- április 29-én az Európai Bizottság közzétette a DPP-nyilvántartásra vonatkozó végrehajtási rendelet tervezetét tervezetét, és ezzel párhuzamosan megnyitotta a négyhetes véleményezési időszakot. 2026. május 27 -ig az EU-ban és azon kívül is minden magánszemély és szervezet véleményt nyújthat be a „Have Your Say” portálon keresztül. A hozzászólások nyilvánosak, mindegyiket névvel vagy szervezetnévvel jelölik, és hivatalosan is beépülnek a rendelet végleges változatába.
A tervezetet itt a blogon már részletesen tárgyaltuk. Ezt a bejegyzést annak a kérdésnek szenteljük, hogy mit írtunk vissza a Bizottságnak.
Miért nyújtottunk be négy különálló hozzászólást?
A portál hozzászólásonként 4 000 karaktert fogad el. Az összes pontot egy hosszú hozzászólásba is sűríthettük volna. Ez azonban kellemetlenebb lett volna olvasni és nehezebb lett volna idézni azoknak a bizottsági munkatársaknak, akik májusban tucatnyi hozzászólást dolgoznak át. Négy különálló hozzászólás a nyilvános listán önállóan megtalálható, és mindegyikre külön-külön lehet válaszolni - vagy elutasítani -, anélkül, hogy ez befolyásolná a többi pontot.
A következő négy témát nyújtottuk be:
1. A DPP-szolgáltatókra vonatkozó minimumkövetelmények meghatározása
A rendelettervezet helyesen határozza meg a decentralizált modellt: A DPP-adatok a gazdasági szereplőnél vagy annak DPP-szolgáltatójánál találhatók, a Bizottság nyilvántartása csak a hivatkozásokat tárolja. A DPP-szolgáltatók (az ESPR 2. cikkének 32. pontja) esetében hivatalos listát kell vezetni az engedélyezett szolgáltatókról.
Hiányzik azonban annak meghatározása, hogy egy szolgáltatónak valójában milyen követelményeknek kell megfelelnie ahhoz, hogy felkerüljön erre a listára és ott is maradjon. Feltehetően a lényegi kötelezettségeket az ESPR-alaprendelet 4. cikke szerinti felhatalmazáson alapuló jogi aktus fogja tartalmazni. A nyilvántartás azonban már azelőtt elindul, hogy ezt a jogi aktust közzétennék.
Javaslatunk: vagy közvetlenül ebben a végrehajtási rendeletben rögzítsék a szolgáltatókra vonatkozó minimumkövetelményeket, vagy határozzanak meg egy kötelező határidőt, ameddig a delegált jogi aktust be kell nyújtani. A javasolt minimumkövetelmények közé tartoznak:
- A nyilvános DPP-olvasási felület havi legalább 99,5 százalékos rendelkezésre állása
- Szolgáltatási szintre vonatkozó megállapodás arról, hogy egy új DPP-verziónak milyen gyorsan kell megérkeznie a biztonsági másolatba (javaslat: 24 óra, vagy valós időben, amennyiben ez technikailag lehetséges)
- A beérkező verziók kötelező kriptográfiai ellenőrzése a szolgáltató részéről
- A gazdasági szereplő nyilvános kulcsainak közzététele egy szabványosított elérési útvonalon (RFC 8615, javaslat:
/.well-known/dpp-keys/) - Meghatározott váltási és fizetésképtelenségi folyamat, hogy egy szolgáltató kiesése esetén a DPP-adatok rendezett módon áttelepülhessenek egy másik szolgáltatóhoz
Ezek a kötelezettségek egy komoly szolgáltatónak semmibe sem kerülnek - hiszen amúgy is teljesíti őket -, ugyanakkor megakadályozzák az olcsó szolgáltatók közötti lefelé irányuló versenyt, amely végső soron aláásná a listát.
