Kommissionens genomförandeförordning (EU) 2026/798 av den 7 april 2026 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller referensstandarder och specifikationer för anslutning på distans av användare till de europeiska digitala identitetsplånböckerna med hjälp av medel för elektronisk identifiering som motsvarar tillitsnivå väsentlig i kombination med ytterligare förfaranden för anslutning på distans där kombinationen uppfyller kraven på tillitsnivå hög
Hänvisat till av
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, särskilt artikel 5a.24, och
1 Anslutningen av användare till de europeiska digitala identitetsplånböckerna (plånböckerna) är ett viktigt steg för att kontrollera plånboksanvändarnas identitet, och för att binda användarnas personliga identifieringsuppgifter till deras plånböcker och till den användarenhet där plånboksenheterna är installerade.
2 I syfte att främja en hög nivå av förtroende och säkerhet samt en harmoniserad strategi i alla medlemsstater för anslutning av plånboksanvändare med förfaranden för anslutning på distans i kombination med medel för elektronisk identifiering som motsvarar tillitsnivå väsentlig, fastställs i denna genomförandeakt specifikationer och förfaranden för att främja anslutning av användare till den europeiska digitala identitetsplånboken genom medel för elektronisk identifiering som motsvarar tillitsnivå väsentlig i kombination med ytterligare förfaranden för anslutning på distans som tillsammans uppfyller kraven för tillitsnivå hög.
3 Dessa standarder bör återspegla etablerad praxis och vara allmänt erkända inom de relevanta sektorerna. Dessa standarder bör anpassas så att de omfattar krav som säkerställer säkerhet och tillförlitlighet vid anslutningen av användarna.
4 I kommissionens genomförandeförordning (EU) 2015/1502 föreskrivs att om medel för elektronisk identifiering utfärdas med tillitsnivån hög, och riskerna för ändring i personidentifieringsuppgifterna beaktas, krävs det inte att förfarandena för styrkande och kontroll av identitet upprepas. I sådana fall bör medlemsstaterna därför utnyttja medel för elektronisk identifiering som utfärdats med tillitsnivån hög även för anslutningsförfarandet i enlighet med denna förordning.
5 Om medlemsstaterna ansluter användare till plånböckerna genom medel för elektronisk identifiering som inte har anmälts till kommissionen bör tillitsnivån för detta medel bekräftas av ett organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i Europaparlamentets och rådets förordning (EG) nr 765/2008 eller av ett likvärdigt organ, och det bör påvisas att resultatet av detta tidigare förfarande för utfärdande av ett medel för elektronisk identifiering fortfarande är giltigt.
6 I bilagan fastställs de krav som måste uppfyllas för att uppnå en viss nivå av identitetsstyrkande, men likvärdighet har inte fastställts med avseende på tillförlitlighetsnivån enligt definitionen i artikel 8 i förordning (EU) nr 910/2014. Kraven i bilagan bör därför anses genomföra kraven i genomförandeförordning (EU) 2015/1502 och bör uppfyllas av tillhandahållaren av personidentifieringsuppgifter eller en enhet som tillhandahåller tjänster för styrkande av identitet på den tillhandahållarens vägnar.
7 Kommissionen utvärderar regelbundet ny teknik, nya metoder och tekniska specifikationer. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 bör kommissionen se över och, vid behov, uppdatera denna genomförandeförordning för att hålla den i linje med den globala utvecklingen, ny teknik samt nya standarder eller tekniska specifikationer och för att följa bästa praxis på den inre marknaden, särskilt med avseende på anslutning av användare till plånboken.
8 Europaparlamentets och rådets förordning (EU) 2016/679 och, i förekommande fall, Europaparlamentets och rådets förordning (EU) 2018/1725 samt Europaparlamentets och rådets direktiv 2002/58/EG är tillämpliga på behandling av personuppgifter i enlighet med denna förordning.
9 Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 30 januari 2026.
10 Den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014 har inte avgivit något yttrande inom den tidsfrist som beslutades av dess ordförande.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
De referensstandarder och specifikationer som avses i artikel 5a.24 i förordning (EU) nr 910/2014 anges i bilagan till den här förordningen.
Artikel 2
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
1 EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (EUT L 235, 9.9.2015, s. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
3 Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
4 Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet ( EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
5 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
6 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
7 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
8 EDPS Formal comments on the draft Commission Implementing Regulation as regards onboarding of users to the European Digital Identity Wallets.
BILAGA
Överensstämmelse bedöms mot de punkter i Etsi TS 119461 V2.1.1 (2025–02) som förtecknas i avsnitt 1, med de anpassningar som förtecknas i avsnitt 2.
