(1)

V sporočilu Komisije z dne 19. februarja 2020 z naslovom „Oblikovanje digitalne prihodnosti Evrope“ je napovedana revizija Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta (4) za izboljšanje njene učinkovitosti, razširitev njene koristi na zasebni sektor ter spodbujanje zaupanja vrednih digitalnih identitet za vse Evropejce.

(2)

Evropski svet je v svojih sklepih z dne 1. in 2. oktobra 2020 pozval Komisijo, naj predlaga razvoj okvira za varno javno elektronsko identifikacijo na ravni Unije, vključno z interoperabilnimi digitalnimi podpisi, da bi ljudje imeli nadzor nad svojo spletno identiteto in podatki ter da se omogoči dostop do javnih, zasebnih in čezmejnih digitalnih storitev.

(3)

V programu politike Digitalno desetletje do leta 2030, vzpostavljenim s Sklepom (EU) 2022/2481 Evropskega parlamenta in Sveta (5), so določeni digitalni cilji okvira Unije, ki naj bi do leta 2030 omogočili široko uporabo zaupanja vredne in prostovoljne digitalne identitete pod nadzorom uporabnika, ki je priznana po vsej Uniji in vsakemu uporabniku omogoča nadzor nad njegovimi podatki v spletnih interakcijah.

(4)

V Evropski deklaraciji o digitalnih pravicah in načelih za digitalno desetletje, ki so jo razglasili Evropski parlament, Svet in Komisija (6) (v nadaljnjem besedilu: Deklaracija), je poudarjena pravica vseh do dostopa do digitalnih tehnologij, izdelkov in storitev, ki so po zasnovi varni in zaščiteni ter varujejo zasebnost. To pomeni tudi, da bo vsem ljudem, ki živijo v Uniji, ponujena dostopna, varna in zaupanja vredna digitalna identiteta, ki jim bo omogočila dostop do široke palete spletnih in nespletnih storitev in ki je zaščitena pred tveganji za kibernetsko varnost in kibernetsko kriminaliteto, vključno s kršitvami varnosti podatkov in krajo identitete ali manipuliranjem z njo. V Deklaraciji je zapisano tudi, da ima vsakdo pravico do varstva svojih osebnih podatkov. Ta pravica vključuje nadzor nad tem, kako se podatki uporabljajo in s kom se izmenjujejo.

(5)

Državljani in rezidenti Unije bi morali imeti pravico do digitalne identitete pod svojim izključnim nadzorom, ki jim omogoča uresničevanje pravic, ki jih imajo v digitalnem okolju, ter udeležbo v digitalnem gospodarstvu. Za doseganje tega cilja bi bilo treba vzpostaviti evropski okvir za digitalno identiteto, ki bi državljanom in rezidentom Unije omogočal dostop do javnih in zasebnih spletnih in nespletnih storitev po vsej Uniji.

(6)

Usklajen okvir za digitalno identiteto bi moral prispevati k ustvarjanju bolj digitalno povezane Unije tako, da bi zmanjšal digitalne ovire med državami članicami ter državljane in rezidente Unije opolnomočal, da izkoristijo prednosti digitalizacije, hkrati pa bi povečal preglednost in varstvo njihovih pravic.

(7)

Bolj usklajen pristop k elektronski identifikaciji bi moral zmanjšati tveganja in znižati stroške sedanje razdrobljenosti zaradi uporabe različnih nacionalnih rešitev ali neobstoja takih rešitev elektronske identifikacije v nekaterih državah članicah. Tak pristop naj bi okrepil notranji trg, tako da bi državljanom in rezidentom Unije, kot so opredeljeni v nacionalnem pravu, in podjetjem omogočil, da se identificirajo ter zagotovijo spletno in nespletno avtentikacijo svoje identitete na varen, zaupanja vreden, uporabniku prijazen, priročen, dostopen in usklajen način po vsej Uniji. Evropska denarnica za digitalno identiteto bi morala fizičnim in pravnim osebam po vsej Uniji zagotoviti harmonizirano sredstvo elektronske identifikacije, ki omogoča avtentikacijo in izmenjavo podatkov, povezanih z njihovo identiteto. Vsem bi moral biti omogočen varen dostop do javnih in zasebnih storitev, ki temeljijo na izboljšanem ekosistemu za storitve zaupanja ter preverjenih dokazilih o identiteti in elektronskih potrdilih o atributih, kot so akademske kvalifikacije, vključno z univerzitetnimi diplomami, ali drugi izobraževalni oziroma poklicni dosežki. Evropski okvir za digitalno identiteto naj bi uresničil prehod z zanašanja samo na nacionalne rešitve digitalne identitete na zagotavljanje elektronskih potrdil o atributih, veljavnih in zakonsko priznanih po vsej Uniji. Ponudniki elektronskih potrdil o atributih bi morali imeti koristi od jasnih in enotnih pravil, javnim upravam pa bi moralo biti omogočeno, da se zanesejo na elektronske dokumente v določeni obliki.

(8)

Več držav članic je uvedlo in uporablja sredstva elektronske identifikacije, ki jih ponudniki storitev v Uniji sprejemajo. Poleg tega so bile izvedene naložbe v nacionalne in čezmejne rešitve na podlagi Uredbe (EU) št. 910/2014, vključno z interoperabilnostjo priglašenih shem elektronske identifikacije na podlagi navedene uredbe. Da bi zagotovili dopolnjevanje in bi sedanji uporabniki priglašenih sredstev elektronske identifikacije hitro sprejeli evropske denarnice za digitalno identiteto ter da bi čim bolj zmanjšali učinek na obstoječe ponudnike storitev, bi bilo treba pri evropskih denarnicah za digitalno identiteto izkoristiti izkušnje, pridobljene na podlagi uporabe obstoječih sredstev elektronske identifikacije, ter infrastrukturo za priglašene sheme elektronske identifikacije, vzpostavljeno na ravni Unije in nacionalni ravni.

(9)

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (7) in, kadar je ustrezno, Direktiva 2002/58/ES Evropskega parlamenta in Sveta (8) se uporabljata za vse dejavnosti obdelave osebnih podatkov na podlagi Uredbe (EU) št. 910/2014. Rešitve na podlagi interoperabilnostnega okvira iz te uredbe so prav tako skladne s temi pravili. Pravo Unije o varstvu podatkov določa načela varstva podatkov, kot je načelo najmanjšega obsega podatkov in načelo omejitve namena, ter obveznosti, kot je vgrajeno in privzeto varstvo podatkov.

(10)

Za podpiranje konkurenčnosti podjetij v Uniji bi moralo biti ponudnikom spletnih in nespletnih storitev omogočeno, da se zanašajo na rešitve digitalne identitete, priznane po vsej Uniji, ne glede na državo članico, v kateri se te rešitve zagotavljajo, ter tako izkoriščajo usklajen pristop Unije k zaupanju, varnosti in interoperabilnosti. Uporabniki in ponudniki storitev bi morali imeti koristi od enake pravne veljave, ki je zagotovljena elektronskim potrdilom o atributih po vsej Uniji. Z usklajenim okvirom za digitalno identiteto naj bi se omogočilo ustvarjanje ekonomske vrednosti, tako da se olajša dostop do blaga in storitev in znatno zmanjšajo operativni stroški, povezani s postopki elektronske identifikacije in avtentikacije, na primer pri postopkih pristopa novih strank, ter da se zmanjšajo možnosti za kibernetsko kriminaliteto, kot so kraja identitete, kraja podatkov in spletne goljufije, s čimer bi se spodbujala čim večja učinkovitost in varna digitalna preobrazba mikro, malih in srednjih podjetij Unije (MSP).

(11)

Evropske denarnice za digitalno identiteto bi morale olajšati uporabo načela „samo enkrat“, s čimer bi se zmanjšalo upravno breme in podprla čezmejna mobilnost državljanov in rezidentov Unije ter podjetij po vsej Uniji ter spodbujalo razvoj interoperabilnih storitev e-uprave po vsej Uniji.

(12)

Uredba (EU) 2016/679, Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta (9) ter Direktiva 2002/58/ES se uporabljajo za obdelavo osebnih podatkov pri izvajanju te uredbe. Zato bi morali biti v tej uredbi določeni posebni zaščitni ukrepi, ki bi ponudnikom sredstev elektronske identifikacije in elektronskih potrdil o atributih preprečevali združevanje osebnih podatkov, pridobljenih pri zagotavljanju drugih storitev, z osebnimi podatki, obdelanimi za namene zagotavljanja storitev, ki spadajo na področje uporabe te uredbe. Osebni podatki povezani z zagotavljanjem evropskih denarnic za digitalno identiteto bi se morali na logičen način hraniti ločeni od vseh drugih podatkov, ki jih hrani ponudnik evropske denarnice za digitalno identiteto. Ta uredba ponudnikom evropskih denarnic za digitalno identiteto ne bi smela preprečevati uporabe dodatnih tehničnih ukrepov, ki prispevajo k varstvu osebnih podatkov, kot je fizično ločevanje osebnih podatkov povezanih z zagotavljanjem evropskih denarnic za digitalno identiteto od vseh drugih podatkov, ki jih ponudnik hrani. Ta uredba brez poseganja v Uredbo (EU) 2016/679 nadalje določa uporabo načel omejitve namena, najmanjšega obsega podatkov ter vgrajenega in privzetega varstva podatkov.

