Kommissionens genomförandeförordning (EU) 2025/2527 av den 16 december 2025 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller referensstandarder för kvalificerade certifikat för autentisering av webbplatser
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, särskilt artikel 45.2, och
1 Kvalificerade certifikat för autentisering av webbplatser är avgörande för att säkerställa förtroende och transparens vid interaktioner på nätet. De gör det möjligt att autentisera en webbplats och koppla webbplatsen till den fysiska eller juridiska person som certifikatet utfärdats för. Kommissionen ska upprätta en förteckning över referensstandarder för sådana certifikat.
2 Referensstandarderna bör göra det möjligt att införa olika typer av kvalificerade certifikat för autentisering av webbplatser för olika användningsfall, inbegripet deras användning enligt Europaparlamentets och rådets direktiv (EU) 2015/2366. De bör återspegla etablerad praxis och vara allmänt erkända inom de relevanta sektorerna. För att möjliggöra innovation och tillgodose olika tekniska och operativa behov bör referensstandarderna också göra det möjligt att utfärda kvalificerade certifikat för autentisering av webbplatser på olika sätt, dvs. som fristående certifikat, som certifikat som är bundna till andra certifikat eller i andra konfigurationer som uppfyller kraven i förordning (EU) nr 910/2014. En sådan flexibilitet när det gäller utfärdandet av kvalificerade certifikat för autentisering av webbplatser säkerställer att certifikaten kan anpassas för att tillgodose behoven i ett brett spektrum av användningsfall, som upprätthåller förtroendet och interoperabiliteten mellan medlemsstater, utan att det påverkar friheten för leverantörer av webbläsare att säkerställa webbsäkerhet, domänautentisering och kryptering av webbtrafik på det sätt och med de tekniska medel som de anser vara lämpligast.
3 I syfte att säkerställa tillräcklig tid för revision av kvalificerade tillhandahållare av betrodda tjänster vad gäller överensstämmelse med kraven i denna förordning bör denna förordning börja tillämpas 12 månader efter att den har trätt i kraft.
4 Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder eller tekniska specifikationer. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 bör kommissionen vid behov se över och, vid behov, uppdatera denna förordning för att hålla den i linje med den globala utvecklingen, ny teknik, nya metoder samt nya standarder eller tekniska specifikationer och för att följa bästa praxis på den inre marknaden.
5 Europaparlamentets och rådets förordning (EU) 2016/679 och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG är tillämpliga på behandlingen av personuppgifter enligt denna förordning.
6 Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 och avgav ett yttrande den 21 oktober 2025.
7 De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
De referensstandarder som avses i artikel 45.2 i förordning (EU) nr 910/2014 anges i bilagan till den här förordningen.
Artikel 2
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Den ska tillämpas från och med den 6 januari 2027.
1 EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
3 Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet ( EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
4 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
5 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
6 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
7 Europeiska datatillsynsmannens formella synpunkter på utkastet till genomförandeförordning om tillämpningsföreskrifter för förordning (EU) nr 910/2014 vad gäller referensstandarder för kvalificerade certifikat för autentisering av webbplatser.
BILAGA
1. För kvalificerade certifikat för autentisering av webbplatser som utfärdas för autentisering av transportlagersäkerhet utanför ramen för en webbläsare: ETSI EN 319411-2 V2.6.1 (2025-06); dessa certifikat ska utfärdas i enlighet med certifikatpolicyn för QNCP-w-gen, certifikatpolicyn för QEVCP-w eller certifikatpolicyn för QNCP-w, enligt vad som anges i den standarden, eller ETSI TS 119495 V1.7.1 (2024-07).
2. För andra kvalificerade certifikat för autentisering av webbplatser än de som avses i punkt 1, inbegripet inom ramen för en webbläsare: ETSI TS 119411-5 V2.1.1 (2025-02).