Regler om format og prosedyre for årsrapporter fra tilsynsorganer til Kommisjonen
Europakommisjonens gjennomføringsforordning (EU) 2025/1571 om fastsettelse av regler for anvendelsen av Europaparlamentets og -rådets forordning (EU) nr. 910/2014 om formater og prosedyrer for årsrapporter fra tilsynsorganer
Commission Implementing Regulation (EU) 2025/1571 of 29 July 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the formats and procedures for annual reports by supervisory bodies
EØS-notat | 01.06.2026 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 23.01.2026
Spesialutvalg: Kommunikasjoner
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester
Kapittel i EØS-avtalen:
Status
Forordning (EU) 2025/1571 ble vedtatt 29. juli 2025, publisert i Den europeiske unions tidende 30. juli 2025 og trådte i kraft i EU 19. august 2025.
Forordningen er ikke innlemmet i EØS-avtalen og er til vurdering av EØS/EFTA-statene.
Sammendrag av innhold
Bakgrunn og formål
Gjennomføringsforordning (EU) 2025/1571 av 29. juli 2025 (gjennomføringsforordningen) er vedtatt med hjemmel i forordning (EU) 910/2014 (eIDAS1) slik den er revidert ved forordning (EU) 2025/1183 (eIDAS2) artikkel 46a nr. 7 og artikkel 46b nr. 7 og er en del av det reviderte eIDAS-regelverket.
eIDAS1 ble vedtatt 23. juli 2014 og trådte i kraft i EU 1. juli 2016. eIDAS1 er tatt inn i EØS-avtalen og gjennomført i norsk rett gjennom lov om elektroniske tillitstjenester og tilhørende forskrifter. Formålet med eIDAS1 er å fremme sikker elektronisk samhandling mellom borgere, næringsliv og offentlige myndigheter på tvers av EU/EØS.
eIDAS2 trådte i kraft i EU 20. mai 2024, og utvider virkeområdet til eIDAS1 med blant annet innføringen av en digital identitetslommebok («European Digital Identity Wallet/EUDIW»), med tilhørende økosystem. EUDIW skal lette grensekryssende tjenestetilgang, samtidig som personvern og privatliv ivaretas. eIDAS2 er foreløpig ikke innlemmet i EØS-avtalen.
Formålet med denne gjennomføringsforordningen er å harmonisere og tydeliggjøre format og prosedyrer for nasjonale tilsynsorganers rapportering til Kommisjonen for å sikre sikker og etterprøvbar datautveksling, redusere administrativ kompleksitet samt fremme god praksis og effektivt tilsyn i hele EU.
Sammendrag av innhold
Gjennomføringsforordningen består av en enkelt artikkel, i tillegg til bestemmelse om ikrafttredelse, samt to vedlegg. I de to vedleggene harmoniseres og konkretiseres format og prosedyrer for innsending av årsrapporter fra nasjonale tilsynsorganer for henholdsvis tillitstjenester og europeiske digitale identitetslommebøker til Europakommisjonen. Gjennomføringsforordningen sikrer at rapporteringen er sikker, etterprøvbar og maskinlesbar, samtidig som administrativ kompleksitet reduseres.
Årsrapportene fra tilsynsorganene skal inneholde relevant informasjon om tilsynsaktivitetene, herunder inspeksjoner, identifiserte utfordringer, sikkerhetsbrudd, samarbeidsaktiviteter mellom tilsynsorganer og samarbeid med tilsynet etter personopplysningsloven (Datatilsynet i Norge), samt planer for fremtidige tilsyn. Hensikten er å understøtte ensartet og effektivt tilsyn i alle medlemsstater, samtidig som informasjonen gjøres tilgjengelig for Europaparlamentet og Rådet i tråd med prinsipper om åpenhet.
Gjennomføringsforordningen fastsetter at rapportene skal sendes elektronisk via en sikker kanal som Kommisjonen stiller til rådighet. Gjennomføringsforordningen beskriver minimumskrav til innhold, som detaljert i vedlegg I og II for henholdsvis tilsynet for europeiske digitale identitetslommebøker og tilsynet for tillitstjenester. Behandling av personopplysninger i rapporteringen skal følge personvernforordningen (2016/679) og, der det er relevant, forordning 2018/1725 (forordning om EU-insitusjonenes behandling av personopplysninger og direktiv 2002/58/EF (kommunikasjonsverndirektovet), jf. fortalepunkt 4 (nærmere om de to sistnevnte rettsaktene nedenfor).
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS2 tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsforordningen være EØS-relevant og kan gjennomføres i forskrift.
EØS-relevans
Gjennomføringsforordningen inneholder regler om gjennomføring av eIDAS2. eIDAS2 anses å være både EØS-relevant og akseptabel, og departementet legger til grunn at det samme gjelder gjennomføringsforordningen, som derfor også anses som EØS-relevant og akseptabel.
