Den 29. april 2026 offentliggjorde EU-kommisjonen utkastet til gjennomføringsforordningen om registeret for digitale produktpass (Ares(2026)4424976). Den konkretiserer artikkel 13(5) i ESPR (forordning 2024/1781) og fastsetter hvordan registeret, som drives av Kommisjonen, skal fungere både teknisk og organisatorisk.
Teksten er merket som et utkast og er ennå ikke vedtatt. De viktigste mekanismene er imidlertid allerede tydelige - og de har umiddelbare konsekvenser for alle produsenter som må utstede en DPP fra og med 2027.
Hva registeret er - og hva det ikke er
En avklaring på forhånd: EU-registeret lagrer ikke selve DPP-dataene. Det er en sentral katalogtjeneste som for hver registrering oppbevarer en unik ID, varekoden, identiteten til den økonomiske aktøren, en hash av DPP-versjonen og en henvisning til sikkerhetskopien hos DPP-tjenesteleverandøren.
I begrunnelse 3 kalles dette en «desentralisert modell»: Produktdataene forblir hos produsenten eller på dennes DPP-plattform. Registeret er den kanoniske adresselisten, ikke et datasilo.
Funksjonelt består registeret av:
- et webgrensesnitt og et API for registreringer
- en verifiseringsplattform for økonomiske aktører
- en liste over godkjente DPP-tjenesteleverandører
- et semantisk arkiv (flerspråklig, strukturert etter DCAT-AP) som referanse for dataattributter, modellstrukturer og roller
- et loggsystem med trinnvise oppbevaringsfrister
Verifisering før registrering
Ingen DPP blir opprettet i registeret før den innleverende økonomiske aktøren er registrert som verifisert økonomisk aktør (art. 4). Verifiseringen skjer direkte hos registeret og benytter eIDAS-midlene fra forordning 910/2014:
- Juridisk person i EU: kvalifisert elektronisk segl eller elektronisk attributtattest
- Fysisk person som enkeltpersonforetak i EU: kvalifisert elektronisk signatur, eID-nivå «høy» eller attributtattest
- Aktører utenfor EU: kvalifisert signatur eller segl eller attributtattest
Verifiseringen er gyldig i maksimalt tre år. De som ikke fornyer, blir satt til «uverifisert» og mister retten til å registrere nye DPP-er eller endre eksisterende (art. 4(4)).
Denne verifiseringen er et lovkrav. Den foregår mellom produsenten og Kommisjonen - og delegeres ikke, selv om en tjenesteleverandør som Transpareo tar seg av den operative registreringen.
Granularitet: modell, batch eller artikkel
Artikkel 8 krever at DPP-er registreres på det granularitetsnivået som den aktuelle sektorrettsakten foreskriver - modell, batch eller artikkel. Når en artikkel-DPP opprettes og det finnes batch- eller modell-ID-er, må disse inkluderes. For batch-DPP-er gjelder det samme for modell-ID-er.
For produsenter betyr dette at de interne stamdataene må ha en tydelig hierarki mellom modell, batch og enkeltprodukt. Uten denne koblingen vil den automatiske valideringen av registreringen mislykkes.
Versjonering, hash og oppbevaring
Hver DPP-versjon knyttes til den opprinnelige registrerings-ID-en. Ved hver endring krever registeret en hash av den aktuelle DPP-versjonen - kryptografisk verifiserbar, ikke manuelt genererbar.
Registreringsbeviset (art. 9) er et elektronisk dokument som Kommisjonen forsegler med et kvalifisert segl og forsyner med et tidsstempel. Innholdet skal minst omfatte: registrerings-ID, varekode, aktøridentitet, dato og hash for den siste versjonen. Gyldig i 90 dager, kan genereres på nytt så mange ganger som ønskelig.
Standard oppbevaringstid: 10 år fra registrering, med mindre EU-rett eller sektorrett fastsetter en annen frist (art. 10(3) i gjennomføringsforordningen for DPP-registeret). Selv insolvens eller avvikling av produsenten fritar ikke fra tilgjengelighetsplikten (ESPR art. 11(e)).
Loggsystem
Registeret fører logg i tre nivåer (art. 14):
- Tilgang og autentisering: 6 måneder
- Endringer i data: Registreringens varighet
- Administrative handlinger og datautveksling: 5 år
Nasjonale myndigheter får tilgang ved hendelser, revisjoner eller stikkprøver.
