Den 29 april 2026 offentliggjorde Europeiska kommissionen utkastet till genomförandeförordningen om registret över digitala produktpass (Ares(2026)4424976). Den preciserar artikel 13.5 i ESPR (förordning 2024/1781) och fastställer hur det register som drivs av kommissionen ska fungera tekniskt och organisatoriskt.
Texten är märkt som ett utkast och har ännu inte antagits. De väsentliga mekanismerna är dock redan tydligt urskiljbara - och de får omedelbara konsekvenser för varje tillverkare som från och med 2027 måste utfärda ett DPP.
Vad registret är - och vad det inte är
En förtydligande inledningsvis: EU-registret lagrar inte själva DPP-uppgifterna. Det är en central katalogtjänst som för varje registrering lagrar ett unikt ID, varukoden, den ekonomiska aktörens identitet, en hash av DPP-versionen och en hänvisning till säkerhetskopian hos DPP-tjänsteleverantören.
I skäl 3 kallas detta en ”decentraliserad modell”: Produktuppgifterna finns fortfarande hos tillverkaren eller på dennes DPP-plattform. Registret är den officiella adresslistan, inte ett datasil.
Funktionellt består registret av:
- ett webbgränssnitt och ett API för registreringar
- en verifieringsplattform för ekonomiska aktörer
- en förteckning över godkända DPP-tjänsteleverantörer
- ett semantiskt arkiv (flerspråkigt, strukturerat enligt DCAT-AP) som referens för dataattribut, modellstrukturer och roller
- ett loggsystem med differentierade lagringstider
Verifiering före registrering
Ingen DPP registreras i registret innan den inlämnande ekonomiska aktören är registrerad som verifierad ekonomisk aktör (art. 4). Verifieringen sker direkt i registret och utnyttjar eIDAS-metoderna enligt förordning 910/2014:
- Juridisk person inom EU: kvalificerad elektronisk signatur eller elektroniskt attributintyg
- Fysisk person som enskild näringsidkare inom EU: kvalificerad elektronisk signatur, eID-nivå ”hög” eller attributintyg
- Aktörer utanför EU: kvalificerad signatur eller sigill eller attributintyg
Verifieringen gäller i högst tre år. Den som inte förnyar verifieringen klassas som ”overifierad” och förlorar rätten att registrera nya DPP:er eller ändra befintliga (art. 4(4)).
Denna verifiering är ett rättsligt krav. Den sker mellan tillverkaren och kommissionen - och delegeras inte ens om en tjänsteleverantör som Transpareo sköter den operativa registreringen.
Detaljnivå: modell, sats eller artikel
Artikel 8 kräver att DPP:er registreras på den detaljnivå som föreskrivs i respektive sektorslagstiftning - modell, ## satseller artikel. Om en artikel-DPP skapas och det finns sats- eller modell-ID:n måste dessa anges. För sats-DPP:er gäller motsvarande för modell-ID:n.
För tillverkare innebär detta att de interna stamuppgifterna måste ha en tydlig hierarki mellan modell, sats och enskild produkt. Utan denna koppling misslyckas den automatiska valideringen av registreringen.
Versionshantering, hash och arkivering
Varje DPP-version kopplas till det ursprungliga registrerings-ID:t. Vid varje ändring kräver registret en hash av den aktuella DPP-versionen - kryptografiskt verifierbar, inte manuellt genererbar.
Registreringsbeviset (art. 9) är ett elektroniskt dokument som kommissionen förser med en kvalificerad digital signatur och en tidsstämpel. Innehållet ska minst omfatta: registrerings-ID, varukod, aktörens identitet, datum och hash för den senaste versionen. Giltigt i 90 dagar, kan genereras på nytt när som helst.
Standardlagringstid: 10 år från registreringen, såvida inte unionsrätten eller sektorslagstiftningen föreskriver någon annan tidsfrist (artikel 10.3 i genomförandeförordningen för DPP-registret). Inte ens tillverkarens insolvens eller likvidation befriar från skyldigheten att säkerställa tillgängligheten (ESPR artikel 11 e).
Loggsystem
Registret loggar i tre nivåer (artikel 14):
- Åtkomst och autentisering: 6 månader
- Datändringar: registreringens giltighetstid
- Administrativa åtgärder och datautbyte: 5 år
Nationella myndigheter får tillgång vid incidenter, revisioner eller stickprovskontroller.
