(EU) 2025/1929Prováděcí nařízení Komise (EU) 2025/1929 ze dne 29. září 2025, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o spojení data a času s příslušnými daty a stanovení přesnosti zdrojů času pro poskytování kvalifikovaných elektronických časových razítek

Publikováno: Úř. věst. L 1929, 30.9.2025 Druh předpisu: Prováděcí nařízení
Přijato: 29. září 2025 Autor předpisu: Evropská komise
Platnost od: 20. října 2025 Nabývá účinnosti: 20. října 2025
Platnost předpisu: Ano Pozbývá platnosti:
Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.


European flag

Úřední věstník
Evropské unie

CS

Řada L

2025/1929

30.9.2025

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2025/1929

ze dne 29. září 2025,

kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o spojení data a času s příslušnými daty a stanovení přesnosti zdrojů času pro poskytování kvalifikovaných elektronických časových razítek

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 42 odst. 2 uvedeného nařízení,

vzhledem k těmto důvodům:

(1)

Kvalifikovaná elektronická časová razítka hrají v digitálním prostředí klíčovou roli, jelikož podporují přechod od tradičních postupů založených na papírových dokladech k rovnocenným elektronickým postupům. Tím, že spojují informace o datu a času s elektronickými daty, pomáhají kvalifikovaná elektronická časová razítka zajistit přesnost data a času, které uvádějí, a integritu digitálních dokumentů, s nimiž jsou toto datum a tento čas spojeny.

(2)

Předpoklad shody stanovený v čl. 42 odst. 1a nařízení (EU) č. 910/2014 by měl platit pouze tehdy, pokud kvalifikované služby vytvářející důvěru pro vydávání kvalifikovaných časových razítek splňují normy stanovené v tomto nařízení. Tyto normy by měly odrážet zavedené postupy a měly by být v příslušných odvětvích široce uznávány. Tyto normy by měly být upraveny tak, aby zahrnovaly další kontroly zajišťující bezpečnost a důvěryhodnost kvalifikované služby vytvářející důvěru a spojení data a času s příslušnými daty a přesnost zdroje času.

(3)

Pokud poskytovatel služeb vytvářejících důvěru splňuje požadavky stanovené v příloze tohoto nařízení, měly by orgány dohledu předpokládat shodu s příslušnými požadavky nařízení (EU) č. 910/2014 a tento předpoklad řádně zohlednit při udělování nebo potvrzování statusu kvalifikované služby vytvářející důvěru. Kvalifikovaný poskytovatel služeb vytvářejících důvěru však může při prokazování shody s požadavky nařízení (EU) č. 910/2014 nadále využívat i jiných postupů.

(4)

Komise pravidelně posuzuje nové technologie, postupy, normy nebo technické specifikace. V souladu se 75. bodem odůvodnění nařízení Evropského parlamentu a Rady (EU) 2024/1183 (2) by Komise měla toto prováděcí nařízení přezkoumávat a v případě potřeby ho aktualizovat, aby bylo v souladu s globálním vývojem, novými technologiemi normami nebo technickými specifikacemi a aby byly dodržovány osvědčené postupy na vnitřním trhu.

(5)

Na všechny činnosti zpracování osobních údajů podle tohoto nařízení se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679 (3) a v příslušných případech směrnice Evropského parlamentu a Rady 2002/58/ES (4).

(6)

V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (5) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 6. června 2025.

(7)

Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného článkem 48 nařízení (EU) č. 910/2014,

PŘIJALA TOTO NAŘÍZENÍ:

Článek 1

Referenční normy a specifikace uvedené v čl. 42 odst. 2 nařízení (EU) č. 910/2014 jsou stanoveny v příloze tohoto nařízení.

Článek 2

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 29. září 2025.

Za Komisi

předsedkyně

Ursula VON DER LEYEN

(1)   Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Nařízení Evropského parlamentu a Rady (EU) 2024/1183 ze dne 11. dubna 2024, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu (Úř. věst. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj.

(5)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

PŘÍLOHA

Seznam referenčních norem a specifikací pro kvalifikované služby časových razítek

Normy ETSI EN 319 421 V1.3.1 (1) (dále jen „ETSI EN 319 421 “) a ETSI EN 319 422 V1.1.1 (2) (dále jen „ETSI EN 319 422 “) se použijí s těmito úpravami:

1.

