NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie wykonawcze 2025/1566 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących weryfikacji tożsamości i atrybutów osoby, której ma zostać wydany certyfikat kwalifikowany lub kwalifikowane elektroniczne poświadczenie atrybutów

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1566
z dnia 29 lipca 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących weryfikacji tożsamości i atrybutów osoby, której ma zostać wydany certyfikat kwalifikowany lub kwalifikowane elektroniczne poświadczenie atrybutów

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE 1 , w szczególności jego art. 24 ust. 1c,

a także mając na uwadze, co następuje:

(1) W art. 24 rozporządzenia (UE) nr 910/2014 określono wymóg, aby kwalifikowani dostawcy usług zaufania weryfikowali tożsamość oraz, w stosownych przypadkach, wszelkie szczególne atrybuty osoby fizycznej lub prawnej przy wydawaniu tej osobie kwalifikowanych certyfikatów lub kwalifikowanych elektronicznych poświadczeń atrybutów.

(2) Aby zapewnić równe traktowanie i wiarygodność wyników procesu weryfikacji, weryfikacje powinny być przeprowadzane w równoważny sposób przez wszystkich kwalifikowanych dostawców usług zaufania w przypadku wydawania certyfikatu kwalifikowanego lub kwalifikowanego elektronicznego poświadczenia atrybutów. Zgodnie z celami rozporządzenia (UE) nr 910/2014 wybrano szereg norm, aby spełnić te specjalne wymogi. Przedmiotowe normy powinny odzwierciedlać utrwalone praktyki i być powszechnie uznawane w odpowiednich sektorach. Normy te należy dostosować tak, aby obejmowały dodatkowe kontrole zapewniające bezpieczeństwo i wiarygodność kwalifikowanej usługi zaufania przy jednoczesnym ułatwianiu interoperacyjności transgranicznej i skutecznego funkcjonowania rynku wewnętrznego.

(3) Należy zapewnić odpowiedni okres przejściowy dla kwalifikowanych dostawców usług zaufania, aby mogli oni spełnić wymogi rozporządzenia (UE) nr 910/2014. Aby zapewnić wystarczające ramy czasowe audytu dostawców usług zaufania w odniesieniu do spełnienia wymogów niniejszego rozporządzenia, powinno ono mieć zastosowanie po upływie 24 miesięcy od jego wejścia w życie.

(4) Komisja regularnie przeprowadza ocenę nowych technologii, praktyk, norm lub specyfikacji technicznych. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1183 2  Komisja powinna poddawać przeglądowi i w razie potrzeby aktualizować niniejsze rozporządzenie, aby zachować jego aktualność względem globalnych zmian, nowych technologii, norm lub specyfikacji technicznych oraz dopasować je do najlepszych praktyk na rynku wewnętrznym.

(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 3  oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 4  mają zastosowanie do czynności przetwarzania danych osobowych na mocy niniejszego rozporządzenia.

(6) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 5  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 6 czerwca 2025 r.

(7) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Normy referencyjne, o których mowa w art. 24 ust. 1c rozporządzenia (UE) nr 910/2014, określono w załączniku do niniejszego rozporządzenia.

Artykuł  2

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia 19 sierpnia 2027 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 29 lipca 2025 r.

ZAŁĄCZNIK

Norma referencyjna do celów weryfikacji tożsamości i atrybutów osób, którym ma zostać wydany certyfikat kwalifikowany lub kwalifikowane elektroniczne poświadczenie atrybutów

Norma ETSI TS 119 461 V2.1.1 (2025-02) dotycząca zgodności z pkt C.3 załącznika C ma zastosowanie z następującymi dostosowaniami:
1)
2.1. Odesłania do norm

– [1] ETSI EN 319 401 V3.1.1 (2024-06): "Podpisy elektroniczne i infrastruktura zaufania (ESI); Ogólne

wymagania polityki dla dostawców usług zaufania".