Personopplysninger - hva Kommisjonen lagrer
Artikkel 18 oppgir hvilke opplysninger som utelukkende oppbevares i registeret: fornavn og etternavn for hver bruker, påloggingsopplysninger, autentiseringstokener, postadresse, e-post. For fysiske personer i tillegg pass- eller ID-nummer, eID, skatte-ID. Disse opplysningene angår ikke DPP-tjenesteleverandøren. Kommisjonen er behandlingsansvarlig for disse kontoopplysningene, mens den økonomiske aktøren forblir behandlingsansvarlig for sine egne DPP-opplysninger.
Hvordan Transpareo oppfyller kravene
De fleste kravene gjelder arkitektoniske beslutninger som Transpareo allerede har truffet i denne formen. Nærmere bestemt:
Desentralisert modell. Transpareo er en flerbrukerplattform med isolert database for hver kunde. DPP-dataene ligger i den økonomiske aktørens database, ikke i en sentral pool - nøyaktig den arkitekturen som begrunnelse 3 forutsetter.
Rollen som databehandler er tydelig avgrenset. Artikkel 19(5) og 20(3) fastslår at den økonomiske aktøren forblir behandlingsansvarlig, selv om vedkommende gir en tredjepart i oppdrag å foreta registreringen. Transpareo fungerer allerede i dag som databehandler med databehandleravtale - rollene er klare.
Stabil backup-URL per DPP. Hver Transpareo-DPP er tilgjengelig via en permanent URL som ikke endres selv ved versjonsendringer. Dette er nøyaktig det som kreves i artikkel 8(6)(d) som «link to the back-up hosted by a DPP-SP».
Granularitet. Transpareos datamodell skiller mellom produktmodell, batch og enkeltprodukt og tillater koblinger gjennom hierarkiet - en forutsetning for å oppfylle artikkel 8(3)/(4).
Flerspråklig semantisk kartlegging. Kommisjonens arkiv er flerspråklig i henhold til DCAT-AP. Transpareo fører hvert datapunkt på 39 språk, inkludert alle de 24 offisielle EU-språkene, med oversettelse som en del av prisen.
Versjons-hash. Deterministisk serialisering i henhold til JSON Canonicalization Scheme (RFC 8785) og en SHA-256-hash per DPP-versjon er allerede levert. Det eneste som fortsatt er uavklart, er det nøyaktige hash-pinning-formatet til EU-registeret; så snart Kommisjonen publiserer det, vil vi også implementere det.
Oppføring som DPP-tjenesteleverandør. Transpareo vil søke om å bli oppført på den offisielle listen over DPP-tjenesteleverandører (art. 2 nr. 32 i ESPR) så snart opptaksprosedyren er offentliggjort.
Registrering på vegne av kunden. Vi forbereder tjenesten for å kunne gjennomføre registreringen på vegne av fullmektige kunder - kundens juridiske ansvar forblir uberørt i henhold til art. 19(4).
Tidsplan
Ikrafttredelsen reguleres av artikkel 23: 20 dager etter offentliggjøring i EUT. Hvilken dag dette blir, avhenger av når Kommisjonen vedtar den endelige versjonen. Hovedmandatet fra artikkel 13(5) i ESPR er datert 19. juli 2026 - innen den tid må registeret være på plass.
Registeret forventes først å bli fullt operativt 18. februar 2027: Denne dagen trer artikkel 77 i EU-batteriforordningen 2023/1542 i kraft, og DPP blir obligatorisk for industri-, EV- og LMT-batterier over 2 kWh. Vi har skrevet ned detaljene og de uavklarte spørsmålene om gjennomføringsforordningen i ESPR-tidsplanen for 2027. Det er rundt ni måneder igjen til da. De som planlegger leverandøravtaler, migrering av stamdata og interne godkjenninger, vet at dette er knapp tid, ikke rikelig.
Hva som fortsatt er uavklart
Selve forordningen beskriver det organisatoriske rammeverket. Det som mangler, er den tekniske spesifikasjonen av API-et - det nøyaktige grensesnittformatet, skjemaene og valideringsreglene. Dette vil trolig følge som en egen retningslinje fra Kommisjonen i henhold til art. 15(1), antakelig i løpet av 2026.
Inntil da er imidlertid retningen klar: desentralisert arkitektur, verifiserte aktører, kvalifiserte signaturer, entydige registrerings-ID-er, versjonskjedning, semantisk interoperabilitet. Alt sammen konsepter som ikke vil forsvinne.
Kommisjonens offisielle høringsinitiativ er tilgjengelig på Have Your Say.