Thoni mendimin tuaj: Çfarë i shkruam Komisionit Evropian lidhur me Rregulloren e Regjistrit DPP
BloguRregullim08/05/2026

Thoni mendimin tuaj: Çfarë i shkruam Komisionit Evropian lidhur me Rregulloren e Regjistrit DPP

Katër dorëzime për konsultimin e hapur: mbi përkufizimin e detyrimeve të ofruesit të shërbimit DPP, mbi verifikueshmërinë afatgjatë, mbi ndarjen e të dhënave sipas nenit 17 dhe mbi publikimin e API-ve para hyrjes në fuqi të legjislacionit.

Më 29 prill 2026, Komisioni Evropian publikoi projekt-rregulloren zbatuese për regjistrin DPP⁠ dhe, në të njëjtën kohë, hapi një periudhë konsultimi katërjavore. Derisa më 27 maj 2026, çdo individ ose organizatë në BE dhe më gjerë mund të dërgojë komente përmes portalit ‘Have Your Say’. Komentet janë publike, secili është i nënshkruar me një emër ose organizatë, dhe ato do të përfshihen zyrtarisht në versionin përfundimtar të rregullores.

Ne kemi diskutuar draftin në detaje këtu në blog. Ne i dedikojmë këtë postim pyetjes se çfarë iu përgjigjëm Komisionit.

Pse bëmë katër paraqitje të ndara

Portali pranon 4,000 karaktere për çdo paraqitje. Ne mund të kishim ngjeshur të gjitha pikat tona në një paraqitje të gjatë. Kjo do të kishte qenë më e vështirë për stafin e Komisionit - i cili do të punojë me dhjetëra paraqitje në maj - për t’i lexuar dhe më e vështirë për t’u cituar. Katër paraqitje individuale mund të gjenden veçmas në listën publike, dhe secilës mund t’i përgjigjet - ose t’i refuzohet - veçmas pa ndikuar në pikat e tjera.

Ne dorëzuam katër temat e mëposhtme:

1. Përcaktimi i kërkesave minimale për ofruesit e shërbimeve DPP

Projekt-rregullorja përcakton saktë modelin e decentralizuar: Të dhënat DPP mbahen nga operatori ekonomik ose ofruesi i tyre i shërbimit DPP; regjistri i Komisionit thjesht ruan referencat. Parashikohet një listë zyrtare e ofruesve të autorizuar për ofruesit e shërbimit DPP (Neni 2(32) i ESPR).

Ajo që mungon është një përkufizim i asaj që një ofrues shërbimi duhet të bëjë në të vërtetë për t’u përfshirë në këtë listë dhe për të qëndruar në të. Me gjasë, detyrimet thelbësore do të përcaktohen në një akt të deleguar në përputhje me Nenin 4 të Rregullores amë ESPR. Megjithatë, regjistri do të lançohet para se të publikohet ky akt i deleguar.

Propozimi ynë: Ose të vendosen kriteret minimale për ofruesit e shërbimeve drejtpërdrejt në këtë rregullore zbatuese, ose të përcaktohet një afat i detyrueshëm deri kur duhet të paraqitet akti i deleguar. Kërkesat minimale të propozuara përfshijnë:

  • Disponueshmëria e ndërfaqes publike të leximit DPP të paktën 99.5 për qind në muaj
  • Një marrëveshje për nivelin e shërbimit që specifikon sa shpejt duhet të përfshihet një version i ri i DPP-së në kopjen rezervë (propozim: 24 orë ose në kohë reale, kur është teknikisht e mundur)
  • Verifikim kriptografik i detyrueshëm i versioneve hyrëse nga ofruesi i shërbimit
  • Publikimi i çelësave publikë të operatorit ekonomik nën një rrugë të standardizuar (RFC 8615, propozimi /.well-known/dpp-keys/)
  • Një proces i përcaktuar kalimi dhe falimenti për të siguruar që të dhënat DPP të migrohen në mënyrë të rregullt te një ofrues tjetër në rast të dështimit të ofruesit

Këto detyrime nuk kushtojnë asgjë një ofruesi me reputacion - ai i përmbush ato gjithsesi - por parandalojnë një garë drejt nivelit më të ulët midis ofruesve me kosto të ulët, gjë që në fund të fundit minon listën.

