(EU) 2025/1567Prováděcí nařízení Komise (EU) 2025/1567 ze dne 29. července 2025, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku a kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku jako služeb vytvářejících důvěru

Publikováno: Úř. věst. L 1567, 30.7.2025 Druh předpisu: Prováděcí nařízení
Přijato: 29. července 2025 Autor předpisu:
Platnost od: 19. srpna 2025 Nabývá účinnosti: 19. srpna 2027
Platnost předpisu: Ano Pozbývá platnosti:
Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.


European flag

Úřední věstník
Evropské unie

CS

Řada L

2025/1567

30.7.2025

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2025/1567

ze dne 29. července 2025,

kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku a kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku jako služeb vytvářejících důvěru

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 29a odst. 2 a článek 39a uvedeného nařízení,

vzhledem k těmto důvodům:

(1)

Kvalifikované služby vytvářející důvěru pro správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku a pro správu kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku hrají klíčovou úlohu v digitálním podnikatelském prostředí tím, že podporují přechod od tradičních papírových procesů k elektronickým ekvivalentům. Tyto kvalifikované služby vytvářející důvěru přispívají k bezpečné a důvěryhodné správě těchto vzdálených zařízení jménem podepisujících a pečetících osob způsobem, který zaručuje splnění podmínek pro kvalifikované elektronické podpisy a kvalifikované elektronické pečetě.

(2)

Aby se zvýšila právní jistota a důvěryhodnost kvalifikovaných služeb vytvářejících důvěru pro správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku a kvalifikovaných služeb vytvářejících důvěru pro správu kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku, měli by kvalifikovaní poskytovatelé služeb vytvářejících důvěru poskytující tyto kvalifikované služby splňovat normy stanovené v tomto nařízení.

(3)

Tyto normy by měly odrážet zavedené postupy a měly by být široce uznávány v příslušných odvětvích. Měly by být upraveny tak, aby zahrnovaly kontroly zajišťující bezpečnost a důvěryhodnost kvalifikovaných služeb vytvářejících důvěru, jakož i zajištění toho, aby podepisující osoby měly s vysokou mírou důvěry výlučnou kontrolu nad používáním svých dat pro vytváření elektronických podpisů a aby pečetící osoby měly kontrolu nad používáním svých dat pro vytváření elektronických pečetí.

(4)

Aby byl zajištěn odpovídající časový rámec pro audit poskytovatelů služeb vytvářejících důvěru, pokud jde o dodržování nových požadavků, mělo by se toto nařízení použít 24 měsíců od svého vstupu v platnost.

(5)

Komise pravidelně posuzuje nové technologie, postupy, normy nebo technické specifikace. V souladu se 75. bodem odůvodnění nařízení Evropského parlamentu a Rady (EU) 2024/1183 (2) by Komise měla toto prováděcí nařízení přezkoumat a v případě potřeby ho aktualizovat, aby bylo v souladu s globálním vývojem, novými technologiemi, normami nebo technickými specifikacemi a aby byly dodržovány osvědčené postupy na vnitřním trhu.

(6)

Na činnosti zpracování veškerých osobních údajů podle tohoto nařízení by se mělo vztahovat nařízení Evropského parlamentu a Rady (EU) 2016/679 (3) a v příslušných případech směrnice Evropského parlamentu a Rady 2002/58/ES (4).

(7)

V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (5) byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 6. června 2025.

(8)

Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného článkem 48 nařízení (EU) č. 910/2014,

PŘIJALA TOTO NAŘÍZENÍ:

Článek 1

Referenční normy a specifikace

Referenční normy a specifikace pro správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku a kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku jako kvalifikovaných služeb vytvářejících důvěru uvedených v čl. 29a odst. 2 a článku 39a nařízení (EU) č. 910/2014 jsou stanoveny v příloze tohoto nařízení.

Článek 2

Vstup v platnost a použitelnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení se použije od 19. srpna 2027.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 29. července 2025.

Za Komisi

předsedkyně

Ursula VON DER LEYEN

(1)   Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Nařízení Evropského parlamentu a Rady (EU) 2024/1183 ze dne 11. dubna 2024, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu (Úř. věst. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

PŘÍLOHA

Seznam referenčních norem a specifikací pro správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku a kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku

Norma ETSI TS 119 431-1 V1.3.1 (2024-12) („ETSI TS 119 431-1“) se použije pro účely posouzení shody s politikou EU Server Signing Application Service v2 v souladu s přílohou A uvedené normy s těmito úpravami:

1)

2.1 Normativní odkazy

[1] ETSI EN 319 401 V3.1.1 (2024-06): „Elektronické podpisy a důvěryhodné infrastruktury (ESI); Obecné politické požadavky na poskytovatele služeb vytvářejících důvěru“;

[7] Evropská skupina pro certifikaci kybernetické bezpečnosti, podskupina pro šifrování: „Dohodnuté kryptografické mechanismy“ zveřejněné Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) (1).

2)

6.1 Povinnosti v oblasti zveřejňování a úložišť

OVR-6.1-04: Informace uvedené výše v OVR-6.1-01 musí být veřejně a mezinárodně dostupné.

3)

6.4.4 Kontroly personálu

OVR-6.4.4-02: SSASP zaměstnává pracovníky a v příslušných případech subdodavatele na důvěryhodných pozicích, kteří mají nezbytné odborné znalosti, zkušenosti a kvalifikaci prostřednictvím formální odborné přípravy a pověřovacích listin nebo zkušeností nebo kombinace obou.

OVR-6.4.4-03: Soulad s OVR-6.4.4-02 zahrnuje pravidelné (alespoň každých dvanáct měsíců) aktuální informace o nových hrozbách a stávajících bezpečnostních postupech.

4)

6.4.9 Ukončení služby SSASP

OVR-6.4.9-02: Plán ukončení SSASP je v souladu s prováděcími akty přijatými podle čl. 24 odst. 5 nařízení (EU) č. 910/2014[i.1].

5)

6.5.5 Bezpečnostní kontroly sítě

OVR-6.5.5-02: Skenování zranitelnosti požadované v REQ-7.8-13 ETSI EN 319 401 [1] se provádí nejméně jednou za čtvrtletí.

OVR-6.5.5-03: Firewally musí být nakonfigurovány tak, aby zabránily veškerým protokolům a přístupům, které nejsou nezbytné pro provoz TSP.

6)

6.8.5 Kontroly šifrování

OVR-6.8.5-01: Musí být zavedeny vhodné bezpečnostní kontroly pro řízení veškerých kryptografických technik SSASP v průběhu jejich životního cyklu.

OVR-6.8.5-02: Pokud jde o OVR-6.8.5-01, SSASP vybere a používá vhodné šifrovací techniky, které jsou v souladu s dohodnutými kryptografickými mechanismy schválenými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [7].

7)

Příloha A oddíl A.3 Obecné požadavky

OVR-A.3-02 [EUSPv2]: Prohlášení TSP o praxi musí obsahovat odkaz na certifikaci použitého QSCD v souladu s požadavky přílohy II nařízení (EU) č. 910/2014 [i.1].

(1)   https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.

ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj

ISSN 1977-0626 (electronic edition)

© Evropská unie, https://eur-lex.europa.eu/ , 1998-2022
Zavřít
MENU
Nejste přihlášeni
Zaregistrovat / Přihlásit se
Podrobné vyhledávání
Podrobné vyhledávání

Vyhledání konkrétního předpisu

K vyhledání konkrétního předpisu stačí zadat číslo/rok. (Např. 14/2000)

Fulltextové vyhledávání

Zadejte vhodně vybraná klíčová slova. Zadání může být v následujícíh tvarech:

  • náhrady škody: pokud zadáte více slov, najde všechny stránky, kde se vyskytují alespoň jedno ze zadaných slov. Na pořadí slov však nezáleží.
  • +náhrady: každé slovo, které předchází znaménko plus, se musí na stránce nacházet.
  • -náhrady: každé slovo, které předchází znaménko mínus, se nesmí na stránce nacházet.
  • "náhradě škod": řetězec uzavřený v uvozovkách bude vyhledán přesně tak, jak je zadán. Tj. budou vyhledány jen stránky, kde se vyskytují obě slova přesně za sebou.

Jednotlivá pravidla lze libovolně kombinovat.