Personuppgifter - vad kommissionen lagrar
Artikel 18 anger vilka uppgifter som uteslutande lagras i registret: för- och efternamn för varje användare, inloggningsuppgifter, autentiseringstoken, postadress, e-postadress. För fysiska personer även pass- eller ID-nummer, eID, skatte-ID. Dessa uppgifter berör inte DPP-tjänsteleverantören. Kommissionen är personuppgiftsansvarig för dessa kontouppgifter, medan den ekonomiska aktören förblir personuppgiftsansvarig för sina egna DPP-uppgifter.
Hur Transpareo uppfyller kraven
De flesta kraven avser arkitektoniska beslut som Transpareo redan har fattat i denna form. Närmare bestämt:
Decentraliserad modell. Transpareo är en multitenant-plattform med en isolerad databas per kund. DPP-uppgifterna lagras i den ekonomiska aktörens databas, inte i en central pool - precis den arkitektur som skäl 3 förutsätter.
Rollen som personuppgiftsbiträde är tydligt avgränsad. Artiklarna 19.5 och 20.3 föreskriver att den ekonomiska aktören förblir personuppgiftsansvarig även om denne anlitar en tredje part för registreringen. Transpareo fungerar redan idag som personuppgiftsbiträde med ett avtal om personuppgiftsbiträde - rollerna är tydligt avgränsade.
Stabil backup-URL per DPP. Varje Transpareo-DPP är tillgänglig via en permanent URL som inte ändras även vid versionsuppdateringar. Det är precis vad artikel 8.6 d kräver som ”länk till den backup som hostas av en DPP-SP”.
Granularitet. Transpareos datamodell skiljer mellan produktmodell, sats och enskild produkt och möjliggör kopplingar längs hierarkin - vilket är en förutsättning för att uppfylla artikel 8.3 och 8.4.
Flerspråkig semantisk mappning. Kommissionens databas är flerspråkig enligt DCAT-AP. Transpareo hanterar varje datapunkt på 39 språk, inklusive alla 24 officiella EU-språk, där översättning ingår i priset.
Versionshash. Deterministisk serialisering enligt JSON Canonicalization Scheme (RFC 8785) och en SHA-256-hash per DPP-version levereras redan. Det enda som fortfarande är oklart är det exakta formatet för hash-pinning i EU-registret; så snart kommissionen publicerar det kommer vi att lägga till det.
Listning som DPP-tjänsteleverantör. Transpareo kommer att ansöka om att tas upp på den officiella listan över DPP-tjänsteleverantörer (art. 2 nr 32 i ESPR) så snart ansökningsförfarandet har offentliggjorts.
Registrering på uppdrag. Vi förbereder tjänsten för att sköta registreringen på uppdrag av bemyndigade kunder - kundens rättsliga ansvar påverkas inte av detta enligt artikel 19.4.
Tidsplan
Ikraftträdandet regleras i artikel 23: 20 dagar efter offentliggörandet i Europeiska unionens officiella tidning. Vilken dag det blir beror på när kommissionen antar den slutgiltiga versionen. Huvudmandatet enligt artikel 13.5 i ESPR gäller från och med den 19 juli 2026 - registret måste vara klart senast då.
Registret förväntas bli fullt funktionsdugligt först den 18 februari 2027: Den dagen träder artikel 77 i EU:s batteriförordning 2023/1542 i kraft, och DPP blir obligatoriskt för industri-, elbil- och LMT-batterier över 2 kWh. Vi har sammanställt detaljerna och de öppna frågorna kring genomförandeförordningen i ESPR-tidsplanen för 2027. Det återstår cirka nio månader fram till dess. Den som planerar leverantörsavtal, migrering av stamdata och interna godkännanden vet: det är ont om tid, inte gott om den.
Vad som återstår
Förordningen i sig beskriver den organisatoriska ramen. Det som saknas är den tekniska specifikationen för API:et - det exakta gränssnittsformatet, schemana och valideringsreglerna. Dessa kommer förmodligen att följa som en separat kommissionsriktlinje enligt artikel 15.1, troligen ännu under 2026.
Fram till dess är dock riktningen tydlig: decentraliserad arkitektur, verifierade aktörer, kvalificerade signaturer, unika registrerings-ID:n, versionskedjor, semantisk interoperabilitet. Alla begrepp som inte kommer att försvinna.
Kommissionens officiella samrådsinitiativ finns på Have Your Say.