Pro normu ETSI EN 319 421

1)

2.1 Normativní odkazy:

[3] ISO/IEC 15408:2022 (části 1 až 5) „Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Kritéria hodnocení bezpečnosti IT“.

[4] ETSI EN 319 401 V3.1.1 (2024-06) „Elektronické podpisy a infrastruktury (ESI); Obecné politické požadavky na poskytovatele služeb vytvářejících důvěru“.

[5] ETSI EN 319 422 V1.1.1 (2016-03) „Elektronické podpisy a infrastruktury (ESI); Protokol časového razítka a profily tokenu časového razítka“.

[6] neplatné.

[9] Evropská skupina pro certifikaci kybernetické bezpečnosti, podskupina pro šifrování: „Dohodnuté kryptografické mechanismy“ zveřejněné Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) (3).

[10] Prováděcí nařízení Komise (EU) 2024/482 (4) ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC).

[11] Prováděcí nařízení Komise (EU) 2024/3144 (5) ze dne 18. prosince 2024, kterým se mění prováděcí nařízení (EU) 2024/482, pokud jde o použitelné mezinárodní normy, a kterým se uvedené prováděcí nařízení opravuje.

2)

3.1 Podmínky

doba platnosti certifikátů: časový interval od „notBefore“ do „notAfter“ včetně, během kterého certifikační orgán zaručuje, že bude uchovávat informace o statusu certifikátu.

3)

3.3 Zkratky

EUCC Evropský systém certifikace kybernetické bezpečnosti založený na společných kritériích.

4)

6.2 Prohlášení o postupech služeb vytvářejících důvěru

OVR-6.2-03 Autorita vydávající časová razítka (TSA) zahrne prohlášení o dostupnosti své služby časových razítek do svého prohlášení o zpřístupnění informací TSA.

5)

7.3 Bezpečnostní opatření týkající se personálu

OVR-7.3-02 Pracovníci autority vydávající časová razítka (TSA) na důvěryhodných pozicích a v příslušných případech jeho subdodavatelé na důvěryhodných pozicích musí být schopni splnit požadavek na „odborné znalosti, zkušenosti a kvalifikaci“ prostřednictvím formální odborné přípravy a pověření nebo skutečných zkušeností nebo kombinace obojího.

OVR-7.3-03 Soulad s OVR-7.3-02 musí zahrnovat pravidelné aktuální informace (alespoň každých dvanáct měsíců) o nových hrozbách a stávajících bezpečnostních postupech.

6)

7.6.2 Generování klíče jednotky pro časová razítka (TSU)

TIS-7.6.2-03 Generování klíče (klíčů) TSU se provádí v rámci bezpečného kryptografického prostředku, který je důvěryhodným systémem certifikovaným v souladu s/se:

a)

společnými kritérii pro hodnocení bezpečnosti informačních technologií stanovenými v normě ISO/IEC 15408 [3] nebo ve společných kritériích pro hodnocení bezpečnosti informačních technologií, verzi CC:2022, části 1 až 5, zveřejněných účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT a certifikovaných na úrovni EAL 4 nebo vyšší, nebo

b)

systémem EUCC [10][11] a certifikovaným na úrovni EAL 4 nebo vyšší, nebo

c)

do 31. 12. 2030 s normou FIPS PUB 140-3 [7] úrovně 3.

Tato certifikace musí odpovídat bezpečnostnímu cíli nebo profilu ochrany nebo dokumentaci návrhu modulu a jeho bezpečnosti, která splňuje požadavky tohoto dokumentu na základě analýzy rizik a s přihlédnutím k fyzickým a jiným netechnickým bezpečnostním opatřením.

Pokud je bezpečný kryptografický prostředek certifikován podle EUCC [10][11], musí být tento prostředek nakonfigurován a používán v souladu s touto certifikací.

TIS-7.6.2-04 neplatné.

POZNÁMKA 3 neplatné.

TIS-7.6.2-05 A Algoritmus generování klíče TSU, výsledná délka podpisového klíče a podpisový algoritmus používané pro podepisování časových razítek a pro podepisování certifikátů veřejného klíče TSU musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti [9] a zveřejněnými agenturou ENISA.

POZNÁMKA 4 neplatné.

TIS-7.6.2-06 A Podpisový klíč TSU lze exportovat a importovat do jiného bezpečného kryptografického prostředku pouze tehdy, pokud je tento export a import prováděn bezpečně a v souladu s certifikací tohoto prostředku.

7)

7.6.3 Ochrana soukromého klíče TSU

TIS-7.6.3-02 Soukromý podpisový klíč TSU musí být uchováván a používán v rámci bezpečného kryptografického prostředku, který je důvěryhodným systémem certifikovaným v souladu se:

a)

společnými kritérii pro hodnocení bezpečnosti informačních technologií stanovenými v normě ISO/IEC 15408 [3] nebo ve společných kritériích pro hodnocení bezpečnosti informačních technologií, verzi CC:2002, části 1 až 5, zveřejněných účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT a certifikovaných na úrovni EAL 4 nebo vyšší, nebo

b)

evropským systémem certifikace kybernetické bezpečnosti založeným na společných kritériích (EUCC) [10][11] a certifikovaným na úrovni EAL 4 nebo vyšší, nebo

c)

do 31. 12. 2030 s normou FIPS PUB 140-3 [7] úrovně 3.

Tato certifikace musí odpovídat bezpečnostnímu cíli nebo profilu ochrany nebo dokumentaci návrhu modulu a jeho bezpečnosti, která splňuje požadavky tohoto dokumentu na základě analýzy rizik a s přihlédnutím k fyzickým a jiným netechnickým bezpečnostním opatřením.

Pokud je bezpečný kryptografický prostředek certifikován podle EUCC [10][11], musí být tento prostředek nakonfigurován a používán v souladu s touto certifikací.

TIS-7.6.3-03 neplatné.

POZNÁMKA 2 neplatné.

8)

7.6.7 Konec životního cyklu klíče TSU

TIS-7.6.7-03 A Datum vypršení platnosti soukromých klíčů TSU musí být v souladu s dohodnutými kryptografickými mechanismy [9].

POZNÁMKA 1 neplatné.

9)

7.10 Bezpečnost sítí

OVR-7.10-05 Skenování zranitelnosti požadované v rámci požadavku REQ-7.8-13 normy ETSI EN 319 401 [1] se provádí nejméně jednou za čtvrtletí.

OVR-7.10-06 Penetrační test požadovaný v rámci požadavku REQ-7.8-17X normy ETSI EN 319 401 [1] se provádí nejméně jednou ročně.

OVR-7.10-07 Firewally musí být nakonfigurovány tak, aby zabránily veškerým protokolům a přístupům, které nejsou nezbytné pro provoz TSA.

10)

7.14 Ukončení činnosti autority vydávající časová razítka (TSA) a plány ukončení činnosti autority vydávající časová razítka (TSA)

OVR-7.14-01 A Plán ukončení činnosti poskytovatele služeb vytvářejících důvěru musí splňovat požadavky stanovené v prováděcích aktech přijatých podle čl. 24 odst. 5 nařízení (EU) č. 910/2014 [i.4].

2.

Pro normu ETSI EN 319 422

1)

2.1 Normativní odkazy

[5] neplatné.

[6] neplatné.

[8] Evropská skupina pro certifikaci kybernetické bezpečnosti, podskupina pro šifrování: „Dohodnuté kryptografické mechanismy“.

[9] RFC 9110 Sémantika protokolu HTTP.

2)

4.1.3 Hašovací algoritmy, které mají být použity

Použije se toto ustanovení:

Hašovací algoritmy používané k hašování informací, které mají být opatřeny časovým razítkem, očekávaná doba trvání časového razítka a zvolených hašovacích funkcí v závislosti na čase musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

POZNÁMKA neplatné.

3)

4.2.3 Podporované algoritmy

Použije se toto ustanovení:

Podporované algoritmy podpisu pomocí tokenu časového razítka musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

POZNÁMKA neplatné.

4)

4.2.4 Podporované délky klíčů

Použije se toto ustanovení:

Délky klíčů algoritmu podpisu pro zvolený algoritmus podpisu musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA.

POZNÁMKA neplatné.

