(EU) 2025/1569Prováděcí nařízení Komise (EU) 2025/1569 ze dne 29. července 2025, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o kvalifikovaná elektronická potvrzení atributů a elektronická potvrzení atributů poskytovaná subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem
| Publikováno: | Úř. věst. L 1569, 30.7.2025 | Druh předpisu: | Prováděcí nařízení |
| Přijato: | 29. července 2025 | Autor předpisu: | |
| Platnost od: | 19. srpna 2025 | Nabývá účinnosti: | 19. srpna 2026 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
|
Úřední věstník |
CS Řada L |
|
2025/1569 |
30.7.2025 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2025/1569
ze dne 29. července 2025,
kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o kvalifikovaná elektronická potvrzení atributů a elektronická potvrzení atributů poskytovaná subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 45d odst. 5, čl. 45e odst. 2 a čl. 45f odst. 6 a 7 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Nařízení (EU) č. 910/2014 vytváří právní rámec pro vydávání a ověřování platnosti elektronických potvrzení atributů, včetně povinnosti poskytovatelů elektronických potvrzení atributů poskytnout uživatelům evropské peněženky digitální identity (dále jen „peněženka“) možnost požadovat, získat, uchovávat a spravovat elektronické potvrzení atributů bez ohledu na členský stát, v němž jsou peněženky poskytovány. Elektronická potvrzení atributů jsou zásadními prvky pro vytvoření bezpečného a interoperabilního ekosystému evropských peněženek digitální identity (dále jen „ekosystém peněženek“). Umožňují uživatelům důvěryhodným způsobem sdílet informace se spoléhajícími se stranami v rámci různých případů užití. |
|
(2) |
Rozhraní s evropskými peněženkami digitální identity, která mají poskytovat poskytovatelé kvalifikovaných elektronických potvrzení atributů, jak je stanoveno v článku 45g nařízení (EU) č. 910/2014, podtrhují význam elektronických potvrzení atributů pro ekosystém peněženek a usnadňují jejich rychlé zavádění. |
|
(3) |
Komise pravidelně posuzuje nové technologie, postupy, normy a technické specifikace. V zájmu zajištění nejvyšší úrovně harmonizace mezi členskými státy při vývoji a certifikaci peněženek se technické specifikace stanovené v tomto nařízení opírají o práci provedenou podle doporučení Komise (EU) 2021/946 ze dne 3. června 2021 o společném souboru nástrojů Unie pro koordinovaný přístup k rámci pro evropskou digitální identitu (2), zejména pokud jde o architekturu a referenční rámec, který je jeho součástí. V souladu se 75. bodem odůvodnění nařízení Evropského parlamentu a Rady 2024/1183 (3) by Komise měla toto nařízení přezkoumat a v případě potřeby aktualizovat, aby bylo v souladu s globálním vývojem, architekturou a referenčním rámcem a aby se řídilo osvědčenými postupy na vnitřním trhu, zejména pokud jde o vydávání elektronických potvrzení atributů a ověřování atributů podle autentických zdrojů nebo prostřednictvím určených zprostředkovatelů. |
|
(4) |
Pokud poskytovatelé kvalifikovaných elektronických potvrzení atributů a elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem vydávají potvrzení, která tvrdí, že splňují požadavky schémat pro potvrzování atributů registrovaných v katalogu, měly by být součástí posouzení shody stanoveného v nařízení (EU) č. 910/2014 politiky a postupy pro dodržování požadavků těchto schémat. |
|
(5) |
Pro digitalizaci potvrzení má velký význam ochrana před nedůvěryhodnými informacemi. Proto by mělo být možné kvalifikovaná elektronická potvrzení atributů a elektronická potvrzení atributů vydaná subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem zneplatnit nebo by měla být zavedena alternativní opatření, která by kompenzovala rizika spojená s nemožností zneplatnění. Určité okolnosti, jako je výslovná žádost osoby, které bylo elektronické potvrzení atributů vydáno, nebo pokud je poskytovateli známo, že došlo k narušení bezpečnosti nebo důvěryhodnosti kvalifikovaných elektronických potvrzení atributů, nebo pokud to vyžaduje právo Unie nebo vnitrostátní právo, by měly vést ke zneplatnění elektronického potvrzení atributů ze strany poskytovatele. Aby byla zajištěna základní práva na soukromí a ochranu údajů uživatele, zejména vhodnou minimalizací rizik propojitelnosti a sledovatelnosti, měli by poskytovatelé kvalifikovaných elektronických potvrzení atributů a elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem zavést politiky správy zneplatnění, které zachovávají soukromí. |