(13)

Evropske denarnice za digitalno identiteto bi morale imeti že vgrajeno skupno nadzorno ploščo, da se zagotovijo boljša preglednost, večja zasebnost ter boljši nadzor uporabnikov nad njihovimi osebnimi podatki. Ta funkcija bi morala ponujati enostaven uporabniku prijazen vmesnik s pregledom nad vsemi zanašajočimi se strankami, s katerimi uporabnik izmenjuje podatke, vključno z atributi, ter nad vrsto podatkov, ki jih je izmenjal z vsako od zanašajočih se strank. Uporabnikom bi morala omogočiti spremljanje vseh transakcij, izvedenih z evropskimi denarnicami za digitalno identiteto, in vključevati vsaj naslednje podatke: čas in datum transakcije, identifikacijo druge strani, zahtevane osebne podatke in izmenjane podatke. Te informacije bi bilo treba shraniti, tudi če transakcija ni bila zaključena. Ne bi smelo biti mogoče zanikati verodostojnosti informacij iz zgodovine transakcij. Ta funkcija bi morala biti privzeto vključena. Uporabnikom bi morala omogočati, da neposredno prek evropske denarnice za digitalno identiteto na preprost način zahtevajo, da zanašajoča stranka nemudoma izbriše osebne podatke na podlagi člena 17 Uredbe (EU) 2016/679 in da zanašajočo se stranko preprosto prijavijo pristojnemu nacionalnemu organu za varstvo podatkov, kadar pride do prejema domnevno nezakonitih ali sumljivih zahtev za osebne podatke.

(14)

Države članice bi morale v evropsko denarnico za digitalno identiteto vključiti različne tehnologije za ohranjanje zasebnosti, kot je dokaz brez razkritja znanja. Te kriptografske metode bi morale zanašajoči se stranki omogočiti, da potrdi, ali je določena izjava, ki temelji na identifikacijskih podatkih in potrdilih o atributih osebe, resnična, ne da bi razkrila kakršne koli podatke, na katerih temelji navedena izjava, s čimer bi se ohranila zasebnost uporabnika.

(15)

Ta uredba določa usklajene pogoje za vzpostavitev okvira za evropske denarnice za digitalno identiteto, ki naj bi jih zagotavljale države članice. Vsi državljani in rezidenti Unije, kakor so opredeljeni v nacionalnem pravu, bi morali imeti možnost, da na varen način zahtevajo, izbirajo, združujejo, shranjujejo, brišejo, izmenjujejo in predstavljajo podatke, povezane z njihovo identiteto, ter zahtevajo izbris svojih osebnih podatkov na uporabniku prijazen in priročen način pod izključnim nadzorom uporabnika, hkrati pa omogočajo selektivno razkrivanje osebnih podatkov. Ta uredba odraža skupne evropske vrednote in spoštuje temeljne pravice, pravna jamstva in odgovornost ter tako ščiti demokratične družbe, državljane in rezidente Unije. Razviti bi bilo treba tehnologije, ki bi se uporabljale za uresničevanje teh ciljev ter bi bile namenjene doseganju najvišje ravni varnosti, zasebnosti, priročnosti za uporabnike, dostopnosti, široke uporabnosti in nemotene interoperabilnosti. Države članice bi morale vsem svojim državljanom in rezidentom zagotoviti enak dostop do elektronske identifikacije. Države članice ne bi smele neposredno ali posredno omejevati dostopa do javnih ali zasebnih storitev za fizične ali pravne osebe, ki se ne odločijo za uporabo evropskih denarnic za digitalno identiteto, in bi morale dati na voljo ustrezne alternativne rešitve.

(16)

Države članice bi morale izkoristiti možnosti v okviru te uredbe, da bi v skladu s svojo odgovornostjo zagotovile evropske denarnice za digitalno identiteto, ki bi jih uporabljale fizične in pravne osebe, ki prebivajo na njihovem ozemlju. Da bi državam članicam omogočili prilagodljivost in izkoristili najsodobnejšo tehnologijo, bi morala ta uredba omogočiti, da se evropske denarnice za digitalno identiteto zagotovijo neposredno s strani države članice, na podlagi pooblastila države članice ali neodvisno od države članice, vendar z njenim priznanjem.

(17)

Zanašajoče se stranke bi morale za namene registracije zagotoviti informacije, ki so potrebne za njihovo elektronsko identifikacijo in avtentikacijo v okviru evropskih denarnic za digitalno identiteto. Pri prijavi njihove nameravane uporabe evropske denarnice za digitalno identiteto bi morale zagotoviti informacije o morebitnih podatkih, ki jih bodo zahtevale za opravljanje svojih storitev, ter razloge za to zahtevo. Registracija zanašajočih se strank državam članicam olajša preverjanje glede zakonitosti dejavnosti teh strank v skladu s pravom Unije. Obveznost registracije iz te uredbe ne bi smela posegati v obveznosti, določene v drugem pravu Unije ali nacionalnem pravu, kot so informacije, ki jih je treba zagotoviti posameznikom, na katere se nanašajo osebni podatki, na podlagi Uredbe (EU) 2016/679. Zanašajoče se stranke bi morale ravnati v skladu z zaščitnimi ukrepi iz členov 35 in 36 navedene uredbe, zlasti tako, da izvedejo ocene učinka v zvezi z varstvom podatkov ter se posvetujejo s pristojnimi organi za varstvo podatkov pred obdelavo podatkov, kadar ocene učinka v zvezi z varstvom podatkov kažejo, da bi obdelava povzročila veliko tveganje. Tovrstni zaščitni ukrepi bi morali podpirati zakonito obdelavo osebnih podatkov s strani zanašajočih se strank, zlasti v zvezi s posebnimi vrstami podatkov, kot so zdravstveni podatki. Registracija zanašajočih se strank naj bi povečala preglednost in zaupanje v uporabo evropskih denarnic za digitalno identiteto. Registracija bi morala biti stroškovno učinkovita in sorazmerna s povezanimi tveganji, da se zagotovi uporaba s strani ponudnikov storitev. Tozadevno bi morala registracija omogočati uporabo avtomatiziranih postopkov, med drugim tako, da bi se države članice opirale na obstoječe registre in jih uporabljale, in ne bi smela vključevati postopka predhodne odobritve. Postopek registracije bi moral omogočati različne primere uporabe, ki se lahko razlikujejo glede načina delovanja, in sicer spletni ali nespletni način, ali v smislu zahtev glede avtentikacije naprav za namene povezovanja z evropsko denarnico za digitalno identiteto. Registracija bi se morala zahtevati izključno pri zanašajočih se strankah, ki zagotavljajo storitve na podlagi digitalne interakcije.

(18)

Zaščita državljanov in rezidentov Unije pred nedovoljeno ali goljufivo uporabo evropskih denarnic za digitalno identiteto je zelo pomembna za zagotavljanje zaupanja v evropske denarnice za digitalno identiteto in njihovo široko uporabo. Uporabnikom bi bilo treba zagotoviti učinkovito zaščito pred takšno zlorabo. Zlasti kadar nacionalni pravosodni organ v okviru drugega postopka ugotovi dejstva, ki tvorijo podlago za goljufivo ali drugače nezakonito uporabo evropske denarnice za digitalno identiteto, bi morali nadzorni organi, pristojni za izdajatelje evropske denarnice za digitalno identiteto, po prejetju uradnega obvestila sprejeti potrebne ukrepe za zagotovitev, da se registracija zanašajočih se strank in njihova vključitev v mehanizem avtentikacije prekličeta ali začasno prekineta, dokler priglasitveni organ ne potrdi, da so bile ugotovljene nepravilnosti odpravljene.

(19)

Vse evropske denarnice za digitalno identiteto bi morale uporabnikom omogočiti, da se čezmejno elektronsko identificirajo in avtenticirajo v spletnem in nespletnem načinu, da lahko dostopajo do različnih javnih in zasebnih storitev. Brez poseganja v pristojnosti držav članic, kar zadeva identifikacijo njihovih državljanov in rezidentov, se lahko evropske denarnice za digitalno identiteto uporabljajo tudi za institucionalne potrebe javnih uprav, mednarodnih organizacij ter institucij, organov, uradov in agencij Unije. Avtentikacija v nespletnem načinu bi bila pomembna v številnih sektorjih, vključno z zdravstvenim, v katerem se storitve pogosto zagotavljajo z osebno interakcijo, pri e-receptih pa bi morala biti omogočena uporaba kod QR ali podobnih tehnologij za preverjanje avtentičnosti. Evropske denarnice za digitalno identiteto bi morale za izpolnitev varnostnih zahtev iz te uredbe izkoristiti potencial rešitev za zaščito pred nedovoljenimi posegi, kot so varnostni elementi, pri čemer se zanašajo na visoko raven zanesljivosti v zvezi s shemami elektronske identifikacije. Evropske denarnice za digitalno identiteto bi morale uporabnikom omogočati tudi ustvarjanje in uporabo kvalificiranih elektronskih podpisov in žigov, sprejetih po vsej Uniji. Ko je fizičnim osebam omogočen pristop k uporabi evropske denarnice za digitalno identiteto, bi morale imeti možnost, da jo uporabljajo kot privzet in brezplačen način za podpisovanje s kvalificiranimi elektronskimi podpisi, ne da bi jim bilo treba opraviti dodatne upravne postopke. Uporabniki bi morali imeti možnost, da podpišejo ali ožigosajo svoje izjave ali atribute. Za poenostavitev in koriščenje ugodnosti znižanja stroškov za osebe in podjetja po vsej Uniji, tudi z omogočanjem pooblastil za zastopanje in mandatov v elektronski obliki, bi morale države članice zagotavljati evropske denarnice za digitalno identiteto, ki temeljijo na skupnih standardih in tehničnih specifikacijah, da bi zagotovile nemoteno interoperabilnost in ustrezno povečale varnost informacijske tehnologije, okrepile odpornost na kibernetske napade in tako znatno zmanjšale morebitna tveganja sedanjega procesa digitalizacije za državljane in rezidente Unije ter podjetja. Visoko stopnjo zaupanja v ugotavljanje identitete osebe lahko zagotovijo le pristojni organi držav članic, s čimer zagotovijo, da je oseba, ki izkazuje ali uveljavlja določeno identiteto, dejansko oseba, za katero se izkazuje. Zato se je treba pri zagotavljanju evropskih denarnic za digitalno identiteto zanašati na zakonsko veljavno identiteto državljanov in rezidentov Unije ali pravnih oseb. Zanašanje na zakonsko veljavno identiteto uporabnikov evropske denarnice za digitalno identiteto ne bi smelo ovirati pri dostopu do storitev z uporabo psevdonima, kadar za avtentikacijo zakonsko veljavna identiteta ni zakonsko zahtevana. Zaupanje v evropske denarnice za digitalno identiteto bi bilo okrepljeno, če bi strani izdajatelja in upravitelja morale izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev najvišje ravni varnosti, ki je sorazmerna s tveganji za pravice in svoboščine fizičnih oseb, v skladu z Uredbo (EU) 2016/679.

(20)

Uporaba kvalificiranega elektronskega podpisa bi morala biti brezplačna za vse fizične osebe, kadar gre za nepoklicne namene. Države članice bi morale imeti možnost, da določijo ukrepe, s katerimi bi fizičnim osebam preprečile brezplačno uporabo kvalificiranih elektronskih podpisov v poklicne namene, hkrati pa zagotovile, da so vsi taki ukrepi sorazmerni z ugotovljenimi tveganji in upravičeni.

(21)

Koristno bi bilo evropske denarnice za digitalno identiteto brezhibno vključiti v ekosistem javnih in zasebnih digitalnih storitev, ki se že izvajajo na nacionalni, lokalni ali regionalni ravni, ter tako olajšati uvajanje in uporabo teh denarnic. Za dosego tega cilja bi morale države članice imeti možnost določiti pravne in organizacijske ukrepe, da bi povečale prilagodljivost za ponudnike evropskih denarnic za digitalno identiteto in omogočile dodatne funkcionalnosti evropskih denarnic za digitalno identiteto, poleg že določenih funkcionalnosti iz te uredbe, med drugim z večjo interoperabilnostjo z obstoječimi nacionalnimi sredstvi elektronske identifikacije. Take dodatne funkcionalnosti nikakor ne bi smele ovirati zagotavljanja osnovnih funkcij evropskih denarnic za digitalno identiteto, določenih v tej uredbi, ali prednostno spodbujati obstoječih nacionalnih rešitev namesto evropskih denarnic za digitalno identiteto. Ker take dodatne funkcionalnosti presegajo to uredbo, se zanje ne uporabljajo določbe o čezmejni uporabi evropskih denarnic za digitalno identiteto iz te uredbe.

(22)

Evropske denarnice za digitalno identiteto bi morale vključevati funkcionalnost za ustvarjanje psevdonimov, ki jih uporabniki sami izberejo in upravljajo, za namene avtentikacije pri dostopu do spletnih storitev.

(23)

Za doseganje visoke ravni varnosti in zaupanja ta uredba določa zahteve za evropske denarnice za digitalno identiteto. Skladnost evropskih denarnic za digitalno identiteto s temi zahtevami bi morali certificirati akreditirani organi za ugotavljanje skladnosti, ki jih imenujejo države članice.

(24)

Da bi se izognili različnim pristopom in uskladili izvajanje zahtev iz te uredbe, bi morala Komisija za namen certificiranja evropskih denarnic za digitalno identiteto sprejeti izvedbene akte za vzpostavitev seznama referenčnih standardov ter po potrebi določiti specifikacije in postopke za namen opredelitve podrobnih tehničnih specifikacij navedenih zahtev. Če certificiranje skladnosti evropskih denarnic za digitalno identiteto z ustreznimi zahtevami glede kibernetske varnosti ni zajeto v obstoječih certifikacijskih shemah za kibernetsko varnost iz te uredbe, ter v primeru zahtev, ki niso povezane s kibernetsko varnostjo in se nanašajo na evropske denarnice za digitalno identiteto, bi morale države članice vzpostaviti nacionalne certifikacijske sheme na podlagi usklajenih zahtev, določenih v tej uredbi in sprejetih na podlagi te uredbe. Države članice bi morale svoje osnutke nacionalnih certifikacijskih shem posredovati skupini za sodelovanje na področju evropske digitalne identitete, ki bi morala imeti možnost izdati mnenja in priporočila.

(25)

Certificiranje skladnosti z zahtevami glede kibernetske varnosti iz te uredbe bi moralo, kadar je na voljo, temeljiti na ustreznih evropskih certifikacijskih shemah za kibernetsko varnost, vzpostavljenih na podlagi Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta (10), ki vzpostavlja prostovoljni evropski certifikacijski okvir za kibernetsko varnost za proizvode, postopke in storitve IKT.

(26)

Da bi stalno ocenjevali in zmanjševali tveganja, povezana z varnostjo, bi morale biti certificirane evropske denarnice za digitalno identiteto predmet rednih ocen ranljivosti, da bi odkrili morebitne ranljivosti v certificiranih komponentah evropske denarnice za digitalno identiteto, povezanih s proizvodi, postopki in storitvami.

(27)

Bistvene zahteve glede kibernetske varnosti iz te uredbe z zaščito uporabnikov in podjetij pred tveganji za kibernetsko varnost prispevajo tudi k izboljšanju varstva osebnih podatkov in zasebnosti posameznikov. V okviru sodelovanja med Komisijo, evropskimi organizacijami za standardizacijo, Agencijo Evropske unije za kibernetsko varnost (ENISA), Evropskim odborom za varstvo podatkov, ustanovljenim z Uredbo (EU) 2016/679, in nacionalnimi nadzornimi organi za varstvo podatkov bi bilo treba obravnavati sinergije glede standardizacije in certificiranja v zvezi z vidiki kibernetske varnosti.

(28)

Pristop državljanov in rezidentov Unije k uporabi evropske denarnice za digitalno identiteto bi bilo treba olajšati z uporabo sredstev elektronske identifikacije, izdanih z visoko ravnjo zanesljivosti. Sredstva elektronske identifikacije, izdana s srednjo ravnjo zanesljivosti, bi se smela uporabljati le, kadar usklajene tehnične specifikacije in postopki, pri katerih se uporabljajo sredstva elektronske identifikacije, izdana s srednjo ravnjo zanesljivosti, v kombinaciji z dodatnimi sredstvi za preverjanje identitete omogočajo izpolnjevanje zahtev glede visoke ravni zanesljivosti iz te uredbe. Taka dodatna sredstva bi morala biti zanesljiva in enostavna za uporabo ter bi lahko temeljila na možnosti uporabe postopkov pristopa na daljavo, kvalificiranih potrdil, podprtih s kvalificiranimi elektronskimi podpisi, kvalificiranega elektronskega potrdila o atributih ali kombinacije navedenega. Da bi zagotovili zadostno uporabo evropskih denarnic za digitalno identiteto, bi bilo treba v izvedbenih aktih določiti usklajene tehnične specifikacije in postopke za pristop uporabnikov z uporabo sredstev elektronske identifikacije, vključno s tistimi, ki se izdajo na srednji ravni zanesljivosti.

(29)

Cilj te uredbe je uporabniku zagotoviti popolnoma mobilno, varno in njemu prijazno evropsko denarnico za digitalno identiteto. Kot prehodni ukrep bi se morali za evropske denarnice za digitalno identiteto, dokler ne bodo na voljo certificirane rešitve, zaščitene pred nedovoljenimi posegi, na primer varnostni elementi v napravah uporabnikov, uporabljati certificirani zunanji varnostni elementi za zaščito kriptografskega materiala in drugih občutljivih podatkov ali priglašena sredstva elektronske identifikacije z visoko ravnjo zanesljivosti, da se dokaže skladnost z ustreznimi zahtevami iz te uredbe v zvezi z ravnjo zanesljivosti evropske denarnice za digitalno identiteto. Ta uredba ne bi smela posegati v nacionalne pogoje v zvezi z izdajo in uporabo certificiranega zunanjega varnostnega elementa, kadar prehodni ukrep temelji na njem.

(30)

Evropske denarnice za digitalno identiteto bi morale zagotoviti najvišjo raven varstva in varnosti podatkov za namene elektronske identifikacije in avtentikacije, da se olajša dostop do javnih in zasebnih storitev, ne glede na to, ali se taki podatki hranijo lokalno ali v rešitvah v oblaku, ob ustreznem upoštevanju različnih ravni tveganja.

(31)

Evropske denarnice za digitalno identiteto bi morale imeti vgrajeno varnost in bi morale uvajati napredne varnostne elemente za zaščito pred krajo identitete in drugih podatkov, zavrnitvijo storitve in vsemi drugimi kibernetskimi grožnjami. Taki varnostni elementi bi morali vključevati najsodobnejše metode šifriranja in shranjevanja, do katerih lahko dostopa in ki jih lahko dešifrira izključno uporabnik ter ki temeljijo na šifrirani komunikaciji od konca do konca z drugimi evropskimi denarnicami za digitalno identiteto in zanašajočimi se strankami. Poleg tega bi bilo treba za evropske denarnice za digitalno identiteto zahtevati varno, izrecno in aktivno potrditev uporabnika za operacije, ki se izvajajo prek evropskih denarnic za digitalno identiteto.

(32)

Brezplačna uporaba evropskih denarnic za digitalno identiteto ne bi smela povzročiti obdelave podatkov, ki bi presegala podatke, ki so potrebni za zagotavljanje storitev evropske denarnice za digitalno identiteto. Ta uredba ponudniku evropske denarnice za digitalno identiteto ne bi smela omogočati obdelave osebnih podatkov, ki so shranjeni v evropski denarnici za digitalno identiteto ali so pridobljeni na podlagi njene uporabe, za namene, ki niso zagotavljanje storitev evropske denarnice za digitalno identiteto. Za zagotavljanje zasebnosti bi morali ponudniki evropske denarnice za digitalno identiteto zagotoviti, da uporabnikom ni mogoče slediti, tako da ne zbirajo podatkov in nimajo vpogleda v transakcije uporabnikov evropske denarnice za digitalno identiteto. To, da uporabnikom ni mogoče slediti, pomeni, da ponudniki ne morejo videti podrobnosti o transakcijah, ki jih je opravil uporabnik. Vendar bi se lahko ponudnikom evropskih denarnic za digitalno identiteto v posebnih primerih na podlagi izrecne predhodne privolitve uporabnika v vsakem od teh posebnih primerov in popolnoma v skladu z Uredbo (EU) 2016/679 odobril dostop do informacij, potrebnih za zagotavljanje določene storitve, povezane z evropskimi denarnicami za digitalno identiteto.

(33)

Preglednost evropskih denarnic za digitalno identiteto in odgovornost njihovih ponudnikov sta ključna elementa za ustvarjanje družbenega zaupanja in spodbujanje sprejemanja okvira. Delovanje evropskih denarnic za digitalno identiteto bi moralo biti zato pregledno in zlasti omogočati preverljivo obdelavo osebnih podatkov. Za doseganje tega bi morale države članice razkriti izvorno kodo komponent uporabniške aplikacijske programske opreme evropske denarnice za digitalno identiteto, tudi tisto, ki je povezana z obdelavo osebnih podatkov in podatkov pravnih oseb. Objava te izvorne kode na podlagi odprtokodne licence bi morala družbi, tudi uporabnikom in razvijalcem, omogočiti razumevanje njenega delovanja ter revizijo in pregled kode. To bi povečalo zaupanje uporabnikov v ekosistem in prispevalo k varnosti evropskih denarnic za digitalno identiteto, saj bi imel vsakdo možnost prijaviti ranljivosti in napake v kodi. To bi moralo na splošno spodbujati dobavitelje, da dobavijo in vzdržujejo zelo varen izdelek. Vendar bi v določenih primerih države članice iz ustrezno utemeljenih razlogov, zlasti zaradi javne varnosti, lahko omejile razkritje izvorne kode za uporabljene knjižnice, komunikacijski kanal ali druge elemente, ki ne gostujejo na uporabniški napravi.

(34)

Uporaba evropskih denarnic za digitalno identiteto in prenehanje njihove uporabe bi morala biti izključna pravica in izbira uporabnikov. Države članice bi morale razviti enostavne in varne postopke, s katerimi lahko uporabniki zahtevajo takojšen preklic veljavnosti evropskih denarnic za digitalno identiteto, tudi v primeru izgube ali kraje. Ob smrti uporabnika ali prenehanju dejavnosti pravne osebe bi bilo treba vzpostaviti mehanizem, ki bi organu, pristojnemu za urejanje dedovanja fizične osebe ali premoženja pravne osebe, omogočil, da zahteva takojšen preklic evropske denarnice za digitalno identiteto.

(35)

Da bi spodbudile uporabo evropskih denarnic za digitalno identiteto in širšo uporabo digitalnih identitet, bi morale države članice ne le spodbujati prednosti ustreznih storitev, temveč bi morale v sodelovanju z zasebnim sektorjem, raziskovalci in akademskimi krogi tudi razviti programe usposabljanja, namenjene krepitvi digitalnih spretnosti svojih državljanov in rezidentov, zlasti ranljivih skupin, kot so invalidi in starejši. Države članice bi morale prav tako s komunikacijskimi kampanjami ozaveščati o koristih in tveganjih evropskih denarnic za digitalno identiteto.

(36)

Za zagotovitev, da je evropski okvir za digitalno identiteto odprt za inovacije in tehnološki razvoj ter pripravljen na izzive prihodnosti, se države članice spodbujajo k skupni vzpostavitvi peskovnikov za preizkušanje inovativnih rešitev v nadzorovanem in varnem okolju, zlasti za izboljšanje funkcionalnosti, varstva osebnih podatkov, varnosti in interoperabilnosti rešitev, ter k obveščanju o prihodnjih posodobitvah tehničnih referenc in pravnih zahtev. To okolje bi moralo spodbujati vključevanje MSP, zagonskih podjetij ter posameznih inovatorjev in raziskovalcev ter ustreznih deležnikov iz industrije. Take pobude bi morale prispevati k usklajenosti s predpisi in tehnični stabilnosti evropskih denarnic za digitalno identiteto, ki se zagotovijo državljanom in rezidentom Unije, ter ju okrepiti, s čimer bi se preprečil razvoj rešitev, ki niso skladne s pravom Unije o varstvu podatkov oziroma ki so izpostavljene ranljivostim na področju varnosti.

(37)

Uredba (EU) 2019/1157 Evropskega parlamenta in Sveta (11) krepi varnost osebnih izkaznic z izboljšanimi varnostnimi elementi do avgusta 2021. Države članice bi morale preučiti možnost njihove priglasitve v okviru shem elektronske identifikacije za razširitev čezmejne razpoložljivosti sredstev elektronske identifikacije.

(38)

Postopek priglasitve shem elektronske identifikacije bi bilo treba poenostaviti in pospešiti za spodbujanje dostopa do priročnih, zaupanja vrednih, varnih in inovativnih rešitev avtentikacije in identifikacije ter, kadar je ustrezno, za spodbujanje zasebnih ponudnikov identitete, naj organom države članice ponujajo sheme elektronske identifikacije za priglasitev kot nacionalne sheme elektronske identifikacije na podlagi Uredbe (EU) št. 910/2014.

(39)

Racionalizacija sedanjih postopkov priglasitve in medsebojnih strokovnih pregledov bo preprečila raznolike pristope k ocenjevanju različnih priglašenih shem elektronske identifikacije in olajšala krepitev zaupanja med državami članicami. Novi, poenostavljeni mehanizmi so namenjeni spodbujanju sodelovanja držav članic na področju varnosti in interoperabilnosti njihovih priglašenih shem elektronske identifikacije.

(40)

Države članice bi morale imeti koristi od novih prilagodljivih orodij za zagotavljanje izpolnjevanja zahtev iz te uredbe in ustreznih izvedbenih aktov, sprejetih na podlagi te uredbe. Ta uredba bi morala državam članicam omogočati uporabo poročil in ocen, ki jih izvedejo akreditirani organi za ugotavljanje skladnosti, kot je določeno v okviru certifikacijskih shem, ki se morajo vzpostaviti na ravni Unije na podlagi Uredbe (EU) 2019/881, v podporo njihovim zahtevam po uskladitvi shem ali njihovih delov z Uredbo (EU) št. 910/2014.

(41)

Ponudniki javnih storitev uporabljajo identifikacijske podatke osebe, dostopne v okviru sredstev elektronske identifikacije na podlagi Uredbe (EU) št. 910/2014, da elektronsko identiteto uporabnikov iz drugih držav članic primerjajo z identifikacijskimi podatki osebe, zagotovljenim tem uporabnikom v državi članici, ki izvaja postopek čezmejnega ujemanja identitete. Vendar so v številnih primerih kljub uporabi minimalnega nabora podatkov, zagotovljenega v okviru priglašenih shem elektronske identifikacije, za zagotovitev natančnega ujemanja identitete, kadar države članice delujejo kot zanašajoče se stranke, potrebne dodatne informacije o uporabniku in posebni dopolnilni enolični postopki identifikacije, ki jih je treba izvesti na nacionalni ravni. Da bi dodatno podprli uporabnost sredstev elektronske identifikacije, zagotovili boljše spletne javne storitve in povečali pravno varnost v zvezi z elektronsko identiteto uporabnikov, bi bilo treba v Uredbi (EU) št. 910/2014 od držav članic zahtevati, da sprejmejo posebne spletne ukrepe za zagotovitev nedvoumnega ujemanja identitete, kadar nameravajo uporabniki dostopati do čezmejnih spletnih javnih storitev.

(42)

Pri razvoju evropskih denarnic za digitalno identiteto je bistvenega pomena, da se upoštevajo potrebe uporabnikov. Na voljo bi morali biti smiselni primeri uporabe in spletne storitve, ki bi temeljile na evropskih denarnicah za digitalno identiteto. Zaradi večje priročnosti za uporabnike in da bi zagotovili čezmejno razpoložljivost takih storitev, je treba sprejeti ukrepe, ki bi omogočili, da bi v vseh državah članicah na podoben način pristopili k zasnovi, razvoju in uvajanju spletnih storitev. Nezavezujoče smernice o tem, kako snovati, razvijati in uvajati spletne storitve, ki bi temeljile na evropskih denarnicah za digitalno identiteto, bi lahko pripomogle k doseganju navedenega cilja. Take smernice bi bilo treba pripraviti ob upoštevanju interoperabilnostnega okvira Unije. Pri sprejemanju teh smernic bi morale imeti glavno vlogo države članice.

(43)

V skladu z Direktivo (EU) 2019/882 Evropskega parlamenta in Sveta (12) bi morala biti invalidom omogočena uporaba evropskih denarnic za digitalno identiteto, storitev zaupanja in proizvodov za končne uporabnike, ki se uporabljajo pri zagotavljanju zadevnih storitev, enako kot drugim uporabnikom.

(44)

Za zagotavljanje učinkovitega izvrševanja te uredbe bi bilo treba določiti najnižjo mejo za najvišje globe za ponudnike kvalificiranih in nekvalificiranih storitev zaupanja. Države članice bi morale zagotoviti učinkovite, sorazmerne in odvračilne kazni. Pri določanju kazni bi bilo treba ustrezno upoštevati velikost prizadetih subjektov, njihove poslovne modele in resnost kršitev.

(45)

Države članice bi morale določiti pravila o kaznih za kršitve, kot so neposredne ali posredne prakse, ki povzročajo zmedo glede tega, katere storitve zaupanja so nekvalificirane ali kvalificirane, ali zlorabo znaka zaupanja EU s strani ponudnikov nekvalificiranih storitev zaupanja. Znak zaupanja EU se ne bi smel uporabljati v okoliščinah, ki neposredno ali posredno vzbujajo vtis, da so katere koli nekvalificirane storitve zaupanja, ki jih nudijo ti ponudniki storitev, kvalificirane.

(46)

Ta uredba ne bi smela zajemati vidikov, povezanih s sklepanjem in veljavnostjo pogodb ali drugih pravnih obveznosti, kadar pravo Unije ali nacionalno pravo določa zahteve glede obličnosti. Poleg tega ne bi smela vplivati na nacionalne zahteve glede obličnosti, ki zadevajo javne registre, zlasti poslovne registre in zemljiške knjige.