Avsnitt 1 – Tillämpliga bestämmelser
— | 5 | Operational risk assessment
— | 6 | Policies and practices
— | 7 | Identity proofing service management and operation
— | 8 | Identity proofing service requirements
— | 9.1 | Introduction, compliance with the present document, general requirements for all use cases
— | 9.2.2 | Use cases using an identity document for attended remote identity proofing
— | 9.2.3 | Use cases using an identity document for unattended remote identity proofing
— | 9.2.4 | Use case for identity proofing by authentication using eID means
— | 9.5 | Use cases for additional identity proofing to enhance an identity proven by use of an eID from Baseline LoIP to Extended LoIP
Avsnitt 2 – Anpassningar
(1) | 5 | Operational risk assessment
— | OVR-5-01: De krav som anges i Etsi EN 319401 [1], punkt 5, ska tillämpas.
—. | Anmärkning 1: Om det är tillhandahållaren av personidentifieringsuppgifter som själv styrker identiteten kan riskbedömningen av tillhandahållaren av personidentifieringsuppgifter omfatta styrkandet av identitet
(2) | 6.1 | Identity proofing service practice statement
— | OVR-6.1–02: En tjänsteleverantör för styrkande av identitet ska i sin förklaring om metoder ange de användningsfall som sägs efterleva detta dokument.
— | Anmärkning 1: Om det är leverantören av personidentifieringsuppgifter som själv styrker identiteten kan förklaringen om metoder för styrkande av identitet från tillhandahållaren av personidentifieringsuppgifter täcka informationen om identitetsstyrkande, och det finns inget behov av en särskild förklaring om metoderna för styrkande av identitet.
(3) | 7.9 | Vulnerabilities and incident management
— | OVR-7.9–02: Rapporteringsskyldigheterna enligt Etsi EN 319401 [1] REQ-7.9.2–02X och punkt 7.9.3 ska uppfyllas på det sätt som krävs i det aktuella sammanhanget för styrkande av identitet och genom skyldigheterna för tillhandahållaren av personidentifieringsuppgifter som förlitar sig på tjänsterna från tjänsteleverantören för styrkande av identitet.
— | EXEMPEL: Rapportering till den myndighet som utövar tillsyn över en tillhandahållare av europeiska digitala identitetsplånböcker som är etablerad i den medlemsstat som den har utsetts av kan ske i samarbete mellan tjänsteleverantören för styrkande av identitet och tillhandahållaren av personidentifieringsuppgifter.
(4) | 7.10 | Collection of evidence
— | OVR-7.10–01: De krav som anges i Etsi EN 319401 [1], punkt 7,10, ska tillämpas.
— | Anmärkning 1: Långsiktiga krav på lagring av bevis kan uppfyllas av den tillhandahållare av personidentifieringsuppgifter som begär styrkande av identitet i stället för av tjänsteleverantören för styrkande av identitet, om dessa är två är olika enheter.
— | Anmärkning 2: Kraven i punkt 8.5.2 i detta dokument gäller.
(5) | 7.11 | Business continuity management
— | OVR-7.11–02: Förfarandena för krishantering enligt Etsi EN 319401 [1], REQ-7.11.3–01X, ska vara de som krävs i det aktuella sammanhanget för styrkande av identitet och genom skyldigheterna för tillhandahållaren av personidentifieringsuppgifter som förlitar sig på tjänsterna från tjänsteleverantören för styrkande av identitet.
(6) | 7.12 | Termination and termination plans
— | OVR-7.12–01: De krav som anges i Etsi EN 319401 [1], punkt 7.12, med undantag för REQ-7.12–11, ska tillämpas.
— | Anmärkning: När tjänsteleverantören för styrkande av identitet och den tillhandahållare av personidentifieringsuppgifter som begär styrkande av identitet är olika enheter kan de komma överens om ömsesidigt eller ensidigt stöd vid upprättande av planer för upphörande.
(7) | 8.1 | Initiatiation
— | INI-8.1–05: I den händelse att förfarandet för styrkande av identitet på distans avbryts eller misslyckas ska tjänsteleverantören för styrkande av identitet säkerställa att individer förses med tillräckliga förklaringar och avhjälpande åtgärder, i synnerhet vid oövervakat styrkande av identitet på distans. Informationen bör säkerställa att individer på ett effektivt sätt kan bidra till en snabb lösning av problemet och, vid behov, utöva sina rättigheter som registrerade – såsom rätt till rättelse eller möjlighet att bestrida ett beslut – i förhållande till den berörda personuppgiftsansvarige.
(8) | 8.2.1 | General requirements
— | COL-8.2.1–08: Tjänsteleverantören för styrkande av identitet ska genomföra åtgärder för att säkerställa uppfyllande av kraven på inbyggt dataskydd och dataskydd som standard i enlighet med artikel 25 i förordning (EU) 2016/679 i samband med anslutningsförfarandet, särskilt vad gäller behandlingen av biometriska data. Relevanta åtgärder kan vara lämpliga integritetsfrämjande kryptografiska kontroller, enheter och organisatioriska åtgärder. Dessa åtgärder bör begränsa datainsamlingen till vad som är strikt nödvändigt för behandlingen av biometriska data och andra personuppgifter som samlas in från fysiska och digitala identifieringskällor för att binda användarnas personliga identifieringsuppgifter till deras plånböcker och till de användarenheter där plånboksenheterna är installerade.
