Règlement d’exécution (UE) 2025/2530 de la Commission du 16 décembre 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les exigences applicables aux prestataires de services de confiance qualifiés fournissant des services de confiance qualifiés

JOUE Série L du 17 décembre 2025

Les prestataires de services de confiance qualifiés jouent un rôle essentiel pour assurer des interactions numériques sûres et fiables en fournissant des services de confiance qualifiés conformément au règlement n° 910/2014 du 23 juillet 2014.
En vertu de l’article 24 du ce règlement, la Commission doit établir, au plus tard le 21 mai 2025, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux prestataires de services de confiance qualifiés. Le respect de ces exigences est présumé lorsque ces normes, spécifications et procédures sont respectées. 
Dans ce cadre, ce texte vient définir précisément les exigences applicables aux prestataires de services de confiance qualifiés fournissant des services de confiance qualifiés. En ce sens, il définit des exigences et des normes de référence et spécifications devant être respectées pour que la présomption de conformité prévue à l’article 24 précité s’applique.
En particulier, il oblige les prestataires de services de confiance qualifiés à adresser une notification aux organes de contrôle avant d’apporter quelque modification que ce soit à la fourniture de leurs services de confiance qualifiés. Ces notifications doivent permettre aux organes de contrôle d’exiger des prestataires qu’ils prennent des mesures appropriées pour atténuer les éventuelles incidences négatives des modifications notifiées quant au respect des exigences du règlement du 23 juillet 2014 et à l’octroi du statut qualifié. Ce texte fournit, à ce titre, une liste non exhaustive de ces modifications.
Afin de garantir qu’ils évaluent et documentent structurellement et systématiquement les risques liés à la fiabilité de leurs services de confiance qualifiés, ce texte invite les prestataires concernés à mettre en œuvre un cadre de gestion des risques adapté aux services de confiance qualifiés qu’ils fournissent.
Par ailleurs, ces derniers sont tenus d’établir un plan d’arrêt d’activité pour chaque service de confiance qualifié qu’ils fournissent établissant les dispositions nécessaires à l’application efficace et correcte de l’arrêt de tout ou partie du service. L’objectif est d’assurer la continuité du service et de pouvoir fournir des preuves en justice, y compris les modalités selon lesquelles les informations sont maintenues accessibles.
Ces dispositions entrent en vigueur le 6 janvier 2026.