|
(6) |
V zájmu usnadnění spolupráce mezi členskými státy a vytvoření bezpečného a interoperabilního ekosystému digitální identity, včetně přeshraničního uznávání a interoperability kvalifikovaných elektronických potvrzení atributů a elektronických potvrzení atributů poskytovaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem, je třeba zavést zjednodušené postupy správní komunikace mezi příslušnými zúčastněnými stranami, včetně zveřejňování informací pro rychlou identifikaci příslušných subjektů veřejného sektoru. Členské státy by měly příslušné atributy oznámit Komisi. Proto by v zájmu zajištění včasného, účinného a interoperabilního ověřování těchto atributů měla být příslušná oznámení Komisi činěna přinejmenším v angličtině, neboť to usnadňuje jejich širokou dostupnost, posouzení a srozumitelnost a zároveň posiluje spolupráci mezi příslušnými zúčastněnými stranami. Překlad již existující dokumentace by však neměl způsobit nepřiměřenou administrativní nebo finanční zátěž. |
|
(7) |
Aby uživatelé a poskytovatelé služeb mohli ověřit, že elektronická potvrzení atributů vydaná subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem byla skutečně vydána tímto subjektem veřejného sektoru nebo jeho jménem, měly by členské státy tyto subjekty veřejného sektoru oznámit Komisi. Při oznamování subjektů veřejného sektoru, které vydávají elektronická potvrzení atributů podle článku 45f a přílohy VII nařízení (EU) č. 910/2014, mají členské státy poskytnout zprávu o posouzení shody potvrzující úroveň spolehlivosti a důvěryhodnosti rovnocennou kvalifikovaným poskytovatelům služeb vytvářejících důvěru. Na rozdíl od kvalifikovaných poskytovatelů služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, je však v případě těchto subjektů veřejného sektoru na členských státech, jakým způsobem zajistí, aby poskytovatelé splňovali požadavky v průběhu času. V zájmu zachování vysoké úrovně důvěry v potvrzení veřejného sektoru v celé Unii se proto členské státy vyzývají, aby prostřednictvím skupiny pro evropskou spolupráci v oblasti digitální identity zřízené podle čl. 46e odst. 1 nařízení (EU) č. 910/2014 (dále jen „skupina pro spolupráci“) sdílely své osvědčené postupy, jak zajistit trvalou spolehlivost a důvěryhodnost. Komise by měla sestavit, udržovat a zveřejnit seznam poskytovatelů a zajistit, aby byl tento seznam snadno přístupný veřejnosti. |
|
(8) |
Komise by měla s pomocí skupiny pro spolupráci vytvořit katalog atributů, který usnadní ověřování atributů podle autentických zdrojů kvalifikovanými poskytovateli služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů. Registrace v katalogu atributů by měla být povinná pro atributy uvedené v příloze VI nařízení (EU) č. 910/2014. U ostatních atributů by registrace měla být nepovinná. |
|
(9) |
Komise by měla s pomocí skupiny pro spolupráci vytvořit katalog schémat pro potvrzování atributů, aby usnadnila vydávání potvrzení kvalifikovanými poskytovateli služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, a poskytovateli elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem a aby usnadnila harmonizaci a přeshraniční interoperabilitu těchto potvrzení. Registrace schémat v katalogu schémat by měla být nepovinná. Žádosti o registraci nebo změny v katalogu by měl podávat vlastník schématu pro potvrzování atributů a mohou zahrnovat atributy, které nejsou uvedeny v katalogu atributů. Komise by měla tyto žádosti posoudit s ohledem na potřeby interoperability a harmonizace. |
|
(10) |
Aby katalog atributů poskytoval smysluplné informace a dosáhl vysoké úrovně interoperability v rámci ekosystému elektronického potvrzování atributů, měl by poskytovat alespoň minimální soubor informací, jako je sémantický popis atributu, jmenný prostor jeho identifikátoru a datový typ atributu. Za stejným účelem by měl katalog schémat pro potvrzování atributů obsahovat popisy běžných typů elektronických potvrzení atributů a popis modelu důvěry a mechanismů správy používaných v rámci schématu potvrzování. Informace obsažené v katalozích by měly zahrnovat správu verzí atributů a schémat, aby potvrzení vydaná podle konkrétních verzí nebyla ovlivněna změnami těchto atributů a schémat. |
