Have Your Say: Mida me kirjutasime Euroopa Komisjonile DPP-registri määruse kohta
BlogiReguleerimine08/05/2026

Have Your Say: Mida me kirjutasime Euroopa Komisjonile DPP-registri määruse kohta

Avatud konsultatsioonile esitati neli ettepanekut: DPP-teenusepakkuja kohustuste määratlemise, pikaajalise kontrollitavuse, artikli 17 kohase andmete avalikustamise ja API avaldamise kohta enne jõustumist.

  1. aprillil 2026 avaldas Euroopa Komisjon DPP-registri rakendusmääruse eelnõu⁠ ning avas samal ajal neljanädalase tagasisideperioodi. Kuni 27. maini 2026 saab iga isik ja organisatsioon ELis ja väljaspool seda anda tagasisidet portaali „Have Your Say“ kaudu. Tagasiside on avalik, iga arvamus on allkirjastatud nimega või organisatsiooni nimega ning see võetakse ametlikult arvesse määruse lõppversiooni koostamisel.

Oleme eelnõu siin blogis põhjalikult arutanud. Käesoleva postituse pühendame küsimusele, mida me komisjonile vastuseks kirjutasime.

Miks esitasime neli eraldi arvamust

Portaal võtab vastu kuni 4 000 tähemärki ühe postituse kohta. Oleksime võinud kõik punktid ühte pikka postitusse kokku suruda. See oleks olnud komisjoni töötajatele, kes peavad mais läbi töötama kümneid arvamusi, ebamugavam lugeda ja raskem tsiteerida. Neli eraldi arvamust on avalikus nimekirjas igaüks eraldi leitavad ning igale neist saab vastata - või need tagasi lükata - eraldi, ilma et see mõjutaks teisi punkte.

Esitasime järgmised neli teemat:

1. DPP-teenusepakkujate miinimumnõuete määratlemine

Määruse eelnõus on detsentraliseeritud mudel õigesti määratletud: DPP-andmed asuvad majandussubjekti või tema DPP-teenusepakkuja juures, komisjoni register salvestab vaid viited. DPP-teenusepakkujate jaoks (ESPRi artikli 2 punkt 32) on ette nähtud heakskiidetud pakkujate ametlik nimekiri.

Puudub aga määratlus selle kohta, mida teenusepakkuja tegelikult peab tegema, et sellesse nimekirja pääseda ja seal püsida. Eeldatavasti sätestatakse olulised kohustused delegeeritud õigusaktis vastavalt ESPR-i põhimääruse artiklile 4. Register hakkab aga tööle enne, kui see õigusakt avaldatakse.

Meie ettepanek: kas sätestada teenusepakkujate miinimumkriteeriumid otse selles rakendusmääruses või määrata kindlaks siduv tähtaeg, millal delegeeritud õigusakt esitatakse. Pakutud miinimumnõuded hõlmavad järgmist:

  • DPP avalikku lugemisliidese kättesaadavus vähemalt 99,5 protsenti kuus
  • Teenustaseme leping, milles on sätestatud, kui kiiresti peab uus DPP-versioon jõudma turvakopiasse (ettepanek: 24 tundi või reaalajas, kui see on tehniliselt võimalik)
  • Teenusepakkuja poolt sissetulevate versioonide kohustuslik krüptograafiline kontroll
  • Majandussubjekti avalikud võtmed tuleb avaldada standardiseeritud kataloogiteel (RFC 8615, ettepanek /.well-known/dpp-keys/)
  • Määratletud vahetus- ja maksejõuetuse protsess, et DPP-andmed saaksid teenusepakkuja tegevuse katkemisel korrapäraselt teisele teenusepakkujale üle viia

Need kohustused ei maksa usaldusväärsele teenusepakkujale midagi - ta täidab neid niikuinii -, kuid need hoiavad ära odavate teenusepakkujate vahelise allalöömiskonkurentsi, mis lõpuks nimekirja usaldusväärsust õõnestab.

2. Registreeritud DPP-de pikaajaline kontrollitavus

Artikli 9 lõige 4 piirab registreerimistõendi kättesaadavust 90 kalendripäevani. Selle tähtaja jooksul genereerib register tõendi taotluse korral uuesti. See sobib jooksvaks tegevuseks, kuid ei vasta selle taga oleva DPP-kohustuse elutsüklile: artikli 10 lõige 3 sätestab standardse säilitamisaja 10 aastaks alates registreerimisest, valdkonnapõhised õigusaktid võivad nõuda pikemat aega.

Turujärelevalveasutus, tolliametnik, ringlussevõtja või teadlane peaks 2032. aastal suutma kontrollida, et 2026. aastal registreeritud DPP oli tõepoolest registreeritud, ilma et ta peaks lootma sellele, et algne ettevõtja veel eksisteerib ja saab taotleda uut tõendit.

Meie kaks ettepanekut on rakendamisel soodsad:

  • Selgelt täpsustada, et komisjoni poolt kvalifitseeritud pitseriga varustatud tõendite baitidele on majandustegelasel või teenusepakkujal lubatud vahepealselt salvestada, arhiveerida ja edasi levitada. eIDAS-määruse artikli 35 lõike 2 kohane kvalifitseeritud pitser tagab terviklikkuse ja päritolu eelduse sõltumata sellest, kus baitid asuvad.
  • Luua registrisse avalik, autentimata kontrollipunkt, mis annab registreerimis-ID-le allkirjastatud vastuse. Praegu eeldab iga kolmanda osapoole kontroll, et ettevõtja astub ise samme - see on vale vorm tõenddokumendile, mis peab väljastajat üle elama.

Lisaks oleme teinud ettepaneku määrata hash-funktsiooni kasutamine deterministlikult kindlaks: SHA-256 kui hash-funktsioon, JSON Canonicalization Scheme (RFC 8785)⁠ kui serialiseerimine, väljaspool allkirjablokki. W3C-ökosüsteemis on see krüptokomplekt eddsa-jcs-2022, millega Transpareo otse allkirjastab. Ilma sellise pinning-määratluseta serialiseeriksid kaks teenusepakkujat sama DPP-d erinevate hash-väärtustena ning registreerimistõendi hash-väli ei oleks reprodutseeritav.

3. Artikkel 17 ei tohi piirata juurdepääsu avalikele DPP-andmetele

Artiklis 17 nimetatakse „massilist andmete allalaadimist” registri võimaliku kuritarvitamisena. Registris endas asuvate haldusmetadata (identiteedid, logid, auditeerimisjäljed) puhul on see õige - need ei kuulu massilise allalaadimise alla.

Tootja või teenusepakkuja juures asuvad avalikud DPP-andmed on aga just see valdkond, mille ESPR soovib laialdaselt kättesaadavaks teha. Ringlussevõtjad, kes koguvad koostisandmeid tooteparkide kohta; teadlased, kes analüüsivad jätkusuutlikkuse väiteid ristviisiliselt; turujärelevalve, mis teostab võrdlusanalüüse - need on kõik „massilise andmete allalaadimise“ vormid avaliku DPP-kihi suhtes ja kõik sihipärased kasutused, mille jaoks määrus koostati.

Meie ettepanek on lisada artiklisse 17 selgitav lause, mis piirab reguleerimisala registriandmetega ja viitab DPP-andmete puhul vastavatele sektoripõhistele delegeeritud õigusaktidele. Vastasel juhul seisavad teenusepakkujad käivitamisel valiku ees: kas piirata avalikku juurdepääsu turvalisuse huvides agressiivselt päringute arvu piirangutega - ja rikkuda sellega tarbija kogemust - või jätta see avatuks ja riskida, et seda klassifitseeritakse hiljem artikli 17 tähenduses kuritarvitusena.

4. OpenAPI-spetsifikatsiooni ja testkeskkonna avaldamine enne käivitamist

Artikli 3 punkt b nõuab registreerimiseks API-d. Artikli 8 lõige 5 määrab selle üheks kahest registreerimiskanalist. Määruses ei ole aga öeldud, millal API-leping avaldatakse.

Igaüks, kes automatiseerib registreerimise töövooge - iga teenusepakkuja ja iga suurema kataloogiga majandussubjekt -, vajab API spetsifikatsiooni juba tükk aega enne käivitamist, et seda rakendada ja reaalset lõpppunkti vastu testida. Spetsifikatsiooni avaldamine alles jõustumise-eelsel nädalal lükkab integratsiooniriski edasi kõigile ökosüsteemi teenusepakkujatele.

Seetõttu oleme teinud järgmised ettepanekud:

  • avaldada OpenAPI 3.1 spetsifikatsioon vähemalt kaheksa nädalat enne jõustumist - seega 19. juulil 2026 toimuva käivitamise puhul hiljemalt 24. maiks 2026
  • Luua paralleelselt sandbox-keskkond, mille abil teenusepakkujad ja tootjad saaksid integreerida ning testida artikli 8 lõikes 6 sätestatud automaatset verifitseerimist
  • Kehtestada versioonihalduspoliitika vastavalt Semverile, milles on ette nähtud vähemalt 18-kuuline etteteatamisaeg

Täiendavad disainisoovitused: idempotentsusvõtmed registreerimiskutsetele, suurte kataloogide partiiregistreerimine, asünkroonne registreerimine webhooki tagasikõnega ning masinloetavad veakoodid automaatse verifitseerimise veajuhtumite jaoks.

Miks me seda teeme

Konsultatsioon ei ole punktide kogumise mäng. Kui iga panus suudab lõppversioonis ühtegi lauset täpsemaks muuta, on see oma eesmärgi täitnud. Komisjon loeb neid panuseid tõepoolest - ESPR-protsessist saadud kogemus näitab, et tehniliselt põhjendatud panused jätavad lõpptekstidesse sageli oma jälje.

Me taotleme niikuinii DPP-teenusepakkujate nimekirja lisamist niipea, kui vastuvõtumenetlus avaldatakse. Seega on meie otseses huvides, et reeglid, mille alusel me osaleme, oleksid täpsed ja tagaksid võrdsed võimalused. Need neli panust on meie konkreetne viis tagada, et nimekiri ei muutuks pelgaks turundusmärgiks.

Kes soovib osaleda

Tagasiside andmise aeg kestab kuni 27. maini 2026. Panuseid võib esitada kõigis ELi ametlikes keeltes, nende esitamiseks tuleb portaalis registreeruda ja need avaldatakse avalikult. Kõik, kes hakkavad DPP-sid väljastama või kontrollima - tootjad, teenusepakkujad, ringlussevõtjad, ametiasutused -, peaksid vähemalt korra tutvuma algatusega veebilehel Have Your Say⁠. Ka lühike, asjatundlikult täpne panus on oluline.

Meie kontrollitööriist Transpareo Time Machine lahendab muide punktis 2 mainitud verifitseerimisvajaduse juba avatud lähtekoodiga praktikas: kes soovib Transpareo-DPP-d sõltumatult kontrollida, saab seda selle tööriistaga juba täna teha, ilma et peaks ootama komisjoni registris ametlikult kehtestatud verifitseerimispunkti.

DPP-registri määruse muudatused

Niipea kui komisjon on saadud tagasisidele vastanud, koondame olulisima teabe ja saadame selle teie postkasti.