NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie wykonawcze 2025/1572 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do formatu i procedur zgłaszania zamiaru i weryfikacji w odniesieniu do rozpoczęcia świadczenia kwalifikowanych usług zaufania

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1572
z dnia 29 lipca 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do formatu i procedur zgłaszania zamiaru i weryfikacji w odniesieniu do rozpoczęcia świadczenia kwalifikowanych usług zaufania

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE 1 , w szczególności jego art. 21 ust. 4,

a także mając na uwadze, co następuje:

(1) W przypadku gdy dostawcy usług zaufania zamierzają rozpocząć świadczenie kwalifikowanej usługi zaufania, mają zgłaszać organowi nadzoru swój zamiar wraz z raportem z oceny zgodności wydanym przez jednostkę oceniającą zgodność potwierdzającym spełnienie wymogów określonych w rozporządzeniu (UE) nr 910/2014. Organ nadzoru ma sprawdzać, czy dostawca usług zaufania i świadczone przez niego usługi zaufania spełniają wymogi określone we wspomnianym rozporządzeniu. Jeżeli organ nadzoru stwierdzi, że dostawca usług zaufania i świadczone przez niego usługi zaufania spełniają te wymogi, organ nadzoru przyznaje dostawcy usług zaufania oraz świadczonym przez niego usługom zaufania status kwalifikowany. W tym celu organy nadzoru powinny podawać do wiadomości publicznej informacje na temat sposobu, w jaki dostawcy usług zaufania mają zgłaszać zamiar uzyskania statusu kwalifikowanego dostawcy usług zaufania. W celu zapewnienia, aby kwalifikowani dostawcy usług zaufania działali na równych warunkach w Unii, konieczne jest, aby organy nadzoru weryfikowały ten sam rodzaj informacji o dostawcach usług zaufania i robiły to w ten sam sposób.

(2) Organy nadzoru powinny w sposób przejrzysty przetwarzać informacje, które dostawcy usług zaufania podają w zgłoszeniach. Organy nadzoru powinny zatem sporządzić i podać do wiadomości publicznej opis określający, w jaki sposób sprawdzają, czy dostawca usług zaufania spełnia odpowiednie wymogi.

(3) Rozporządzenie należy stosować po upływie 12 miesięcy od jego wejścia w życie, aby zapewnić państwom członkowskim wystarczający okres przejściowy na spełnienie wymogów niniejszego rozporządzenia na wprowadzenie niezbędnych dostosowań w zgłoszeniach przekazywanych organom nadzoru. Takie dostosowania mogą obejmować aktualizację przepisów krajowych, wytycznych organizacyjnych i krajowych systemów informacyjnych.

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 2  oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 3  mają zastosowanie do czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(5) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 4  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 6 czerwca 2025 r.

(6) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Metodyka weryfikacji

1. 
Organy nadzoru ustanawiają metodykę weryfikacji spełnienia przez dostawców usług zaufania, którzy zgłosili zamiar rozpoczęcia świadczenia kwalifikowanej usługi zaufania, wymogów określonych w rozporządzeniu (UE) nr 910/2014 i art. 21 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 5 .
2. 
Metodyka weryfikacji obejmuje procedury i procesy odnoszące się do udziału właściwych organów wyznaczonych lub ustanowionych na podstawie art. 8 ust. 1 dyrektywy (UE) 2022/2555, które przeprowadzają działania nadzorcze w celu weryfikacji spełnienia przez dostawcę usług zaufania wymogów określonych w art. 21 dyrektywy (UE) 2022/2555.
Artykuł  2

Przejrzystość

Organy nadzoru podają następujące informacje do wiadomości publicznej:

1)
dane kontaktowe organu nadzoru;
2)
kanały komunikacji, z których należy korzystać, gdy dostawcy usług zaufania zgłaszają zamiar rozpoczęcia świadczenia kwalifikowanej usługi zaufania;
3)
dokumentację, którą dostawcy usług zaufania mają przekazać w zgłoszeniu zamiaru rozpoczęcia świadczenia kwalifikowanej usługi zaufania;
4)
procedury rozpatrywania skarg dotyczących procesu weryfikacji spełnienia przez dostawców usług zaufania, którzy zgłosili zamiar rozpoczęcia świadczenia kwalifikowanej usługi zaufania, wymogów określonych w rozporządzeniu (UE) nr 910/2014 i art. 21 ust. 2 dyrektywy (UE) 2022/2555;
5)
ogólny opis metodyki, o której mowa w art. 1.
Artykuł  3

Zgłoszenia dostawców usług zaufania

Dostawcy usług zaufania podają w swoich zgłoszeniach zamiaru rozpoczęcia świadczenia kwalifikowanej usługi zaufania co najmniej następujące informacje:

1)
w przypadku gdy dostawca usług zaufania jest osobą prawną - jego nazwę oraz, w stosownych przypadkach, numer ewidencji gospodarczej, nazwę państwa członkowskiego, w którym dostawca usług zaufania ma siedzibę, oraz imię i nazwisko osoby lub imiona i nazwiska osób podpisujących lub przekazujących zgłoszenie w imieniu osoby prawnej;
2)
w przypadku gdy dostawca usług zaufania jest osobą fizyczną - imię i nazwisko oraz osobisty numer ewidencyjny, a w przypadku ich braku - datę urodzenia oraz rodzaj i numer dokumentu tożsamości;
3)
numer telefonu, adres e-mail i adres pocztowy dostawcy usług zaufania;
4)
jednolite identyfikatory zasobów (URI), gdzie użytkownicy mogą uzyskać dodatkowe informacje dotyczące danego dostawcy usług zaufania, w tym oświadczenia i stosowane praktyki, ogólne warunki i zasady obsługi klienta, mające zastosowanie do zgłaszanej usługi zaufania;
5)
analizę ryzyka leżącą u podstaw środków, o których mowa w art. 24 ust. 2 lit. fa) rozporządzenia (UE) nr 910/2014, oraz analizę ryzyka leżącą u podstaw środków, o których mowa w art. 21 dyrektywy (UE) 2022/2555;
6)
wszystkie kwalifikowane usługi zaufania, które dostawca usług zaufania zamierza świadczyć;
7)
w odniesieniu do każdej usługi zaufania, której świadczenie jako kwalifikowanej usługi zaufania dostawca usług zaufania zamierza rozpocząć:
co najmniej jeden identyfikator, a, w stosownych wypadkach co najmniej jeden certyfikat usługi zaufania do celów umieszczenia na krajowej zaufanej liście zgodnie z aktami wykonawczymi przyjętymi na podstawie art. 22 ust. 5 rozporządzenia (UE) nr 910/2014,
planowaną datę rozpoczęcia świadczenia usługi zaufania,
raporty z oceny zgodności dotyczące usługi zaufania oraz dane kontaktowe jednostki oceniającej zgodność,
w stosownych przypadkach raporty techniczne uzupełniające raport z oceny zgodności;
8)
plan zakończenia działalności, o którym mowa w art. 24 ust. 2 lit. i) rozporządzenia (UE) 910/2014.
Artykuł  4

Weryfikacje przeprowadzane przez organy nadzoru

1. 
Aby ustalić, czy dostawca usług zaufania i kwalifikowana usługa zaufania, którą zamierza świadczyć, spełniają wymogi rozporządzenia (UE) nr 910/2014 i art. 21 dyrektywy (UE) 2022/2555, organy nadzoru analizują informacje przekazane przez dostawcę usług zaufania i mogą, oprócz wszelkich środków opisanych w metodyce określonej na podstawie art. 1, przeprowadzać weryfikacje na miejscu, a także rozmowy z przedstawicielami dostawcy usług zaufania i jednostki oceniającej zgodność.
2. 
Organy nadzoru weryfikują co najmniej:
a)
czy przedłożony raport z oceny zgodności w wystarczającym stopniu wykazuje, że dostawca usług zaufania i kwalifikowana usługa zaufania, którą zamierza świadczyć, spełniają wymogi określone w rozporządzeniu (UE) nr 910/2014 i w art. 21 dyrektywy (UE) 2022/2555;
b)
czy przedłożony raport z oceny zgodności spełnia wymogi określone w aktach wykonawczych przyjętych na podstawie art. 20 ust. 4 rozporządzenia (UE) nr 910/2014;
c)
wszelkie informacje zawarte w przedłożonym raporcie z oceny zgodności wskazujące na niezgodność z wymogami rozporządzenia (UE) nr 910/2014;
d)
wszelkie dodatkowe informacje uznane za niezbędne do weryfikacji zgodności z wymogami określonymi w rozporządzeniu (UE) nr 910/2014 i w art. 21 dyrektywy (UE) 2022/2555.
Artykuł  5

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia 19 sierpnia 2026 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich

państwach członkowskich.

Sporządzono w Brukseli dnia 29 lipca 2025 r.
1 Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
3 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
5 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80, ELI: http://data. europa.eu/eli/dir/2022/2555/oj).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.1572

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie wykonawcze 2025/1572 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do formatu i procedur zgłaszania zamiaru i weryfikacji w odniesieniu do rozpoczęcia świadczenia kwalifikowanych usług zaufania
Data aktu:2025-07-29
Data ogłoszenia:2025-07-30
Data wejścia w życie:2026-08-19, 2025-08-19