2. Verifikueshmëria afatgjatë e DPP-ve të regjistruara

Neni 9(4) kufizon disponueshmërinë e certifikatës së regjistrimit në 90 ditë kalendarike. Brenda kësaj periudhe, regjistri do të rigjenerojë certifikatën me kërkesë. Kjo është e pranueshme për operacionet e përditshme, por nuk përputhet me ciklin e jetës së detyrimit themelor të DPP-së: Neni 10(3) përcakton periudhën standarde të ruajtjes në 10 vjet nga regjistrimi, ndërsa legjislacioni specifik i sektorit mund të kërkojë periudha më të gjata.

Një autoritet mbikëqyrjeje të tregut, një doganier, një riciklimtar ose një hulumtues në vitin 2032 duhet të jetë në gjendje të verifikojë se një DPP i regjistruar në vitin 2026 është regjistruar me të vërtetë, pa pasur nevojë të mbështetet te ekzistenca e operatorit ekonomik origjinal dhe aftësia e tij për të kërkuar një certifikatë të re.

Dy propozimet tona janë me kosto efektive për t’u zbatuar:

  • Të bëhet shprehimisht e qartë se bajtet e provës, të cilat janë kualifikuar dhe vulosur nga Komisioni, mund të ruhen në cache, të arkivohen dhe të ridistribuohen nga operatori ekonomik ose ofruesi i shërbimit. Vula e kualifikuar sipas nenit 35(2) të Rregullores eIDAS mban prezumimin e integritetit dhe të origjinës pavarësisht vendndodhjes së bajteve.
  • Një pikë verifikimi publike, pa autentifikim, në regjistër që kthen një përgjigje të nënshkruar për një ID regjistrimi. Aktualisht, çdo verifikim nga një palë e tretë kërkon që operatori ekonomik të ndërmarrë veprime - ky është qasja e gabuar për një dokument prove që duhet të mbijetojë lëshuesin.

Për më tepër, ne kemi propozuar përcaktimin e gjenerimit të hash-it në mënyrë deterministike: SHA-256 si funksion hash, Skema e Kanonikalizimit JSON (RFC 8785)⁠ si serializim, jashtë bllokut të nënshkrimit. Në ekosistemin W3C, kjo është kriptosuite eddsa-jcs-2022, të cilën Transpareo e përdor për të nënshkruar drejtpërdrejt. Pa këtë specifikim të pin-it, dy ofrues shërbimi do të serializonin të njëjtin DPP në hash-e të ndryshme, dhe fusha e hash-it në certifikatën e regjistrimit nuk do të ishte e riprodhueshme.

3. Neni 17 nuk duhet të kufizojë aksesin në të dhënat publike të DPP-së

Neni 17 përmend ‘shkarkimet masive të të dhënave’ si një keqpërdorim të mundshëm të regjistrit. Kjo është e saktë në lidhje me metadatat administrative të ruajtura brenda vetë regjistrit (identitetet, regjistrimet, gjurmët e auditimit) - këto nuk i përkasin shkarkimeve masive.

Megjithatë, të dhënat publike të DPP-së që mbahen nga prodhuesi ose ofruesi i shërbimit janë pikërisht fusha që ESPR synon t’i bëjë gjerësisht të aksesueshme. Riciklistët që nxjerrin të dhëna përbërjeje mbi flotat e produkteve; kërkime që analizojnë ndërmjetësisht pretendimet për qëndrueshmëri; mbikëqyrja e tregut duke kryer analiza krahasuese - të gjitha këto janë forma të ‘shkarkimit masiv të të dhënave’ nga shtresa publike DPP dhe janë të gjitha përdorime të synuara për të cilat është hartuar Rregullorja.

Propozimi ynë është një fjali sqaruese në Nenin 17 që kufizon fushën e të dhënave për t’u regjistruar dhe i referohet, për të dhënat DPP, akteve të deleguara përkatëse sektoriale. Përndryshe, ofruesit e shërbimeve do të përballen me një zgjedhje në fillim të funksionimit: ose të kufizojnë në mënyrë agresive normat e aksesit për qasjen publike si masë paraprake - duke prishur kështu përvojën e konsumatorit - ose ta lënë të hapur dhe të rrezikojnë që më vonë të klasifikohet si keqpërdorim në kuptim të Nenit 17.

