Rozporządzenie wykonawcze komisji (ue) 2025/1569 w sprawie ustanowienia zasad stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do kwalifikowanych elektronicznych poświadczeń atrybutów oraz elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu

Akt prawny obowiązujący

Dziennik Urzędowy Unii Europejskiej, L rok 2025 poz. 1569

Wersja aktualna od 2025.08.19

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1569

z dnia 29 lipca 2025 r.

w sprawie ustanowienia zasad stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do kwalifikowanych elektronicznych poświadczeń atrybutów oraz elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 45d ust. 5, art. 45e ust. 2 oraz art. 45f ust. 6 i 7,

a także mając na uwadze, co następuje:

(1)

W rozporządzeniu (UE) nr 910/2014 ustanowiono ramy prawne dotyczące wydawania i walidacji elektronicznych poświadczeń atrybutów, w tym zobowiązanie dostawców elektronicznych poświadczeń atrybutów do zapewnienia użytkownikom europejskiego portfela tożsamości cyfrowej („portfel”) możliwości żądania, uzyskiwania i przechowywania elektronicznego poświadczenia atrybutów oraz zarządzania nim niezależnie od państwa członkowskiego, w którym portfele są dostarczane. Elektroniczne poświadczenia atrybutów są kluczowymi elementami budowy bezpiecznego i interoperacyjnego ekosystemu europejskich portfel tożsamości cyfrowej („ekosystem portfeli”). Umożliwiają one użytkownikom bezpieczną wymianę informacji ze stronami ufającymi w różnych przypadkach użycia.

(2)

Interfejsy z europejskimi portfelami tożsamości cyfrowej, które mają być zapewniane przez dostawców kwalifikowanych elektronicznych poświadczeń atrybutów zgodnie z art. 45g rozporządzenia (UE) nr 910/2014, uwypuklają znaczenie elektronicznych poświadczeń atrybutów dla ekosystemu portfeli i ułatwiają ich szybkie upowszechnienie.

(3)

Komisja regularnie przeprowadza ocenę nowych technologii, praktyk, norm i specyfikacji technicznych. Aby zapewnić maksymalną harmonizację działań państw członkowskich w zakresie opracowywania i certyfikacji portfeli, specyfikacje techniczne określone w niniejszym rozporządzeniu opierają się na pracach przeprowadzonych zgodnie z zaleceniem Komisji (UE) 2021/946 z dnia 3 czerwca 2021 r. w sprawie wspólnego unijnego zestawu narzędzi na potrzeby skoordynowanego podejścia do europejskich ram tożsamości cyfrowej, (2) w szczególności architektury i ram odniesienia, które są jego częścią. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady 2024/1183 (3) Komisja powinna poddać przeglądowi i w razie potrzeby zaktualizować niniejsze rozporządzenie wykonawcze, aby zachować jego aktualność względem globalnych zmian oraz architektury i ram odniesienia, a także przestrzegać najlepszych praktyk na rynku wewnętrznym, w szczególności w odniesieniu do wydawania elektronicznych poświadczeń atrybutów oraz weryfikacji atrybutów na podstawie źródeł autentycznych lub wyznaczonych pośredników.

(4)

W przypadku gdy dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu wydają poświadczenia zgodności, które stwierdzają, że spełniają wymogi dotyczące systemów poświadczania atrybutów zarejestrowanych w katalogu, polityki i procedury dotyczące zgodności z wymogami tych systemów powinny być częścią oceny zgodności ustanowionej w rozporządzeniu (UE) nr 910/2014.

(5)

Ochrona przed niewiarygodnymi informacjami ma istotne znaczenie dla cyfryzacji poświadczeń. W związku z tym powinno być możliwe unieważnienie kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu lub należy wdrożyć alternatywne środki w celu zrekompensowania ryzyka związanego z brakiem możliwości unieważnienia. Niektóre okoliczności, takie jak wyraźny wniosek osoby, której wydano elektroniczne poświadczenie atrybutów, lub gdy dostawca wie, że doszło do naruszenia bezpieczeństwa lub wiarygodności kwalifikowanych elektronicznych poświadczeń atrybutów, lub przypadki, gdy wymaga tego prawo Unii lub prawo krajowe, powinny prowadzić do unieważnienia przez dostawcę elektronicznego poświadczenia atrybutów. W celu ochrony podstawowych praw do prywatności i ochrony danych użytkownika, w szczególności poprzez odpowiednie zminimalizowanie ryzyka możliwości powiązania i śledzenia, dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów, wydawanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, powinni ustanowić polityki zarządzania unieważnianiem zapewniające ochronę prywatności.

