Digital lommebok - åpenhet og informasjon om lommebøkenes økosystem
Kommisjonens gjennomføringsforordning (EU) 2024/2980 av 28. november 2024 med regler for bruk av Europaparlamentets og Rådets forordning (EU) nr. 910/2014 angående meldinger til Kommisjonen om økosystemet for europeiske digitale identitetslommebøker.
Commission Implementing Regulation (EU) 2024/2980 of 28 November 2024 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards notifications to the Commission concerning the European Digital Identity Wallet ecosystem
EØS-notat | 01.06.2026 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 10.10.2025
Spesialutvalg: Kommunikasjoner
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester
Kapittel i EØS-avtalen:
Status
Gjennomføringsforordningen er vedtatt av Kommisjonen og har trådt i kraft i medlemslandene. Medlemslandene har en frist til desember 2026 på å innrette seg etter gjennomføringsforordningen. Rettsakten er til vurdering i EØS/EFTA-statene.
Sammendrag av innhold
Bakgrunn og formål
Gjennomføringsforordning (EU) 2024/2980 av 28. november 2024 («gjennomføringsforordningen») om meldinger til kommisjonen, har som mål å etablere en åpen og pålitelig informasjonskilde for validering av aktørene i det digitale identitetslommebok-økosystemet. Rettsakten er en av fire gjennomføringsrettsakter Kommisjonen har vedtatt med presiseringer og prosedyrer tilknyttet eIDAS-regelverket. De tre andre er (EU) 2024/2977 om personidentifikasjonsdata og elektronisk attestering av attributter (bevis), (EU) 2024/2979 og integritet og kjernefunksjoner og (EU) 2024/2982 om protokoller (fremgangsmåter) og grensesnitt.
De fire rettsaktene er hjemlet i bestemmelser som følger av forordning (EU) 2024/1183 (eIDAS2) som endrer eIDAS-forordningen (EU) 910/2014 (eIDAS1), og de er en del av det reviderte eIDAS-regelverket.
eIDAS1 ble først vedtatt 23. juli 2014 og trådte i kraft i EU 1. juli 2016. eIDAS1 er tatt inn i EØS-avtalen og gjennomført i norsk rett gjennom lov om elektroniske tillitstjenester og forskrifter. Formålet med eIDAS1 er å fremme sikker elektronisk samhandling mellom borgere, næringsliv og offentlige myndigheter på tvers av EU/EØS.
eIDAS2 trådte i kraft i EU 20. mai 2024, og utvider virkeområdet til eIDAS1 med blant annet innføringen av en digital identitetslommebok («European Digital Identity Wallet/EUDIW»), med tilhørende økosystem. EUDIW skal lette grensekryssende tjenestetilgang, samtidig som personvern og privatliv ivaretas. eIDAS2 er foreløpig ikke innlemmet i EØS-avtalen.
Gjennom eIDAS2 gis Kommisjonen hjemmel til å vedta relevante presiseringer i tilknytning til eIDAS-regelverket. Denne gjennomføringsforordningen er hjemlet i ny artikkel 5a nr. 23, som i EU er gjort til en del av eIDAS1.
Det er presisert i gjennomføringsforordningen at EUs personvernregelverk gjelder for all behandling av personopplysninger etter forordningen.
Hovedpunkter
Gjennomføringsforordningen fastsetter format og prosedyrer for hvordan medlemsstatene skal sende inn informasjon til Kommisjonen om aktører, lommebokenheter og personidentifikasjonsdata i det europeiske digitale identitetslommebok-økosystemet.
Gjennomføringsforordningen artikkel 1 fastsetter at medlemsstatenes meldinger skal omhandle følgende aktører, enheter og data:
- Medlemsstatens elektroniske brukerstedsregister, jf. eIDAS2 art. 1 om ny art. 5b nr. 5, samt registerets plassering og hvem som er registeransvarlig
- Registrerte brukersteder som skal motta lommeboken
- Lommebøkenes autentisitet og gyldighet
- Lommebokleverandører
- Personidentifikasjonsdataenes autentisitet
- Tilbydere av personidentifikasjonsdata
Aktørene, enhetene og dataene er nærmere definert i gjennomføringsforordningen, sammen med en rekke andre sentrale begrep.
Selve meldingene skal, jf. gjennomføringsforordningen artikkel 4, være på engelsk, mens eventuelle støttedokumenter kan oversendes som de er, dersom oversettelse vil medføre en urimelig administrativ eller finansiell byrde for medlemsstaten. Krav til meldingene er nærmere spesifisert i vedlegg 2 til gjennomføringsforordningen, og omhandler i all hovedsak overordnede rapporteringskrav som navn, kontaktinformasjon, sertifikat, eventuelt registreringsnummer og lignende.