Det er tatt art. 103-forbehold for eIDAS2, og gjennomføring av denne gjennomføringsrettsakten kan ikke tre i kraft før art. 103-forbeholdet i eIDAS2 er løftet og eIDAS2 er trådt i kraft.
Endringer i nasjonalt regelverk
Gjennomføringsforordningen stiller krav til format og prosedyrer for innsending av årsrapporter fra nasjonale tilsynsorganer. Rapporteringsplikten reguleres allerede innenfor rammen av eIDAS, og behandling av personopplysninger i rapportene reguleres av personopplysningsloven som gjennomfører GDPR (reg. (EU) 2016/679). Direktiv 2002/58/EF er gjennomført i lov om elektronisk kommunikasjon (ekomloven), og regulerer sikkerhet og konfidensialitet i elektronisk kommunikasjon. Gjennomføringsforordningen antas ikke å pålegge nye plikter ut over det som følger av de nevnte regelverkene.
Økonomiske og administrative konsekvenser
Gjennomføringsforordningen krever at årsrapporter fra nasjonale tilsynsorganer sendes på en standardisert og sikker måte, men innfører ikke nye selvstendige plikter eller krav. For tilsynsmyndighetene dreier det seg først og fremst om tilpasning av interne rutiner for å følge den standardiserte rapporteringen. Kostnadene forventes å være begrenset, og eventuelle merbelastninger må ses som en del av den samlede gjennomføringen av eIDAS2, ikke som en konsekvens av denne gjennomføringsforordningen isolert.
Sakkyndige instansers merknader
Forordningen har foreløpig ikke vært på høring.
Vurdering
Vurdering
Departementet vurderer at gjennomføringsforordningen er av prosessuell karakter og gir nærmere regler for gjennomføring av krav som allerede følger av eIDAS2. Gjennomføringsrettsakten innebærer i hovedsak behov for tilpasninger i tilsynsmyndighetens rapporteringsform gjennom interne rutiner.
Det vurderes at gjennomføringsforordningen kan gjennomføres i norsk rett ved forskrift. Eventuelt kan det i forskrift vises til kravspesifikasjoner i gjennomføringsrettsaktens vedlegg I og II for henholdsvis tilsynsmyndighetene for tillitstjenester og tilsynsmyndighetene for EUDIW, tilsvarende som i forskrift om tillitstjenester for elektroniske transaksjoner.
Forholdet til annet regelverk
Gjennomføringsforordningen har berøringspunkter mot NIS-direktivet, ved at rapporteringskravet også omfatter en beskrivelse av eventuelle sikkerhetsbrudd som tilsynsorganet har rapportert til blant annet sentrale kontaktpunkter utpekt etter direktiv (EU) 2022/2555 (NIS-direktivet), jf. gjennomføringsforordningens vedlegg I nr. 7 og vedlegg II nr. 7. Kravet innebærer ikke nye materielle plikter etter NIS-direktivet, men forutsetter at informasjon som tilsynsorganet allerede har plikt til å håndtere etter eIDAS, kan sammenstilles og rapporteres til Kommisjonen. Det nye NIS-direktivet (EU) 2022/2555 som det henvises til i eIDAS2 og gjennomføringsforordningen, ble vedtatt i EU 14. desember 2022 og medlemsstatene skal ha gjennomført direktivet i nasjonal rett innen 24. oktober 2024. Fra samme tidspunkt ble gjeldende NIS-direktiv (EU) 2016/1148 opphevet. Dette direktivet var gjennomført i norsk rett i digitalsikkerhetsloven. Det pågår en egen prosess om innlemming av det nye NIS-direktivet i EØS-avtalen, og Norge har tatt 103-forbehold for gjennomføringen, se direktivets posisjonsnotat.
Forordning (EU) 2018/1725, som henvist til i gjennomføringsforordningens fortalepunkt 4, gjelder kun behandling av personopplysninger i EUinstitusjoner og -organer, og er ikke EØS-relevant.
Konklusjon
Forordningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalens vedlegg XI.
Andre opplysninger
eIDAS2 hjemler to ulike tilsynsroller i artikkel 46a og artikkel 46b for henholdsvis rammeverket for digitale identitetslommebøker og for tillitstjenester. Det er enda ikke besluttet nasjonalt om det skal være flere tilsynsorganer knyttet til disse rollene eller om de ulike rollene skal ivaretas av samme organ.
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | KOM(2025)1571 |
| Rettsaktnr.: | (EU) 2025/1571 |
| Basis rettsaktnr.: | (EU) 910/2014 |
| Celexnr.: | 32025R1571 |
EFTA-prosessen
| Dato mottatt standardskjema: | 28.08.2025 |
| Frist returnering standardskjema: | 18.12.2025 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Nei |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |