A megállapítás egyszerűen
- május 28-án ellenőrizve: az eIDAS Dashboard minden tagállamnál nem publikáltként mutatja a WRPAC megbízható szervezeti indikátorát. A WRPAC-szolgáltatói lista végpontja nyilvánosan nem szolgálja ki a listát — a cikk írásakor hozzáférés-megtagadási választ ad, szolgáltatói fájl nélkül.
Fontos pontosítani, mit bizonyít és mit nem bizonyít ez a hozzáférés-megtagadási válasz. Egy S3-jellegű 403 válasz nem bizonyítja, hogy a lista semmilyen formában nem létezik; csak azt bizonyítja, hogy az adott URL-en az erőforrás nyilvánosan nem hozzáférhető. Lehet, hogy a listát jogosult felek külön csatornán kapják meg, lehet, hogy a Bizottság előkészítési céllal belsőleg tartja karban, és az is lehet, hogy egyszerűen még nincs feltöltve. Amit pontosan ki lehet mondani: nincs nyilvánosan ellenőrizhető WRPAC-szolgáltatói lista. Nincs olyan út, amelyen egy ellenőrző fél, fejlesztő vagy megfelelőségértékelő önállóan meg tudná erősíteni, hogy egy adott tanúsító hatóság jogosult WRPAC-ot kibocsátani egy 7. cikk (1) bekezdés szerinti felhatalmazás alapján. Tervezési szempontból ez a lényeges tény.
Azoknál a kereskedőknél és integrátoroknál, akik a 2026. decemberi határidőt követik, ez nyilvánvaló kérdést vet fel: valami elromlott, vagy jelenleg pontosan ezt írja elő a szabályozás? A válasz az utóbbi. A közzétett lista mai hiánya nem valamelyik tagállam vagy a Bizottság hibája. Egy olyan rendelet kiszámítható következménye, amelynek operatív kötelezettségei még nem alkalmazandók.
Miért szándékos ütemezés ez, nem késedelem
Az EU 2025/848 végrehajtási rendelet — amely a Wallet-Relying-Party Access Certificate-eket szabályozza — 2025 májusának végén lépett hatályba az eIDAS 2 módosított keretrendszer egyik kulcsfontosságú végrehajtási jogi aktusaként. A hatálybalépés azonban nem ugyanaz, mint az alkalmazás. Az EU 2025/848 rendelet 11. cikke kimondja, hogy a rendelet 2026. december 24-től alkalmazandó. Ez az egyetlen cikk megmagyarázza mindazt, ami ebből következik.
A központi kibocsátói kötelezettség a 7. cikk (1) bekezdésében van. E rendelkezés szerint minden tagállamnak legalább egy tanúsító hatóságot fel kell hatalmaznia arra, hogy WRPAC-okat bocsásson ki az adott államban letelepedett vagy ott működő ellenőrző felek számára. A 7. cikk (1) bekezdése addig nem kötelező, amíg a rendeletet alkalmazni nem kell — vagyis 2026. december 24-ig. Az a tagállam, amely ma még nem jelölt ki WRPAC-kibocsátó tanúsító hatóságot, nem késik, nem jogsértő, és nem áll semmilyen végrehajtási mechanizmus alatt. Egyszerűen azon az idővonalon működik, amelyet a rendelet tudatosan választott.
Ugyanez a logika érvényes a megbízható szervezeti listára is. A lista a 7. cikk (1) bekezdése szerinti felhatalmazások következménye: amint a tagállamok kijelölik a CA-kat, ezek a CA-k megjelennek a listán. Mielőtt a 7. cikk (1) bekezdése kötelezővé válik, nincs kötelezően kijelölt CA, amelyet listázni kellene. A WRPAC-indikátor nem publikált állapota az eIDAS Dashboardon ezért a rendelet alkalmazási ütemezésének szerkezeti következménye, nem megvalósítási csúszás jele.
Ez a különbség belső kommunikációban és ügyfélkommunikációban is rendkívül fontos. Nem lehet azt mondani, hogy bármelyik tagállam „lemaradt” a WRPAC-kal. Nem lehet azt mondani, hogy az EU „elmulasztotta közzétenni” a listát. Amit pontosan lehet mondani: a rendelet úgy van szakaszolva, hogy az operatív infrastruktúra — CA-felhatalmazások, bizalmi lista, tanúsítványkibocsátási utak — a határidővel egy időben álljon fel, nem hónapokkal vagy évekkel korábban.