(6)

Aby ułatwić współpracę między państwami członkowskimi oraz ustanowić bezpieczny i interoperacyjny ekosystem tożsamości cyfrowej, obejmujący transgraniczne uznawanie i interoperacyjność kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów dostarczanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, należy ustanowić uproszczone procedury administracyjne komunikacji między odpowiednimi zainteresowanymi stronami, obejmujące publikację informacji w celu szybkiego identyfikowania właściwych podmiotów sektora publicznego. Państwa członkowskie powinny notyfikować Komisji odpowiednie atrybuty. W związku z tym, aby zapewnić terminową, skuteczną i interoperacyjną weryfikację tych atrybutów, odpowiednie notyfikacje przekazywane Komisji powinny być sporządzone co najmniej w języku angielskim, ponieważ ułatwia to szeroką dostępność, ocenę i zrozumienie, a jednocześnie zacieśnia współpracę między odpowiednimi zainteresowanymi stronami. Tłumaczenie już istniejącej dokumentacji nie powinno jednak powodować nieuzasadnionych obciążeń administracyjnych lub finansowych.

(7)

Aby umożliwić użytkownikom i dostawcom usług weryfikację, czy elektroniczne poświadczenia atrybutów wydane przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu zostały rzeczywiście wydane przez ten podmiot sektora publicznego lub w jego imieniu, państwa członkowskie powinny notyfikować Komisji te podmioty sektora publicznego. Przy powiadamianiu podmiotów sektora publicznego, które wydają elektroniczne poświadczenia atrybutów zgodnie z art. 45f i załącznikiem VII do rozporządzenia (UE) nr 910/2014, państwa członkowskie mają przedstawić raport z oceny zgodności potwierdzający poziom wiarygodności i rzetelności równoważny kwalifikowanym dostawcom usług zaufania. Jednak, w przeciwieństwie do kwalifikowanych dostawców usług zaufania wydających kwalifikowane elektroniczne poświadczenia atrybutów, w przypadku tych podmiotów sektora publicznego to od państw członkowskich zależy sposób, w jaki zapewniają, aby dostawcy spełniali wymogi w miarę upływu czasu. Aby utrzymać wysoki poziom zaufania do poświadczeń sektora publicznego w całej Unii, zachęca się państwa członkowskie do dzielenia się swoimi najlepszymi praktykami dotyczącymi sposobu zapewniania stałej wiarygodności i rzetelności za pośrednictwem Grupy Współpracy na rzecz Europejskiej Tożsamości Cyfrowej ustanowionej na podstawie art. 46e ust. 1 rozporządzenia (UE) nr 910/2014 („grupa współpracy”). Komisja powinna ustanowić, prowadzić i publikować wykaz dostawców oraz zapewnić, aby wykaz ten był łatwo dostępny dla ogółu społeczeństwa.

(8)

Z pomocą grupy współpracy Komisja powinna ustanowić katalog atrybutów, aby ułatwić weryfikację atrybutów na podstawie źródeł autentycznych przez kwalifikowanych dostawców usług zaufania wydających kwalifikowane elektroniczne poświadczenia atrybutów. Rejestracja w katalogu atrybutów powinna być obowiązkowa w przypadku atrybutów wymienionych w załączniku VI do rozporządzenia (UE) nr 910/2014. W przypadku pozostałych atrybutów rejestracja byłaby nieobowiązkowa.

(9)

Z pomocą grupy współpracy Komisja powinna ustanowić katalog systemów poświadczania atrybutów, aby ułatwić wydawanie poświadczeń przez kwalifikowanych dostawców usług zaufania wydających kwalifikowane elektroniczne poświadczenia atrybutów i dostawców elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, a także aby ułatwić harmonizację i transgraniczną interoperacyjność tych poświadczeń. Rejestracja systemów w katalogu systemów powinna być nieobowiązkowa. Wnioski o rejestrację lub zmiany w katalogu powinny być składane przez właściciela systemu poświadczania atrybutów i mogą zawierać atrybuty niewymienione w katalogu atrybutów. Komisja powinna oceniać te wnioski z uwzględnieniem potrzeb w zakresie interoperacyjności i harmonizacji.

(10)

W celu zapewnienia, aby katalog atrybutów dostarczał istotnych informacji i osiągał wysoki poziom interoperacyjności w ekosystemie elektronicznego poświadczania atrybutów, powinien zawierać co najmniej minimalny zestaw informacji, takich jak semantyczny opis atrybutu, przestrzeń nazw jego identyfikatora oraz rodzaj danych atrybutu. W tym samym celu katalog systemów poświadczania atrybutów powinien zawierać opisy powszechnych typów elektronicznych poświadczeń atrybutów oraz opis modelu zaufania i mechanizmów zarządzania stosowanych w ramach systemu poświadczeń. Informacje zawarte w katalogach powinny obejmować oznaczanie wersji atrybutów i systemów, tak aby zmiany tych atrybutów i systemów nie miały wpływu na poświadczenia wydawane zgodnie z określonymi wersjami.