2. A regisztrált DPP-k hosszú távú ellenőrizhetősége
A 9. cikk (4) bekezdése a regisztrációs igazolás rendelkezésre állását 90 naptári napra korlátozza. Ezen időtartamon belül a nyilvántartó kérésre újból kiállítja az igazolást. Ez a folyamatos működés szempontjából rendben van, de nem illeszkedik a mögötte álló DPP-kötelezettség életciklusához: a 10. cikk (3) bekezdése a standard megőrzési időt a regisztrációtól számított 10 évre határozza meg, az ágazati jogszabályok ennél hosszabb időt is előírhatnak.
Egy piacfelügyeleti hatóságnak, vámtisztviselőnek, újrahasznosítónak vagy kutatónak 2032-ben képesnek kell lennie annak ellenőrzésére, hogy egy 2026-ban regisztrált DPP valóban regisztrálva volt-e, anélkül, hogy arra lenne szüksége, hogy az eredeti gazdasági szereplő még létezzen, és új igazolást tudjon igényelni.
Két javaslatunk megvalósítása költséghatékony:
- Kifejezetten egyértelművé kell tenni, hogy a Bizottság által minősített pecséttel ellátott igazoló bájtokat a gazdasági szereplő vagy a szolgáltató ideiglenesen tárolhatja, archiválhatja és továbbíthatja. Az eIDAS-rendelet 35. cikkének (2) bekezdése szerinti minősített pecsét az integritás és a származás vélelmét hordozza, függetlenül attól, hogy a bájtok hol találhatók.
- Nyilvános, nem hitelesített ellenőrzési végpont létrehozása a nyilvántartásban, amely egy regisztrációs azonosítóhoz aláírt választ ad. Jelenleg minden harmadik fél általi ellenőrzés feltételezi, hogy a gazdasági szereplő aktívan lépjen fel - ez nem megfelelő megoldás egy olyan igazoló dokumentum esetében, amelynek a kibocsátót túl kell élnie.
Ezen felül javasoltuk, hogy a hash-érték képzését determinisztikusan határozzák meg: SHA-256 hash-függvényként, JSON Canonicalization Scheme (RFC 8785) sorosításként, az aláírási blokkon kívül. A W3C-ökoszisztémában ez az eddsa-jcs-2022 kriptográfiai csomag, amellyel a Transpareo közvetlenül aláír. Ezen rögzítés hiányában két szolgáltató ugyanazt a DPP-t különböző hash-értékekre sorolná, és a regisztrációs igazolás hash-mezője nem lenne reprodukálható.
3. A 17. cikk nem korlátozhatja a nyilvános DPP-adatokhoz való hozzáférést
A 17. cikk a „tömeges adatletöltést” említi a nyilvántartás lehetséges visszaélésként. A nyilvántartásban magában található adminisztratív metaadatok (azonosítók, naplófájlok, ellenőrzési nyomok) esetében ez helyes - ezek nem tartoznak a tömeges letöltések közé.
A gyártónál vagy szolgáltatónál található nyilvános DPP-adatok azonban pontosan az a terület, amelyet az ESPR széles körben hozzáférhetővé kíván tenni. Az újrahasznosítók, akik összetételi adatokat gyűjtenek a termékflottákról; a kutatók, akik a fenntarthatósági állításokat keresztmetszeti elemzéssel értékelik; a piaci felügyelet, amely összehasonlító elemzéseket végez - mindez a nyilvános DPP-rétegre vonatkozó „tömeges adatletöltés” formája, és mindegyik olyan célzott felhasználás, amelyre a rendeletet megfogalmazták.
Javaslatunk egy pontosító mondat beillesztése a 17. cikkbe, amely a hatályt a nyilvántartási adatokra korlátozza, és a DPP-adatok tekintetében az adott ágazatra vonatkozó felhatalmazáson alapuló jogi aktusokra hivatkozik. Ellenkező esetben a szolgáltatók a kezdeti szakaszban választás előtt állnak: vagy biztonsági okokból agresszíven korlátozzák a hozzáférést - és ezzel tönkreteszik a fogyasztói élményt -, vagy nyitva hagyják, és kockáztatják, hogy később a 17. cikk értelmében visszaélésnek minősítsék őket.