Hogy ez jó szakpolitikai döntés-e, külön vita. Tervezési szempontból ez egyszerűen a jogi valóság.
Mi valójában a WRPAC
Azoknak, akik most találkoznak először a kifejezéssel: a Wallet-Relying-Party Access Certificate az a hozzáférési hitelesítő adat, amellyel egy ellenőrző fél éles üzemi folyamatban attribútumbemutatást kérhet egy EUDI Tárcától. Az EU 2025/848 rendelet 2. cikkének (12) bekezdése úgy határozza meg, mint azt a tanúsítványt, amely az ellenőrző felet a tárcaegység felé hitelesíti. A 2. cikk (11) bekezdése az ilyen tanúsítvány szolgáltatóját olyan személyként határozza meg, akit egy tagállam WRPAC-kibocsátásra felhatalmazott — a „személy” ebben az összefüggésben a 7. cikk (1) bekezdése szerinti felhatalmazás alatt működő tanúsító hatóságot jelenti.
A gyakorlati következmény: a WRPAC-kibocsátás nem olyan piac, amelyet a Bizottság közvetlenül irányít. Minden tagállam maga hatalmazza fel a saját kibocsátó CA-ját vagy CA-it. Egy Németországban letelepedett ellenőrző fél végül Németország által felhatalmazott CA-tól fog WRPAC-ot szerezni; egy Franciaországban letelepedett ellenőrző fél Franciaország által felhatalmazott CA-tól. A határon átnyúló ellenőrző feleknek meg kell érteniük, hogy az elsődleges letelepedési helyük irányadó-e, vagy minden működési joghatóságban külön WRPAC-lefedettségre van szükségük — ezt a kérdést a végrehajtási rendelet érinti, de sok integrátor még nem dolgozta végig teljesen.
Részletesebb magyarázatért arról, mire való a WRPAC, hogyan illeszkedik a tárca-interakciós protokollba, és miért nem működhetnek az ellenőrző felek éles üzemben nélküle, lásd kapcsolódó cikkünket: Mi az a WRPAC, és miért lesz rá szüksége minden online vállalkozásnak 2026 decemberéig.
Két külön óra ketyeg
A kereskedői WRPAC-tervezés egyik leggyakoribb félreértése két olyan határidő összemosása, amelyek nagyjából azonos dátum körül vannak, de eltérő kötelezettségeket mérnek.
Első óra: a tárca rendelkezésre állási határideje. Az EU 2024/1183 rendelet, amely módosította az EU 910/2014 rendeletet, előírja, hogy minden tagállam nagyjából 2026. december 24-ig legalább egy EUDI Tárcát tegyen elérhetővé természetes és jogi személyek számára. Ez az az óra, amely a nemzeti tárcaindításokról, illetve azokról a nemzeti bevezetési tervekről szóló híreket hajtotta, amelyek a jogi dátumhoz közel vagy közvetlenül utána érhetnek célba. A módosított rendelet 5a. cikke az operatív rendelkezés. A tárca rendelkezésre állási kötelezettsége a tagállamokra vonatkozik, nem a kereskedőkre.
Második óra: a WRPAC-kibocsátási alkalmazási dátum. A tagállamok azon kötelezettsége, hogy legalább egy WRPAC-kibocsátó CA-t felhatalmazzanak, szintén a 2026. decemberi ablakba esik az EU 2025/848 rendelet 11. cikke alapján. Az éles üzemi ellenőrző feleknek ezután olyan WRPAC-ra lesz szükségük, amely validálható a felhatalmazott szolgáltatói infrastruktúrával szemben. De ennek az órának gyakorlati aszimmetriája van: a tagállamoknak mostantól 2026 decemberéig van idejük kijelölni a CA-kat és közzétenni a felhatalmazásaikat. Ezeknek a CA-knak ezután fel kell állítaniuk a kibocsátási folyamatokat. Az ellenőrző feleknek ezután jelentkezniük kell, el kell végezniük az esetleges regisztrációs lépéseket, és meg kell kapniuk a tanúsítványukat. Mindez nem egyetlen napon történik.