4. Publikoni specifikimin OpenAPI dhe sandbox-in para lansimit

Neni 3(b) kërkon një API për regjistrimet. Neni 8(5) e përcakton atë si një nga dy kanalet për regjistrim. Megjithatë, Rregullorja nuk thotë asgjë për kohën kur duhet të publikohet kontrata e API-së.

Çdokush që automatizon rrjedhat e punës së regjistrimit - çdo ofrues shërbimi dhe çdo operator ekonomik me një katalog të madh - ka nevojë për specifikimin e API-së shumë përpara lansimit për ta implementuar dhe testuar atë kundrejt një pike përfundimtare të gjallë. Të kërkosh të gjesh një specifikim në javën para hyrjes në fuqi të Rregullores transferon rrezikun e integrimit te të gjithë ofruesit në ekosistem.

Prandaj, ne kemi propozuar:

  • Publikimin e një specifikimi OpenAPI 3.1 të paktën tetë javë para hyrjes në fuqi të rregullores - për një datë fillimi më 19 korrik 2026, kjo do të thotë deri më 24 maj 2026
  • Një mjedis paralel sandbox ku ofruesit e shërbimeve dhe prodhuesit mund të integrojnë dhe testojnë vetëverifikimin e Nenit 8(6)
  • Një politikë versionimi duke përdorur Semver, me një periudhë vjetërimi prej të paktën 18 muajsh

Sugjerime shtesë për dizajnin: çelësa idempotentë për thirrjet e regjistrimit, regjistrim në grup për katalogë të mëdhenj, regjistrim asinkron me thirrje kthim (webhook), dhe kode gabimesh të lexueshme nga makinat për rastet kur verifikimi automatik dështon.

Pse po e bëjmë këtë

Një konsultë nuk është një lojë për të fituar pikë. Nëse çdo dorëzim arrin të bëjë një fjali të vetme në versionin përfundimtar më të saktë, ai ka shërbyer qëllimit të tij. Komisioni me të vërtetë i lexon këto kontribute - përvoja nga vetë procesi ESPR tregon se dorëzimet teknikisht të sakta shpesh lënë gjurmë në tekstet përfundimtare.

Ne në çdo rast do të aplikojmë për përfshirje në listën e ofruesve të shërbimeve DPP sapo të publikohet procedura e pranimit. Prandaj, është në interesin tonë të drejtpërdrejtë që rregullat sipas të cilave konkurrojmë të jenë të sakta dhe të përcaktojnë një fushë loje të barabartë. Katër kontributet janë mënyra jonë konkrete për të siguruar që lista të mos degenerehet në një etiketë të thjeshtë marketingu.

Si të përfshiheni

Afati për komentet është i hapur deri më 27 maj 2026. Kontributet mund të bëhen në cilëndo nga gjuhët zyrtare të BE-së; do t’ju duhet të regjistroheni në portal, dhe kontributi juaj do të jetë i dukshëm publikisht. Çdokush që do të lëshojë ose verifikojë DPP-të - prodhuesit, ofruesit e shërbimeve, riciklistët, autoritetet publike - duhet të paktën të informohet mbi iniciativën në Have Your Say⁠. Edhe një dorëzim i shkurtër, teknikisht i saktë bën ndryshim.

Mjeti ynë i verifikimit Makina e Kohës Transpareo adreson tashmë kërkesën për verifikim të përmendur në pikën 2 të praktikës me burim të hapur: çdo person që dëshiron të verifikojë në mënyrë të pavarur një DPP Transpareo mund ta bëjë këtë duke përdorur mjetin sot, pa pritur për një pikë verifikimi të themeluar zyrtarisht në regjistrin e Komisionit.

Përditësimet e Rregullores së Regjistrit DPP

Sapo Komisioni të ketë përgjigjur komenteve të marra, ne do të përmbledhim pikat kryesore dhe do t’i dërgojmë në kutinë tuaj të postës elektronike.