Rozporządzenie wykonawcze komisji (ue) 2025/2162 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do akredytacji jednostek oceniających zgodność przeprowadzających ocenę kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania, raportu z oceny zgodności i programu oceny zgodności

Akt prawny obowiązujący

Dziennik Urzędowy Unii Europejskiej, L rok 2025 poz. 2162

Wersja aktualna od 2025.11.17

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/2162

z dnia 27 października 2025 r.

ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do akredytacji jednostek oceniających zgodność przeprowadzających ocenę kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania, raportu z oceny zgodności i programu oceny zgodności

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 20 ust. 4,

a także mając na uwadze, co następuje:

(1)

Zgodnie z art. 20 ust. 1 i art. 21 ust. 1 rozporządzenia (UE) nr 910/2014 kwalifikowani dostawcy usług zaufania i świadczone przez nich kwalifikowane usługi zaufania podlegają audytowi przeprowadzanemu przez jednostki oceniające zgodność. Sporządzone w ten sposób raporty z oceny zgodności potwierdzają, czy spełnione są wymogi określone w tym rozporządzeniu oraz w art. 21 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (2). W związku z tym konieczne jest ustanowienie zharmonizowanych i solidnych ram akredytacji jednostek oceniających zgodność, wdrażanych przez nie programów oceny zgodności, ocen zgodności przeprowadzanych przez te jednostki zgodnie z tymi programami oraz wynikających z nich raportów z oceny zgodności.

(2)

Akredytacja jednostek oceniających zgodność dokonujących oceny kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania, raport z oceny zgodności i program oceny zgodności powinny spełniać wymogi określone w niniejszym rozporządzeniu. Jednostki oceniające zgodność mogą spełniać te wymogi niezależnie, korzystając z certyfikacji złożonej, albo zlecając podwykonawstwo należycie akredytowanym podmiotom.

(3)

Jednostkom oceniającym zgodność akredytowanym do celów oceny kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania w zakresie wydawania kwalifikowanych elektronicznych poświadczeń atrybutów należy zezwolić na wydawanie raportu z oceny zgodności wymaganego na podstawie art. 45f ust. 3 rozporządzenia (UE) nr 910/2014.

(4)

W celu zwiększenia przejrzystości procesu akredytacji certyfikat akredytacji wydany jednostce oceniającej zgodność zgodnie z art. 5 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 (3) powinien zawierać wystarczające informacje umożliwiające osobom trzecim sprawdzenie, czy akredytowana jednostka oceniająca zgodność jest upoważniona do przeprowadzenia oceny zgodności na podstawie rozporządzenia (UE) nr 910/2014.

(5)	W celu zachowania integralności i dokładności certyfikatów akredytacji krajowe jednostki akredytujące powinny zapewniać, aby certyfikaty te odzwierciedlały aktualne informacje.

(6)

W celu zapewnienia integralności procesu akredytacji certyfikat akredytacji wydany jednostce oceniającej zgodność może zostać w dowolnym momencie zawieszony lub cofnięty w odniesieniu do każdej kwalifikowanej usługi zaufania, do której oceny jednostka oceniająca zgodność została akredytowana. Zawieszenie lub cofnięcie może nastąpić po nałożeniu sankcji przez krajową jednostkę akredytującą lub może go dobrowolnie dokonać sama jednostka oceniająca zgodność.

(7)	Do celów harmonizacji tych ram akredytacji niniejsze rozporządzenie powinno opierać się na ustalonych normach, które odzwierciedlają utrwalone praktyki i są powszechnie uznawane w odpowiednich sektorach.

(8)

W celu zwiększenia przejrzystości jednostki oceniające zgodność powinny udostępniać publicznie wydawane przez siebie certyfikaty zgodności. Certyfikaty zgodności potwierdzają pozytywne decyzje w sprawie certyfikacji podjęte przez jednostki oceniające zgodność. Jednak wyłącznie organ nadzoru może przyznać lub cofnąć kwalifikowany status dostawcy usług zaufania i świadczonym przez niego usługom zaufania.

(9)

W celu przeprowadzenia oceny zgodności kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania z rozporządzeniem (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555 jednostki oceniające zgodność powinny korzystać z programu oceny zgodności. Jako punkty odniesienia do oceny kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania jednostki oceniające zgodność powinny stosować normy, z uwzględnieniem wersji i dostosowań tych norm określonych w dotyczących poszczególnych usług aktach wykonawczych opartych na rozporządzeniu (UE) nr 910/2014. Przedmiotowe normy powinny odzwierciedlać utrwalone praktyki i być powszechnie uznawane w odpowiednich sektorach.

(10)

Programy oceny zgodności określają zasady i procedury, które jednostki oceniające zgodność mają stosować w swoich ocenach kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania. Krajowe jednostki akredytujące oceniają takie programy pod kątem wymogów określonych w niniejszym rozporządzeniu. Treść takich programów podlega zmianom w czasie. Aby ułatwić stosowanie kolejnych wersji programów oceny zgodności, akredytowane jednostki oceniające zgodność powinny wprowadzić specjalny proces zarządzania zmianami w programie, w odniesieniu do którego uzyskały akredytację.

(11)

W celu nadzorowania rozwoju i utrzymania programów oceny zgodności do każdego programu oceny zgodności należy przypisać właściciela programu. Właścicielami programu mogą być jednostki oceniające zgodność, organy rządowe lub władze, stowarzyszenie branżowe, grupa jednostek oceniających zgodność lub jakakolwiek odpowiednia jednostka lub grupa jednostek i mogą nimi być podmioty inne niż obsługująca program jednostka oceniająca zgodność.

(12)

W celu zapewnienia ciągłości świadczenia usług przez jednostki oceniające zgodność ich akredytacja powinna zachować ważność w odniesieniu do wcześniejszych wersji norm, do których odnosi się program oceny zgodności. W takich przypadkach jednostki oceniające zgodność powinny wyraźnie odnosić się do tych wcześniejszych wersji norm, w tym poprzez wskazanie roku i numeru wersji.

(13)

W celu zwiększenia elastyczności należy zezwolić krajowym jednostkom akredytującym na oferowanie akredytacji o elastycznym zakresie, umożliwiającej jednostkom oceniającym zgodność, w szczególnych okolicznościach, włączenie do zakresu swojej akredytacji dodatkowych czynności bez konieczności przeprowadzania oceny przez krajową jednostkę akredytującą. Opracowując akredytację o elastycznym zakresie, krajowe jednostki akredytujące wezmą pod uwagę akredytację o elastycznych zakresach określoną przez Europejską Współpracę w Dziedzinie Akredytacji – organizację powołaną zgodnie z rozporządzeniem (WE) nr 765/2008. W przypadku gdy krajowe jednostki akredytujące zezwalają jednostkom oceniającym zgodność na korzystanie z takich akredytacji o elastycznym zakresie, w celu zachowania przejrzystości powinny wskazać to w certyfikacie akredytacji. Aby zwiększyć elastyczność, nawet w przypadku gdy krajowe jednostki akredytujące nie oferują akredytacji o elastycznym zakresie, przed ponowną oceną akredytowanej jednostki oceniającej zgodność powinny one uważnie rozważyć wpływ zmian w programie oceny zgodności, w odniesieniu do którego ta jednostka uzyskała akredytację.

(14)

W celu zagwarantowania wiarygodności programów oceny zgodności właściciele powinni zapewnić, aby ich programy oceny zgodności nie pozwalały na wydawanie pozytywnych decyzji w sprawie certyfikacji ani certyfikatów zgodności, w przypadku gdy ocena zgodności prowadzi do stwierdzenia jakichkolwiek niezgodności z wymogami rozporządzenia (UE) nr 910/2014 lub art. 21 dyrektywy (UE) 2022/2555 po stronie kwalifikowanych dostawców usług zaufania i w świadczonych przez nich kwalifikowanych usługach zaufania. Chociaż raporty z oceny zgodności mogłyby obejmować informacje o niezgodnościach i potencjalne plany zaradcze, w przypadku stwierdzenia niezgodności nie należy wydawać certyfikatu zgodności ani pozytywnej decyzji w sprawie certyfikacji.

(15)

W celu zapewnienia przejrzystości swoich praktyk właściciele programów powinni udostępniać publicznie streszczenia swoich programów oceny zgodności. Streszczenie to powinno zawierać opis zbioru zasad i procedur stosowanych do oceny zgodności kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania z wymogami określonymi w rozporządzeniu (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555.

(16)

W celu wspierania jakości, bezpieczeństwa i wiarygodności działalności kwalifikowanego dostawcy usług zaufania w raporcie z oceny zgodności należy określić, w stosownych przypadkach, możliwości ulepszeń, które mogłyby udoskonalić sposób, w jaki kwalifikowany dostawca usług zaufania i świadczone przez niego kwalifikowane usługi zaufania spełniają mające zastosowanie wymogi.

(17)

W celu wspierania przejrzystości i ułatwienia organom nadzoru weryfikacji, czy oceniany kwalifikowany dostawca usług zaufania i świadczone przez niego kwalifikowane usługi zaufania spełniają mające zastosowanie wymogi, raport z oceny zgodności powinien zawierać określone minimalne informacje. W szczególności, aby ułatwić identyfikację wpisów dotyczących usług, które mają być umieszczone na krajowej zaufanej liście zgodnie z art. 22 rozporządzenia (UE) nr 910/2014, w stosownych przypadkach w raporcie z oceny zgodności należy podać szczegółowy opis hierarchii funkcjonalnej infrastruktury klucza publicznego w podziale na rodzaje kwalifikowanej usługi zaufania.

(18)

W celu wspierania przejrzystości oraz ułatwienia weryfikacji i monitorowania akredytacji jednostek oceniających zgodność zgodnie z rozporządzeniem (UE) nr 910/2014 krajowe jednostki akredytujące powinny – w stosownych przypadkach – przedstawić historię zakresu akredytacji, w tym datę rozpoczęcia i – w stosownych przypadkach – datę zakończenia akredytacji w odniesieniu do każdej kwalifikowanej usługi zaufania.

(19)

W celu zapewnienia ciągłości działania jednostek oceniających zgodność, które zostały już akredytowane, oraz wsparcia przejścia na przepisy określone w niniejszym rozporządzeniu jednostki oceniające zgodność, które są obecnie akredytowane zgodnie z normą ETSI EN 319 403 wersja 2.2.2 lub z jej wcześniejszą wersją, nie wymagałyby ponownej akredytacji na podstawie rozporządzenia (UE) nr 910/2014 do dnia 17 maja 2027 r. Po tej dacie jednostki oceniające zgodność powinny zostać ocenione przez krajową jednostkę akredytującą pod kątem zgodności z wymogami określonymi w niniejszym rozporządzeniu.

(20)

Komisja przeprowadza okresową ocenę nowych technologii, praktyk, norm lub specyfikacji technicznych. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1183 (4) Komisja powinna poddawać przeglądowi i w razie potrzeby aktualizować niniejsze rozporządzenie wykonawcze, aby zachować jego aktualność względem globalnych zmian, nowych technologii, norm lub specyfikacji technicznych oraz nadążać za najlepszymi praktykami na rynku wewnętrznym.

(21)	Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (5) oraz – w stosownych przypadkach – dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (6) mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(22)	Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (7) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 8 sierpnia 2025 r. (8)

(23)	Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)	„właściciel programu” oznacza podmiot odpowiedzialny za opracowanie i utrzymanie programu oceny zgodności lub grupę takich podmiotów;

„decyzja w sprawie certyfikacji” oznacza decyzję w sprawie certyfikacji wydaną w następstwie oceny zgodności przeprowadzonej przez jednostkę oceniającą zgodność, potwierdzającą zgodność lub stwierdzającą brak zgodności określonego kwalifikowanego dostawcy usług zaufania i świadczonej przez niego kwalifikowanej usługi zaufania z wymogami określonymi w rozporządzeniu (UE) nr 910/2014 oraz z art. 21 dyrektywy (UE) 2022/2555;

„certyfikat zgodności” oznacza dokument, za pomocą którego jednostka oceniająca zgodność poświadcza decyzję w sprawie certyfikacji potwierdzającą zgodność określonego kwalifikowanego dostawcy usług zaufania i świadczonej przez niego kwalifikowanej usługi zaufania z wymogami określonymi w rozporządzeniu (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555;

„program oceny zgodności” oznacza zbiór zasad i procedur, które mają być stosowane przez jednostki oceniające zgodność do celów oceny zgodności kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania z wymogami określonymi w rozporządzeniu (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555;

„raport z oceny zgodności” oznacza dokument zawierający szczegółowe informacje, w stosownych przypadkach uzupełniające w stosunku do informacji zawartych w decyzji w sprawie certyfikacji i związanym z nią certyfikacie zgodności, na temat metody zastosowanej do przeprowadzenia – zgodnie z programem oceny zgodności – oceny zgodności określonego kwalifikowanego dostawcy usług zaufania i świadczonej przez niego kwalifikowanej usługi zaufania z wymogami rozporządzenia (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555 oraz na temat wyników oceny zgodności;

6)	„akredytacja” oznacza akredytację w rozumieniu art. 2 pkt 10 rozporządzenia (WE) nr 765/2008;

„akredytacja o elastycznym zakresie” oznacza akredytację, w przypadku której określone czynności związane z oceną zgodności, których dotyczy wniosek o akredytację lub dla których udzielono akredytacji, są wskazane jako pozwalające jednostkom oceniającym zgodność na wprowadzanie zmian w metodyce i innych parametrach wchodzących w zakres potwierdzonych przez krajową jednostkę akredytującą kompetencji jednostki oceniającej zgodność;

8)	„krajowa jednostka akredytująca” oznacza krajową jednostkę akredytującą zdefiniowaną w art. 2 pkt 11 rozporządzenia (WE) nr 765/2008.