|
(11) |
Aby byla zajištěna účinnost ověřování atributů podle autentických zdrojů kvalifikovanými poskytovateli služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, a to i prostřednictvím určených zprostředkovatelů, kteří poskytovatelům služeb poskytují nepřímé ověřovací mechanismy, měly by členské státy ve lhůtě stanovené v čl. 45e odst. 1 nařízení (EU) č. 910/2014 zavést mechanismy, které umožní kvalifikovaným poskytovatelům služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, požádat o ověření atributů. Tyto mechanismy by měly umožnit kvalifikovaným poskytovatelům služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, určit, které atributy lze ověřit a jak je ověřit. Tyto mechanismy by měly také zahrnovat podrobnosti o přístupových místech a protokolech služeb pro kontrolu platnosti a přesnosti atributů a zvážit možnost nabídky jednotného ověřovacího místa na vnitrostátní úrovni. |
|
(12) |
Konkrétně by členské státy měly kvalifikovaným poskytovatelům služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, zpřístupnit na vnitrostátní úrovni mechanismy pro přístup k ověřovacím místům a jejich používání pro každý z atributů uvedených v příloze VI uvedeného nařízení (EU) č. 910/2014. Tyto mechanismy by měly umožnit kvalifikovaným poskytovatelům služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, aby na žádost uživatele předložili konkrétní atributy ověřovacímu místu pro vydání potvrzení a během jeho životnosti. Ověřovací mechanismy by měly využívat elektronické prostředky vhodné pro automatické zpracování a pro co nejrychlejší získání odpovědí z ověřovacího místa. Tato odpověď by měla potvrdit, zda atributy předložené kvalifikovanými poskytovateli služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, odpovídají atributům uloženým ve vztahu k danému uživateli v příslušném autentickém zdroji, a měla by specifikovat autentický zdroj, podle kterého bylo ověření provedeno. Aby se zabránilo nežádoucímu jednání, jako jsou nezákonné nebo zjevně nadbytečné žádosti o ověření, mohou členské státy zavést kontrolní mechanismy pro používání ověřovacích míst, pokud to považují za vhodné s ohledem na příslušné faktory, včetně toho, zda autentické zdroje obsahují informace, které by měly být považovány za osobní údaje nebo které jsou jinak důvěrné nebo citlivé povahy podle práva Unie nebo vnitrostátního práva. |
|
(13) |
V souladu se zásadami stanovenými v nařízení o interoperabilní Evropě (4), aby se usnadnilo vytváření katalogu atributů a katalogu schémat pro potvrzování atributů a aby se v co největší míře opakovaně používaly stávající katalogy, schémata a informace, by Komise měla v příslušných případech využít synergií se společnými službami technického systému podle nařízení Parlamentu a Rady (EU) 2018/1724, kterým se zřizuje jednotná digitální brána a mění nařízení (EU) č. 1024/2012 (5). |
|
(14) |
V zájmu zvýšení interoperability elektronických potvrzení atributů vydaných nekvalifikovanými poskytovateli služeb vytvářejících důvěru mohou vydavatelé potvrzení dodržovat zásady a požadavky stanovené v tomto nařízení, pokud jde o nekvalifikovaná elektronická potvrzení atributů. |
|
(15) |
Na činnosti zpracování osobních údajů podle tohoto nařízení se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679 (6) a v příslušných případech směrnice Evropského parlamentu a Rady 2002/58/ES (7). |
|
(16) |
S cílem poskytnout Komisi a členským státům dostatek času na sestavení seznamu poskytovatelů elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem by se požadavky tohoto nařízení týkající se katalogu atributů, katalogu schémat pro potvrzování atributů a ověřovacích míst pro atributy měly začít používat dvanáct měsíců po datu vstupu tohoto nařízení v platnost. |
|
(17) |
V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (8) byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 31. ledna 2025. |
|
(18) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného článkem 48 nařízení (EU) č. 910/2014, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Předmět a oblast působnosti
Toto nařízení stanoví referenční normy, specifikace a postupy, které je třeba pravidelně aktualizovat, aby byly v souladu s vývojem technologií a norem a s prací prováděnou na základě doporučení (EU) 2021/946, a zejména s architekturou a referenčním rámcem, pokud jde o:
|
1) |
kvalifikovaná elektronická potvrzení atributů; |
|
2) |
elektronická potvrzení atributů vydaná subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem; |
|
3) |
seznam poskytovatelů elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem; |
|
4) |
katalog atributů a katalog schémat pro potvrzování atributů uvedené v bodech 1 a 2; |
|
5) |
ověřování atributů s odkazem na autentické zdroje nebo určené zprostředkovatele. |
Článek 2
Definice
Pro účely tohoto nařízení se rozumí:
|
1) |
„jednotkou peněženky“ jedinečná konfigurace řešení peněženky, která zahrnuje instance peněženky, bezpečné kryptografické aplikace peněženky a bezpečné kryptografické prostředky peněženky, které poskytovatel peněženky poskytuje jednotlivému uživateli peněženky; |
|
2) |
„uživatelem peněženky“ uživatel, který má jednotku peněženky pod kontrolou; |
|
3) |
„katalogem atributů“ digitální úložiště atributů, které Komise udržuje a zveřejňuje online; |
|
4) |
„schématem pro potvrzování atributů“ soubor pravidel použitelných pro jeden nebo více typů elektronického potvrzení atributů; |
|
5) |
„typem elektronického potvrzení atributů“ konkrétně pojmenovaná a sémanticky popsaná skupina elektronických potvrzení atributů; |
|
6) |
„katalogem schémat pro potvrzování atributů“ digitální úložiště, které obsahuje seznam schémat pro potvrzování atributů registrovaných v souladu s tímto nařízením a které udržuje [a zveřejňuje online] Komise; |
|
7) |
„řešením peněženky“ kombinace softwaru, hardwaru, služeb, nastavení a konfigurací, včetně instancí peněženky, jedné nebo více bezpečných kryptografických aplikací peněženky a jednoho nebo více bezpečných kryptografických prostředků peněženky; |
|
8) |
„instancí peněženky“ aplikace nainstalovaná a nakonfigurovaná v zařízení nebo prostředí uživatele peněženky, která je součástí jednotky peněženky a kterou uživatel peněženky používá k interakci s jednotkou peněženky; |
|
9) |
„bezpečnou kryptografickou aplikací peněženky“ aplikace, která spravuje kritická aktiva prostřednictvím propojení s kryptografickými a nekryptografickými funkcemi poskytovanými bezpečným kryptografickým prostředkem peněženky a jejich využívání; |
|
10) |
„bezpečným kryptografickým prostředkem peněženky“ prostředek odolný proti neoprávněné manipulaci, který poskytuje prostředí propojené s bezpečnou kryptografickou aplikací peněženky a používaný touto aplikací k ochraně kritických aktiv a poskytování kryptografických funkcí pro bezpečné provádění kritických operací; |
|
11) |
„poskytovatelem peněženky“ fyzická nebo právnická osoba, která poskytuje řešení peněženky; |
|
12) |
„kritickými aktivy“ aktiva v rámci jednotky peněženky nebo ve vztahu k ní, která jsou tak mimořádně důležitá, že ohrožení jejich dostupnosti, důvěrnosti nebo integrity by mělo velmi vážný a oslabující účinek na schopnost spoléhat se na jednotku peněženky; |
|
13) |
„vlastníkem schématu pro potvrzování atributů“ subjekt odpovědný za vytvoření a udržování schématu pro potvrzování atributů. |
Článek 3
Vydávání kvalifikovaných elektronických potvrzení atributů a elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem
1. Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem musí dodržovat seznam referenčních norem a specifikací uvedený v příloze I a zajistit, aby jimi vydaná elektronická potvrzení atributů splňovala technické specifikace uvedené v příloze II.
2. Pokud poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem vydají elektronická potvrzení atributů, která jsou zahrnuta do schémat registrovaných v katalogu schémat pro potvrzování atributů, musí splňovat požadavky příslušného schématu pro potvrzování atributů. Součástí posouzení shody stanoveného v nařízení (EU) č. 910/2014 jsou politiky a postupy stanovené vydavateli potvrzení za účelem zajištění souladu s požadavky schémat pro potvrzování atributů.
Článek 4
Zneplatňování kvalifikovaných elektronických potvrzení atributů a elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem
1. Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem mají písemné a veřejně přístupné zásady týkající se správy statusu platnosti nebo zneplatnění. Tyto zásady zahrnují v příslušných případech podmínky, za nichž lze elektronická potvrzení atributů neprodleně zneplatnit, a opatření pro zajištění dostupnosti informací o stavu platnosti.
2. Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem jsou jedinými subjekty, které mohou zneplatnit jimi vydaná elektronická potvrzení atributů.
3. Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem zneplatní tato potvrzení, jsou-li vydána s dobou platnosti delší než 24 hodin, alespoň v těchto případech:
|
a) |
na výslovnou žádost osoby, které bylo elektronické potvrzení atributů vydáno, nebo v příslušných případech subjektu potvrzení; |
|
b) |
pokud je poskytovateli známo, že došlo k narušení bezpečnosti nebo důvěryhodnosti kvalifikovaných elektronických potvrzení atributů nebo elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem; |
|
c) |
v jiných situacích, kdy to vyžadují právní předpisy Unie nebo vnitrostátní právní předpisy nebo kdy to stanoví poskytovatelé ve svých zásadách uvedených v odstavci 1. |
4. Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem zavedou techniky zneplatnění a metody správy, které zachovávají soukromí a brání propojitelnosti nebo sledovatelnosti.
5. Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem zpřístupní spoléhajícím se stranám informace o stavu platnosti nebo zneplatnění elektronických potvrzení atributů, která vydali, způsobem, který zajistí integritu a autenticitu těchto informací.
Článek 5
Oznámení subjektů veřejného sektoru
1. Členské státy předloží alespoň informace uvedené v příloze III o subjektech veřejného sektoru podle čl. 45f odst. 3 nařízení (EU) č. 910/2014 prostřednictvím zabezpečeného elektronického systému oznamování, který poskytne Komise.
2. Členské státy oznámí veškeré změny oznámených informací.
3. Členské státy oznámení učiní alespoň v angličtině. Členské státy nejsou povinny překládat žádné doklady k oznámení, pokud by to představovalo nepřiměřenou administrativní nebo finanční zátěž.
4. Komise může v příslušných případech požádat členské státy o poskytnutí dalších informací.
Článek 6
Zveřejnění seznamu subjektů veřejného sektoru
1. Komise na základě informací oznámených členskými státy podle článku 5 sestaví, udržuje a zveřejňuje seznam poskytovatelů elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem.
2. Komise zajistí, aby byl seznam uvedený v odstavci 1 přístupný:
|
a) |
jak ve formě opatřené elektronickým podpisem nebo pečetí vhodné pro automatické zpracování, tak ve formě internetové stránky čitelné pro člověka; |
|
b) |
bez nutnosti registrace nebo autentizace; |
|
c) |
pouze pomocí nejmodernějšího zabezpečení transportní vrstvy. |
3. Komise prostřednictvím zabezpečeného kanálu a bez zbytečného odkladu zveřejní:
|
a) |
technické specifikace seznamu; |
|
b) |
údaje o adrese URL, na které je seznam zveřejněn; |
|
c) |
certifikáty, které se použijí k ověření elektronického podpisu nebo pečeti, jimiž je seznam opatřen; |
|
d) |
podrobnosti o mechanismech používaných k ověřování platnosti budoucích změn umístění nebo certifikátů uvedených v písmenech b) a c). |
Článek 7
Vytvoření a údržba katalogu atributů
1. Komise vytvoří a zveřejní katalog atributů a zřídí bezpečný systém umožňující podávání žádostí o zařazení atributů do katalogu atributů nebo jejich změnu.
2. Komise posoudí žádosti o zařazení atributů do katalogu atributů nebo o jejich změnu podané pomocí systému uvedeného v odstavci 1 po zvážení případného doporučení skupiny pro spolupráci. Komise při posuzování zohlední, zda zařazení atributu přispívá ke společnému základu pro bezpečnou elektronickou interakci mezi občany, podniky a orgány veřejné správy, která klade důraz na ochranu soukromí, a k podpoře interoperability. Komise v příslušných případech přihlédne i k odvětvovým předpisům.
3. Členské státy požádají o zařazení atributů uvedených v příloze VI nařízení (EU) č. 910/2014 do katalogu atributů, pokud se tyto atributy opírají o autentické zdroje, pro účely ověřování kvalifikovanými poskytovateli služeb vytvářejících důvěru.
4. Kromě toho mohou členské státy požádat o zařazení atributů neuvedených v příloze VI do katalogu atributů, pokud se tyto atributy opírají o autentické zdroje ve veřejném sektoru. Soukromé subjekty, které jsou považovány za primární zdroj informací nebo uznány za autentické v souladu s právem Unie nebo vnitrostátním právem, včetně správní praxe, mohou požádat o zařazení atributů neuvedených v příloze VI do katalogu atributů.
5. Žádost o zařazení atributu do katalogu nebo jeho změnu musí obsahovat alespoň tyto informace:
|
a) |
identifikaci subjektu, který žádost podal; |
|
b) |
v příslušných případech odkaz na právo Unie nebo vnitrostátní právo či správní praxi, podle nichž je subjekt, který žádost podal, považován za primární zdroj informací nebo uznaný autentický zdroj; |
|
c) |
zda se požadavek vztahuje k atributu, který již v katalogu existuje, nebo zda se jedná o nový atribut; |
|
d) |
jmenný prostor pro identifikátor atributů, jehož hodnota je v rámci katalogu atributů jedinečná; |
|
e) |
identifikátor atributu, jedinečný v rámci jmenného prostoru, a verzi atributu; |
|
f) |
sémantický popis atributu; |
|
g) |
datový typ atributu; |
|
h) |
ověřovací místo pro atribut na vnitrostátní úrovni nebo odkaz na popis způsobu podávání žádostí o ověření. |
6. Žádost o zařazení nebo změnu atributu musí být žadatelem podepsána nebo zapečetěna kvalifikovaným elektronickým podpisem nebo pečetí nebo zaručeným elektronickým podpisem nebo pečetí založenými na kvalifikovaném certifikátu.
7. Komise může po posouzení uvedeném v odstavci 2 a po ověření, že informace uvedené v žádosti o zařazení nebo změnu atributu obsahují všechny informace uvedené v odstavci 5, zařadit požadovaný atribut nebo změnu do katalogu atributů.
8. Katalog atributů zapečetěný Komisí je veřejně přístupný prostřednictvím zabezpečeného kanálu, bezplatně a bez předchozí identifikace nebo autentizace a je zveřejněn ve strojově čitelné podobě i podobě čitelné pro člověka. Katalog musí obsahovat také funkci vyhledávání.
9. Komise zveřejní technické specifikace, které používá pro katalog atributů.
10. Komise přidělí každému registrovanému atributu jedinečný identifikátor.
Článek 8
Vytvoření a údržba katalogu schémat pro potvrzování atributů
1. Komise vytvoří a zveřejní katalog schémat pro potvrzování atributů a zřídí bezpečný systém umožňující podávat žádosti o zařazení schémat pro potvrzování atributů do katalogu schémat pro potvrzování atributů nebo jejich změnu.
2. Žádosti o zařazení schémat pro potvrzování atributů do katalogu schémat pro potvrzování atributů nebo jejich změnu posuzuje Komise po zvážení případného doporučení skupiny pro spolupráci. Komise při posuzování zohlední, zda schéma přispívá ke společnému základu pro bezpečnou elektronickou interakci mezi občany, podniky a orgány veřejné správy, která klade důraz na ochranu soukromí, a zda přispívá k podpoře interoperability. Komise v příslušných případech přihlédne i k odvětvovým předpisům.