4. Az OpenAPI-specifikáció és a sandbox közzététele a szolgáltatás elindítása előtt
A 3. cikk (b) pontja előírja a regisztrációkhoz szükséges API-t. A 8. cikk (5) bekezdése ezt a regisztráció két csatornájának egyikévé teszi. A rendelet azonban nem szól arról, hogy mikor kell közzétenni az API-specifikációt.
Aki automatizálja a regisztrációs munkafolyamatokat - minden szolgáltató és minden nagyobb kínálattal rendelkező gazdasági szereplő -, annak jóval a bevezetés előtt szüksége van az API-specifikációra, hogy azt implementálhassa és egy valódi végponttal tesztelhesse. Ha a specifikációt csak a hatálybalépés előtti héten teszik közzé, az integrációs kockázatot az ökoszisztéma összes szolgáltatójára hárítja át.
Ezért a következőket javasoltuk:
- Az OpenAPI 3.1 specifikáció közzététele legalább nyolc héttel a hatálybalépés előtt - a 2026. július 19-i indulás esetén tehát 2026. május 24-ig
- Párhuzamosan hozzanak létre egy sandbox-környezetet, amelyben a szolgáltatók és a gyártók integrálhatnak, és tesztelhetik a 8. cikk (6) bekezdés szerinti automatikus ellenőrzést
- Vezessenek be Semver-alapú verziókezelési politikát, legalább 18 hónapos kivezetési időszakkal
További tervezési javaslatok: idempotens kulcsok a regisztrációs hívásokhoz, kötegelt regisztráció nagy katalógusokhoz, aszinkron regisztráció webhook-visszahívással, valamint géppel olvasható hibakódok az automatikus ellenőrzés során felmerülő hibák esetére.
Miért csináljuk ezt?
A konzultáció nem pontgyűjtő játék. Ha minden beérkező hozzászólás hozzájárul ahhoz, hogy a végleges szöveg egyetlen mondata is pontosabb legyen, akkor máris elérte célját. A bizottság valóban elolvassa ezeket a hozzászólásokat - az ESPR-folyamatból szerzett tapasztalatok azt mutatják, hogy a szakmailag megalapozott hozzászólások gyakran nyomot hagynak a végleges szövegekben.
Amúgy is pályázni fogunk a DPP-szolgáltatók listájára való felvételre, amint a felvételi eljárás közzétételre kerül. Tehát közvetlen érdekünk, hogy a verseny szabályai pontosak legyenek, és tisztességes versenyfeltételeket határozzanak meg. A négy hozzászólás a mi konkrét módszerünk arra, hogy gondoskodjunk arról, hogy a lista ne váljon puszta marketingcímkévé.
Ki vehet részt?
A visszajelzési időszak 2026. május 27-ig tart. A hozzászólások az EU bármely hivatalos nyelvén benyújthatók, a portálon történő regisztrációt igényelnek, és nyilvánosan láthatóak lesznek. Akik DPP-ket állítanak ki vagy hitelesítenek - gyártók, szolgáltatók, újrahasznosítók, hatóságok -, azoknak legalább egyszer át kellene olvasniuk a kezdeményezésről szóló Have Your Say oldalon. Még egy rövid, szakmailag pontos hozzászólás is sokat számít.
A mi hitelesítő eszközünk Transpareo Time Machine egyébként már a nyílt forráskódú gyakorlatban is kielégíti a 2. pontban felvázolt hitelesítési igényt: aki függetlenül szeretné ellenőrizni egy Transpareo-DPP-t, az már ma is megteheti az eszköz segítségével, anélkül, hogy várnia kellene egy hivatalosan létrehozott hitelesítési végpontra a Bizottság nyilvántartásában.