Artykuł 2

Akredytacja jednostek oceniających zgodność

1. Do celów podejmowania decyzji w sprawie certyfikacji zgodnie z określonym programem oceny zgodności jednostki oceniające zgodność muszą być akredytowane zgodnie z normą EN ISO/IEC 17065:2012 uzupełnioną normą ETSI EN 319 403-1 v2.3.1.

2. Akredytację jednostek oceniających zgodność, o której mowa w ust. 1, przeprowadza krajowa jednostka akredytująca zgodnie z normą EN ISO/IEC 17011:2017.

Artykuł 3

Certyfikat akredytacji wydawany jednostkom oceniającym zgodność

1. Krajowe jednostki akredytujące zapewniają, aby certyfikaty akredytacji wydawane przez nie jednostkom oceniającym zgodność zawierały co najmniej następujące informacje:

a)	niepowtarzalny kod identyfikacyjny certyfikatu akredytacji;

b)	datę wydania certyfikatu akredytacji;

c)	nazwę krajowej jednostki akredytującej wydającej certyfikat akredytacji, zgodnie z oficjalnym krajowym rejestrem, oraz kraj, w którym działa jednostka akredytująca;

d)	nazwę akredytowanej jednostki oceniającej zgodność oraz, w stosownych przypadkach, jej numer wpisu do rejestru, zgodnie z oficjalnym krajowym rejestrem;

zakres akredytacji w odniesieniu do co najmniej jednej z następujących kwalifikowanych usług zaufania:

—	wydawania kwalifikowanych certyfikatów podpisów elektronicznych;

—	wydawania kwalifikowanych certyfikatów pieczęci elektronicznych;

—	wydawania kwalifikowanych certyfikatów uwierzytelniania witryn internetowych;

—	kwalifikowanej usługi walidacji kwalifikowanych podpisów elektronicznych;

—	kwalifikowanej usługi walidacji kwalifikowanych pieczęci elektronicznych;

—	kwalifikowanej usługi konserwacji kwalifikowanych podpisów elektronicznych;

—	kwalifikowanej usługi konserwacji kwalifikowanych pieczęci elektronicznych;

—	tworzenia kwalifikowanych elektronicznych znaczników czasu;

—	świadczenia kwalifikowanych usług rejestrowanego doręczenia elektronicznego;

—	kwalifikowanej usługi zarządzania kwalifikowanymi urządzeniami do składania podpisu elektronicznego na odległość;

—	kwalifikowanej usługi zarządzania kwalifikowanymi urządzeniami do składania pieczęci elektronicznej na odległość;

—	świadczenia kwalifikowanych usług archiwizacji elektronicznej;

—	wydawania kwalifikowanych elektronicznych poświadczeń atrybutów;

—	rejestrowania danych elektronicznych w kwalifikowanym rejestrze elektronicznym;

f)	wskazanie, z uwzględnieniem – w stosownych przypadkach – określonej wersji, programu oceny zgodności, w odniesieniu do którego jednostce oceniającej zgodność udzielono akredytacji;

g)	wskazanie, w stosownych przypadkach, stosowania akredytacji o elastycznym zakresie;

h)	wskazanie, w stosownych przypadkach, dokumentu opisującego proces opracowywania i wdrażania akredytacji o elastycznym zakresie.

2. Krajowe jednostki akredytujące zapewniają, aby data rozpoczęcia i, w stosownych przypadkach, data zakończenia akredytacji jednostki oceniającej zgodność na potrzeby przeprowadzenia oceny zgodności kwalifikowanych usług zaufania, o których mowa w ust. 1 lit. e), w tym – w stosownych przypadkach – określone daty dla każdej kwalifikowanej usługi zaufania, były częścią szczegółów akredytacji, o których mowa w art. 20 ust. 1b rozporządzenia (UE) nr 910/2014.

3. Krajowe jednostki akredytujące zapewniają, aby wszelkie istotne zmiany wprowadzone w odniesieniu do informacji przekazywanych zgodnie z ust. 1 były wyraźnie odzwierciedlone w certyfikacie akredytacji.

4. Certyfikat akredytacji musi jasno opisywać zakres akredytacji jednostki oceniającej zgodność zgodnie z art. 2 ust. 1.

Artykuł 4

Ponowne rozpatrzenie istniejącej akredytacji

1. Właściciel programu wdraża procedury monitorowania wszelkich zmian w normach, o których mowa w art. 2 ust. 1 lub w art. 6 ust. 3, lub w będącym jego własnością programie oceny zgodności, na podstawie którego jednostka oceniająca zgodność została akredytowana zgodnie z art. 2.

2. Właściciel programu w odpowiednim czasie powiadamia krajową jednostkę akredytującą o zmianach stwierdzonych w wyniku przeprowadzenia procedur, o których mowa w ust. 1.

3. W przypadku gdy krajowa jednostka akredytująca nie stosowała akredytacji o elastycznym zakresie wobec akredytowanych jednostek oceniających zgodność, krajowa jednostka akredytująca określa, czy zmiany stwierdzone w wyniku przeprowadzenia procedur, o których mowa w ust. 1, mogą istotnie wpłynąć na zdolność akredytowanych jednostek oceniających zgodność do przeprowadzania ocen zgodności zgodnie z programami, w odniesieniu do których zostały akredytowane.

4. W przypadku gdy krajowa jednostka akredytująca stwierdzi zgodnie z ust. 3, że zmiany wpływają na zdolność jednostek oceniających zgodność do przeprowadzania ocen zgodności, zwraca się do jednostki oceniającej zgodność o wdrożenie odpowiednich środków w wyznaczonym rozsądnym terminie.

5. Jeżeli jednostka oceniająca zgodność nie jest w stanie lub nie chce wdrożyć środków, o których mowa w ust. 4, w wyznaczonym terminie, krajowa jednostka akredytująca niezwłocznie cofa lub zawiesza akredytację.