2)
C.3. Przypadki użycia przy wydawaniu certyfikatów kwalifikowanych lub kwalifikowanych elektronicznych

poświadczeń atrybutów zgodnie z art. 24 ust. 1, 1a i 1b rozporządzenia (UE) nr 910/2014.

– [WARUNKOWO] QTS-C3-01: Jeżeli weryfikację tożsamości w odniesieniu do certyfikatu kwalifikowanego lub kwalifikowanego poświadczenia elektronicznego przeprowadza się w połączeniu z weryfikacją tożsamości w celu wydania wiarygodnego dowodu, ten proces weryfikacji tożsamości:

– musiał zostać poddany wzajemnej ocenie lub certyfikowany przez akredytowaną jednostkę oceniającą zgodność z wymogiem wysokiego poziomu pewności zgodnie z rozporządzeniem (UE) nr 910/2014, lub

– musi spełnić wymogi określone w pkt C3.1-C3.6.

3)
C.3.4. Przypadek użycia przy potwierdzaniu tożsamości za pomocą innych środków identyfikacji

– QTS-C.3.4-06A: Niezależna jednostka oceniająca zgodność, o której mowa w [WARUNKOWO] QTS-C.3.4-06

lit. c), musi być akredytowana zgodnie z art. 3 pkt 18 rozporządzenia (UE) nr 910/2014, a jeżeli spełnione są wszystkie stosowne wymogi, ocena powinna skutkować wydaniem certyfikatu zgodności na podstawie audytu certyfikacyjnego. Ten formalny proces certyfikacji opiera się na procesie oceny bezpieczeństwa, który odnosi się do poziomów bezpieczeństwa określonych dla notyfikowanych środków identyfikacji elektronicznej lub certyfikowanych europejskich portfeli tożsamości cyfrowej na podstawie rozporządzenia (UE) nr 910/2014 i obejmuje rygorystyczne testy oceniające odporność na potencjalne zagrożenia bezpieczeństwa. W ocenach tych stosuje się odpowiednie normy techniczne w celu wykazania odporności na te ataki.

4)
9.2.3.4. Przypadek użycia przy zautomatyzowanych procesach

– USE-9.2.3.4-04: IPSP ustanawia wartości docelowe dla FAR i FRR na podstawie analizy ryzyka i stosowanej

przez niego procedury analizy zagrożeń, przestrzegając metody określonej w sprawozdaniu ENISA pt. "Metodyka sektorowych ocen cyberbezpieczeństwa" [i.28] lub równoważnej metodyki w ramach w pełni zautomatyzowanych procesów potwierdzania tożsamości. Te wartości docelowe nie mogą przekraczać wartości ustalonych dla przypadków zastosowania hybrydowego, o ile takie występują. IPSP utrzymuje te wartości docelowe dla FAR i FRR w sposób spójny, uzasadniony analizą ryzyka i procedurą analizy zagrożeń.

5)
8.3.3. Walidacja fizycznego dokumentu tożsamości

– VAL-8.3.3-21: Skuteczność środków służących spełnieniu wymagań VAL-8.3.3-05X, VAL-8.3.3-05A,

VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A oraz VAL-8.3.3-07X testuje akredytowane laboratorium lub właściwy organ krajowy, w przypadku ich wyznaczenia, najpóźniej do dnia 19 sierpnia 2027 r., a następnie testy powtarza się co dwa lata.

6)
7.12. Zakończenie działalności i plany zakończenia działalności

– OVR-7.12-02: Plan zakończenia działalności musi spełniać wymogi określone w aktach wykonawczych

przyjętych na podstawie art. 24 ust. 5 rozporządzenia (UE) nr 910/2014 [i.1].

1 Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http://data. europa.eu/eli/reg/2024/1183/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
4 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.1566

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie wykonawcze 2025/1566 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących weryfikacji tożsamości i atrybutów osoby, której ma zostać wydany certyfikat kwalifikowany lub kwalifikowane elektroniczne poświadczenie atrybutów
Data aktu:2025-07-29
Data ogłoszenia:2025-07-30
Data wejścia w życie:2027-08-19, 2025-08-19