(11)

Aby zapewnić skuteczność weryfikacji atrybutów na podstawie źródeł autentycznych przez kwalifikowanych dostawców usług zaufania wydających kwalifikowane elektroniczne poświadczenia atrybutów, w tym za pośrednictwem wyznaczonych pośredników, którzy zapewniają dostawcom usług mechanizmy weryfikacji pośredniej, państwa członkowskie powinny ustanowić, w terminie określonym w art. 45e ust. 1 rozporządzenia (UE) nr 910/2014, mechanizmy umożliwiające kwalifikowanym dostawcom usług zaufania wydającym kwalifikowane elektroniczne poświadczenia atrybutów występowanie z wnioskiem o weryfikację atrybutów. Mechanizmy te powinny umożliwiać kwalifikowanym dostawcom usług zaufania wydającym kwalifikowane elektroniczne poświadczenia atrybutów ustalenie, które atrybuty można zweryfikować, i w jaki sposób to zrobić. Mechanizmy te powinny obejmować szczegółowe dane o punktach dostępu i protokołach usług służących do sprawdzania ważności i dokładności atrybutów oraz powinny uwzględniać możliwość oferowania pojedynczego punktu weryfikacji na szczeblu krajowym.

(12)

W szczególności państwa członkowskie powinny udostępnić kwalifikowanym dostawcom usług zaufania wydającym kwalifikowane elektroniczne poświadczenia atrybutów mechanizmy dostępu do punktów weryfikacji i korzystania z nich w odniesieniu do każdego z atrybutów wymienionych w załączniku VI do rozporządzenia (UE) nr 910/2014 na szczeblu krajowym. Mechanizmy te powinny umożliwiać kwalifikowanym dostawcom usług zaufania, wydającym kwalifikowane elektroniczne poświadczenia atrybutów przedstawienie, na wniosek użytkownika, konkretnych atrybutów w punkcie weryfikacyjnym na potrzeby wydania poświadczenia i w okresie jego ważności. Mechanizmy weryfikacji powinny wykorzystywać środki elektroniczne nadające się do automatycznego przetwarzania oraz do jak najszybszego uzyskania odpowiedzi z punktu weryfikacji. Odpowiedź ta powinna potwierdzać, czy atrybuty przedstawione przez kwalifikowanych dostawców usług zaufania wydających kwalifikowane elektroniczne poświadczenia atrybutów odpowiadają atrybutom przechowywanym w odniesieniu do tego użytkownika w odpowiednim źródle autentycznym, a także powinna określać źródło autentyczne, na podstawie którego przeprowadzono weryfikację. Aby uniknąć uchybień, takich jak niezgodne z prawem lub wyraźnie przesadne wnioski o weryfikację, państwa członkowskie mogą wprowadzić mechanizmy kontroli korzystania z punktów weryfikacji, jeżeli uznają to za stosowne, biorąc pod uwagę istotne czynniki, w tym to, czy źródła autentyczne zawierają informacje, które należy uznać za dane osobowe lub które w inny sposób mają charakter poufny lub wrażliwy na mocy prawa Unii lub prawa krajowego.

(13)

Zgodnie z zasadami ustanowionymi w akcie w sprawie Interoperacyjnej Europy (4), aby ułatwić ustanawianie katalogu atrybutów i katalogu systemów poświadczania atrybutów i ponowne wykorzystanie, w miarę możliwości, istniejących katalogów, systemów i informacji, Komisja powinna, w stosownych przypadkach, wykorzystać synergię ze wspólnymi usługami systemu technicznego zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1724 w sprawie utworzenia jednolitego portalu cyfrowego i zmiany rozporządzenia (UE) nr 1024/2012 (5).

(14)

W celu wzmocnienia interoperacyjności elektronicznych poświadczeń atrybutów wydawanych przez niekwalifikowanych dostawców usług zaufania wydawcy poświadczeń atrybutów w odniesieniu do niekwalifikowanych elektronicznych poświadczeń atrybutów mogą przestrzegać zasad i wymogów ustanowionych w niniejszym rozporządzeniu.

(15)	Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (6) oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (7) mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(16)

Aby zapewnić Komisji i państwom członkowskim wystarczająco dużo czasu na sporządzenie wykazu dostawców elektronicznych poświadczeń atrybutów wydawanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, wymogi niniejszego rozporządzenia dotyczące katalogu atrybutów, katalogu systemów poświadczania atrybutów oraz punktów weryfikacji atrybutów powinny zacząć obowiązywać 12 miesięcy po dacie wejścia w życie niniejszego rozporządzenia.

(17)	Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (8) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 31 stycznia 2025 r.

(18)	Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Przedmiot i zakres stosowania

W niniejszym rozporządzeniu ustanawia się przepisy dotyczące norm referencyjnych, specyfikacji oraz procedur, które podlegają regularnej aktualizacji w celu zapewnienia zgodności z rozwojem technologii i opracowywanymi normami oraz z pracami prowadzonymi na podstawie zalecenia Komisji (UE) 2021/946, w szczególności z architekturą i ramami odniesienia dotyczącymi:

1)	kwalifikowanych elektronicznych poświadczeń atrybutów;

2)	elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu;

3)	wykazu dostawców elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu;

4)	katalogu atrybutów i katalogu systemów poświadczania atrybutów, o których mowa w ust. 1 i 2;

5)	weryfikacji atrybutów w odniesieniu do źródeł autentycznych lub wyznaczonych pośredników.

Artykuł 2

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)	„jednostka portfela” oznacza niepowtarzalną konfigurację rozwiązania w zakresie portfela, która obejmuje instancje portfela, bezpieczne aplikacje kryptograficzne portfela i bezpieczne urządzenia kryptograficzne portfela dostarczane przez dostawcę portfela indywidualnemu użytkownikowi portfela;

2)	„użytkownik portfela” oznacza użytkownika, który kontroluje jednostkę portfela;

3)	„katalog atrybutów” oznacza cyfrowe repozytorium atrybutów prowadzone i publikowane w internecie przez Komisję;

4)	„system poświadczania atrybutów” oznacza zbiór reguł mających zastosowanie do co najmniej jednego typu elektronicznego poświadczenia atrybutów;

5)	„typ elektronicznego poświadczenia atrybutów” oznacza konkretnie określoną i semantycznie opisaną grupę elektronicznego poświadczenia atrybutów;

6)	„katalog systemów poświadczania atrybutów” oznacza cyfrowe repozytorium zawierające wykaz systemów poświadczania atrybutów zarejestrowanych zgodnie z niniejszym rozporządzeniem, które jest prowadzone [i publikowane w internecie] przez Komisję;

7)	„rozwiązanie w zakresie portfela” oznacza połączenie oprogramowania, sprzętu, usług, ustawień i konfiguracji, z uwzględnieniem instancji portfela, co najmniej jednej bezpiecznej aplikacji kryptograficznej portfela oraz co najmniej jednego bezpiecznego urządzenia kryptograficznego portfela;

8)	„instancja portfela” oznacza aplikację zainstalowaną i skonfigurowaną na urządzeniu lub w środowisku użytkownika portfela, która jest częścią jednostki portfela i z której użytkownik portfela korzysta do interakcji z daną jednostką portfela;

9)	„bezpieczna aplikacja kryptograficzna portfela” oznacza aplikację, która zarządza aktywami krytycznymi, łącząc się z funkcjami kryptograficznymi i niekryptograficznymi zapewnianymi przez bezpieczne urządzenie kryptograficzne portfela oraz korzystając z tych funkcji;

10)

„bezpieczne urządzenie kryptograficzne portfela” oznacza urządzenie odporne na manipulacje, które zapewnia otoczenie połączone z bezpieczną aplikacją kryptograficzną portfela i przez nią wykorzystywane, aby chronić aktywa krytyczne i zapewniać funkcje kryptograficzne na potrzeby bezpiecznego wykonywania operacji krytycznych;

11)	„dostawca portfela” oznacza osobę fizyczną lub prawną, która dostarcza rozwiązania w zakresie portfela;

12)	„aktywa krytyczne” oznaczają aktywa wewnątrz jednostki portfela lub z nią związane o tak istotnym znaczeniu, że naruszenie ich dostępności, poufności lub integralności miałoby bardzo poważny, szkodliwy wpływ na zdolność do polegania na danej jednostce portfela;

13)	„właściciel systemu poświadczania atrybutów” oznacza podmiot odpowiedzialny za ustanowienie i utrzymanie systemu poświadczania atrybutów.

Artykuł 3

Wydawanie kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu

1. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu zapewniają zgodność z wykazem norm referencyjnych i specyfikacji określonym w załączniku I oraz zapewniają zgodność wydawanych przez siebie elektronicznych poświadczeń atrybutów ze specyfikacjami technicznymi określonymi w załączniku II.

2. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, którzy wydają elektroniczne poświadczenia atrybutów objęte systemami zarejestrowanymi w katalogu systemów poświadczania atrybutów, muszą spełniać wymogi odpowiedniego systemu poświadczania atrybutów. Polityki i procedury ustanowione przez wydawców poświadczeń w celu zapewnienia zgodności z wymogami systemów poświadczania atrybutów stanowią część oceny zgodności ustanowionej w rozporządzeniu (UE) nr 910/2014.

Artykuł 4

Unieważnienie kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu

1. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu posiadają ogólnodostępne polityki w formie pisemnej dotyczące zarządzania statusem ważności lub unieważnienia. Polityki te obejmują, w stosownych przypadkach, warunki, na jakich elektroniczne poświadczenia atrybutów mogą zostać bezzwłocznie unieważnione, oraz środki zapewniające dostępność informacji o statusie ważności.

2. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu są jedynymi podmiotami, które mogą unieważnić wydawane przez siebie elektroniczne poświadczenia atrybutów.

3. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów oraz dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, w każdym przypadku gdy te poświadczenia są wydawane z okresem ważności przekraczającym 24 godziny, unieważniają je przynajmniej w następujących okolicznościach:

a)	na wyraźny wniosek osoby, której wydano elektroniczne poświadczenie atrybutów, lub, w stosownych przypadkach, podmiotu poświadczenia;

b)	jeżeli dostawca powziął wiedzę o kompromitacji bezpieczeństwa lub wiarygodności kwalifikowanych elektronicznych poświadczeń atrybutów lub elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu;

c)	w innych sytuacjach wymaganych przez prawo Unii lub prawo krajowe lub określonych przez dostawców w ich politykach, o których mowa w ust. 1.

4. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu ustanawiają techniki unieważniania i metody zarządzania, które zapewniają ochronę prywatności i ograniczają możliwość powiązania lub śledzenia.

5. Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu udostępniają stronom ufającym informacje na temat statusu ważności lub unieważnienia wydanych przez nich elektronicznych poświadczeń atrybutów w sposób zapewniający integralność i autentyczność tych informacji.

Artykuł 5

Notyfikacja podmiotów sektora publicznego

1. Państwa członkowskie przekazują co najmniej informacje określone w załączniku III dotyczące podmiotów sektora publicznego, o których mowa w art. 45f ust. 3 rozporządzenia (UE) nr 910/2014, za pośrednictwem bezpiecznego elektronicznego systemu powiadamiania udostępnionego przez Komisję.

2. Państwa członkowskie notyfikują wszelkie zmiany zgłoszonych informacji.

3. Państwa członkowskie wystosowują notyfikacje co najmniej w języku angielskim. Państwa członkowskie nie mają obowiązku tłumaczenia jakiegokolwiek dokumentu potwierdzającego notyfikacje, jeśli stworzyłoby to nieuzasadnione obciążenie administracyjne lub finansowe.

4. W stosownych przypadkach Komisja może zwrócić się do państw członkowskich o przekazanie dodatkowych informacji.

Artykuł 6

Publikacja wykazu podmiotów sektora publicznego

1. Komisja ustanawia, prowadzi i publikuje wykaz dostawców elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu na podstawie informacji przekazanych przez państwa członkowskie zgodnie z art. 5.

2. Komisja zapewnia dostęp do wykazu, o którym mowa w ust. 1:

a)	zarówno w formie elektronicznie podpisanej lub opatrzonej pieczęcią elektroniczną przeznaczonej do automatycznego przetwarzania, jak i na stronie internetowej nadającej się do odczytu przez człowieka;

b)	bez konieczności rejestracji lub uwierzytelnienia;

c)	wyłącznie z wykorzystaniem najnowocześniejszych zabezpieczeń warstwy transportowej.

3. Bez zbędnej zwłoki za pośrednictwem bezpiecznego kanału Komisja publikuje:

a)	specyfikacje techniczne wykazu;

b)	szczegółowe informacje na temat adresu URL, pod którym publikowany jest wykaz;

c)	certyfikaty wykorzystywane do weryfikacji podpisu lub pieczęci na wykazie;

d)	szczegółowe informacje dotyczące mechanizmów stosowanych do walidacji przyszłych zmian lokalizacji lub certyfikatów, o których mowa w lit. b) i c).

Artykuł 7

Tworzenie i prowadzenie katalogu atrybutów

1. Komisja ustanawia i publikuje katalog atrybutów oraz tworzy bezpieczny system umożliwiający składanie wniosków o włączenie atrybutów do katalogu atrybutów lub o modyfikację atrybutów w tym katalogu.

2. Komisja ocenia wnioski składane przy użyciu systemu, o którym mowa w ust. 1, o włączenie atrybutu do katalogu atrybutów lub o modyfikację atrybutu w katalogu atrybutów po uwzględnieniu wszelkich porad udzielonych przez grupę współpracy. W ocenie Komisji uwzględnia się, czy włączenie atrybutu przyczynia się do stworzenia wspólnej podstawy bezpiecznej i niezagrażającej prywatności interakcji elektronicznej między obywatelami, przedsiębiorstwami i organami publicznymi, a także do wspierania interoperacyjności. W stosownych przypadkach Komisja uwzględnia również przepisy sektorowe.

3. Państwa członkowskie składają wnioski o włączenie atrybutów wymienionych w załączniku VI do rozporządzenia (UE) nr 910/2014 do katalogu atrybutów, w każdym przypadku gdy atrybuty te opierają się na źródłach autentycznych do celów weryfikacji przez kwalifikowanych dostawców usług zaufania.

4. Państwa członkowskie mogą się ponadto zwrócić o włączenie atrybutów niewymienionych w załączniku VI do katalogu atrybutów, w każdym przypadku gdy atrybuty te opierają się na źródłach autentycznych w sektorze publicznym. Podmioty prywatne uznane za podstawowe źródło informacji lub za źródło autentyczne zgodnie z prawem Unii lub prawem krajowym, z uwzględnieniem praktyki administracyjnej, mogą się zwrócić o włączenie atrybutów niewymienionych w załączniku VI do katalogu atrybutów, w każdym przypadku gdy podmiot wnioskujący jest odpowiedzialny za te atrybuty.

5. Wniosek o włączenie atrybutu do katalogu lub modyfikację atrybutu w katalogu musi zawierać co najmniej następujące informacje:

a)	dane identyfikacyjne podmiotu składającego wniosek;

b)	w stosownych przypadkach odniesienie do prawa Unii lub prawa krajowego, lub praktyki administracyjnej, zgodnie z którymi podmiot składający wniosek uznaje się za podstawowe źródło informacji lub uznane źródło autentyczne.

c)	określenie, czy wniosek odnosi się do atrybutu już istniejącego w katalogu, czy też do nowego atrybutu;

d)	przestrzeń nazw dla identyfikatora atrybutów, którego wartość jest niepowtarzalna w katalogu atrybutów;

e)	identyfikator atrybutu, niepowtarzalny w przestrzeni nazw, oraz wersja atrybutu;

f)	semantyczny opis atrybutu;

g)	rodzaj danych atrybutu;

h)	punkt weryfikacji atrybutu na poziomie krajowym lub link do opisu sposobu składania wniosków o weryfikację.

6. Wniosek o włączenie lub modyfikację atrybutu podpisuje lub opatruje pieczęcią wnioskodawca za pomocą kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej bądź zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej, których podstawę stanowi kwalifikowany certyfikat.

7. Po dokonaniu oceny, o której mowa w ust. 2, i po zweryfikowaniu, czy informacje zawarte we wniosku o włączenie lub zmianę atrybutu obejmują wszystkie informacje wymienione w ust. 5, Komisja może uwzględnić atrybut lub zmianę będące przedmiotem wniosku w katalogu atrybutów.

8. Katalog atrybutów, opatrzony pieczęcią przez Komisję, musi być publicznie dostępny za pośrednictwem bezpiecznego kanału, bezpłatnie i bez uprzedniej identyfikacji lub uwierzytelniania oraz musi zostać opublikowany w formacie nadającym się do odczytu maszynowego i odczytu przez człowieka. W katalogu musi być również dostępna funkcja wyszukiwania.

9. Komisja publikuje specyfikacje techniczne stosowane przez Komisję w odniesieniu do katalogu atrybutów.

10. Komisja wydaje niepowtarzalny identyfikator dla każdego zarejestrowanego atrybutu.

Artykuł 8

Tworzenie i prowadzenie katalogu systemów poświadczania atrybutów

1. Komisja ustanawia i publikuje katalog systemów poświadczania atrybutów i tworzy bezpieczny system umożliwiający składanie wniosków o włączenie systemów poświadczania atrybutów do katalogu systemów poświadczania atrybutów lub o modyfikację systemów w tym katalogu.

2. Wnioski o włączenie systemów poświadczania atrybutów do katalogu systemów poświadczania atrybutów lub o modyfikację systemów w tym katalogu podlegają ocenie Komisji po uwzględnieniu wszelkich informacji udzielonych przez grupę współpracy. W ocenie Komisji uwzględnia się, czy system przyczynia się do stworzenia wspólnej bezpiecznej i niezagrażającej prywatności interakcji elektronicznej między obywatelami, przedsiębiorstwami i organami publicznymi, a także do wspierania interoperacyjności. W stosownych przypadkach Komisja uwzględnia również przepisy sektorowe.

3. Właściciele systemu poświadczania atrybutów mogą się zwrócić o dodanie systemów do katalogu systemów. Wniosek o włączenie systemu do katalogu systemów poświadczania atrybutów lub o modyfikację systemu w tym katalogu zawiera co najmniej następujące informacje:

a)	nazwę systemu, wybraną przez właściciela systemu poświadczenia atrybutów i niepowtarzalną w katalogu systemów poświadczania atrybutów;

b)	nazwę i dane kontaktowe właściciela systemu poświadczania atrybutów;

c)	status i wersję systemu;

d)	odniesienie do konkretnych przepisów, norm lub wytycznych, w przypadku gdy wydanie, walidacja lub stosowanie elektronicznego poświadczenia atrybutów w ramach systemu podlega tym przepisom, normom lub wytycznym;

e)	format lub formaty elektronicznego poświadczenia atrybutów w ramach systemu;

co najmniej jedną przestrzeń nazw, identyfikatory atrybutów, opisy semantyczne i rodzaje danych każdego atrybutu, który jest częścią elektronicznego poświadczenia atrybutów objętego zakresem systemu, przez odniesienie do atrybutu w katalogu atrybutów w art. 7 lub atrybutu zdefiniowanego w sposób analogowy w ramach systemu;

g)	opis modelu zaufania i mechanizmów zarządzania stosowanych w ramach systemu, w tym mechanizmów unieważnienia;

h)	wszelkie wymogi dotyczące dostawców elektronicznych poświadczeń atrybutów lub źródeł informacji, na których opierają się ci dostawcy przy wydawaniu elektronicznych poświadczeń atrybutów, z uwzględnieniem, w stosownych przypadkach, wszelkich źródeł autentycznych;

oświadczenie, czy elektroniczne poświadczenia atrybutów w ramach systemu mają być wydawane jako kwalifikowane elektroniczne poświadczenia atrybutów, jako elektroniczne poświadczenia atrybutów wydawane przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, czy jako obie te formy.

4. Systemy, w odniesieniu do których wnioskuje się o włączenie do katalogu, muszą zawierać wyłącznie atrybuty, które można zidentyfikować na podstawie niepowtarzalnych identyfikatorów. Wniosek o włączenie lub modyfikację systemu poświadczania atrybutów podpisuje lub opieczętowuje wnioskodawca za pomocą kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej bądź zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej opartych na kwalifikowanym certyfikacie.

5. Po dokonaniu oceny, o której mowa w ust. 2, i po zweryfikowaniu, czy informacje podane we wniosku o włączenie lub modyfikację systemu poświadczeń obejmują wszystkie informacje wymienione w ust. 3 i 4, Komisja może ująć wnioskowany system lub modyfikację w katalogu systemów poświadczania atrybutów.

6. Katalog systemów poświadczania atrybutów, opatrzony pieczęcią przez Komisję, musi być publicznie dostępny za pośrednictwem bezpiecznego kanału, bezpłatnie i bez uprzedniej identyfikacji lub uwierzytelniania oraz musi się nadawać do odczytu maszynowego i odczytu przez człowieka. W katalogu musi być również dostępna funkcja wyszukiwania, a jego format musi gwarantować integralność i autentyczność.

7. Komisja publikuje specyfikacje techniczne stosowane przez Komisję w odniesieniu do katalogu systemów poświadczania atrybutów.

8. Komisja wydaje niepowtarzalny identyfikator dla każdego zarejestrowanego systemu poświadczenia atrybutów.

Artykuł 9

Weryfikacja atrybutów na podstawie źródeł autentycznych lub wyznaczonych pośredników

1. Aby umożliwić elektroniczną weryfikację atrybutów, o której mowa w art. 45e ust. 1 rozporządzenia (UE) nr 910/2014, przez kwalifikowanych dostawców usług zaufania wydających kwalifikowane elektroniczne poświadczenia atrybutów, na wniosek użytkownika państwa członkowskie ustanawiają mechanizmy umożliwiające tę weryfikację i mogą udostępnić pojedyncze punkty weryfikacji atrybutów wymienionych w załączniku VI do tego rozporządzenia, w każdym przypadku gdy atrybuty te opierają się na źródłach autentycznych w sektorze publicznym. Państwa członkowskie publikują informacje na temat procedur składania wniosków o weryfikację i otrzymywania wyników weryfikacji.

2. Mechanizm weryfikacji zapewnia punkt dostępu, w którym kwalifikowani dostawcy usług zaufania wydający kwalifikowane elektroniczne poświadczenia atrybutów mogą elektronicznie wnioskować o weryfikację atrybutów, o której mowa w art. 45e ust. 1 rozporządzenia (UE) nr 910/2014, w oparciu o źródła autentyczne lub wyznaczonych pośredników uznanych na szczeblu krajowym. Atrybuty podlegające weryfikacji zostaną przekazane punktowi weryfikacji przez kwalifikowanego dostawcę usług zaufania na wniosek użytkownika. Podmiot sektora publicznego lub wyznaczony pośrednik udostępnia, za pośrednictwem punktu weryfikacji, wyniki weryfikacji kwalifikowanym dostawcom usług zaufania wydającym kwalifikowane elektroniczne poświadczenia atrybutów.

3. We wniosku o weryfikację określa się atrybuty i dane identyfikacyjne przedmiotu atrybutu, w odniesieniu do którego kwalifikowany dostawca usług zaufania wnioskuje o weryfikację.

4. W wyniku weryfikacji określa się wyłącznie, czy atrybut został zweryfikowany, oraz wskazuje się podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub, w stosownych przypadkach, podmiot sektora publicznego wyznaczony do działania w imieniu źródła autentycznego, w odniesieniu do którego zweryfikowano atrybut.

5. Państwa członkowskie mogą wprowadzić kontrole dostępu lub inne mechanizmy weryfikacji zapewniające integralność, autentyczność i poufność w celu ustalenia, czy wnioskodawca jest kwalifikowanym dostawcą usług zaufania i działa na wniosek uprawnionego użytkownika. Państwa członkowskie mogą również wprowadzić mechanizmy kontroli w odniesieniu do stosowania metod weryfikacji, jeżeli uznają to za stosowne, z uwzględnieniem istotnych czynników, w tym tego, czy źródła autentyczne zawierają poufne lub wrażliwe dane osobowe. W przypadku gdy państwa członkowskie ustanawiają te mechanizmy kontroli, muszą publikować informacje na temat zakresu mechanizmów kontroli w ramach informacji, o których mowa w ust. 1.

Artykuł 10

Interoperacyjność i ponowne wykorzystanie

1. Do celów art. 3-9 państwa członkowskie mogą odnosić się do usług wspólnych systemu technicznego określonego w art. 14 rozporządzenia (UE) 2018/1724 i ponownie wykorzystywać te wspólne usługi, a także krajowe komponenty z nimi połączone.

2. Ustanawiając bezpieczny system notyfikacji i wykaz podmiotów sektora publicznego, o których mowa w art. 5 i 6, oraz katalogi, o których mowa w art. 7 i 8 niniejszego rozporządzenia, Komisja Europejska odnosi się, w stosownych przypadkach, do usług wspólnych systemu technicznego zgodnie z rozporządzeniem (UE) 2018/1724.

Artykuł 11

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Art. 6-9 stosuje się od dnia 19 sierpnia 2026 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 29 lipca 2025 r.

W imieniu Komisji

Przewodnicząca

Ursula VON DER LEYEN

(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Dz.U. L 210 z 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/903 z dnia 13 marca 2024 r. w sprawie ustanowienia środków na rzecz wysokiego poziomu interoperacyjności sektora publicznego na terytorium Unii (akt w sprawie Interoperacyjnej Europy) (Dz.U. L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).

(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1724 z dnia 2 października 2018 r. w sprawie utworzenia jednolitego portalu cyfrowego w celu zapewnienia dostępu do informacji, procedur oraz usług wsparcia i rozwiązywania problemów, a także zmieniające rozporządzenie (UE) nr 1024/2012 (Dz.U. L 295 z 21.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).

(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(7) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(8) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ZAŁĄCZNIK I

Wykaz norm referencyjnych, o których mowa w art. 3

Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu wydają swoje poświadczenia osobom fizycznym lub prawnym zgodnie ze specyfikacjami dla dostawców usług zaufania ustanowionymi w normie ETSI EN 319 401 v3.1.1 (2024-06) („ETSI EN 319 401”).

ZAŁĄCZNIK II

Specyfikacje techniczne dotyczące wydawania kwalifikowanych elektronicznych poświadczeń atrybutów i elektronicznych poświadczeń atrybutów wydawanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne, o którym mowa w art. 3, lub w jego imieniu

Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu wydają swoje poświadczenia w formacie zgodnym z jedną z norm wymienionych w załączniku II do rozporządzenia wykonawczego Komisji (UE) 2024/2979 (1).

Na potrzeby wydawania poświadczeń osobom fizycznym lub prawnym dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów i dostawcy elektronicznych poświadczeń atrybutów wydanych przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu:

a)	w stosownych przypadkach sprawdzają, czy wnioskodawca wnioskujący o poświadczenie ma prawo działać w imieniu osoby, której dotyczy poświadczenie;

b)	w stosownych przypadkach weryfikuje tożsamość źródła autentycznego wykorzystanego jako źródło atrybutów zawartych w poświadczeniu;

c)	przetwarza wyłącznie minimalny zestaw atrybutów niezbędny do wydania poświadczenia i zarządzania nim.

Oprócz tego, w przypadku gdy poświadczenie wydaje się dla europejskiego portfela tożsamości cyfrowej, dostawca poświadczenia:

a)	uwierzytelnia się w jednostce portfela;

b)	sprawdza, czy jednostka portfela nie została unieważniona ani zawieszona.

(1) Rozporządzenie wykonawcze Komisji (UE) 2024/2979 z dnia 28 listopada 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do integralności i podstawowych funkcji europejskich portfeli tożsamości cyfrowej (Dz.U. L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

ZAŁĄCZNIK III

Notyfikacje, o których mowa w art. 5

Państwa członkowskie notyfikują Komisji przynajmniej:

nazwę podmiotu sektora publicznego oraz, w stosownym przypadku, numer rejestrowy używany w oficjalnych rejestrach; państwo członkowskie, w którym podmiot sektora publicznego ma siedzibę; przepisy Unii lub przepisy krajowe, na mocy których podmiot sektora publicznego został ustanowiony jako podmiot odpowiedzialny za źródło autentyczne, na podstawie którego wydaje się elektroniczne poświadczenie atrybutów, lub został wyznaczony do działania w imieniu podmiotu sektora publicznego odpowiedzialnego za źródło autentyczne;

2)	kontaktowy adres e-mail i numer telefonu podmiotu sektora publicznego;

3)	adres URL strony internetowej zawierającej dodatkowe informacje na temat podmiotu sektora publicznego;

4)	raport z oceny zgodności określony w art. 45f ust. 3 rozporządzenia (UE) nr 910/2014.

* Autentyczne są wyłącznie dokumenty UE opublikowane w formacie PDF w Dzienniku Urzędowym Unii Europejskiej.

Powiązane z aktem prawnym

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Jeśli już masz abonament Inforlex Zaloguj się

Powiązane z artykułem:

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Jeśli już masz abonament Inforlex Zaloguj się