6. W przypadku gdy krajowa jednostka akredytująca stwierdzi zgodnie z ust. 3, że zmiany te nie mają wpływu na zdolność jednostek oceniających zgodność do przeprowadzania ocen zgodności, może ona – w stosownych przypadkach – rozszerzyć ważność i zakres akredytacji poddanej ocenie jednostki oceniającej zgodność.

7. W stosownych przypadkach krajowa jednostka akredytująca aktualizuje certyfikat akredytacji w odpowiednim czasie, aby odzwierciedlić wynik ponownego rozpatrzenia akredytacji zgodnie z niniejszym artykułem.

8. W przypadku gdy jednostka oceniająca zgodność otrzyma wniosek na podstawie ust. 4, informuje w odpowiednim czasie wszystkich kwalifikowanych dostawców usług zaufania, których wcześniej oceniła w ramach odpowiedniego programu oceny zgodności, o wszelkich skutkach, jakie może mieć dla nich ponowne rozpatrzenie akredytacji tej jednostki oceniającej zgodność, w tym w odniesieniu do przyszłych decyzji w sprawie certyfikacji podejmowanych przez tę jednostkę oceniającą zgodność w ramach tego programu.

Artykuł 5

Jednostki oceniające zgodność

1. Jednostki oceniające zgodność udostępniają wydawane przez siebie certyfikaty zgodności w prowadzonym przez siebie w tym celu publicznym repozytorium.

2. Powierzenie przez jednostkę oceniającą zgodność przeprowadzenia czynności związanych z oceną zgodności wymaga należytego rozważenia charakteru czynności, jaka ma zostać wykonana. Jednostka oceniająca zgodność zapewnia, aby podwykonawca spełniał normy określone w załączniku I dla określonych zlecanych mu czynności.

3. Po wydaniu decyzji w sprawie certyfikacji jednostki oceniające zgodność zapewniają, aby kwalifikowany dostawca usług zaufania, którego decyzja dotyczy, był w stanie przedłożyć organom nadzoru pełne raporty z oceny zgodności odpowiadające tej decyzji.

Artykuł 6

Programy oceny zgodności

1. W każdym programie oceny zgodności określa się jego właściciela.

2. Program oceny zgodności musi być zgodny z programem typu 6 normy EN ISO/IEC 17067:2013 oraz z wymogami określonymi w niniejszym artykule.

3. Właściciele programów zapewniają, aby ich programy oceny zgodności obejmowały co najmniej normy, w stosownych przypadkach, określone w załączniku II poprzez wskazanie roku i numeru wersji tych norm.

4. Właściciele programów zapewniają, aby w przypadku gdy ma zastosowanie akredytacja o elastycznym zakresie, było to wskazane w programie oceny zgodności.

5. Właściciele programów zapewniają, aby ich programy oceny zgodności ustanawiały procesy i procedury dotyczące co najmniej następujących kwestii:

a)	przyjmowania i rozpatrywania skarg kierowanych do właściciela programu dotyczących wdrażania programu oceny zgodności;

b)	kierowania przez jednostkę oceniającą zgodność do organu nadzoru wyznaczonego zgodnie z art. 46b ust. 1 rozporządzenia (UE) nr 910/2014 powiadomień o wydaniu certyfikatów zgodności oraz o wszelkich dotyczących ich zmianach;

c)	w stosownych przypadkach powierzenia przez jednostkę oceniającą zgodność wykonania czynności związanych z oceną zgodności podwykonawcom;

d)	wykonywania corocznych działań nadzorczych na podstawie mających zastosowanie wymogów klauzuli 7.9 normy ISO/IEC 17065:2012;

e)	zarządzania przez kwalifikowanego dostawcę usług zaufania wszelkimi zmianami mającymi wpływ na działanie kwalifikowanych dostawców usług zaufania lub świadczonych przez nich kwalifikowanych usług zaufania oraz notyfikowanie tych zmian jednostce oceniającej zgodność i właściwemu organowi nadzoru;

weryfikacji dowodów wykazujących, że jednostka oceniająca zgodność:

—	ma wystarczającą wiedzę, w tym wiedzę fachową, w zakresie stosowania określonych norm dotyczących świadczonej przez siebie kwalifikowanej usługi zaufania, jak określono w ust. 3;

—	ma doświadczenie zawodowe w zakresie oceny zgodności zdobyte w co najmniej trzech ocenach dostawców usług zaufania lub w trzech ocenach systemów zarządzania bezpieczeństwem informacji; oraz

—	może zapewnić dostępność zespołu składającego się z nie mniej niż dwóch wykwalifikowanych osób mających wiedzę fachową niezbędną do przeprowadzenia takiej oceny zgodności.

6. Właściciele programów zapewniają, aby ich programy oceny zgodności wymagały od kwalifikowanych dostawców usług zaufania posiadania procesów, procedur i instrukcji roboczych służących powiadomieniu jednostki oceniającej zgodność co najmniej na miesiąc przed wprowadzeniem przez tych dostawców jakichkolwiek istotnych zmian w świadczeniu kwalifikowanych usług zaufania certyfikowanych w ramach danego programu i co najmniej na trzy miesiące przed planowanym zaprzestaniem świadczenia tych usług lub ich części.

7. Właściciele programów zapewniają, aby ich programy oceny zgodności nie pozwalały na wydawanie pozytywnych decyzji w sprawie certyfikacji ani certyfikatów zgodności, w przypadku gdy ocena zgodności prowadzi do stwierdzenia braku zgodności poddawanych ocenie kwalifikowanych dostawców usług zaufania i świadczonej przez nich kwalifikowanej usługi zaufania z wymogami rozporządzenia (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555.

8. Właściciele programów zapewniają, aby ich programy oceny zgodności określały procedurę poświadczania certyfikatu zgodności. Wymagają oni w szczególności, aby kwalifikowani dostawcy usług zaufania niezwłocznie informowali właściwy organ nadzoru o każdej zmianie w certyfikacie zgodności. Wymagają oni również, aby kwalifikowani dostawcy usług zaufania powstrzymali się od świadczenia określonych kwalifikowanych usług zaufania lub od reklamowania wszelkich odniesień do nich do czasu ponownego potwierdzenia kwalifikowanego statusu przez właściwy organ nadzoru. Procedura ta musi być zgodna z wymogami ustanowionymi w klauzuli 7.11 normy ISO/IEC 17065:2012.

9. Właściciele programów zapewniają, aby ich programy oceny zgodności określały proces oceny zgodności, który ma być prowadzony przez wystarczającą liczbę osobodni, oraz zapewniają przeznaczenie wystarczających zasobów i czasu na przeprowadzenie oceny zgodności, biorąc od uwagę zakres i złożoność oceny.

10. Właściciele programów udostępniają publicznie streszczenie programu oceny zgodności z możliwością pobrania dokumentu. Streszczenie musi zawierać opis zbioru zasad i procedur stosowanych do oceny zgodności kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania z wymogami rozporządzenia (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555.

11. Właściciele programów zapewniają, aby ich programy oceny zgodności wymagały przeprowadzania co najmniej jednej nadzorczej oceny zgodności rocznie w odniesieniu do każdej ocenianej kwalifikowanej usługi zaufania.

Artykuł 7

Raporty z oceny zgodności

1. Raport z oceny zgodności, o którym mowa w art. 20 ust. 1 rozporządzenia (UE) nr 910/2014, musi być zgodny ze specyfikacjami określonymi w załączniku III.

2. Raport z oceny zgodności uznaje się za część dokumentacji certyfikacyjnej określonej w klauzuli 7.7 normy ETSI EN 319 403-1.

Artykuł 8

Informacje dotyczące akredytacji

1. Każda zainteresowana strona może bezpłatnie zażądać aktualnych i dotyczących przeszłości informacji na temat zakresu, daty rozpoczęcia i, w stosownych przypadkach, daty zakończenia akredytacji jednostek oceniających zgodność, w odniesieniu do każdego rodzaju kwalifikowanej usługi zaufania, do której oceny jednostka oceniająca zgodność jest lub była akredytowana. Informacje te są udostępniane przez krajowe jednostki akredytujące.

2. Aktualne i dotyczące przeszłości informacje, o których mowa w ust. 1, należy udostępniać przez okres co najmniej 6 lat po akredytacji jednostki oceniającej zgodność.

Artykuł 9

Przepisy przejściowe

Jednostki oceniające zgodność, które przed dniem 17 listopada 2025 r. uzyskały akredytację w odniesieniu do normy ETSI EN 319 403 wersja 2.2.2 lub jej wcześniejszej wersji, do celów oceny zgodności z rozporządzeniem (UE) nr 910/2014 kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania, uznaje się za mające akredytację spełniające wymogi art. 2 ust. 1 do dnia 17 maja 2027 r.

Artykuł 10

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 27 października 2025 r.

W imieniu Komisji

Przewodnicząca

Ursula VON DER LEYEN

(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30, ELI: https://eur-lex.europa.eu/eli/reg/2008/765/oj).

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8) Formalne uwagi EIOD do projektu dotyczącego akredytacji jednostek oceniających zgodność przeprowadzających ocenę kwalifikowanych dostawców usług zaufania oraz świadczonych przez nich kwalifikowanych usług zaufania |Europejski Inspektor Ochrony Danych.

ZAŁĄCZNIK I

Normy referencyjne dotyczące podwykonawstwa czynności związanych z oceną zgodności

1)	EN ISO/IEC 17025:2017 dla czynności testowych;

2)	EN ISO/IEC 17021-1:2015 dla czynności audytu związanych z systemami zarządzania;

3)	EN ISO/IEC 17020:2012 dla czynności kontrolnych;

4)	EN ISO/IEC 17065:2012 dla czynności związanych z ocenami zgodności.

ZAŁĄCZNIK II

Normy referencyjne dotyczące programów oceny zgodności

Normami, o których mowa w art. 6 ust. 3, są ETSI TS 119 612 v2.4.1 oraz:

Kwalifikowana usługa zaufania

Odpowiednie normy

Wydawanie kwalifikowanych certyfikatów podpisów elektronicznych

-	ETSI EN 319 411 -2

-	ETSI EN 301 549

-	ETSI EN 319 412 -1

-	ETSI EN 319 412 -2

-	ETSI EN 319 412 -5

-	ETSI TS 119 461

-	ETSI EN 319 401

Wydawanie kwalifikowanych certyfikatów pieczęci elektronicznych

-	ETSI EN 319 411 -2

-	ETSI TS 119 495

-	ETSI EN 301 549

-	ETSI EN 319 412 -1

-	ETSI EN 319 412 -2

-	ETSI EN 319 412 -3

-	ETSI EN 319 412 -5

-	ETSI TS 119 461

-	ETSI EN 319 401

Wydawanie kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

-	ETSI EN 319 411 -2

-	ETSI TS 119 411 -5

-	ETSI TS 119 495

-	ETSI EN 301 549

-	ETSI EN 319 412 -1

-	ETSI EN 319 412 -4

-	ETSI EN 319 412 -5

-	ETSI TS 119 461

-	ETSI EN 319 401

Kwalifikowana usługa walidacji kwalifikowanych podpisów elektronicznych

-	ETSI TS 119 441

-	ETSI TS 119 442

-	ETSI EN 319 102 -1

-	ETSI TS 119 102 -2

-	ETSI TS 119 172 -4

-	ETSI EN 301 549

-	ETSI EN 319 401

Kwalifikowana usługa walidacji kwalifikowanych pieczęci elektronicznych

-	ETSI TS 119 441

-	ETSI TS 119 442

-	ETSI EN 319 102 -1

-	ETSI TS 119 102 -2

-	ETSI TS 119 172 -4

-	ETSI EN 301 549

-	ETSI EN 310 401

Kwalifikowana usługa konserwacji kwalifikowanych podpisów elektronicznych

-	ETSI TS 119 511

-	ETSI TS 119 172 -4

-	ETSI TS 119 512

-	ETSI EN 301 549

-	ETSI EN 310 401

Kwalifikowana usługa konserwacji kwalifikowanych pieczęci elektronicznych

-	ETSI TS 119 511

-	ETSI TS 119 172 -4

-	ETSI TS 119 512

-	ETSI EN 301 549

-	ETSI EN 319 401

Tworzenie kwalifikowanych elektronicznych znaczników czasu

-	ETSI EN 319 421

-	ETSI EN 319 422

-	ETSI EN 301 549

-	ETSI EN 319 401

Świadczenie kwalifikowanych usług rejestrowanego doręczenia elektronicznego

-	ETSI EN 319 521

-	ETSI EN 319 522

-	ETSI EN 319 531

-	ETSI EN 319 532

-	ETSI EN 301 549

-	ETSI TS 119 461

-	ETSI EN 319 401

Kwalifikowana usługa zarządzania kwalifikowanymi urządzeniami do składania podpisu elektronicznego na odległość

-	ETSI TS 119 431 -1

-	ETSI EN 301 549

-	ETSI TS 119 461

-	ETSI EN 319 401

Kwalifikowana usługa zarządzania kwalifikowanymi urządzeniami do składania pieczęci elektronicznej na odległość

-	ETSI TS 119 431 -1

-	ETSI EN 301 549

-	ETSI TS 119 461

-	ETSI EN 319 401

Świadczenie kwalifikowanych usług archiwizacji elektronicznej

ISO 14641

ISO 14721

-	CEN/TS 18170

-	ETSI TS 301 549

-	ETSI EN 319 401

-	ETSI EN 119 511

Wydawanie kwalifikowanych elektronicznych poświadczeń atrybutów

-	ETSI TS 119 471

-	ETSI EN 301 549

-	ETSI TS 119 461

-	ETSI EN 319 401

Rejestrowanie danych elektronicznych w kwalifikowanym rejestrze elektronicznym

-	ETSI EN 319 401

-	ETSI EN 301 549

-	CEN/TS 18170

ISO 23257

ISO 23635

-	ETSI EN 319 122 -1

-	ETSI EN 319 132 -1

-	ETSI EN 319 182 -1

ZAŁĄCZNIK III

Specyfikacje raportów z oceny zgodności

Raport z oceny zgodności, o którym mowa w art. 7 ust. 1:

jest sporządzany wraz z jasną decyzją w sprawie certyfikacji zgodnie z klauzulą 7.6 normy ETSI EN 319403-1 v2.3.1 („ETSI EN 319403-1”), potwierdzającą, czy oceniany dostawca usług zaufania i oceniane kwalifikowane usługi zaufania, które świadczy, spełniają wymogi określone w rozporządzeniu (UE) nr 910/2014 i w art. 21 dyrektywy (UE) 2022/2555;

podaje nazwę kwalifikowanego dostawcy usług zaufania oraz, w stosownych przypadkach, jego numer wpisu do rejestru zgodnie z oficjalnym rejestrem, jego oficjalny adres pocztowy i adres elektroniczny, a także, w stosownych przypadkach, te same informacje w odniesieniu do wszystkich jednostek zależnych, powiązanych podmiotów prawnych, wykonawców i podwykonawców, którzy obsługują komponenty usług zaufania w zakresie świadczenia kwalifikowanych usług zaufania przez kwalifikowanego dostawcę usług zaufania;

3)	zawiera szczegółowy opis zakresu oceny kwalifikowanego dostawcy usług zaufania, w tym określonych kwalifikowanych usług zaufania objętych oceną;

4)	zawiera wystarczający dowód potwierdzający, że kwalifikowany dostawca usług zaufania i świadczone przez niego kwalifikowane usługi zaufania spełniają wymogi określone w rozporządzeniu (UE) nr 910/2014 oraz w art. 21 dyrektywy (UE) 2022/2555;

5)	podaje nazwę jednostki oceniającej zgodność oraz, w stosownych przypadkach, jej numer wpisu do rejestru zgodnie z oficjalnym rejestrem, jej zarejestrowany adres pocztowy i jej adres elektroniczny;

podaje następujące informacje:

a)	nazwę krajowej jednostki akredytującej, która akredytowała daną jednostkę oceniającą zgodność, oraz kraj, w którym jednostka akredytująca działa;

b)	imiona i nazwiska osób fizycznych zaangażowanych przez jednostkę oceniającą zgodność w przeprowadzanie oceny zgodności oraz ich odpowiednią rolę w tej ocenie;

c)	link do oficjalnej strony internetowej krajowej jednostki akredytującej zawierającej certyfikat akredytacji wydany jednostce oceniającej zgodność przez krajową jednostkę akredytującą;

d)	w stosownych przypadkach - cyfrowy symbol akredytacji;

e)	program oceny zgodności, w odniesieniu do którego jednostka oceniająca zgodność została akredytowana zgodnie z art. 2 ust. 1;

f)	pytania i kwestie sprawdzane w ramach oceny zgodności, uzasadnienie ich wyboru oraz zastosowaną metodykę, w tym metodykę doboru próby i procedury badań;

g)	akredytowany program oceny zgodności i odpowiednie dokumenty lub link do miejsca, w którym dany program oceny zgodności i odpowiednie dokumenty są dostępne;

zawiera co najmniej jeden kwalifikowany podpis elektroniczny, w przypadku gdy raport jest przekazywany w formie elektronicznej, lub podpis odręczny, w przypadku gdy jest on sporządzony w formie papierowej, z podaniem imienia i nazwiska oraz stanowiska osoby odpowiedzialnej lub osób upoważnionych do podjęcia decyzji w sprawie certyfikacji w imieniu jednostki oceniającej zgodność;

8)	dotyczy jednego kwalifikowanego dostawcy usług zaufania;

określa, zgodnie z klauzulą 5.5.3 normy ETSI TS 119612 v.2.4.1, tożsamość cyfrową usługi według rodzaju kwalifikowanej usługi zaufania, w odniesieniu do której potwierdza zgodność z wymogami ustanowionymi w rozporządzeniu (UE) nr 910/2014 i w art. 21 dyrektywy (UE) 2022/2555, oraz zawiera następujące informacje:

a)	w przypadku gdy kwalifikowana usługa zaufania nie opiera się na technologii infrastruktury klucza publicznego - identyfikator wyrażony jako URI, który jednoznacznie identyfikuje kwalifikowaną usługę zaufania;

w przypadku gdy kwalifikowana usługa zaufania opiera się na technologii infrastruktury klucza publicznego, co najmniej następujące elementy:

-	identyfikator klucza przedmiotu zdefiniowany w IETF RFC 5280;

-	powiązany certyfikat cyfrowy X.509v3 w formacie Base64 PEM;

w stosownych przypadkach wskazanie, czy konkretne zestawy lub części zestawów certyfikatów podmiotu końcowego wydanych z oznaczeniem tożsamości cyfrowej usługi lub w ramach tej tożsamości są wyłączone z decyzji w sprawie certyfikacji lub wyraźnie w niej uwzględnione, a także na podstawie jakich kryteriów można je zidentyfikować;

-	wskazanie, czy tożsamość cyfrowa usługi odnosi się do podmiotu końcowego czy organu certyfikującego, z doprecyzowaniem, czy jest to certyfikat wystawiającego, pośredniego, czy głównego urzędu certyfikacji;

-	opis sposobu korzystania z tożsamości cyfrowej usługi w kontekście odpowiedniej kwalifikowanej usługi zaufania;

