Torna indietro
Digitalizzazione - Punto normativo

eIDAS: il framework di accreditamento per l’identità e l’autenticazione digitali

E’ stato pubblicato (GU UE serie L del 28 ottobre scorso) il Regolamento di esecuzione UE  2025/2162 che stabilisce le modalità di applicazione del Regolamento UE 910/2014 “eIDAS” relative all'accreditamento degli organismi di valutazione della conformità.

In questo quadro, gli organismi di certificazione accreditati hanno il compito di verificare i prestatori di servizi fiduciari qualificati e i servizi fiduciari qualificati da essi prestati.

Lo scopo del regolamento è istituire un quadro armonizzato e solido per l'accreditamento degli organismi, i regimi di valutazione della conformità che essi attuano, le valutazioni di conformità eseguite e le relazioni risultanti.

Le relazioni, in particolare, confermano se sono soddisfatti i requisiti del Regolamento UE 910/2014 e dell'art. 21 della Direttiva UE 2022/2555 “NIS 2”, che stabilisce misure di gestione dei rischi di cibersicurezza.  

L’accreditamento delle certificazioni

Ai sensi dell’art. 2 del Regolamento di esecuzione UE  2025/2162, l’accreditamento è concesso da un Organismo nazionale di accreditamento, in conformità alla norma EN ISO/IEC 17065:2012 integrata dalla ETSI EN 319 403-1 v2.3.1.

I certificati di accreditamento, rilasciati agli organismi di valutazione della conformità, dovranno descrivere l’ambito di applicazione dell’accreditamento e contenere almeno le seguenti informazioni:  

  • a) il codice di identità unico del certificato di accreditamento
  • b) la data di rilascio del certificato di accreditamento
  • c) il nome e il Paese, quali figurano nei documenti ufficiali nazionali, dell’Organismo nazionale di accreditamento che rilascia il certificato di accreditamento
  • d) il nome e, se del caso, il numero di registrazione, quali appaiono nei documenti ufficiali nazionali, dell’organismo di valutazione della conformità accreditato
  • e) l’ambito di applicazione dell’accreditamento, per quanto riguarda uno o più dei seguenti servizi fiduciari qualificati (scegliendo tra gli ambiti indicati all’art. 3)
  • f) l’identificazione, compresa se del caso la versione specifica, del regime di valutazione della conformità per il quale l’organismo di valutazione della conformità è stato accreditato
  • g) l’indicazione dell’uso dell’accreditamento con ambito flessibile, se del caso
  • h) l’identificazione, se del caso, del documento che descrive il processo di progettazione e attuazione dell’accreditamento con ambito flessibile.

L’accreditamento con ambito flessibile

Per “accreditamento in ambito flessibile” (art. 1) si intende “un accreditamento in cui le specifiche attività di valutazione della conformità per le quali è chiesto o è stato concesso l’accreditamento sono espresse per consentire agli organismi di valutazione della conformità di apportare modifiche alla metodologia e ad altri parametri che rientrano nella competenza dell’organismo di valutazione della conformità, come confermato dall’Organismo nazionale di accreditamento”.

Requisiti per gli organismi di certificazione

Lo scheme owner (il soggetto responsabile dello sviluppo e della manutenzione del regime di conformità) deve monitorare e notificare tempestivamente all'Organismo di accreditamento eventuali modifiche alle norme o al regime di valutazione della conformità.

L’art. 5, inoltre, prevede che gli organismi di valutazione della conformità rendano disponibili i certificati di conformità che rilasciano in un archivio pubblico mantenuto a tal fine dall’organismo di valutazione della conformità.

L’eventuale subappalto dell’esecuzione delle attività di valutazione della conformità, da parte dell’organismo di valutazione della conformità, tiene debitamente conto della natura dell’attività da svolgere. L’organismo provvede affinché il subappaltatore rispetti le norme di cui all’allegato I per la specifica attività subappaltata.

Al momento del rilascio di una decisione sul rilascio della certificazione, gli organismi di valutazione della conformità provvedono affinché il prestatore di servizi fiduciari qualificato, cui la decisione si riferisce, sia in grado di presentare agli organismi di vigilanza le relazioni complete di valutazione della conformità corrispondenti a tale decisione.

Il subappalto potrà essere effettuato solo a vantaggio di soggetti accreditati secondo le seguenti norme di accreditamento:

  • EN ISO/IEC 17025:2017 per le attività di prova
  • EN ISO/IEC 17021-1:2015 per le attività di audit dei regimi di gestione
  • EN ISO/IEC 17020:2012 per le attività di ispezione
  • EN ISO/IEC 17065:2012 per le attività di valutazione della conformità.

Il regime di valutazione della conformità

L’art. 6 disciplina il “regime di valutazione della conformità”: “una serie di norme e procedure che gli organismi di valutazione della conformità devono utilizzare per valutare la conformità dei prestatori di servizi fiduciari qualificati e dei servizi fiduciari qualificati da essi prestati ai requisiti di cui al Regolamento UE 910/2014 e all’art. 21 della Direttiva UE 2022/2555”.

In primo luogo, tale regime dovrà essere conforme al regime di tipo 6 della norma EN ISO/IEC 17067:2013. Successivamente sono individuati specifici requisiti.

L’art. 9, infine, introduce la c.d. “clausola grandfathering” in base alla quale “gli organismi di valutazione della conformità che, prima del 17 novembre 2025, sono stati accreditati con riferimento alla norma ETSI EN 319 403, versione 2.2.2, o versione precedente, ai fini della valutazione della conformità al Regolamento UE 910/2014 dei prestatori di servizi fiduciari qualificati e dei servizi fiduciari qualificati da essi prestati, sono considerati conformi ai requisiti di cui all’art. 2 sull’accreditamento fino al 17 maggio 2027”.

Resta sempre aggiornato

Iscriviti alla nostra newsletter
La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.