Norma - quotidiano d'informazione giuridica - DBI s.r.l.

REGOLAMENTO DI ESECUZIONE (UE) 2025/1570 DELLA COMMISSIONE, 29 luglio 2025

G.U.U.E. 30 luglio 2025, Serie L

Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la notifica delle informazioni sui dispositivi per la creazione di una firma elettronica qualificata certificati e sui dispositivi per la creazione di un sigillo elettronico qualificato certificati.

Note sull'entrata in vigore e sull'applicabilità

Entrata in vigore il: 19 agosto 2025

Applicabile dal: 19 dicembre 2025

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 31, paragrafo 3, e l'articolo 39, paragrafo 3,

considerando quanto segue:

1) Al fine di definire una fonte trasparente e affidabile di informazioni sui dispositivi per la creazione di una firma elettronica qualificata e sui dispositivi per la creazione di un sigillo elettronico qualificato che sono stati certificati, o che non sono più certificati, dagli organismi di certificazione di cui all'articolo 30, paragrafo 1, del regolamento (UE) n. 910/2014, gli Stati membri devono notificare le informazioni pertinenti alla Commissione, utilizzando un canale elettronico sicuro messo a disposizione dalla Commissione.

2) Al fine di garantire alla Commissione un periodo di tempo adeguato per adattare il canale esistente per le notifiche di informazioni concernenti lo stato di certificazione dei dispositivi per la creazione di una firma elettronica qualificata e dei dispositivi per la creazione di un sigillo elettronico qualificato, il presente regolamento dovrebbe applicarsi a decorrere da 3 mesi dopo la sua entrata in vigore.

3) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (3) si applicano alle attività di trattamento di dati personali a norma del presente regolamento.

4) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 6 giugno 2025.

5) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

(1)

GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3)

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4)

Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

Art. 1

1. La notifica di cui all'articolo 31, paragrafo 1, del regolamento (UE) n. 910/2014 contiene almeno le informazioni indicate nell'allegato del presente regolamento ed è effettuata in forma elettronica attraverso un canale elettronico sicuro messo a disposizione dalla Commissione.

2. In caso di modifiche delle informazioni trasmesse dopo la comunicazione iniziale, comprese modifiche dello stato di certificazione dei dispositivi per la creazione di una firma elettronica qualificata e dei dispositivi per la creazione di un sigillo elettronico qualificato, gli Stati membri trasmettono le informazioni aggiornate con i pertinenti documenti di accompagnamento attraverso il canale di cui al paragrafo 1.

Art. 2

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento si applica a decorrere dal 19 dicembre 2025.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 29 luglio 2025

Per la Commissione

La presidente

URSULA VON DER LEYEN

ALLEGATO

Informazioni che gli Stati membri sono tenuti a notificare a norma dell'articolo 31, paragrafo 1

1. L'identificazione del dispositivo per la creazione di una firma elettronica qualificata o del dispositivo per la creazione di un sigillo elettronico qualificato, oggetto della notifica di certificazione o di cancellazione della certificazione e specificato mediante i seguenti elementi:

(a) nome del prodotto;

(b) riferimento al componente software configurato, compresa la versione pertinente;

(c) riferimento al componente hardware configurato, compresa la versione pertinente;

(d) versione.

2. L'identità dell'organismo che ha chiesto la certificazione.

3. La descrizione del dispositivo per la creazione di una firma elettronica qualificata o del dispositivo per la creazione di un sigillo elettronico qualificato, comprendente quanto segue:

(a) se si tratta di un dispositivo per la creazione di una firma elettronica qualificata o/e di un dispositivo per la creazione di un sigillo elettronico qualificato;

(b) le categorie a cui appartiene il dispositivo tra le seguenti:

- dispositivi in cui i dati per la creazione di una firma elettronica o i dati per la creazione di un sigillo elettronico sono conservati in un ambiente interamente (ma non necessariamente in maniera esclusiva) gestito dall'utente;

- dispositivi in cui un prestatore di servizi fiduciari qualificato gestisce i dati per la creazione di una firma elettronica o i dati per la creazione di un sigillo elettronico per conto di un firmatario o di un creatore di un sigillo.

4. Il certificato di conformità del dispositivo ai requisiti dell'allegato II del regolamento (UE) n. 910/2014.

5. Un riferimento alla relazione di certificazione rilasciata a norma dell'articolo 30 del regolamento (UE) n. 910/2014 che resta invariato almeno per il periodo di validità del certificato di conformità.

6. L'identità dell'emittente della relazione di certificazione, compreso un riferimento adeguato alla sua qualifica quale organismo di certificazione designato da uno Stato membro a norma dell'articolo 30, paragrafo 1, del regolamento (UE) n. 910/2014 e conforme per la certificazione di tali dispositivi a norma dell'articolo 30, paragrafo 3, di tale regolamento.

7. Un identificatore uniforme di risorse ("URL") di un sito dal quale la relazione di certificazione è disponibile gratuitamente.

8. La data di inizio effettiva della certificazione.

9. Lo stato di certificazione.

10. La data di scadenza della certificazione.

11. L'indicazione dell'eventuale intenzione di non continuare la certificazione dopo la certificazione vigente per l'attuale configurazione dei dispositivi per la creazione di una firma qualificata o dei dispositivi per la creazione di un sigillo elettronico qualificato.

12. I dati di contatto dell'organismo designato.

13. L'indicazione relativa alla conformità del metodo di certificazione all'articolo 30, paragrafo 3, primo comma, lettera a) o b), del regolamento (UE) n. 910/2014 e, se del caso, il riferimento e l'URL delle procedure alternative che sono state notificate alla Commissione a norma dell'articolo 30, paragrafo 3, primo comma, lettera b), di tale regolamento.

14. Tutte le pertinenti relazioni di certificazione redatte conformemente agli atti di esecuzione adottati a norma dell'articolo 30, paragrafo 3, secondo comma, del regolamento (UE) n. 910/2014, compreso quanto segue:

(a) un riferimento a ciascuna relazione di certificazione;

(b) l'identificazione dell'emittente di ciascuna relazione di certificazione;

(c) un URL di un sito sul quale ogni relazione di certificazione è disponibile gratuitamente;

(d) la data di rilascio di ogni relazione di certificazione;

(e) se pubblicamente disponibile, una versione del corrispondente documento sul target di sicurezza che descrive il dispositivo, o qualsiasi suo componente, oggetto della valutazione della certificazione contenuta nella relazione di certificazione.