(47)

Zagotavljanje in uporaba storitev zaupanja ter koristi v smislu priročnosti in pravne varnosti v okviru čezmejnih transakcij, zlasti kadar se uporabljajo kvalificirane storitve zaupanja, postajata vse pomembnejša za mednarodno trgovino in sodelovanje. Mednarodni partnerji Unije vzpostavljajo okvire zaupanja, ki se zgledujejo po Uredbi (EU) št. 910/2014. Za lažje priznavanje kvalificiranih storitev zaupanja in njihovih ponudnikov lahko Komisija sprejme izvedbene akte, s katerimi določi pogoje, pod katerimi bi se okviri zaupanja tretjih držav lahko šteli za enakovredne okviru zaupanja za kvalificirane storitve zaupanja in njihove ponudnike iz te uredbe. Tak pristop bi moral dopolnjevati možnost vzajemnega priznavanja storitev zaupanja in njihovih ponudnikov s sedežem v Uniji in v tretjih državah v skladu s členom 218 Pogodbe o delovanju Evropske unije (PDEU). Pri določanju pogojev, pod katerimi bi se okviri zaupanja tretjih držav lahko šteli za enakovredne okviru zaupanja za kvalificirane storitve zaupanja in njihove ponudnike na podlagi Uredbe (EU) št. 910/2014, sta bistvena elementa za krepitev zaupanja tudi zagotavljanje skladnosti z ustreznimi določbami Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta (13) in Uredbe (EU) 2016/679 ter uporaba zanesljivih seznamov.

(48)

Ta uredba bi morala spodbujati izbiro in možnost menjave med evropskimi denarnicami za digitalno identiteto, kadar je država članica na svojem ozemlju podprla več kot eno rešitev za evropske denarnice za digitalno identiteto. Da bi se v takih primerih izognili učinkom vezanosti, bi morali ponudniki evropskih denarnic za digitalno identiteto, kadar je to tehnično izvedljivo, zagotoviti učinkovito prenosljivost podatkov na zahtevo uporabnikov evropske denarnice za digitalno identiteto, ne bi pa jim smelo biti dovoljeno uporabljati pogodbenih, ekonomskih ali tehničnih ovir za preprečevanje ali odvračanje od učinkovite menjave med različnimi evropskimi denarnicami za digitalno identiteto.

(49)

Za zagotavljanje pravilnega delovanja evropskih denarnic za digitalno identiteto je treba ponudnikom evropske denarnice za digitalno identiteto zagotavljati učinkovito interoperabilnost ter pravične, razumne in nediskriminatorne pogoje, da lahko evropske denarnice za digitalno identiteto dostopajo do posebnih funkcij strojne in programske opreme mobilnih naprav. Te komponente bi lahko vključevale zlasti antene za komunikacijo v bližnjem polju in varnostne elemente, vključno z univerzalnimi karticami z integriranim vezjem, vgrajenimi varnostnimi elementi, karticami mikroSD in nizkoenergijskim Bluetooth. Dostop do teh komponent bi lahko nadzorovali operaterji mobilnih omrežij in proizvajalci opreme. Zato proizvajalci originalne opreme za mobilne naprave ali ponudniki elektronskih komunikacijskih storitev ne bi smeli zavrniti dostopa do takih komponent, kadar je to potrebno za zagotavljanje storitev evropskih denarnic za digitalno identiteto. Poleg tega bi morale za podjetja, ki so imenovana za vratarje za jedrne platformne storitve, kot jih je Komisija uvrstila na seznam na podlagi Uredbe (EU) 2022/1925 Evropskega parlamenta in Sveta (14), še naprej veljati posebne določbe navedene uredbe, in sicer na podlagi člena 6(7) navedene uredbe.

(50)

Za racionalizacijo obveznosti v zvezi s kibernetsko varnostjo, naloženih ponudnikom storitev zaupanja, ter za omogočanje tem ponudnikom in njihovim zadevnim pristojnim organom, da izkoristijo pravni okvir, vzpostavljen z Direktivo (EU) 2022/2555, morajo ponudniki storitev zaupanja sprejeti ustrezne tehnične in organizacijske ukrepe na podlagi navedene direktive, kot so ukrepi za obravnavanje okvar sistema, človeških napak, zlonamernih dejanj ali naravnih pojavov, za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih ti ponudniki uporabljajo pri zagotavljanju svojih storitev, ter za priglasitev pomembnih incidentov in kibernetskih groženj v skladu z navedeno direktivo. Kar zadeva poročanje o incidentih, bi morali ponudniki storitev zaupanja priglasiti vse incidente, ki pomembno vplivajo na zagotavljanje njihovih storitev, vključno s takimi, ki so posledica kraje ali izgube naprav, poškodbe omrežnega kabla ali incidenti, ki se zgodijo v okviru identifikacije oseb. Za zahteve glede obvladovanja tveganj za kibernetsko varnost in obveznosti poročanja iz Direktive (EU) 2022/2555 bi se moralo šteti, da dopolnjujejo zahteve, naložene ponudnikom storitev zaupanja na podlagi te uredbe. Kadar je to ustrezno, bi morali pristojni organi, imenovani na podlagi Direktive (EU) 2022/2555, še naprej uporabljati uveljavljene nacionalne prakse ali smernice v zvezi z izvajanjem zahtev glede varnosti in poročanja ter nadzorom nad izpolnjevanjem takih zahtev na podlagi Uredbe (EU) št. 910/2014. Ta uredba ne vpliva na obveznost obveščanja o kršitvah varnosti osebnih podatkov na podlagi Uredbe (EU) 2016/679.

(51)

Ustrezno pozornost bi bilo treba nameniti zagotavljanju učinkovitega sodelovanja med nadzornimi organi, imenovanimi na podlagi člena 46b Uredbe (EU) št. 910/2014, in pristojnimi organi, imenovanimi ali ustanovljenimi na podlagi člena 8(1) Direktive (EU) 2022/2555. Kadar ta nadzorni organ ni tudi pristojni organ, bi morala ta organa tesno in pravočasno sodelovati na podlagi izmenjave ustreznih informacij, da se zagotovita učinkovit nadzor in izpolnjevanje zahtev iz Uredbe (EU) št. 910/2014 in Direktive (EU) 2022/2555 s strani ponudnikov storitev zaupanja. Zlasti bi morali imeti nadzorni organi, imenovani na podlagi Uredbe (EU) št. 910/2014, pravico, da od pristojnih organov, imenovanih ali ustanovljenih na podlagi Direktive (EU) 2022/2555, zahtevajo, naj predložijo ustrezne informacije, potrebne za dodelitev kvalificiranega statusa in izvajanje nadzornih ukrepov za preverjanje, ali ponudniki storitev zaupanja izpolnjujejo ustrezne zahteve iz Direktive (EU) 2022/2555, oziroma da od njih zahtevajo, da te zahteve izpolnijo.

(52)

Bistvenega pomena je zagotoviti, da pravni okvir olajšuje čezmejno priznavanje med obstoječimi nacionalnimi pravnimi sistemi, povezanimi s storitvami elektronske priporočene dostave. Ta okvir bi lahko ustvaril tudi nove tržne priložnosti za ponudnike storitev zaupanja iz Unije, ki bi lahko ponujali nove storitve elektronske priporočene dostave po vsej Uniji. Da bi zagotovili, da bodo z uporabo kvalificirane storitve elektronske priporočene dostave podatki dostavljeni pravemu naslovniku, bi morala kvalificirana storitev elektronske priporočene dostave povsem zanesljivo zagotavljati identifikacijo naslovnika, medtem ko bi pri identifikaciji pošiljatelja zadostovala visoka stopnja zaupanja. Države članice bi morale ponudnike kvalificiranih storitev elektronske priporočene dostave spodbujati k zagotavljanju interoperabilnosti njihovih storitev s kvalificiranimi storitvami elektronske priporočene dostave, ki jih zagotavljajo drugi ponudniki kvalificiranih storitev zaupanja, da bi se olajšal prenos podatkov, poslanih prek storitev elektronske priporočene dostave, med dvema ali več ponudniki kvalificiranih storitev zaupanja in spodbujale poštene prakse na notranjem trgu.

(53)

V večini primerov si državljani in rezidenti Unije ne morejo varno in z visoko ravnjo varstva podatkov čezmejno izmenjevati digitalnih informacij, povezanih z njihovo identiteto, kot so njihov naslov, starost, poklicne kvalifikacije, vozniška in druga dovoljenja ter podatki o plačilih.

(54)

Omogočiti bi bilo treba izdajanje zaupanja vrednih elektronskih atributov in ravnanje z njimi ter prispevanje k zmanjšanju upravnega bremena z opolnomočenjem državljanov in rezidentov Unije za njihovo uporabo pri zasebnih in javnih transakcijah. Državljanom in rezidentom Unije bi bilo treba na primer omogočiti, da dokažejo lastništvo veljavnega vozniškega dovoljenja, ki ga je izdal organ v eni državi članici in ki ga lahko ustrezni organi v drugih državah članicah preverijo in se nanj zanesejo, ter da se zanesejo na svoje socialnovarnostne poverilnice ali prihodnje digitalne potovalne dokumente v čezmejnem okviru.

(55)

Vsak ponudnik storitev, ki izdaja potrjene atribute v elektronski obliki, kot so diplome, spričevala, rojstni listi ali pooblastila in mandati za zastopanje fizičnih ali pravnih oseb oziroma delovanje v njihovem imenu, bi bilo treba šteti za ponudnika storitev zaupanja, ki izdaja elektronska potrdila o atributih. Elektronskim potrdilom o atributih se ne bi smelo odvzeti pravnega učinka na podlagi tega, da gre za elektronsko obliko, ali ker ne izpolnjujejo zahtev glede kvalificiranih elektronskih potrdil o atributih. Določiti bi bilo treba splošne zahteve za zagotovitev, da ima kvalificirano elektronsko potrdilo o atributih enak pravni učinek kot zakonito izdana potrdila v papirni obliki. Vendar bi se morale take zahteve uporabljati brez poseganja v pravo Unije ali nacionalno pravo, ki opredeljuje dodatne posebne sektorske zahteve glede obličnosti in s tem povezane pravne učinke ter zlasti čezmejno priznavanje kvalificiranih elektronskih potrdil o atributih, kadar je to ustrezno.

