti s poskytováním kvalifikovaných služeb vytvářejících důvěru;

seznamu norem, s nimž jsou operace údajně v souladu;

seznamu norem, jejichž dodržování je u operací auditováno, hodnoceno, certifikováno nebo posuzováno, spolu s podrobnostmi o příslušném systému auditu, hodnocení, certifikace nebo posuzování;

seznamu kvalifikovaných prostředků pro vytváření elektronických podpisů nebo kvalifikovaných prostředků pro vytváření elektronických pečetí a informace o jejich certifikaci, pokud kvalifikovaný poskytovatel služeb vytvářejících důvěru dodává nebo zpřístupňuje tyto prostředky svým uživatelům;

seznamu prostředků, které kvalifikovaný poskytovatel služeb vytvářejících důvěru používá jako důvěryhodný systém nebo produkt, včetně hardwarových bezpečnostních modulů nebo bezpečných kryptografických prostředků, k ochraně svých vlastních klíčů, a informace týkající se jejich certifikace, pokud kvalifikovaný poskytovatel služeb vytvářejících důvěru používá tyto prostředky k zabezpečení procesů na podporu jím poskytovaných kvalifikovaných služeb vytvářejících důvěru;

14)

obsahuje posouzení splnění požadavků, které se vztahují na příslušné kvalifikované služby vytvářející důvěru podle nařízení (EU) č. 910/2014 a v příslušných případech podle prováděcích aktů a aktů v přenesené pravomoci, které se vztahují na danou kvalifikovanou službu vytvářející důvěru, přijatých v souladu s:

—

čl. 24 odst. 1c nařízení (EU) č. 910/2014, pokud jde o ověřování totožnosti a atributů osob, kterým má být vydán kvalifikovaný certifikát nebo kvalifikované elektronické potvrzení,

—

čl. 24 odst. 5 nařízení (EU) č. 910/2014, pokud jde o požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru, kteří poskytují kvalifikované služby vytvářející důvěru,

—

čl. 28 odst. 6 nařízení (EU) č. 910/2014, pokud jde o vydávání kvalifikovaných certifikátů pro elektronické podpisy,

—

čl. 38 odst. 6 nařízení (EU) č. 910/2014, pokud jde o vydávání kvalifikovaných certifikátů pro elektronické pečetě,

—

čl. 45 odst. 2 nařízení (EU) č. 910/2014, pokud jde o vydávání kvalifikovaných certifikátů pro autentizaci internetových stránek,

—

čl. 33 odst. 2 nařízení (EU) č. 910/2014, pokud jde o kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických podpisů,

—

čl. 33 odst. 2 a článkem 40 nařízení (EU) č. 910/2014, pokud jde o kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických pečetí,

—

čl. 34 odst. 2 nařízení (EU) č. 910/2014, pokud jde o kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů,

—

čl. 34 odst. 2 a článkem 40 nařízení (EU) č. 910/2014, pokud jde o kvalifikovanou službu uchovávání kvalifikovaných elektronických pečetí,

—

čl. 42 odst. 2 nařízení (EU) č. 910/2014, pokud jde o vytváření kvalifikovaných elektronických časových razítek,

—

čl. 44 odst. 2 nařízení (EU) č. 910/2014, pokud jde o poskytování kvalifikovaných služeb elektronického doporučeného doručování,

—

čl. 29a odst. 2 nařízení (EU) č. 910/2014, pokud jde o kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku,

—

čl. 29a odst. 2 a článkem 39a nařízení (EU) č. 910/2014, pokud jde o kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku,

—

čl. 45j odst. 2 nařízení (EU) č. 910/2014, pokud jde o poskytování kvalifikovaných služeb elektronické archivace,

—

čl. 45d odst. 5 nařízení (EU) č. 910/2014, pokud jde o vydávání kvalifikovaných elektronických potvrzení atributů,

—

čl. 45 l odst. 3 nařízení (EU) č. 910/2014, pokud jde o zaznamenávání elektronických dat do kvalifikované elektronické knihy záznamů;

15)

obsahuje posouzení splnění požadavků, které se vztahují na kvalifikovaného poskytovatele služeb vytvářejících důvěru a na příslušné kvalifikované služby vytvářející důvěru podle článku 21 směrnice (EU) 2022/2555 a podle prováděcích aktů, které se vztahují na tuto kvalifikovanou službu vytvářející důvěru, přijatých v souladu s čl. 21 odst. 5 uvedené směrnice;

16)

v příslušných případech obsahuje prohlášení o tom, že neexistují žádné neshody, a to bez ohledu na jejich míru kritičnosti; pokud je ve zprávě identifikována jakákoli neshoda, zpráva obsahuje plán nápravných opatření a jejich časový rámec, které poskytne kvalifikovaný poskytovatel služeb vytvářejících důvěru a schválí subjekt posuzování shody, spolu s popisem plánovaných úkolů hodnocení, které subjekt posuzování shody provede, aby vyhodnotil, zda byly tyto neshody odstraněny;

17)

ve vhodných a nezbytných případech obsahuje informace o možnostech zlepšení, pokud jde o plnění příslušných požadavků na kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytované kvalifikované služby vytvářející důvěru;

18)

pro každou fázi posuzování shody, včetně auditu dokumentace, posouzení provádění a kontrol na místě, uvádí období, za které bylo posouzení provedeno, a dobu v člověkodnech, kterou subjekt posuzování shody potřeboval k provedení posouzení;

19)

v příslušné zprávě o specifickém požadavku uvádí podrobné informace o kontrolách v rámci posuzování shody a kontrolních cílech, které byly provedeny během posouzení, nebo uvádí odkaz na samostatně dostupné zprávy o posouzení, v nichž jsou tyto informace uvedeny, pokud jsou tyto samostatné zprávy o posouzení:

vydány subjekty posuzování shody akreditovanými podle nařízení (EU) č. 910/2014;

schváleny subjekty posuzování shody vydávajícími zprávu o posouzení shody;

20)

zahrnuje rozsah, popis a výsledky významného souboru zkoušek nebo vzorků produkce a jejich posouzení pro všechny relevantní a použitelné typy výstupů z posuzovaných kvalifikovaných služeb vytvářejících důvěru;

21)

uvádí následující lhůty:

lhůtu, ve které musí být provedeno další dozorové posouzení shody;

lhůtu, ve které musí být provedeno další posouzení shody v souladu s čl. 20 odst. 1 nařízení (EU) č. 910/2014;

22)

obsahuje výslovné prohlášení, že certifikační dokumenty, včetně zprávy o posouzení shody, jsou rovněž určeny pro použití příslušným vnitrostátním orgánem dohledu.

Zavřít

Vyhledání konkrétního předpisu

Fulltextové vyhledávání