10)

zawiera, w stosownych przypadkach, szczegółowy opis hierarchii funkcjonalnej infrastruktury klucza publicznego w podziale na rodzaje kwalifikowanej usługi zaufania i w odniesieniu do wszystkich tożsamości cyfrowych usług określonych zgodnie z pkt 11, w tym co najmniej:

a)	ilustrację hierarchii infrastruktury klucza publicznego, określającą główne urzędy certyfikacji, pośrednie urzędy certyfikacji i wystawiające urzędy certyfikacji oraz ścieżki certyfikacji między nimi;

b)	identyfikację każdego organu certyfikującego zilustrowanego w lit. a) za pomocą identyfikatora klucza podmiotu zdefiniowanego w IETF RFC 5280;

w odniesieniu do każdego z wystawiających urzędów certyfikacji określonych zgodnie z lit. b) wykaz poszczególnych zestawów polityk dotyczących certyfikatów, które wydaje każdy organ certyfikujący, dla każdego zestawu ze wskazaniem:

kryteriów, które jednoznacznie identyfikują certyfikaty zestawu, w formie wykazu identyfikatorów polityki certyfikacji odpowiadających treści rozszerzenia certyfikatu w ramach polityki certyfikacji zdefiniowanego w IETF RFC 5280 albo innych kryteriów określonych w aktach wykonawczych przyjętych na podstawie art. 22 ust. 5 rozporządzenia (UE) nr 910/2014;

-	czy certyfikaty zestawu są kwalifikowane, czy też niekwalifikowane;

-	czy certyfikaty zestawu służą do podpisów elektronicznych, pieczęci elektronicznych czy do uwierzytelnienia stron internetowych, czy też do żadnego z tych celów, przy czym w tym ostatnim przypadku ze wskazaniem, do jakich innych celów są przeznaczone;

-	czy klucz prywatny odpowiadający kluczowi publicznemu certyfikowanemu w certyfikatach zestawów znajduje się w kwalifikowanym urządzeniu do składania podpisu lub pieczęci lokalnie lub na odległość;

11)

zawiera, zgodnie z pkt 2,

a)	wyczerpujący wykaz osób trzecich, w tym podwykonawców, dostarczających komponenty kwalifikowanych usług zaufania lub komponenty usług, z podaniem nazw (nazwisk) tych osób, jak określono w pkt 2, wraz z lokalizacją obiektów, w których wykonywane są odpowiednie komponenty usług;

b)	wskazanie, czy te osoby trzecie i obiekty zostały poddane ocenie zgodności i w jakim zakresie;

12)	opisuje, w stosownych przypadkach, treść wpisu, który ma być umieszczony lub zaktualizowany na odpowiedniej krajowej zaufanej liście, zgodnie z wynikami oceny;

13)

zawiera wyczerpujący wykaz dokumentów wewnętrznych dostawców usług publicznych i kwalifikowanych dostawców usług zaufania, właściwie zidentyfikowanych z podaniem wersji dokumentu, które były objęte zakresem oceny zgodności, w tym co najmniej następującą dokumentację, o której mowa w pkt 8, której kopię dostarcza się wraz z raportem z oceny zgodności albo w inny sposób udostępnia właściwemu organowi nadzoru na jego żądanie:

a)	oświadczenie o praktykach stosowanych przez kwalifikowanego dostawcę usług zaufania w celu świadczenia kwalifikowanych usług zaufania;

b)	zbiór zasad wskazujący na możliwość zastosowania kwalifikowanych usług zaufania do określonej społeczności lub klasy zastosowań objętych wspólnymi wymogami bezpieczeństwa („polityka kwalifikowanych usług zaufania”);

c)	warunki związane z umowami abonenckimi;

d)	plan zakończenia świadczenia kwalifikowanych usług zaufania;

e)	dokumentację, która jest związana z oceną ryzyka i ma na celu wykazanie, że wymogi art. 24 ust. 2 lit. fa) i fb) rozporządzenia (UE) nr 910/2014 oraz art. 21 dyrektywy (UE) 2022/2555 zostały spełnione;

f)	plan zgłaszania naruszeń bezpieczeństwa, którego celem jest wykazanie, że spełniono wymogi określone w art. 24 ust. 2 lit. fa) i fb) rozporządzenia (UE) nr 910/2014 oraz art. 21 dyrektywy (UE) 2022/2555;

g)	wykaz wszystkich dokumentów wewnętrznych potwierdzających skuteczne wdrożenie praktyk zadeklarowanych i stosowanych przez kwalifikowanego dostawcę usług zaufania w celu świadczenia kwalifikowanych usług zaufania;

akt założycielski lub statut kwalifikowanego dostawcy usług zaufania, zgodnie z mającymi zastosowanie przepisami krajowymi, wraz z następującymi elementami:

-	oświadczeniem o działalności gospodarczej niezwiązanej ze świadczeniem usług zaufania;

-	schematem organizacyjnym;

-	informacją o strukturze własności;

-	w stosownych przypadkach i w miarę dostępności, raportem audytora z badania sprawozdania finansowego za poprzednie dwa lata obrachunkowe lub od daty jego utworzenia do daty podpisania raportu z oceny zgodności, w zależności od tego, który z tych okresów jest krótszy;

dowody potwierdzające, że kwalifikowany dostawca usług zaufania, zgodnie z mającymi zastosowanie przepisami krajowymi, utrzymuje wystarczające zasoby finansowe oraz, w stosownych przypadkach, uzyskał odpowiednie ubezpieczenie od odpowiedzialności cywilnej w odniesieniu do świadczenia kwalifikowanych usług zaufania;

j)	wykaz norm, z którymi zgodnie z deklaracjami operacje są zgodne;

k)	wykaz norm, poprzez odniesienie do których operacje poddaje się audytowi, ocenie, certyfikacji lub ocenie pod kątem zgodności, wraz ze szczegółowymi informacjami na temat stanowiącego ich podstawę systemu audytu lub oceny lub programu certyfikacji lub oceny zgodności, stosownie do przypadku;

l)	wykaz kwalifikowanych urządzeń do składania podpisu elektronicznego lub kwalifikowanych urządzeń do składania pieczęci elektronicznej oraz informacje dotyczące ich certyfikacji, w przypadku gdy kwalifikowany dostawca usług zaufania dostarcza lub udostępnia takie urządzenia jego użytkownikom;

wykaz urządzeń wykorzystywanych przez kwalifikowanego dostawcę usług zaufania jako wiarygodny system lub produkt, wraz z modułami bezpieczeństwa sprzętu lub bezpiecznymi urządzeniami kryptograficznymi, służących ochronie własnych kluczy, oraz informacje dotyczące ich certyfikacji, w przypadku gdy kwalifikowany dostawca usług zaufania wykorzystuje takie urządzenia do zabezpieczenia procesów wspierających świadczone przez niego kwalifikowane usługi zaufania;