3. Vlastníci schématu pro potvrzování atributů mohou požádat o přidání schémat do katalogu schémat. Žádost o zařazení schématu do katalogu schémat pro potvrzování atributů nebo jeho změnu musí obsahovat alespoň:
|
a) |
název schématu, který zvolil vlastník schématu pro potvrzování atributů a který je jedinečný v rámci katalogu schémat pro potvrzování atributů; |
|
b) |
název a kontaktní údaje vlastníka schématu pro potvrzování atributů; |
|
c) |
stav a verzi schématu; |
|
d) |
odkaz na konkrétní právní předpisy, normy nebo pokyny, pokud se vztahují na vydávání, ověřování platnosti nebo používání elektronického potvrzení atributů v rámci schématu; |
|
e) |
formát nebo formáty elektronického potvrzení atributů v rámci schématu; |
|
f) |
jeden nebo více jmenných prostorů, identifikátorů atributů, sémantických popisů a datových typů každého atributu, který je součástí elektronického potvrzení atributů v rámci schématu, a to buď odkazem na atribut v katalogu atributů v článku 7, nebo na atribut definovaný analogickým způsobem v rámci schématu; |
|
g) |
popis modelu důvěry a mechanismů správy používaných v rámci schématu, včetně mechanismů zneplatnění; |
|
h) |
veškeré požadavky týkající se poskytovatelů elektronických potvrzení atributů nebo zdrojů informací, na které tito poskytovatelé spoléhají při vydávání elektronických potvrzení atributů, v příslušných případech včetně autentických zdrojů; |
|
i) |
prohlášení o tom, zda se elektronická potvrzení atributů v rámci schématu mají vydávat jako kvalifikovaná elektronická potvrzení atributů, jako elektronická potvrzení atributů vydaná subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem, nebo jako obojí. |
4. Schémata, o jejichž zařazení do katalogu se žádá, musí obsahovat pouze atributy, které jsou identifikovatelné na základě jedinečných identifikátorů. Žádost o zařazení nebo změnu schématu pro potvrzování atributů musí být žadatelem podepsána nebo zapečetěna kvalifikovaným elektronickým podpisem nebo pečetí nebo zaručeným elektronickým podpisem nebo pečetí založenými na kvalifikovaném certifikátu.
5. Komise může po posouzení uvedeném v odstavci 2 a po ověření, že informace uvedené v žádosti o zařazení nebo změnu schématu potvrzování obsahují všechny informace uvedené v odstavcích 3 a 4, zařadit požadované schéma nebo změnu do katalogu schémat pro potvrzování atributů.
6. Katalog schémat pro potvrzování atributů zapečetěný Komisí je veřejně přístupný prostřednictvím zabezpečeného kanálu, bezplatně a bez předchozí identifikace nebo autentizace a je zveřejněn ve strojově čitelné podobě i podobě čitelné pro člověka. Katalog musí rovněž obsahovat funkci vyhledávání a musí být ve formátu, který zaručuje integritu a autenticitu.
7. Komise zveřejní technické specifikace, které používá pro katalog schémat pro potvrzování atributů.
8. Komise přidělí každému registrovanému schématu pro potvrzování atributů jedinečný identifikátor.
Článek 9
Ověřování atributů podle autentických zdrojů nebo prostřednictvím určených zprostředkovatelů
1. S cílem umožnit na žádost uživatele elektronické ověřování atributů uvedených v čl. 45e odst. 1 nařízení (EU) č. 910/2014 kvalifikovanými poskytovateli služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů, zavedou členské státy mechanismy, které toto ověřování umožňují, a mohou zpřístupnit jednotná ověřovací místa pro atributy uvedené v příloze VI uvedeného nařízení, pokud se tyto atributy opírají o autentické zdroje ve veřejném sektoru. Členské státy zveřejní informace o postupech pro podávání žádostí o ověření a pro přijímání výsledků ověření.
2. Ověřovací mechanismus poskytuje přístupové místo, kde mohou kvalifikovaní poskytovatelé služeb vytvářejících důvěru vydávající kvalifikovaná elektronická potvrzení atributů elektronicky požádat o ověření atributů uvedených v čl. 45e odst. 1 nařízení (EU) č. 910/2014 s využitím autentických zdrojů nebo určených zprostředkovatelů uznaných na vnitrostátní úrovni. Ověřované atributy poskytne kvalifikovaný poskytovatel služeb vytvářejících důvěru ověřovacímu místu na žádost uživatele. Subjekt veřejného sektoru nebo určený zprostředkovatel sdílí prostřednictvím ověřovacího místa výsledky ověření s kvalifikovanými poskytovateli služeb vytvářejících důvěru, kteří vydávají kvalifikovaná elektronická potvrzení atributů.
3. V žádosti o ověření se uvedou atributy a identifikační údaje subjektu atributu, pro který kvalifikovaný poskytovatel služeb vytvářejících důvěru požaduje ověření.
4. Výsledek ověření uvádí výhradně to, zda byl atribut ověřen, či nikoli, a specifikuje subjekt veřejného sektoru odpovědný za autentický zdroj nebo v příslušných případech subjekt veřejného sektoru určený k jednání jménem autentického zdroje, podle něhož byl atribut ověřen.