(56)

Široka razpoložljivost in uporabnost evropskih denarnic za digitalno identiteto bi morala izboljšati njihovo sprejemanje in zaupanje vanje tako pri fizičnih osebah kot pri zasebnih ponudnikih storitev. Zasebne zanašajoče se stranke, ki zagotavljajo storitve na primer na področjih prometa, energetike, bančništva in finančnih storitev, socialnega varstva, zdravja, pitne vode, poštnih storitev, digitalne infrastrukture, telekomunikacij ali izobraževanja, bi morale zato sprejeti uporabo evropskih denarnic za digitalno identiteto za zagotavljanje storitev, za katere pravo Unije ali nacionalno pravo ali pogodbena obveznost zahteva močno avtentikacijo uporabnika za spletno identifikacijo. Vsaka zahteva zanašajoče se stranke po informacijah od uporabnika evropske denarnice za digitalno identifikacijo bi morala biti potrebna za predvideno uporabo v danem primeru in sorazmerna z njo, bi morala biti skladna z načelom najmanjšega obsega podatkov in bi morala zagotavljati preglednost glede tega, kateri podatki se izmenjujejo in za katere namene. Da bi spodbudili uporabo in sprejemanje evropskih denarnic za digitalno identiteto, bi bilo treba pri njihovi uvedbi upoštevati splošno sprejete sektorske standarde in specifikacije.

(57)

Kadar zelo velike spletne platforme v smislu člena 33(1) Uredbe (EU) 2022/2065 Evropskega parlamenta in Sveta (15) od uporabnikov zahtevajo, da so za dostop do spletnih storitev avtenticirani, bi se moralo od teh platform zahtevati, da sprejmejo uporabo evropskih denarnic za digitalno identiteto na podlagi prostovoljne zahteve uporabnika. Uporabniki ne bi smeli biti zavezani k uporabi evropske denarnice za digitalno identiteto za dostop do zasebnih storitev in ne bi smeli biti omejeni ali ovirani pri dostopu do storitev na podlagi tega, da ne uporabljajo evropske denarnice za digitalno identiteto. Če pa uporabniki to želijo, bi jih morale zelo velike spletne platforme sprejeti v ta namen, pri tem pa spoštovati načelo najmanjšega obsega podatkov in pravico uporabnikov do uporabe psevdonimov, ki si jih svobodno izberejo. Glede na pomen zelo velikih spletnih platform zaradi njihovega dosega, izraženega zlasti kot število prejemnikov storitve in število gospodarskih transakcij, je obveznost, da sprejmejo evropske denarnice za digitalno identiteto, potrebna za povečanje zaščite uporabnikov pred goljufijami in zagotovitev visoke ravni varstva podatkov.

(58)

Pripraviti bi bilo treba kodekse ravnanja na ravni Unije, da bi prispevali k široki razpoložljivosti in uporabnosti sredstev elektronske identifikacije, vključno z evropskimi denarnicami za digitalno identiteto, v okviru področja uporabe te uredbe. Kodeksi ravnanja bi morali olajšati široko sprejemanje sredstev elektronske identifikacije, vključno z evropskimi denarnicami za digitalno identiteto, pri tistih ponudnikih storitev, ki se ne štejejo za zelo velike spletne platforme in za avtentikacijo uporabnika uporabljajo storitve elektronske identifikacije tretjih oseb.

(59)

Selektivno razkrivanje je koncept, ki lastniku podatkov omogoča, da razkrije le nekatere dele večjega nabora podatkov, da bi lahko prejemnik pridobil le tiste informacije, ki so potrebne za zagotavljanje storitve, ki jo zahteva uporabnik. Evropska denarnica za digitalno identiteto bi morala tehnično omogočati selektivno razkrivanje atributov zanašajočim se strankam. Uporabniku bi moralo biti tehnično omogočeno, da selektivno razkrije atribute, tudi iz več ločenih elektronskih potrdil, ter jih brez težav združi in predstavi zanašajočim se strankam. To bi moralo postati osnovna značilnost zasnove evropskih denarnic za digitalno identiteto, s čimer bi se povečala priročnost in izboljšalo varstvo osebnih podatkov, vključno z najmanjšim obsegom podatkov.

(60)

Dostop do storitev z uporabo psevdonima ne bi smel biti prepovedan, razen če posebna pravila prava Unije ali nacionalnega prava od uporabnikov zahtevajo, da se identificirajo.

(61)

Atribute, ki jih zagotovijo ponudniki kvalificiranih storitev zaupanja v okviru kvalificiranih potrdil o atributih, bi bilo treba preverjati glede na verodostojne vire bodisi neposredno s strani ponudnika kvalificiranih storitev zaupanja bodisi prek imenovanih posrednikov, priznanih na nacionalni ravni v skladu s pravom Unije ali nacionalnim pravom, za namene varne izmenjave potrjenih atributov med ponudniki storitev identifikacije ali potrjevanja atributov in zanašajočimi se strankami. Države članice bi morale na nacionalni ravni vzpostaviti ustrezne mehanizme, da bi lahko ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana elektronska potrdila o atributih, na podlagi privolitve osebe, ki ji je potrdilo izdano, preverili avtentičnost atributov in se pri tem opirali na verodostojne vire. Med ustrezne mehanizme bi moralo biti možno vključiti tudi uporabo posebnih posrednikov ali tehničnih rešitev v skladu z nacionalnim pravom, ki omogoča dostop do verodostojnih virov. Z zagotavljanjem razpoložljivosti mehanizma, ki omogoča preverjanje atributov na podlagi verodostojnih virov, naj bi ponudnikom kvalificiranih storitev zaupanja, ki izdajajo kvalificirana elektronska potrdila o atributih, olajšali izpolnjevanje njihovih obveznosti iz Uredbe (EU) št. 910/2014. Nova priloga k navedeni uredbi bi morala vključevati seznam kategorij atributov, glede katerih bi države članice morale zagotoviti, da se sprejmejo ukrepi, s katerimi lahko kvalificirani ponudniki, ki izdajajo elektronska potrdila o atributih, z elektronskimi sredstvi na zahtevo uporabnika preverijo njihovo avtentičnost na podlagi ustreznega verodostojnega vira.

(62)

Varna elektronska identifikacija in zagotavljanje potrjevanja atributov bi morala prinesti dodatno prilagodljivost in rešitve za sektor finančnih storitev, ki bi omogočale identifikacijo strank in izmenjavo posebnih atributov, potrebnih za izpolnitev, na primer zahtev glede skrbnega preverjanja strank iz prihodnje uredbe, s katero bo vzpostavljen organ za preprečevanje pranja denarja, ali zahtev glede primernosti, ki izhajajo iz prava o varstvu vlagateljev, ali podpirale izpolnjevanje zahtev glede močne avtentikacije strank za spletno identifikacijo za namen prijave v račun in začetka transakcij na področju plačilnih storitev.

(63)

Pravnega učinka elektronskega podpisa se ne bi smelo izpodbijati na podlagi tega, da je v elektronski obliki ali da ne izpolnjuje zahtev za kvalificirani elektronski podpis. Ta uredba določa, da se kvalificirani elektronski podpis šteje za enakovrednega lastnoročnemu podpisu. Vendar mora biti pravni učinek elektronskih podpisov določen v nacionalnem pravu, razen kar zadeva zahteve iz te uredbe, glede na katere se pravni učinek kvalificiranega elektronskega podpisa šteje za enakovrednega lastnoročnemu podpisu. Pri opredeljevanju pravnih učinkov elektronskih podpisov bi morale države članice upoštevati načelo sorazmernosti med pravno vrednostjo dokumenta, ki ga je treba podpisati, ter ravnjo varnosti in stroški, ki jih zahteva elektronski podpis. Da bi izboljšale dostopnost in povečale uporabo elektronskih podpisov, se države članice vzpodbuja, naj razmislijo o uporabi naprednih elektronskih podpisov pri vsakodnevnih transakcijah, za katere ponujajo zadostno raven varnosti in zaupanja.

(64)

Da bi zagotovila skladnost praks certificiranja po vsej Uniji, bi morala Komisija izdati smernice o certificiranju in ponovnem certificiranju naprav za ustvarjanje kvalificiranega elektronskega podpisa in naprav za ustvarjanje kvalificiranega elektronskega žiga, tudi glede njihove veljavnosti in časovnih omejitev. Ta uredba javnim ali zasebnim organom, ki so certificirali naprave za ustvarjanje kvalificiranega elektronskega podpisa, ne preprečujejo, da začasno ponovno certificirajo take naprave za krajše obdobje certificiranja na podlagi rezultatov predhodnega postopka certificiranja, kadar takega ponovnega certificiranja ni mogoče opraviti v zakonsko določenem časovnem okviru iz razloga, ki ni kršitev ali varnostni incident, brez poseganja v obveznost izvajanja ocene ranljivosti in brez poseganja v veljavno prakso certificiranja.

(65)

Izdaja potrdil za avtentikacijo spletišč naj bi uporabnikom zagotavljala zanesljivost z visoko stopnjo zaupanja v identiteto subjekta, ki stoji za spletiščem, ne glede na platformo, ki je uporabljena za prikaz te identitete. Ta potrdila bi morala prispevati h krepitvi zaupanja v poslovanje prek spleta, saj bi uporabniki zaupali spletišču, ki je bilo avtenticirano. Uporaba takih potrdil s strani spletišč bi morala biti prostovoljna. Da bi avtentikacija spletišč postala sredstvo, s katerim bi krepili zaupanje, zagotavljali boljšo izkušnjo uporabnika ter spodbujali rast na notranjem trgu, ta uredba določa okvir zaupanja, vključno z minimalnimi obveznostmi glede varnosti in odgovornosti za ponudnike kvalificiranih potrdil za avtentikacijo spletišč in zahtevami za izdajo teh potrdil. Nacionalni zanesljivi seznami bi morali potrditi kvalificirani status storitev za avtentikacijo spletišč in njihovih ponudnikov storitev zaupanja, vključno z njihovim popolnim izpolnjevanjem zahtev iz te uredbe glede izdaje kvalificiranih potrdil za avtentikacijo spletišč. Priznavanje kvalificiranih potrdil za avtentikacijo spletišč pomeni, da ponudniki spletnih brskalnikov ne bi smeli zanikati avtentičnosti teh potrdil izključno za namene potrjevanja povezave med domenskim imenom spletišča in fizično ali pravno osebo, ki ji je potrdilo izdano, ali potrjevanja identitete te osebe. Ponudniki spletnih brskalnikov bi morali končnemu uporabniku prikazati certificirane podatke o identiteti in druge potrjene atribute v okolju brskalnika, in sicer na uporabniku prijazen način, s tehničnimi sredstvi po lastni izbiri. V ta namen bi morali ponudniki spletnih brskalnikov zagotavljati podporo in interoperabilnost s kvalificiranimi potrdili za avtentikacijo spletišč, izdanimi ob polnem spoštovanju določb te uredbe. Obveznost priznavanja in interoperabilnosti ter podpore za kvalificirana potrdila za avtentikacijo spletišč ne vpliva na svobodo ponudnikov spletnih brskalnikov, da zagotavljajo spletno varnost, avtentikacijo domen in šifriranje spletnega prometa na način in s tehnologijo, ki se jim zdita najustreznejša. Da bi prispevali k spletni varnosti končnih uporabnikov, bi morali imeti ponudniki spletnih brskalnikov v izjemnih okoliščinah možnost, da sprejmejo preventivne ukrepe, ki so potrebni in sorazmerni, v odziv na utemeljene pomisleke, povezane s kršitvami varnosti ali izgubo celovitosti identificiranega potrdila ali sklopa potrdil. Kadar ponudniki spletnih brskalnikov sprejmejo take preventivne ukrepe, bi morali ponudniki spletnih brskalnikov Komisiji, nacionalnemu nadzornemu organu, subjektu, za katerega je bilo potrdilo izdano, in ponudniku kvalificiranih storitev zaupanja, ki je izdal navedeno potrdilo ali sklop potrdil, brez nepotrebnega odlašanja uradno sporočiti vse pomisleke v zvezi s tako kršitvijo varnosti ali izgubo celovitosti, ter sprejete ukrepe, ki so povezani z enim potrdilom ali sklopom potrdil. Ti ukrepi ne bi smeli posegati v obveznost ponudnikov spletnih brskalnikov, da priznajo kvalificirana potrdila za avtentikacijo spletišč v skladu z nacionalnimi zanesljivimi seznami. Da bi dodatno zaščitili državljane in rezidente Unije in spodbudili uporabo kvalificiranih potrdil za avtentikacijo spletišč, bi morali javni organi v državah članicah razmisliti o vključitvi kvalificiranih potrdil za avtentikacijo spletišč na svoja spletišča. Ukrepi iz te uredbe, katerih cilj je povečati skladnost med različnimi pristopi in praksami držav članic v zvezi z nadzornimi postopki, naj bi prispevali k večjemu zaupanju v varnost, kakovost in razpoložljivost kvalificiranih potrdil za avtentikacijo spletišč.

(66)

Številne države članice so uvedle nacionalne zahteve za storitve, ki zagotavljajo varno in zaupanja vredno elektronsko arhiviranje za omogočanje dolgoročne hrambe elektronskih podatkov in elektronskih dokumentov ter s tem povezanih storitev zaupanja. Zaradi zagotavljanja pravne varnosti, zaupanja in usklajenosti med državami članicami bi bilo treba vzpostaviti pravni okvir za kvalificirane storitve elektronskega arhiviranja, ki bi temeljil na okviru drugih storitev zaupanja iz te uredbe. Pravni okvir za kvalificirane storitve elektronskega arhiviranja bi ponudnikom in uporabnikom storitev zaupanja moral ponujati učinkovit nabor orodij, ki bi vključeval funkcionalne zahteve za storitev elektronskega arhiviranja in jasne pravne učinke pri uporabi kvalificirane storitve elektronskega arhiviranja. Te določbe bi se morale uporabljati za elektronske podatke in elektronske dokumente, ustvarjenimi v digitalni obliki, in dokumente v papirni obliki, ki so bili skenirani in digitalizirani. Te določbe bi morale po potrebi dovoljevati prenos shranjenih elektronskih podatkov in elektronskih dokumentov na različne nosilce zapisov ali v različnih oblikah, da bi bili še naprej trajni in berljivi tudi po izteku obdobja tehnološke veljavnosti ter bi kar najbolje preprečili njihovo izgubo in spremembo. Kadar elektronski podatki in elektronski dokumenti, ki so predmet storitve elektronskega arhiviranja, vsebujejo enega ali več kvalificiranih elektronskih podpisov ali kvalificiranih elektronskih žigov, bi se morali pri arhiviranju uporabljati postopki in tehnologije, s katerimi se njihova zanesljivost podaljša za obdobje hrambe takih podatkov, po možnosti z uporabo drugih kvalificiranih storitev zaupanja, vzpostavljenih s to uredbo. Da bi se pri uporabi elektronskih podpisov, elektronskih žigov ali elektronskih časovnih žigov ustvarili dokazi o hrambi, bi bilo treba uporabljati kvalificirane storitve zaupanja. Ker s to uredbo storitve elektronskega arhiviranja niso usklajene, bi morale imeti države članice možnost, da v skladu s pravom Unije glede teh storitev ohranijo ali uvedejo nacionalne določbe, na primer posebne določbe glede storitev, ki so integrirane v določeno organizacijo in se uporabljajo samo za notranje arhive te organizacije. V tej uredbi se ne bi smelo razlikovati med elektronskimi podatki in elektronskimi dokumenti, ustvarjenimi v digitalni obliki, in fizičnimi dokumenti, ki so bili digitalizirani.

(67)

Dejavnosti nacionalnih arhivov in ustanov ohranjanja kulturne dediščine kot organizacij, katerih naloga je ohranjanje dokumentarne dediščine v javnem interesu, so običajno urejene v nacionalnem pravu, pri čemer niso nujno ponudniki storitev zaupanja v smislu te uredbe. Kolikor take institucije takih storitev zaupanja ne ponujajo, ta uredba ne posega v njihovo delovanje.

(68)

Elektronske evidence so zaporedje elektronskih podatkovnih zapisov, ki bi moralo zagotavljati njihovo celovitost in točnost njihovega kronološkega zaporedja. Elektronske evidence bi morale določiti kronološko zaporedje podatkovnih zapisov. Skupaj z drugimi tehnologijami bi morale prispevati k rešitvam za učinkovitejše in transformativne javne storitve, kot so e-volitve, čezmejno sodelovanje carinskih organov, čezmejno sodelovanje akademskih ustanov in evidentiranje lastništva nepremičnin v decentraliziranih zemljiških knjigah. Kvalificirane elektronske evidence bi morale vzpostaviti pravno domnevo o enoličnosti in točnosti kronološkega zaporedja in celovitosti podatkovnih zapisov v evidenci. Zaradi njihovih posebnosti, kot je kronološko zaporedje podatkovnih zapisov, bi se morale elektronske evidence razlikovati od drugih storitev zaupanja, kot so elektronski časovni žigi in storitve elektronske priporočene dostave. Za zagotavljanje pravne varnosti in spodbujanje inovacij bi bilo treba vzpostaviti pravni okvir na ravni Unije, ki bi zagotavljal čezmejno priznavanje storitev zaupanja za beleženje podatkov v elektronskih evidencah. To bi moralo v zadostni meri preprečiti, da bi se isto digitalno sredstvo kopiralo in prodalo več kot enkrat različnim strankam. Postopek ustvarjanja in posodabljanja elektronske evidence je odvisen od vrste uporabljene evidence, in sicer ali je centralizirana ali distribuirana. Ta uredba bi morala zagotoviti tehnološko nevtralnost, in sicer ne bi smela dajati prednosti nobeni tehnologiji, ki se uporablja za izvajanje nove storitve zaupanja za elektronske evidence, oziroma je diskriminirati. Poleg tega bi morala Komisija pri pripravi izvedbenih aktov, ki določajo zahteve za kvalificirane elektronske evidence, pri kateri bi uporabljala ustrezne metodologije, upoštevati kazalnike trajnostnosti v zvezi z morebitnimi škodljivimi vplivi na podnebje ali drugimi škodljivimi vplivi, povezanimi z okoljem.

(69)

Vloga ponudnikov storitev zaupanja, ki zagotavljajo elektronske evidence, bi morala biti določanje zaporedja beleženja podatkov v evidenci. Ta uredba ne posega v morebitne pravne obveznosti uporabnikov elektronskih evidenc po pravu Unije ali nacionalnem pravu. Denimo primeri uporabe, ki vključujejo obdelavo osebnih podatkov, bi morali biti skladni z Uredbo (EU) 2016/679, primeri uporabe, ki so povezani s finančnimi storitvami, pa bi morali biti skladni z ustreznim pravom Unije o finančnih storitvah.

(70)

Da bi se izognili razdrobljenosti notranjega trga in oviram na notranjem trgu zaradi različnih standardov in tehničnih omejitev ter zagotovili usklajen postopek, s katerim bi se izognili negativnemu vplivanju na izvajanje evropskega okvira za digitalno identiteto, je potreben postopek tesnega in strukturiranega sodelovanja med Komisijo, državami članicami, civilno družbo, akademskimi krogi in zasebnim sektorjem. Za dosego tega cilja bi morale države članice in Komisija sodelovati v okviru, določenem v Priporočilu Komisije (EU) 2021/946 (16), da bi opredelile skupni unijski nabor orodij za okvir za evropsko digitalno identiteto. V zvezi s tem bi se morale države članice dogovoriti o celoviti tehnični arhitekturi in referenčnem okviru, sklopu skupnih standardov in tehničnih referenc, vključno s priznanimi obstoječimi standardi, ter sklopu smernic in opisov najboljših praks, ki bi zajemali vsaj vse funkcionalnosti in interoperabilnost evropskih denarnic za digitalno identiteto, vključno z e-podpisi, ter ponudnikov storitev zaupanja, ki izdajajo elektronska potrdila o atributih, kot je določeno v tej uredbi. V tem okviru bi se morale države članice tudi dogovoriti o skupnih elementih poslovnega modela in strukturi pristojbin za evropske denarnice za digitalno identiteto, da bi olajšale njihovo uvedbo, zlasti s strani MSP, v čezmejnem okviru. Vsebina nabora orodij bi se morala razvijati vzporedno z razpravo ter odražati rezultate te razprave in postopka sprejetja evropskega okvira za digitalno identiteto.

(71)

Ta uredba zagotavlja usklajeno raven kakovosti, zaupanja in varnosti kvalificiranih storitev zaupanja, ne glede na to, kje se izvajajo dejavnosti. Zato bi bilo treba ponudniku kvalificiranih storitev zaupanja omogočiti, da svoje dejavnosti, povezane z zagotavljanjem kvalificiranih storitev zaupanja, odda v zunanje izvajanje tretji državi, kadar ta tretja država zagotovi ustrezna jamstva, da se lahko nadzorne dejavnosti in revizije izvršujejo, kot če bi se izvajale v Uniji. Če skladnosti s to uredbo ni mogoče v celoti zagotoviti, bi morali imeti nadzorni organi možnost, da sprejmejo sorazmerne in utemeljene ukrepe, vključno z odvzemom kvalificiranega statusa storitve zaupanja, ki se zagotavlja.

(72)

Za zagotovitev pravne varnosti v zvezi z veljavnostjo naprednih elektronskih podpisov, ki temeljijo na kvalificiranih potrdilih, je bistveno, da se opredeli ocena zanašajoče se stranke, ki izvaja postopek potrjevanja veljavnosti navedenega naprednega elektronskega podpisa na podlagi kvalificiranih potrdil.

(73)

Ponudniki storitev zaupanja bi morali uporabljati kriptografske metode, ki odražajo trenutne najboljše prakse in zaupanja vredno izvajanje teh algoritmov, da bi zagotovili varnost in zanesljivost svojih storitev zaupanja.

(74)

Ta uredba določa obveznost kvalificiranih ponudnikov storitev zaupanja, da preverijo identiteto fizične ali pravne osebe, ki se ji kvalificirano potrdilo ali kvalificirano elektronsko potrdilo o atributih izda na podlagi različnih metod, usklajenih po vsej Uniji. Za zagotovitev, da se kvalificirana potrdila in kvalificirana elektronska potrdila o atributih izdajo osebi, kateri pripadajo, ter da potrjujejo pravilen in enoličen nabor podatkov, ki predstavlja identiteto navedene osebe, bi morali ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila ali kvalificirana elektronska potrdila o atributih, ob izdaji navedenih potrdil s popolno gotovostjo zagotoviti identifikacijo navedene osebe. Poleg tega bi morali ponudniki kvalificiranih storitev zaupanja poleg obveznega preverjanja identitete osebe, če je to potrebno za izdajo kvalificiranih potrdil in pri izdaji kvalificiranega elektronskega potrdila o atributih, s popolno gotovostjo zagotoviti pravilnost in točnost potrjenih atributov osebe, ki se ji izda kvalificirano potrdilo ali kvalificirano elektronsko potrdilo o atributih. Navedene obveznosti glede rezultatov in popolne gotovosti pri preverjanju potrjenih podatkov bi bilo treba podpreti z ustreznimi sredstvi, vključno z uporabo ene od posebnih metod iz te uredbe, ali, kadar je to potrebno, kombinacije teh metod. Navedene metode bi moralo biti mogoče kombinirati, da se zagotovi ustrezna podlaga za preverjanje identitete osebe, ki se ji izda kvalificirano potrdilo ali kvalificirano elektronsko potrdilo o atributih. Obstajati bi morala možnost, da taka kombinacija vključuje uporabo sredstev elektronske identifikacije, ki izpolnjujejo zahteve glede srednje ravni zanesljivosti v kombinaciji z drugimi sredstvi za preverjanje identitete. Taka elektronska identifikacija bi omogočila izpolnitev usklajenih zahtev iz te uredbe glede visoke ravni zanesljivosti v okviru dodatnih usklajenih postopkov na daljavo, s čimer se zagotovi identifikacija z visoko stopnjo zaupanja. Navedene metode bi morale vključevati možnost, da ponudnik kvalificiranih storitev zaupanja, ki izda kvalificirano elektronsko potrdilo o atributih, na zahtevo uporabnika v skladu s pravom Unije ali nacionalnim pravom preveri atribute, ki jih je treba potrditi z elektronskimi sredstvi, tudi na podlagi verodostojnih virov.

(75)

Da bi bila ta uredba usklajena s svetovnim razvojem in da bi sledili najboljšim praksam na notranjem trgu, bi bilo treba delegirane in izvedbene akte, ki jih sprejme Komisija, redno pregledovati in po potrebi posodabljati. Pri oceni potrebe po navedenih posodobitvah bi bilo treba upoštevati nove tehnologije, prakse, standarde ali tehnične specifikacije.

(76)

Ker ciljev te uredbe, in sicer razvoja evropskega okvira za digitalno identiteto in okvira storitev zaupanja na ravni Unije, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega in učinkov lažje dosežeta na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(77)

Na podlagi člena 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov.

(78)

Uredbo (EU) št. 910/2014 bi bilo zato treba ustrezno spremeniti –

(1)

člen 1 se nadomesti z naslednjim:

(2)

člen 2 se spremeni:

(3)

člen 3 se spremeni:

(4)

člen 5 se nadomesti z naslednjim:

(5)

v poglavje II se vstavi naslednji oddelek:

(*2)  Direktiva (EU) 2019/882 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o zahtevah glede dostopnosti za proizvode in storitve (UL L 151, 7.6.2019, str. 70)."

(*3)  Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15)."

(*4)  Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednje velikih podjetij) (UL L 124, 20.5.2003, str. 36)."

(*5)  Uredba (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) (UL L 277, 27.10.2022, str. 1).“;"

(6)

pred členom 6 se vstavi naslednji naslov:

(7)

v členu 7 se točka (g) nadomesti z naslednjim:

(8)

v členu 8(3) se prvi pododstavek nadomesti z naslednjim:

(9)

v členu 9 se odstavka 2 in 3 nadomestita z naslednjim:

(10)

v členu 10 se naslov nadomesti z naslednjim:

„Kršitev varnosti shem elektronske identifikacije“;

(11)

vstavi se naslednji člen:

(12)

člen 12 se spremeni:

(13)

v Poglavju II se vstavita naslednja člena:

(*6)  Uredba (EU) 2022/1925 Evropskega parlamenta in Sveta z dne 14. septembra 2022 o tekmovalnih in pravičnih trgih v digitalnem sektorju in spremembi direktiv (EU) 2019/1937 in (EU) 2020/1828 (akt o digitalnih trgih) (UL L 265, 12.10.2022, str. 1).“;"

(14)

v členu 13 se odstavek 1 nadomesti z naslednjim:

(15)

členi 14, 15 in 16 se nadomestijo z naslednjim:

(*7)  Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).“;"

(16)

v poglavju III, oddelek 2, se naslov spremeni z naslednjim:

„Nekvalificirane storitve zaupanja“;

(17)

člena 17 in 18 se črtata;

(18)

v poglavje III, oddelek 2, se vstavi naslednji člen:

(19)

člen 20 se spremeni:

(20)

člen 21 se spremeni:

(21)

člen 24 se spremeni:

(22)

v poglavje III, oddelek 3, se vstavi naslednji člen:

(23)

v členu 25 se črta odstavek 3;

(24)

člen 26 se spremeni:

(25)

v členu 27 se črta odstavek 4;

(26)

v členu 28 se odstavek 6 nadomesti z naslednjim:

(27)

v členu 29 se vstavi naslednji odstavek:

(28)

vstavi se naslednji člen:

(29)

v členu 30 se vstavi naslednji odstavek:

(30)

v členu 31 se odstavek 3 nadomesti z naslednjim:

(31)

člen 32 se spremeni:

(32)

vstavi se naslednji člen:

(33)

v členu 33 se odstavek 2 nadomesti z naslednjim:

(34)

člen 34 se spremeni:

(35)

v členu 35 se črta odstavek 3;

(36)

člen 36 se spremeni:

(37)

v členu 37 se črta odstavek 4;

(38)

v členu 38 se odstavek 6 nadomesti z naslednjim:

(39)

vstavi se naslednji člen:

(40)

v poglavje III, oddelek 5, se vstavi naslednji člen:

(41)

v členu 41 se črta odstavek 3;

(42)

člen 42 se spremeni:

(43)

člen 44 se spremeni:

(44)

člen 45 se nadomesti z naslednjim:

(45)

vstavi se naslednji člen:

(46)

v poglavju III se dodajo naslednji oddelki:

(47)

vstavi se naslednje poglavje:

(48)

člen 47 se spremeni:

(49)

v poglavje VI se vstavi naslednji člen:

(50)

člen 49 se nadomesti z naslednjim:

(51)

člen 51 se nadomesti z naslednjim:

(52)

priloge I do IV se spremenijo v skladu s prilogami I do IV k tej uredbi;

(53)

dodajo se nove priloge V, VI in VII, kakor so določene v prilogah V, VI in VII k tej uredbi.