14)

zawiera ocenę spełnienia wymogów mających zastosowanie do odpowiednich kwalifikowanych usług zaufania na podstawie rozporządzenia (UE) nr 910/2014 oraz, w stosownych przypadkach, określonych w aktach wykonawczych i delegowanych mających zastosowanie do tej kwalifikowanej usługi zaufania, przyjętych zgodnie z następującymi przepisami:

-	art. 24 ust. 1c rozporządzenia (UE) nr 910/2014 w odniesieniu do weryfikacji tożsamości i atrybutów osób, którym ma zostać wydany kwalifikowany certyfikat lub kwalifikowane poświadczenie elektroniczne;

-	art. 24 ust. 5 rozporządzenia (UE) nr 910/2014 w odniesieniu do wymogów dotyczących kwalifikowanych dostawców usług zaufania świadczących kwalifikowane usługi zaufania;

-	art. 28 ust. 6 rozporządzenia (UE) nr 910/2014 w odniesieniu do wydawania kwalifikowanych certyfikatów podpisów elektronicznych;

-	art. 38 ust. 6 rozporządzenia (UE) nr 910/2014 w odniesieniu do wydawania kwalifikowanych certyfikatów pieczęci elektronicznych;

-	art. 45 ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do wydawania kwalifikowanych certyfikatów uwierzytelniania witryn internetowych;

-	art. 33 ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do kwalifikowanej usługi walidacji kwalifikowanych podpisów elektronicznych;

-	art. 33 ust. 2 i art. 40 rozporządzenia (UE) nr 910/2014 w odniesieniu do kwalifikowanej usługi walidacji kwalifikowanych pieczęci elektronicznych,

-	art. 34 ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do kwalifikowanej usługi konserwacji kwalifikowanych podpisów elektronicznych;

-	art. 34 ust. 2 i art. 40 rozporządzenia (UE) nr 910/2014 w odniesieniu do kwalifikowanej usługi konserwacji kwalifikowanych pieczęci elektronicznych;

-	art. 42 ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do tworzenia kwalifikowanych elektronicznych znaczników czasu;

-	art. 44 ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do świadczenia kwalifikowanych usług rejestrowanego doręczenia elektronicznego;

-	art. 29a ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do kwalifikowanej usługi zarządzania kwalifikowanymi urządzeniami do składania podpisu elektronicznego na odległość;

-	art. 29a ust. 2 i art. 39a rozporządzenia (UE) nr 910/2014 w odniesieniu do kwalifikowanej usługi zarządzania kwalifikowanymi urządzeniami do składania pieczęci elektronicznej na odległość;

-	art. 45j ust. 2 rozporządzenia (UE) nr 910/2014 w odniesieniu do świadczenia kwalifikowanych usług archiwizacji elektronicznej;

-	art. 45d ust. 5 rozporządzenia (UE) nr 910/2014 w odniesieniu do wydawania kwalifikowanego elektronicznego poświadczenia atrybutów;

-	art. 45l ust. 3 rozporządzenia (UE) nr 910/2014 w odniesieniu do rejestrowania danych elektronicznych w kwalifikowanym rejestrze elektronicznym;

15)

zawiera ocenę spełnienia mających zastosowanie do kwalifikowanego dostawcy usług zaufania i odpowiednich kwalifikowanych usług zaufania wymogów wynikających z art. 21 dyrektywy (UE) 2022/2555 oraz z aktów wykonawczych mających zastosowanie do tej kwalifikowanej usługi zaufania, przyjętych zgodnie z art. 21 ust. 5 tej dyrektywy;

16)

zawiera oświadczenie stwierdzające, w stosownych przypadkach, brak jakichkolwiek niezgodności, niezależnie od stopnia ich krytyczności; w przypadku gdy raport stwierdza jakąkolwiek niezgodność, musi zawierać plan działań naprawczych wraz z harmonogramem, przedstawiony przez kwalifikowanego dostawcę usług zaufania i zatwierdzony przez jednostkę oceniającą zgodność, wraz z opisem planowanych zadań w zakresie oceny, które jednostka oceniająca zgodność zobowiąże się ocenić pod kątem korekty niezgodności;

17)	zawiera, w stosownych i koniecznych przypadkach, wskazanie możliwości zwiększenia stopnia, w jakim kwalifikowany dostawca usług zaufania i świadczone przez niego kwalifikowane usługi zaufania spełniają odpowiednie wymogi;

18)	dla każdego etapu oceny zgodności, w tym audytu dokumentacji, oceny wdrażania i kontroli na miejscu, określa okres, w odniesieniu do którego przeprowadzono ocenę, oraz czas w osobodniach przeznaczony przez jednostkę oceniającą zgodność na przeprowadzenie oceny;

19)

wskazuje w odpowiednim raporcie dotyczącym określonego wymogu szczegółowe kontrole w ramach oceny zgodności i cele kontroli, które zostały przeprowadzone w trakcie oceny, lub zawiera odniesienie do oddzielnie dostępnych raportów z oceny, w których zamieszczono takie informacje, pod warunkiem że oddzielne raporty z oceny:

a)	wydały jednostki oceniające zgodność akredytowane zgodnie z rozporządzeniem (UE) nr 910/2014;

b)	zatwierdziły jednostki oceniające zgodność wydające raport z oceny zgodności;

20)	obejmuje zakres, opis i wyniki znacznego zestawu testów lub próbek produkcyjnych oraz ich ocenę w odniesieniu do wszystkich istotnych i mających zastosowanie rodzajów wyników poddanych ocenie kwalifikowanych usług zaufania;

21)

wskazuje następujące terminy:

a)	termin, w którym należy przeprowadzić kolejną nadzorczą ocenę zgodności;

b)	termin, w którym należy przeprowadzić kolejną ocenę zgodności zgodnie z art. 20 ust. 1 rozporządzenia (UE) nr 910/2014;

22)	zawiera wyraźną deklarację stwierdzającą, że dokumenty certyfikacyjne, w tym raport z oceny zgodności, są również przeznaczone do wykorzystania przez właściwy krajowy organ nadzoru.

* Autentyczne są wyłącznie dokumenty UE opublikowane w formacie PDF w Dzienniku Urzędowym Unii Europejskiej.

Powiązane z aktem prawnym

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Jeśli już masz abonament Inforlex Zaloguj się

Powiązane z artykułem:

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Jeśli już masz abonament Inforlex Zaloguj się