Az összemosás így néz ki: a kereskedő a tárcák rendelkezésre állása kapcsán hallja a „2026. decemberi határidőt”, és feltételezi, hogy ekkor válnak igényelhetővé a WRPAC-ok is. Ezután meglepődik — kedvezően vagy kellemetlenül —, amikor kiderül, hogy a WRPAC-út tagállamonként korábban vagy később nyílhat meg attól függően, mikor zárul le az adott tagállam 7. cikk (1) bekezdése szerinti kijelölése, és hogy egyes államok a formális felhatalmazás előtt önkéntes vagy pilot kibocsátási utakat is kínálhatnak. Ha mindkét kötelezettségre egyetlen 2026. decemberi dátummal tervezünk, ez a sorrendiség teljesen eltűnik.
A gyakorlati következmény: az ellenőrző feleknek 2026 második felében folyamatosan figyelniük kell a bizalmi listát és a tagállami CA-bejelentéseket, nem egyetlen go-live eseményre várniuk, amely mindent egyszerre indít el. Az első tagállamok, amelyek közzéteszik a felhatalmazott CA-kat, több hét előnyt adhatnak a gyorsan mozgó ellenőrző feleknek 2026 decembere előtt, hogy valódi éles útvonalon végigvigyék WRPAC-igénylésüket.
Mit érdemes most tenni — és mit nem
A nyilvánosan ellenőrizhető éles WRPAC-út mai hiánya tervezési vákuumot hoz létre, amelyet a szállítók igyekeznek kitölteni. A WRPAC-infrastruktúraként hirdetett ajánlatok egy része legitim; egy része nem. A különbség ellenőrizhető: az a WRPAC, amely nem igazolható nyilvánosan úgy, hogy egy 7. cikk (1) bekezdése alapján közzétett, felhatalmazott CA-hoz láncol, nem éles WRPAC, függetlenül attól, minek nevezi a szállító, vagy mit állít a tanúsítvány subject mezője.
Mit érdemes most tenni
Építsen és teszteljen sandbox és nyílt tárca folyamatokkal. Az EUDI Wallet referenciaimplementációja, Németország SPRIND által üzemeltetett hivatalos EUDI Wallet sandboxa és több tagállami pilotkörnyezet valódi OpenID4VP-bemutatási folyamatokat produkál. Ezek a folyamatok technikailag reprezentatívak az éles protokollra nézve, akkor is, ha a bizalmi infrastruktúra — CA-felhatalmazások, bizalmi lista, WRPAC-lánc — még nincs a helyén. A most konform OpenID4VP-verifikátor építésére fordított időt 2026 negyedik negyedévében már nem kell újra elkölteni.
Kövesse az eIDAS Dashboard WRPAC-indikátorát. A eidas.ec.europa.eu/efda/ alatti dashboard a kanonikus jel. Amikor a tagállamok elkezdenek WRPAC-kibocsátó CA-kat kijelölni, és ezek a CA-k közzéteszik a felhatalmazásaikat, a WRPAC-jelző nem publikáltról publikáltra vált. Ez a váltás az Ön indítójele az adott tagállambeli igénylési folyamat megkezdésére.
Kövesse a szolgáltatói lista végpontját. A trust.tech.ec.europa.eu/lists/eudiw/wrpac-providers.json alatti végpont végül géppel olvasható fájlt fog kiszolgálni a felhatalmazott CA-król. Ennek a végpontnak a figyelése — és a validációs logika megépítése, amely élesedés után fogyasztani tudja — alacsony költségű infrastruktúramunka, amely a lista megjelenésekor azonnal megtérül.
Értse meg a saját joghatóságának igénylési folyamatát. A 7. cikk (1) bekezdése szerinti kijelölések tagállami döntések. Egyes államok részletes igénylési eljárást tehetnek közzé hónapokkal 2026 decembere előtt; mások nem. Minél korábban azonosítja, melyik CA szolgálja ki az Ön joghatóságát, és hogyan néz ki az igénylési folyamat, annál kisebb kitettsége lesz egy novemberi vagy decemberi késői sorban állási problémának.
Mit nem érdemes tenni
Ne vásároljon semmit, amit „éles WRPAC”-ként árulnak, ha nem ellenőrizhető nyilvánosan. Amíg egy CA felhatalmazása nem jelenik meg a bizalmi listán, és nem látható az eIDAS Dashboardon keresztül, nincs független alap annak megerősítésére, hogy az adott CA által kibocsátott tanúsítvány a 7. cikk (1) bekezdése szerinti felhatalmazás alapján kiadott, 2. cikk (12) bekezdése szerinti WRPAC-nak minősül. Egy tanúsítvány lehet technikailag érvényes, megfelelhet a tanúsítványprofilnak, és származhat jó hírű CA-tól — mégsem lesz jogilag működő WRPAC, ha a CA nem kapott és nem tett közzé tagállami felhatalmazást. A kockázat nem az, hogy a tanúsítvány csalárd; a kockázat az, hogy azok a tárcaimplementációk, amelyek a bizalmi láncot a közzétett listával szemben validálják, nem fogják elfogadni.
Ne kezelje a sandbox tanúsítványokat élesre kész eszközként. A fejlesztői és tesztkörnyezetekhez kibocsátott sandbox WRPAC-ok legitim célt szolgálnak, és most intenzíven használni kell őket. Nem ugyanazt a bizalmi láncot hordozzák, mint az éles tanúsítványok. Ennek megfelelően kommunikáljon az üzleti érintettekkel az éles bevezetési ütemtervről.
Ne feltételezze, hogy a szállító ütemterve azonos a rendelet ütemtervével. Több megfelelőségértékelő szervezet és tanúsító hatóság tett közzé WRPAC-szolgáltatási ütemtervet, amely 2026 decembere előtti készültséget sugall. Ezek az ütemtervek a szállító felkészülését tükrözik; nem tagállami kötelezettségvállalások arra, hogy a 7. cikk (1) bekezdése szerinti kijelöléseket egy adott napon befejezik. A szállító készen állhat azelőtt, hogy a rendelet kötelezővé válik, és ettől még nem lesz felhatalmazott tanúsítványa, amelyet kibocsáthat.
Arról, hogyan érdemes értékelni a piacon lévő ajánlatokat, és mi különbözteti meg a valódi éles utakat az idő előtti ajánlatoktól, lásd kapcsolódó cikkünket: Valódi éles WRPAC vagy sandbox tanúsítvány — hogyan lehet megkülönböztetni.
Mit kell figyelni
Három jelzi majd az átmenetet a jelenlegi statikus állapotból az aktív WRPAC-infrastruktúra-piacba.
A dashboard WRPAC-jelzőjének publikáltra váltása. Ez az elsőrendű jel. Amikor bármely tagállam lezár egy 7. cikk (1) bekezdése szerinti kijelölést, és ez a kijelölés átmegy az eIDAS Dashboardra, az adott állam WRPAC-indikátora megváltozik. Egy kisebb, digitálisan fejlett, érett CA-infrastruktúrával rendelkező tagállam gyorsan mozdulhat, de az első közzétett felhatalmazás még nyitott kérdés. Bármilyen szeptember 2026 előtti váltás érdemi felkészülési időt adna az ellenőrző feleknek.
A szolgáltatói lista élesedése. Amikor a trust.tech.ec.europa.eu/lists/eudiw/wrpac-providers.json végpont hozzáférés-megtagadási válasz helyett feltöltött JSON-fájlt kezd visszaadni, ez a fájl lesz a felhatalmazott CA-k géppel olvasható igazságforrása. Abban a pillanatban, amikor ez a lista nyilvánosan hozzáférhetővé válik, megszűnik a „nyilvánosan nem ellenőrizhető” korlát minden azon szereplőre, amely megjelenik benne. Építse meg most a listafogyasztó logikát; ugyanaz a minta, mint az EU minősített bizalmi szolgáltatói listáinak fogyasztása, és a kód hordozható.
Tagállami bejelentések önkéntes vagy pilot WRPAC-kibocsátásról. Egyes tagállamok dönthetnek úgy, hogy a formális 2026. decemberi felhatalmazás előtt önkéntes vagy pilot WRPAC-kibocsátást indítanak. A szabályozók korábban is futtattak pilotfázisokat kötelező dátumok előtt hasonló személyazonossági sémákban. Egy önkéntes út hasznos felkészülés lehet, de továbbra is nem élesként kell kezelni, amíg a felhatalmazás és a bizalmi horgony nyilvánosan nem ellenőrizhető. Figyelje azoknak a tagállamoknak a nemzeti bizalmi szolgáltatási felügyeleti szerveitől érkező CA-bejelentéseket, amelyek tárcaütemtervei a legelőrehaladottabbak.