(9) | 8.2.4 | Use of existing eID means as evidence
— | [CONDITIONAL] COL-8.2.4–02X: Om referensnivån för styrkande av identitet är riktad ska medlen för elektronisk identifiering ha anmälts till åtminstone tillitsnivån väsentlig enligt eIDA-förordningen, eller så ska deras tillitsnivå ha bekräftats av ett ackrediterat organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 eller ett likvärdigt organ, och om alla tillämpliga krav är uppfyllda ska bedömningen leda till ett intyg om överensstämmelse baserat på en certifieringsgranskning. Denna formella certifieringsprocess ska baseras på ett förfarande för säkerhetsutvärdering som avser de tillitsnivåer som fastställts för anmälda medel för elektronisk identifiering eller certifierade europeiska digitala identitetsplånböcker enligt förordning (EU) nr 910/2014 [i.25].
— | COL-8.2.4–02A: tom
(10) | 8.3.1 | General requirements
— | VAL-8.3.1–11X: Förfarandet för styrkande av identitet ska verifiera att beviset är giltigt vid tidpunkten för styrkande av identitet.
(11) | 8.3.3 | Validation of physical identity document
— | VAL-8.3.3–21: Ändamålsenligheten hos åtgärderna för överensstämmelse med kraven VAL-8.3.3–05X, VAL-8.3.3–05A, VAL-8.3.3–05B, VAL-8.3.3–05C, VAL-8.3.3–07A och VAL-8.3.3–07X ska bekräftas av ett ackrediterat organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 eller ett likvärdigt organ.
— | VAL-8.3.3–22: Referensansiktsbilden från den fysiska identitetshandlingen ska samlas in med hjälp av närfältskommunikation (NFC) och förfarandet ska omfatta passiv eller aktiv autentisering av chippet på den fysiska identitetshandlingen.
(12) | 9.1 | Introduction, compliance with the present document, general requirements for all use cases
— | USE-9.1–01X: För att ett förfarande för styrkande av identitet ska överensstämma med detta dokument måste det överensstämma med användningsfallet i punkt 9.5 i detta dokument för den utökade nivån för styrkande av identitet.
— | USE-9.1–03X: tom
(13) | 9.2.3.4 | Use case for automated operation
— | USE-9.2.3.4–04: Tjänsteleverantören för styrkande av identitet ska fastställa målvärden för grad av felaktig acceptans och grad av felaktiga avvisanden, på grundval av en riskanalys och dess underrättelseförfarande avseende hot, genom att använda den metod som fastställs i Enisas rapport Methodology for sectoral cybersecurity assessments [i.28] eller en likvärdig metod, i helt automatiserade förfaranden för styrkande av identitet. De målvärden som tjänsteleverantören för styrkande av identitet använder ska vara lika med eller lägre än de som fastställts för hybridanvändningsfall, om sådana finns. Tjänsteleverantören för styrkande av identitet ska konsekvent upprätthålla dessa målvärden för grad av felaktig acceptans och grad av felaktiga avvisanden, med stöd av en riskanalys och dess underrättelseförfarande för hot.
(14) | 9.5.1 | General requirements
— | Första stycket: Om den sökande är en fysisk person, inbegripet en fysisk person som företräder en juridisk person, och den sökandes identitet har styrkts på referensnivån för styrkande av identitet genom autentisering med hjälp av en e-legitimation, och det krävs en förstärkning till den utökade nivån för styrkande av identitet, ska nedanstående krav tillämpas.
— | USE-9.5.1–08: Det ytterligare styrkande av identitet som krävs för att förstärka dess tillförlitlighet är endast tillämpligt på en e-legitimation som inte har utfärdats med hjälp av automatiserad jämförelse mellan ansiktsbilder för det ursprungliga förfarandet för utfärdande.
(15) | 9.5.2 | Use case for enhancing identity proofing to Extended LoIP by a full identity proofing using an identity document
— | USE-9.5.2–01: Styrkandet av identitet för en förstärkning från referensnivån för styrkande av identitet till den utökade nivån för styrkande av identitet ska överensstämma med kraven för ett av de användningsfall som beskrivs i punkterna 9.2.2 eller 9.2.3 i detta dokument för den utökade nivån för styrkande av identitet.
(16) | 9.5.3 | Use case for enhancing identity proofing to Extended LoIP by use of a previously captured reference face image
— | USE-9.5.3–01: Ett förfarande för styrkandet av identitet som uppfyller kraven för den utökade nivån för styrkande av identitet från ett av de användningsfall som beskrivs i punkterna 9.2.2 eller 9.2.3 i detta dokument, eller det förfarande för styrkande av identitet som har granskats kollegialt eller certifierats av ett ackrediterat organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 eller ett likvärdigt organ för att överensstämma med tillitsnivån hög i enlighet med förordning (EU) nr 910/2014 [i.25] ska användas för att ta en referensansiktsbild och binda nödvändiga identitetsattribut till denna referensansiktsbild.