ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/2527
z dnia 16 grudnia 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 45 ust. 2,
a także mając na uwadze, co następuje:
| (1) | Kwalifikowane certyfikaty uwierzytelniania witryn internetowych mają zasadnicze znaczenie dla zapewnienia zaufania i przejrzystości w interakcjach online. Umożliwiają one uwierzytelnianie witryn internetowych i przyporządkowanie witryny internetowej do osoby fizycznej lub prawnej, której wydano certyfikat. Komisja ma sporządzić wykaz norm referencyjnych dotyczących takich certyfikatów. |
| (2) | Normy referencyjne powinny umożliwiać wdrażanie różnych rodzajów kwalifikowanych certyfikatów uwierzytelniania witryn internetowych w odniesieniu do różnych przypadków użycia, w tym ich stosowanie zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 (2). Powinny one odzwierciedlać utrwalone praktyki i być powszechnie uznawane w odpowiednich sektorach. Aby umożliwić innowacje i uwzględnić zróżnicowane potrzeby techniczne i operacyjne, normy referencyjne powinny również umożliwiać wydawanie kwalifikowanych certyfikatów uwierzytelniania witryn internetowych na różne sposoby, tj. jako certyfikaty samodzielne, certyfikaty powiązane z innymi certyfikatami lub w innych konfiguracjach spełniających wymogi rozporządzenia (UE) nr 910/2014. Taka elastyczność w odniesieniu do wydawania kwalifikowanych certyfikatów uwierzytelniania witryn internetowych zapewnia możliwość dostosowania certyfikatów do potrzeb szerokiego zakresu przypadków użycia, co pozwala zachować zaufanie i interoperacyjność we wszystkich państwach członkowskich, jednocześnie nie wpływając na swobodę dostawców przeglądarek internetowych w zakresie zapewniania bezpieczeństwa sieci, uwierzytelniania domen i szyfrowania ruchu sieciowego w sposób i za pomocą technologii, które uznają za najbardziej odpowiednie. |
| (3) | Aby zapewnić wystarczający czas audytu kwalifikowanych dostawców usług zaufania w odniesieniu do spełnienia wymogów niniejszego rozporządzenia, powinno ono mieć zastosowanie po upływie 12 miesięcy od jego wejścia w życie. |
| (4) | Komisja regularnie przeprowadza ocenę nowych technologii, praktyk, norm lub specyfikacji technicznych. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1183 (3) Komisja powinna, w razie potrzeby, poddawać niniejsze rozporządzenie przeglądowi i aktualizacji, aby zachować jego aktualność względem globalnych zmian, nowych technologii, praktyk, norm lub specyfikacji technicznych oraz przestrzegać najlepszych praktyk na rynku wewnętrznym. |
| (5) | Do czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia mają zastosowanie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (4) oraz – w stosownych przypadkach – dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (5). |
| (6) | Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (6) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 21 października 2025 r. (7) |
| (7) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Normy referencyjne, o których mowa w art. 45 ust. 2 rozporządzenia (UE) nr 910/2014, określono w załączniku do niniejszego rozporządzenia.
Artykuł 2
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia 6 stycznia 2027 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 16 grudnia 2025 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. L 337 z 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) EDPS Formal comments on the draft Implementing Regulation laying down rules for the application of Regulation (EU) No 910/2014 as regards reference standards for qualified certificates for website authentication [Formalne uwagi EIOD do projektu rozporządzenia wykonawczego ustanawiającego zasady stosowania rozporządzenia (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych].
ZAŁĄCZNIK
Wykaz norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych
1.
W przypadku kwalifikowanych certyfikatów uwierzytelniania witryn internetowych wydawanych w celu wykorzystania w uwierzytelnianiu bezpieczeństwa warstwy transportowej poza kontekstem przeglądarki internetowej:|
- |
ETSI EN 319 411-2 V2.6.1 (2025-06); certyfikaty te wydaje się zgodnie z polityką certyfikacji QNCP-w-gen, polityką certyfikacji QEVCP-w lub polityką certyfikacji QNCP-w, jak określono w tej normie, lub |
|
- |
ETSI TS 119 495 V1.7.1 (2024-07). |
2.
W przypadku innych kwalifikowanych certyfikatów uwierzytelniania witryn internetowych niż te, o których mowa w pkt 1, w tym w kontekście przeglądarki internetowej:|
- |
ETSI TS 119 411-5 V2.1.1 (2025-02). |
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