Bármilyen bizottsági pontosítás a határon átnyúló WRPAC-lefedettségről. Az EU 2025/848 rendelet jelenlegi szövege hagy némi bizonytalanságot abban, hogy egy valamely tagállamban letelepedett ellenőrző félnek minden olyan tagállamra külön WRPAC-ra van-e szüksége, ahol működik, vagy egyetlen WRPAC lefedi az EU-szintű működést. A Bizottság e pontra vonatkozó iránymutatása — formális közleményben, Q&A-dokumentumban vagy az EUDI Wallet Architecture and Reference Framework frissítésében — érdemben befolyásolná, hány külön CA-kapcsolatot kell az ellenőrző feleknek fenntartaniuk. Ez a WRPAC-keretrendszer leginkább operatív jelentőségű nyitott kérdése.
A Bizottság digitális stratégiai portálján található EUDI rendeleti áttekintő oldal az első hely, ahol a formális pontosítások gyakran megjelennek, mielőtt eljutnának az EUR-Lexre. Tegye fel a figyelési listára a bizalmi lista végpontja és az eIDAS Dashboard mellé.
A következő hét hónap alakja
Összefoglalva, hol tartunk, és hogyan néz ki a sorrend innen: az EU 2025/848 rendelet hatályban van és érvényes jog, de 2026. december 24-ig nem alkalmazandó. A közzétett WRPAC-szolgáltatói lista hiánya ezt a szakaszolást tükrözi, nem megvalósítási hibát. Egyetlen tagállam sem „késik” a WRPAC-kal, mert még egyetlen tagállam sem köteles teljesíteni. Az eIDAS Dashboard nem publikált állapota és a nem hozzáférhető szolgáltatói lista végpontja egyaránt a jelenlegi szabályozási pillanat kiszámítható és helyes olvasata.
Mostantól 2026 decemberéig a sorrend a következő: a tagállamok CA-kat jelölnek ki a 7. cikk (1) bekezdése alapján, ezek a CA-k közzéteszik felhatalmazásaikat és felállítják kibocsátási folyamataikat, a bizalmi lista feltöltődik, az ellenőrző felek pedig WRPAC-ot igényelnek és kapnak. Ennek a folyamatnak egy része már 2026 harmadik negyedévében elkezdődhet a leggyorsabban mozgó államokban; egy része pedig a bonyolultabb CA-beszerzési ütemezéssel dolgozó államokban akár 2026 decemberéig is elhúzódhat.
Egy ellenőrző fél helyes reakciója nem az, hogy decemberig vár, és nem is az, hogy idő előtt megvesz olyan ajánlatokat, amelyek még nem ellenőrizhetők nyilvánosan. A helyes reakció az, hogy most megépíti a technikai integrációt nyílt tárca folyamatokkal és sandbox tanúsítványokkal, figyeli a bizalmi lista végpontját és a Dashboardot az első közzétett felhatalmazásokért, és készen áll gyorsan végigmenni az igénylési folyamaton, amint saját joghatóságában ellenőrizhető út nyílik. Az a kereskedő, amely 2026 negyedik negyedévébe működő OpenID4VP-verifikátorral, saját fő joghatóságának WRPAC-igénylési folyamatáról világos képpel és a bizalmi listát figyelő monitorozási infrastruktúrával érkezik, lényegesen jobb helyzetben lesz, mint az, amely összemosta a tárca rendelkezésre állási határidejét a WRPAC rendelkezésre állási határidejével, és csak novemberben fedezi fel először a sorban állási dinamikát.
A lista még nincs közzétéve. Jelen pillanatban ez a helyes válasz.
Kapcsolódó cikkek
Hogyan különböztethető meg a valódi éles WRPAC a sandbox tanúsítványtól
Mivel a hivatalos WRPAC-szolgáltatói lista még nincs közzétéve, ma semmi, amit éles WRPAC-ként árulnak, nem ellenőrizhető nyilvánosan úgy, hogy felhatalmazott szolgáltatóhoz láncol. Itt a valódi WRPAC-ot meghatározó ellenőrzési lánc, a figyelmeztető jelek és az, mire valók legitim módon a sandbox tanúsítványok.
7 perc olvasás
Mi az a WRPAC, és miért lesz rá szüksége minden online vállalkozásnak 2026 decemberéig
Közeleg a 2026. decemberi határidő. Ismerje meg, mi az a WRPAC-tanúsítvány, és miért érdemes már most felkészülni a megfelelésre.
8 perc olvasás
Cikk megosztása
Segítsen másoknak megismerni az eIDAS-ellenőrzést