Kommisjonen skal på sin side, jf. gjennomføringsforordningen artikkel 3, tilgjengeliggjøre et sikkert elektronisk system for mottak av meldingene, i tråd med kravene i vedlegg 1 til gjennomføringsforordningen. Kravene omhandler særlig systemets brukervennlighet for medlemsstatene.
Kommisjonen skal videre, jf. gjennomføringsforordningen artikkel 5, opprette, vedlikeholde og publisere følgende lister over de innsendte opplysningene:
- liste over brukerstedsregister og registeransvarlige
- liste over lommeboktilbydere, utstedere av PID og utstedere av adgangssertifikat for brukersteder
Listene skal, jf. gjennomføringsforordningen artikkel 5, være åpent tilgjengelige, kunne bearbeides automatisk og være trygge å oppsøke.
Kommisjonen skal også publisere:
- tekniske spesifikasjoner for listenes struktur
- opplysninger om nettadressen («URLen») listene er offentliggjort på
- hvilke sertifikater som skal benyttes til å kontrollere underskriften eller seglet på listene
- nærmere opplysninger om mekanismene brukt til å godkjenne endringer i URL eller i sertifikater.
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS2 innlemmes i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsrettsakten gjennomføres i forskrift.
EØS-relevans
Forordningen inneholder regler for gjennomføring av eIDAS 2. Endringene i eIDAS2 er vurdert som EØS-relevant, og departementet legger til grunn at tilsvarende vil gjelde for en forordning som gir utdypende regler for gjennomføringen av denne.
Endringer i nasjonalt regelverk
I Norge er eIDAS1 gjennomført i lov om elektroniske tillitstjenester, og i forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften), forskrift om tillitstjenester for elektroniske transaksjoner og gjennom rammeverk for identifikasjon og sporbarhet.
Hvis gjennomføringsforordningen tas inn i EØS-avtalen vil det medføre behov for forskriftsendringer i norsk rett. Dette kan gjøres enten som en endring i forskrift om tillitstjenester for elektroniske transaksjoner eller gjennom egen forskrift.
Det er tatt art.103-forbehold for eIDAS2, og gjennomføring av denne rettsakten kan ikke tre i kraft før art. 103-forbeholdet i eIDAS2 er løftet og eIDAS2 er trådt i kraft.
Økonomiske og administrative konsekvenser
Gjennomføringsforordningen detaljerer og spesifiserer forpliktelser som allerede følger av eIDAS2.
I posisjonsnotatet for eIDAS2 antas det at eIDAS2 vil få betydelige økonomiske og administrative konsekvenser. Gjennomføringsforordningen som omtales i dette notatet spesifiserer rapporteringsforpliktelser for medlemsstatene, og understøtter antagelsen om at eIDAS2, samlet sett, vil ha betydelige økonomiske og administrative konsekvenser, men er ikke ventet å i seg selv medføre betydelige økonomiske og administrative konsekvenser.
De økonomiske og administrative konsekvensene vil hovedsakelig knytte seg til selve arbeidet med innrapporteringen til Kommisjonen. Kommisjonen skal selv tilgjengeliggjøre et sikkert elektronisk system for mottak av meldingene, og gjennomføringsforordningen fremhever at systemet skal være brukervennlig.
Sakkyndige instansers merknader
Gjennomføringsforordningen har ikke vært på høring.
Vurdering
Forordningen inneholder utdypende regler for gjennomføring av eIDAS2, og forutsatt at denne blir innlemmet i EØS-avtalen stiller departementet seg positive til felles gjennomføringsregler som skal sikre tillitt til-, åpenhet om- og interoperabilitet i det europeiske digitale identitetsøkosystemet. Informasjon fra medlemsstatene og EFTA-landene vil være avgjørende for at Kommisjonen skal kunne opprette tillitslister om aktører, lommebokenheter og personidentifikasjonsdata, som igjen vil være avgjørende for en sikker og tillitsvekkende gjennomføring av den europeiske digitale identitetslommeboken.
Medlemsstatenes rapporteringsplikter er i hovedsak overordnede, og det er Kommisjonen som har ansvaret for å tilgjengeliggjøre rapporteringssystemet medlemsstatene skal bruke. Gjennomføringsforordningen fastsetter i tillegg at systemet skal være brukervennlig, at den samme informasjonen kun skal måtte rapporteres inn én gang og at støtteinformasjon ikke krever oversettelse før innsending, dersom dette vil medføre en uforholdsmessig administrativ eller økonomisk byrde.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2024/2980 |
| Basis rettsaktnr.: | (EU) 910/2014 |
| Celexnr.: | 32024R2980 |
EFTA-prosessen
| Dato mottatt standardskjema: | 20.12.2024 |
| Frist returnering standardskjema: | 11.04.2025 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |