ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1572
z dnia 29 lipca 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do formatu i procedur zgłaszania zamiaru i weryfikacji w odniesieniu do rozpoczęcia świadczenia kwalifikowanych usług zaufania
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 21 ust. 4,
a także mając na uwadze, co następuje:
| (1) | W przypadku gdy dostawcy usług zaufania zamierzają rozpocząć świadczenie kwalifikowanej usługi zaufania, mają zgłaszać organowi nadzoru swój zamiar wraz z raportem z oceny zgodności wydanym przez jednostkę oceniającą zgodność potwierdzającym spełnienie wymogów określonych w rozporządzeniu (UE) nr 910/2014. Organ nadzoru ma sprawdzać, czy dostawca usług zaufania i świadczone przez niego usługi zaufania spełniają wymogi określone we wspomnianym rozporządzeniu. Jeżeli organ nadzoru stwierdzi, że dostawca usług zaufania i świadczone przez niego usługi zaufania spełniają te wymogi, organ nadzoru przyznaje dostawcy usług zaufania oraz świadczonym przez niego usługom zaufania status kwalifikowany. W tym celu organy nadzoru powinny podawać do wiadomości publicznej informacje na temat sposobu, w jaki dostawcy usług zaufania mają zgłaszać zamiar uzyskania statusu kwalifikowanego dostawcy usług zaufania. W celu zapewnienia, aby kwalifikowani dostawcy usług zaufania działali na równych warunkach w Unii, konieczne jest, aby organy nadzoru weryfikowały ten sam rodzaj informacji o dostawcach usług zaufania i robiły to w ten sam sposób. |
| (2) | Organy nadzoru powinny w sposób przejrzysty przetwarzać informacje, które dostawcy usług zaufania podają w zgłoszeniach. Organy nadzoru powinny zatem sporządzić i podać do wiadomości publicznej opis określający, w jaki sposób sprawdzają, czy dostawca usług zaufania spełnia odpowiednie wymogi. |
| (3) | Rozporządzenie należy stosować po upływie 12 miesięcy od jego wejścia w życie, aby zapewnić państwom członkowskim wystarczający okres przejściowy na spełnienie wymogów niniejszego rozporządzenia na wprowadzenie niezbędnych dostosowań w zgłoszeniach przekazywanych organom nadzoru. Takie dostosowania mogą obejmować aktualizację przepisów krajowych, wytycznych organizacyjnych i krajowych systemów informacyjnych. |
| (4) | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (2) oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (3) mają zastosowanie do czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia. |
| (5) | Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (4) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 6 czerwca 2025 r. |
| (6) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Metodyka weryfikacji
1. Organy nadzoru ustanawiają metodykę weryfikacji spełnienia przez dostawców usług zaufania, którzy zgłosili zamiar rozpoczęcia świadczenia kwalifikowanej usługi zaufania, wymogów określonych w rozporządzeniu (UE) nr 910/2014 i art. 21 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (5).
2. Metodyka weryfikacji obejmuje procedury i procesy odnoszące się do udziału właściwych organów wyznaczonych lub ustanowionych na podstawie art. 8 ust. 1 dyrektywy (UE) 2022/2555, które przeprowadzają działania nadzorcze w celu weryfikacji spełnienia przez dostawcę usług zaufania wymogów określonych w art. 21 dyrektywy (UE) 2022/2555.