5. Členské státy mohou zavést kontroly přístupu nebo jiné ověřovací mechanismy, které zajišťují integritu, autenticitu a důvěrnost, aby bylo možné určit, že žadatel je kvalifikovaným poskytovatelem služeb vytvářejících důvěru a jedná na žádost oprávněného uživatele. Členské státy mohou rovněž zavést kontrolní mechanismy pro používání metod ověřování, pokud to považují za vhodné, s přihlédnutím k příslušným faktorům, včetně toho, zda autentické zdroje obsahují důvěrné osobní nebo citlivé údaje. Pokud členské státy tyto kontrolní mechanismy zavedou, zveřejní informace o rozsahu těchto kontrolních mechanismů jako součást informací uvedených v odstavci 1.
Článek 10
Interoperabilita a opakované použití
1. Pro účely článků 3 až 9 mohou členské státy odkazovat na společné služby technického systému stanoveného v článku 14 nařízení (EU) 2018/1724 a opakovaně je používat, stejně jako vnitrostátní komponenty, které jsou s nimi spojeny.
2. Při vytváření zabezpečeného systému oznamování a seznamu subjektů veřejného sektoru uvedených v článcích 5 a 6 a katalogů uvedených v článcích 7 a 8 tohoto nařízení Evropská komise v příslušných případech odkazuje na společné služby technického systému podle nařízení (EU) 2018/1724 a opakovaně je používá.
Článek 11
Vstup v platnost a použitelnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Články 6 až 9 se použijí od 19. srpna 2026.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 29. července 2025.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Úř. věst. L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(3) Nařízení Evropského parlamentu a Rady (EU) 2024/1183 ze dne 11. dubna 2024, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu (Úř. věst. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Nařízení Evropského parlamentu a Rady (EU) 2024/903 ze dne 13. března 2024, kterým se stanoví opatření pro vysokou úroveň interoperability veřejného sektoru v celé Unii (nařízení o interoperabilní Evropě) (Úř. věst. L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
(5) Nařízení Evropského parlamentu a Rady (EU) 2018/1724 ze dne 2. října 2018, kterým se zřizuje jednotná digitální brána pro poskytování přístupu k informacím, postupům a k asistenčním službám a službám pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012 (Úř. věst. L 295, 21.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).
(6) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
PŘÍLOHA I
Seznam referenčních norem a specifikací uvedených v článku 3
Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem vydávají svá potvrzení fyzickým nebo právnickým osobám podle specifikací pro poskytovatele služeb vytvářejících důvěru stanovených v normě ETSI EN 319 401 v3.1.1 (2024-06) (dále jen „ETSI EN 319 401“).
PŘÍLOHA II
Technické specifikace pro vydávání kvalifikovaných elektronických potvrzení atributů a elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem, jak uvádí článek 3
|
1) |
Poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem vydávají svá potvrzení ve formátu podle jedné z norem uvedených v příloze II prováděcího nařízení Komise (EU) 2024/2979 (1). |
|
2) |
Pro účely vydávání potvrzení fyzickým nebo právnickým osobám poskytovatelé kvalifikovaných elektronických potvrzení atributů a poskytovatelé elektronických potvrzení atributů vydaných subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem:
|
|
3) |
V případě, že je potvrzení vydáváno pro evropskou peněženku digitální identity, poskytovatel potvrzení navíc:
|
(1) Prováděcí nařízení Komise (EU) 2024/2979 ze dne 28. listopadu 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o integritu a základní funkce evropských peněženek digitální identity (Úř. věst. L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
PŘÍLOHA III
Oznámení podle článku 5
Členské státy sdělí Komisi alespoň:
|
1) |
název subjektu veřejného sektoru a v příslušných případech registrační číslo, jak se používají v úředních záznamech, členský stát, v němž je subjekt veřejného sektoru usazen, právní předpisy Unie nebo vnitrostátní právní předpisy, podle kterých je subjekt veřejného sektoru zřízen jako odpovědný za autentický zdroj, na jehož základě se vydává elektronické potvrzení atributů, nebo určen, aby jednal jménem subjektu veřejného sektoru odpovědného za autentický zdroj; |
|
2) |
kontaktní e-mail a telefonní číslo subjektu veřejného sektoru; |
|
3) |
adresu URL webové stránky, na které jsou uvedeny další informace o subjektu veřejného sektoru; |
|
4) |
zpráva o posouzení shody podle čl. 45f odst. 3 nařízení (EU) č. 910/2014. |
ELI: http://data.europa.eu/eli/reg_impl/2025/1569/oj
ISSN 1977-0626 (electronic edition)