Skip to content
InfoDPP Logo
InfoDPP
ESPR knowledge hub
technology

Kuka saa ylläpitää DPP:tä? EU:n säännöt palveluntarjoajille

Mitä EU valmistelee DPP-palveluntarjoajille: sertifiointi, yhteentoimivuus, varmuuskopiointisäännöt ja alustan hallinto.

· 9 min lukuaika · InfoDPP

Miksi tämä aihe on tärkeä nyt

Euroopan komissio ei enää käsittele digitaalista tuotepassia pelkästään tuotetason vaatimustenmukaisuustyökaluna. Se valmistelee myös sääntöjä yrityksille, jotka tulevat ylläpitämään DPP:n ympärillä olevaa infrastruktuuria.

Tämä on merkittävää, koska DPP-palveluntarjoaja ei ole tavallinen ohjelmistotoimittaja. Käytännössä tällainen palveluntarjoaja voi isännöidä tuotetietoja, hallita käyttöoikeuksia, ylläpitää varmuuskopioita, tukea yhteentoimivuutta, tarjota API-rajapintoja ja varmistaa, että passitiedot pysyvät saatavilla tuotteiden liikkuessa markkinoilla.

Yrityksille, jotka valitsevat DPP-alustaa, kysymys siirtyy muodosta “Voiko tämä toimittaja luoda QR-koodin?” muotoon “Pysyykö tämä arkkitehtuuri todennäköisesti toimivana, kun EU:n hallintosäännöt tarkentuvat?”

Mitä komissio tosiasiassa valmistelee

Euroopan komissio on käynnistänyt erillisen aloitteen DPP-palveluntarjoajien säännöistä ESPR-asetuksen puitteissa. Aloitteessa todetaan selvästi, että komissio aikoo hyväksyä delegoidun säädöksen DPP-palveluntarjoajien toiminnan säännöistä osana laajempaa DPP-hallintoa.

Prosessilla on jo näkyvä aikataulu:

  • palautepyyntö: 12. marraskuuta – 10. joulukuuta 2024
  • julkinen kuuleminen: 8. huhtikuuta – 1. heinäkuuta 2025
  • säädösluonnos: valmisteilla
  • komission hyväksyminen: suunnitteilla Q4 2026

Lopullista oikeudellista muotoa ei ole vielä julkaistu, mutta suunta ei ole enää abstrakti. Komissio on jo esittänyt markkinoille yksityiskohtaisia kysymyksiä tietojen tallennuksesta, tiedonhallinnasta ja mahdollisesta tarpeesta palveluntarjoajien sertifiointijärjestelmälle.

Mikä on jo tänään selvää

Jo ennen lopullisen delegoidun säädöksen julkaisemista useat asiat ovat jo riittävän selviä.

1. DPP-palveluntarjoajia kohdellaan erillisenä hallintoroolina

Komissio ei käsittele DPP-infrastruktuuria näkymättömänä taustatoimintona. Se näkee sen toimintona, joka voi vaatia omat sääntönsä, koska palveluntarjoajat sijoittuvat taloudellisten toimijoiden, viranomaisten, kuluttajien, tullijärjestelmien ja markkinavalvontaviranomaisten risteyskohtaan.

2. Keskustelu ei koske hallintosääntöjen tarvetta

Keskustelu koskee niiden sääntöjen muotoa. Perustavanlaatuinen hallintokerros on jo pöydällä. Avoimet kysymykset koskevat sertifiointia, roolien erottelua, tietojen omistajuutta ja teknisiä vaatimuksia.

3. Yhteentoimivuus on keskeistä, ei valinnaista

Kuulemisaineistossa yksi teema toistuu jatkuvasti: DPP-palveluntarjoajien ei tule lukita yrityksiä suljettuihin järjestelmiin. Avoimet standardit, siirrettävät tunnisteet ja vaihtokelpoisuus palveluntarjoajien välillä kuuluvat vahvimpiin toistuviin vaatimuksiin.

4. Varmuuskopiointi ja jatkuvuus ovat tärkeitä

ESPR-kehys sisältää jo periaatteen, että DPP-tietojen on pysyttävä saatavilla, vaikka alkuperäinen operaattori tai taloudellinen toimija katoaisi. Palveluntarjoajakeskustelu tekee tästä operatiivisen: kuka tallentaa varmuuskopiot, milloin ne vapautetaan ja pitäisikö varmuuskopioinnin olla erillinen rooli.

Mitä palauteaineisto osoittaa

Palautepyyntö keräsi 178 vastausta — alustatoimittajilta, valmistajilta, standardointitoimijoilta, toimialajärjestöiltä, data-avaruushankkeilta ja vaatimustenmukaisuuden arviointilaitoksilta. Kuulemisaineisto ei anna lopullista oikeudellista vastausta, mutta se osoittaa, missä asioissa vallitsee vahvin yhteisymmärrys.

Yhteentoimivuus ja lukittumisen esto ovat vahvin yhteinen nimittäjä

Tämä on selkein johtopäätös koko palauteaineistosta. Hyvin eri alojen vastaajat argumentoivat, että DPP-palveluntarjoajien tulisi nojata avoimiin, kansainvälisesti tunnustettuihin standardeihin ja välttää arkkitehtuureja, jotka tekevät toimittajan vaihtamisesta tarpeettoman vaikeaa.

Miksi tällä on merkitystä käytännössä:

  • yritysten on voitava viedä tuotetietonsa käyttökelpoisessa muodossa
  • tunnisteet ja linkit eivät saa katketa palveluntarjoajaa vaihdettaessa
  • palveluntarjoajat eivät saa olla riippuvaisia suljetuista protokollista, jotka luovat poistumisesteitä
  • DPP:n on pysyttävä siirrettävänä eri alustojen ja järjestelmien välillä

Käytännön viesti on yksinkertainen: palveluntarjoaja, joka perustaa toimintansa sitouttamiseen (lock-in), on ristiriidassa kuulemisaineistossa näkyvän suuntauksen kanssa.

Hajautettu hallinto saa laajaa tukea

Toinen toistuva näkemys on, että DPP-tietoja ei tulisi automaattisesti keskittää yhteen keskitettyyn omistettuun arkistoon, jota hallitsee ulkopuolinen operaattori. Laaja joukko vastaajia kannatti hajautetumpaa mallia, jossa taloudellinen toimija säilyttää tietojensa hallinnan ja palveluntarjoaja tukee isännöintiä, tiedonvaihtoa ja jatkuvuutta sen sijaan, että ottaisi koko järjestelmän omistukseensa.

Tämä ei tarkoita, että jokainen yritys isännöisi itse tietojaan. Se tarkoittaa, että hallintomallin tulisi mahdollistaa:

  • selkeä tietojen omistajuus taloudellisella toimijalla
  • alustan isännöinti ilman implisiittistä hallinnan siirtoa
  • siirrettävät rekisterit ja vientikelpoiset rakenteet
  • rajatut ja selkeästi määritellyt varmuuskopioroolit

Sertifiointi on esillä, mutta ratkaisematta

Jotkut sidosryhmät haluavat muodollisen ennakkosertifiointimallin, toiset kevyempää tai joustavampaa valvontaa. Viittauksia tietoturvallisuuden kypsyyteen (esim. ISO 27001) käytännön vähimmäisvaaatimuksena esiintyy.

  • osa toimijoista kannattaa muodollista ja riippumatonta sertifiointia ennen kuin palveluntarjoaja saa toimia
  • toiset tukevat vapaaehtoista sertifiointia tai perustason turvallisuuskriteerejä raskaan portinvartijamallin sijaan
  • useat vastaukset viittaavat tietoturvan hallintaan, noin ISO 27001 -tasoisena kypsyytenä, käytännöllisenä vähimmäisodotuksena

Jokin osoitettavan luotettavuuden ja hallinnan muoto on todennäköinen, mutta tarkka oikeudellinen mekanismi ei ole vielä valmis.

Varmuuskopiot eivät ole yksinkertainen tallennuskysymys

Varmuuskopiokeskustelu on odotettua yksityiskohtaisempi. Sidosryhmät eivät kysy vain, pitäisikö palveluntarjoajien säilyttää toinen kopio tiedoista. He kysyvät:

  • pitäisikö varmuuskopioinnin olla saman palveluntarjoajan vai erillisen toimijan vastuulla
  • pitäisikö kopion sisältää reaaliaikainen peili vai vain viimeinen voimassa oleva tila
  • kuka voi käyttää sitä ja millä ehdoilla
  • miten jatkuvuus toimii, jos taloudellinen toimija tai palveluntarjoaja lakkaa olemasta

Tällä on merkitystä, koska pelkkään frontend-esitykseen rakennettu palveluntarjoaja voi myöhemmin kamppailla, jos EU:n säännöt edellyttävät rakenteisempaa jatkuvuus- ja luovutuslogiikkaa.

Mikä on vielä avointa

Tässä kohtaa varovaisuus on paikallaan. Useat tärkeät kysymykset ovat yhä ratkaisematta, eikä artikkelin pidä antaa muuta kuvaa.

1. Lopullista sertifiointimallia ei ole julkaistu

Ei vielä tiedetä, vaatiiko delegoitu säädös täydellistä ennakkosertifiointia, kevyempää vaatimustenmukaisuusarviointia, vapaaehtoista sertifiointia vai hybridimallia.

2. Raja ensisijaisen isännöinnin ja varmuuskopion välillä on liukuva

Oikeudellinen ja operatiivinen ero DPP:tä aktiivisesti palvelevan alustan ja pelkästään jatkuvuuskopiota ylläpitävän palveluntarjoajan välillä on vielä keskustelussa.