Artykuł 2
Przejrzystość
Organy nadzoru podają następujące informacje do wiadomości publicznej:
| 1) | dane kontaktowe organu nadzoru; |
| 2) | kanały komunikacji, z których należy korzystać, gdy dostawcy usług zaufania zgłaszają zamiar rozpoczęcia świadczenia kwalifikowanej usługi zaufania; |
| 3) | dokumentację, którą dostawcy usług zaufania mają przekazać w zgłoszeniu zamiaru rozpoczęcia świadczenia kwalifikowanej usługi zaufania; |
| 4) | procedury rozpatrywania skarg dotyczących procesu weryfikacji spełnienia przez dostawców usług zaufania, którzy zgłosili zamiar rozpoczęcia świadczenia kwalifikowanej usługi zaufania, wymogów określonych w rozporządzeniu (UE) nr 910/2014 i art. 21 ust. 2 dyrektywy (UE) 2022/2555; |
| 5) | ogólny opis metodyki, o której mowa w art. 1. |
Artykuł 3
Zgłoszenia dostawców usług zaufania
Dostawcy usług zaufania podają w swoich zgłoszeniach zamiaru rozpoczęcia świadczenia kwalifikowanej usługi zaufania co najmniej następujące informacje:
| 1) | w przypadku gdy dostawca usług zaufania jest osobą prawną - jego nazwę oraz, w stosownych przypadkach, numer ewidencji gospodarczej, nazwę państwa członkowskiego, w którym dostawca usług zaufania ma siedzibę, oraz imię i nazwisko osoby lub imiona i nazwiska osób podpisujących lub przekazujących zgłoszenie w imieniu osoby prawnej; |
| 2) | w przypadku gdy dostawca usług zaufania jest osobą fizyczną - imię i nazwisko oraz osobisty numer ewidencyjny, a w przypadku ich braku - datę urodzenia oraz rodzaj i numer dokumentu tożsamości; |
| 3) | numer telefonu, adres e-mail i adres pocztowy dostawcy usług zaufania; |
| 4) | jednolite identyfikatory zasobów (URI), gdzie użytkownicy mogą uzyskać dodatkowe informacje dotyczące danego dostawcy usług zaufania, w tym oświadczenia i stosowane praktyki, ogólne warunki i zasady obsługi klienta, mające zastosowanie do zgłaszanej usługi zaufania; |
| 5) | analizę ryzyka leżącą u podstaw środków, o których mowa w art. 24 ust. 2 lit. fa) rozporządzenia (UE) nr 910/2014, oraz analizę ryzyka leżącą u podstaw środków, o których mowa w art. 21 dyrektywy (UE) 2022/2555; |
| 6) | wszystkie kwalifikowane usługi zaufania, które dostawca usług zaufania zamierza świadczyć; |
| 7) | w odniesieniu do każdej usługi zaufania, której świadczenie jako kwalifikowanej usługi zaufania dostawca usług zaufania zamierza rozpocząć:
|
| 8) | plan zakończenia działalności, o którym mowa w art. 24 ust. 2 lit. i) rozporządzenia (UE) 910/2014. |
Artykuł 4
Weryfikacje przeprowadzane przez organy nadzoru
1. Aby ustalić, czy dostawca usług zaufania i kwalifikowana usługa zaufania, którą zamierza świadczyć, spełniają wymogi rozporządzenia (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555, organy nadzoru analizują informacje przekazane przez dostawcę usług zaufania i mogą, oprócz wszelkich środków opisanych w metodyce określonej na podstawie art. 1, przeprowadzać weryfikacje na miejscu, a także rozmowy z przedstawicielami dostawcy usług zaufania i jednostki oceniającej zgodność.
2. Organy nadzoru weryfikują co najmniej:
| a) | czy przedłożony raport z oceny zgodności w wystarczającym stopniu wykazuje, że dostawca usług zaufania i kwalifikowana usługa zaufania, którą zamierza świadczyć, spełniają wymogi określone w rozporządzeniu (UE) nr 910/2014 i w art. 21 dyrektywy (UE) 2022/2555; |
| b) | czy przedłożony raport z oceny zgodności spełnia wymogi określone w aktach wykonawczych przyjętych na podstawie art. 20 ust. 4 rozporządzenia (UE) nr 910/2014; |
| c) | wszelkie informacje zawarte w przedłożonym raporcie z oceny zgodności wskazujące na niezgodność z wymogami rozporządzenia (UE) nr 910/2014; |
| d) | wszelkie dodatkowe informacje uznane za niezbędne do weryfikacji zgodności z wymogami określonymi w rozporządzeniu (UE) nr 910/2014 i w art. 21 dyrektywy (UE) 2022/2555. |
Artykuł 5
Wejście w życie i rozpoczęcie stosowania
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia 19 sierpnia 2026 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 29 lipca 2025 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