5)

5.1.3 Podporované algoritmy

Použije se toto ustanovení:

Hašovací algoritmy pro data časových razítek, které mají být podporovány, očekávaná doba trvání časového razítka a zvolené hašovací funkce v závislosti na čase musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

POZNÁMKA neplatné.

6)

5.2.3 Algoritmy, které mají být použity

Použije se toto ustanovení:

Hašovací algoritmy používané k hašování informací, které mají být opatřeny časovým razítkem, a algoritmy podpisu pomocí tokenu časového razítka musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

POZNÁMKA neplatné.

7)

6.3 Požadavky na délky klíčů

Použije se toto ustanovení:

Délka klíče pro zvolený algoritmus podpisu certifikátu TSU musí být v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

POZNÁMKA neplatné.

8)

6.5 Požadavky na algoritmus

Použije se toto ustanovení:

Veřejný klíč TSU a podpis certifikátu TSU používají algoritmy, které jsou v souladu s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

POZNÁMKA neplatné.

9)

7 Profily podporovaných přenosových protokolů

Klient s časovými razítky a server s časovými razítky musí podporovat protokol časových razítek prostřednictvím protokolu HTTPS [9], jak je vymezen v bodě 3.4 dokumentu IETF RFC 3161 [1].

10)

8 Identifikátory objektů kryptografických algoritmů

Použije se toto ustanovení:

Veřejný klíč TSU a podpis certifikátu TSU používají algoritmy ve shodě s dohodnutými kryptografickými mechanismy přijatými Evropskou skupinou pro certifikaci kybernetické bezpečnosti a zveřejněnými agenturou ENISA [8].

11)

9.1 Prohlášení o souladu s předpisy

Pokud je token časového razítka prohlášen autoritou vydávající časová razítka (TSA) jako kvalifikované elektronické časové razítko podle nařízení (EU) č. 910/2014 [i.2], musí v poli pro rozšíření tokenu časového razítka obsahovat jednu instanci rozšíření qcStatements se syntaxí specifikovanou v dokumentu IETF RFC 3739 [i.3], bodě 3.2.6.

Rozšíření qcStatements musí obsahovat jednu instanci příkazu „esi4-qtstStatement-1“, jak je definováno v příloze B.

Rozšíření qcStatements nesmí být označeno jako kritické.

(1)  EN 319 421 – Elektronické podpisy a infrastruktury (ESI) – Politické a bezpečnostní požadavky na poskytovatele služeb vytvářejících důvěru vydávajících časová razítka, V1.3.1.

(2)  EN 319 422 – Elektronické podpisy a infrastruktury (ESI) – Protokol pro vyznačení času a profily tokenu časového razítka, V1.1.1 (2016-03).https://www.etsi.org/deliver/etsi_en/319400_319499/319422/01.01.01_60/en_319422v010101p.pdf.

(3)   https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.

(4)   Úř. věst. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj.

(5)   Úř. věst. L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj.

ELI: http://data.europa.eu/eli/reg_impl/2025/1929/oj

ISSN 1977-0626 (electronic edition)

© Evropská unie, https://eur-lex.europa.eu/ , 1998-2022
Zavřít
MENU
Nejste přihlášeni
Zaregistrovat / Přihlásit se
Podrobné vyhledávání
Podrobné vyhledávání

Vyhledání konkrétního předpisu

K vyhledání konkrétního předpisu stačí zadat číslo/rok. (Např. 14/2000)

Fulltextové vyhledávání

Zadejte vhodně vybraná klíčová slova. Zadání může být v následujícíh tvarech:

  • náhrady škody: pokud zadáte více slov, najde všechny stránky, kde se vyskytují alespoň jedno ze zadaných slov. Na pořadí slov však nezáleží.
  • +náhrady: každé slovo, které předchází znaménko plus, se musí na stránce nacházet.
  • -náhrady: každé slovo, které předchází znaménko mínus, se nesmí na stránce nacházet.
  • "náhradě škod": řetězec uzavřený v uvozovkách bude vyhledán přesně tak, jak je zadán. Tj. budou vyhledány jen stránky, kde se vyskytují obě slova přesně za sebou.

Jednotlivá pravidla lze libovolně kombinovat.