3. Lopullisia teknisiä vaatimuksia ei ole vielä kodifioitu

Politiikan suunta on selkeästi yhteentoimivuutta edistävä, mutta delegoitu säädös ei ole vielä määritellyt tarkkaa standardipinoa, järjestelmävelvoitteita tai tarkastusmekanismeja palveluntarjoajille.

4. Taloudelliset ja organisatoriset esteet ovat avoimia

Osa vastaajista varoitti, että liian raskaat vaatimukset voivat sulkea pois pienempiä eurooppalaisia ohjelmistoyrityksiä. Tämä huolenaihe on nähtävissä palautteessa, mutta komission lopullinen tasapainotus on vielä tuntematon.

Mitä yritykset voivat tehdä turvallisesti nyt

Se, ettei lopullista delegoitua säädöstä ole vielä julkaistu, ei tarkoita, että yritysten pitäisi odottaa passiivisesti. Se tarkoittaa, että niiden kannattaa keskittyä päätöksiin, jotka tuskin menevät hukkaan vaikka yksityiskohdat muuttuisivat.

1. Suosi avoimia ja siirrettäviä tuotetietoja

Älä rakenna työnkulkuasi alustan ympärille, joka vaikeuttaa vientiä, piilottaa tunnisteita tai monimutkaistaa migraatiota. Siirrettävyys on yksi turvallisimmista oletuksista.

2. Kysy palveluntarjoajilta omistajuudesta ja poistumislogiikasta

Vakavasti otettavan DPP-palveluntarjoajan tulisi jo nyt pystyä vastaamaan kysymyksiin kuten:

  • kuka omistaa tuotetiedot
  • miten ne voidaan viedä
  • mitä tapahtuu palvelun päättyessä
  • miten varmuuskopiointi ja jatkuvuus hoidetaan

Jos nämä vastaukset ovat tänään epämääräisiä, ne eivät todennäköisesti selkiydy sen helpommin delegoidun säädöksen hyväksymisen jälkeen.

3. Käsittele hallintoa osana toimittajan valintaa

Älä arvioi palveluntarjoajia vain käyttöliittymän ominaisuuksien perusteella. Arvioi heidän lähestymistapaansa käyttöoikeuksiin, tarkastettavuuteen, roolien erotteluun, rakenteisiin tietoihin ja pitkän aikavälin ylläpidettävyyteen.

4. Vältä arkkitehtuureja, joita on vaikea mukauttaa myöhemmin

Turvallisin valmistautuminen ei ole lopullisen säännön arvaaminen. Se on sen välttämistä, ettei rakenneta oletuksille, jotka ovat jo kuulemisaineistossa kyseenalaistettuja — erityisesti omistuksellinen lukitus ja heikko siirrettävyys.

Miksi tämä on tärkeää OriginPass-ostajille

Valmistajille, maahantuojille ja tuotemerkkien omistajille keskeinen päätelmä ei ole se, että heidän pitäisi tulla delegoitujen säädösten asiantuntijoiksi. Keskeinen päätelmä on, että palveluntarjoajan valinta on muuttumassa vaatimustenmukaisuuden kannalta merkittäväksi arkkitehtuuripäätökseksi.

Nykyisen prosessin vahvin signaali viittaa siihen, ettei menestyvä DPP-malli todennäköisesti ole:

  • suljettu
  • läpinäkymätön
  • vaikeasti vietävissä
  • huolimaton varmuuskopioinnissa ja pääsylogiikassa

Todennäköisempi suunta on malli, joka perustuu:

  • rakenteisiin tietueisiin
  • siirrettäviin tunnisteisiin
  • selkeisiin omistajuuden rajoihin
  • yhteentoimivuuteen
  • hallintoon, joka voidaan selittää ja auditoida

Lue seuraavaksi

Viralliset lähteet

DPP-alustan valinta ei ole enää vain ohjelmistopäätös. On järkevää työskennellä toimijan kanssa, joka seuraa jo nyt tarkasti palveluntarjoajia, yhteentoimivuutta ja hallintoa koskevia kysymyksiä samalla kun EU:n säännöt täsmentyvät. Näin OriginPass lähestyy rakenteisia tuoterekistereitä ja siirrettäviä DPP-työnkulkuja.

← Takaisin blogiin
OriginPass

Valmistele tuotetietosi ESPR:ää varten

Aloita digitaalisen tuotepassin rakentaminen — jäsennä tuotetiedot, kartoita tunnisteet ja ole valmis ennen delegoitujen säädösten voimaantuloa. Ilmainen paketti saatavilla.

Aloita ilmaiseksi OriginPassissa →
Nopea käyttöönotto

Ei luottokorttia tarvita · Ilmainen paketti saatavilla · Aloita omaan tahtiisi