NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie wykonawcze 2025/1945 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do walidacji kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych oraz walidacji zaawansowanych podpisów elektronicznych opartych na kwalifikowanych certyfikatach i zaawansowanych pieczęci elektronicznych opartych na kwalifikowanych certyfikatach

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1945
z dnia 29 września 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do walidacji kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych oraz walidacji zaawansowanych podpisów elektronicznych opartych na kwalifikowanych certyfikatach i zaawansowanych pieczęci elektronicznych opartych na kwalifikowanych certyfikatach

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE 1 , w szczególności jego art. 32 ust. 3, art. 32a ust. 3, art. 40 i art. 40a,

a także mając na uwadze, co następuje:

(1) Kwalifikowane podpisy elektroniczne, kwalifikowane pieczęcie elektroniczne, zaawansowane podpisy elektroniczne oparte na kwalifikowanych certyfikatach podpisów elektronicznych i zaawansowane pieczęcie elektroniczne oparte na kwalifikowanych certyfikatach pieczęci elektronicznych, pod warunkiem że ich ważność może zostać potwierdzona, zapewniają stronom ufającym integralność i autentyczność danych opatrzonych podpisem lub pieczęcią oraz zwiększają pewność co do tożsamości podpisującego lub podmiotu składającego pieczęć. Te podpisy i pieczęcie elektroniczne odgrywają kluczową rolę w cyfrowym otoczeniu biznesowym, ponieważ wspierają przejście z tradycyjnych procesów wykorzystujących dokumenty papierowe na równoważne procesy elektroniczne.

(2) Domniemanie zgodności określone w art. 32 ust. 1, art. 40, art. 32a ust. 3 i art. 40a rozporządzenia (UE) nr 910/2014 powinno mieć zastosowanie w przypadku, gdy procesy walidacji kwalifikowanych podpisów elektronicznych, kwalifikowanych pieczęci elektronicznych, zaawansowanych podpisów elektronicznych opartych na kwalifikowanych certyfikatach podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych opartych na kwalifikowanych certyfikatach pieczęci elektronicznych są zgodne z normami technicznymi określonymi w niniejszym rozporządzeniu. Przedmiotowe normy powinny odzwierciedlać utrwalone praktyki i być powszechnie uznawane w odpowiednich sektorach. Należy je dostosować w taki sposób, aby obejmowały dodatkowe kontrole zapewniające możliwość weryfikacji technicznej ważności tych podpisów i pieczęci oraz, w stosownych przypadkach, ich statusu kwalifikowanego.

(3) Komisja regularnie przeprowadza ocenę nowych technologii, praktyk, norm lub specyfikacji technicznych. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1183 2  Komisja powinna, w razie potrzeby, poddawać niniejsze rozporządzenie wykonawcze przeglądowi i aktualizacji, aby zachować aktualność względem globalnych zmian, nowych technologii, norm lub specyfikacji technicznych oraz przestrzegać najlepszych praktyk na rynku wewnętrznym.

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 3  oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 4  mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(5) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 5  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 6 czerwca 2025 r.

(6) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego w art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Normy referencyjne i specyfikacje

1. 
Normy referencyjne i specyfikacje, o których mowa w art. 32 ust. 3 i art. 40 rozporządzenia (UE) nr 910/2014, określono w załączniku I do niniejszego rozporządzenia.
2. 
Normy referencyjne i specyfikacje, o których mowa w art. 32a ust. 3 i art. 40a rozporządzenia (UE) nr 910/2014, określono w załączniku II do niniejszego rozporządzenia.
Artykuł  2

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 29 września 2025 r.

ZAŁĄCZNIK  I

Wykaz norm referencyjnych i specyfikacji dotyczących walidacji kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych

Normy ETSI TS 119 172-4 V1.1.1 (2021-05) 6  ("ETSI TS 119 172-4") i ETSI TS 119 102-2 V1.4.1 (2023-06) 7  ("ETSI TS 119 102-2") stosuje się z zastrzeżeniem następujących dostosowań:

1. W przypadku ETSI TS 119 172-4

1) 2.1 Odniesienia normatywne:

– [1] ETSI EN 319 102-1 V1.4.1 (2024-06) "Podpisy elektroniczne i infrastruktura zaufania (ESI); Procedury składania i walidacji podpisów cyfrowych AdES; Część 1: Składanie i walidacja",

– Wszystkie odniesienia do "normy ETSI TS 119 102-1 [1]" należy rozumieć jako odniesienia do "normy ETSI EN 319 102-1 [1]",

– [2] ETSI TS 119 612 V2.3.1 (2024-11) "Podpisy elektroniczne i infrastruktura (ESI); Zaufane listy",

– [13] ETSI TS 119 101 V1.1.1 (2016-03) "Podpisy elektroniczne i infrastruktura (ESI); Wymogi dotyczące polityki i bezpieczeństwa w odniesieniu do wniosków o składanie i walidację podpisów".

2) 4.2 Ograniczenia walidacji i procedury walidacji, wymóg REQ-4.2-03, sekcja "Ograniczenia walidacji X.509", lit. c):

- (i) Jeżeli certyfikat pozycji końcowej stanowi kotwicę zaufania, nie stosuje się ograniczeń RevocationCheckingConstraints,

- (ii) Jeżeli certyfikat podmiotu końcowego nie stanowi kotwicy zaufania, ograniczenia RevocationCheckingConstraints ustawia się na "eitherCheck", jak zdefiniowano w normie ETSI TS 119 172-1 [3], pkt A.4.2.1, tabela A.2 wiersze (m)2.1,

- (iii) Jeżeli certyfikat podmiotu końcowego stanowi kotwicę zaufania, nie stosuje się ograniczeń RevocationFreshnessConstraints określonych w normie ETSI TS 119 172-1 [3], pkt A.4.2.1, tabela A.2 wiersze (m)2.2,

- (iv) Jeżeli certyfikat podmiotu końcowego nie stanowi kotwicy zaufania, stosuje się ograniczenia RevocationFreshnessConstraints określone w normie ETSI TS 119 172-1 [3], pkt A.4.2.1, tabela A.2 wiersze (m)2.2, o maksymalnej wartości 24 godzin dla certyfikatu podpisu. W przypadku certyfikatów innych niż certyfikat podpisu, w tym certyfikatów potwierdzających znaczniki czasu, nie ustala się żadnej wartości dla RevocationFreshnessConstraints.

3) 4.3 Wymogi dotyczące zatwierdzania podpisów i zasad stosowania w zakresie kontroli praktyk

– REQ-4.3-02 Wnioski o zatwierdzenie podpisu muszą być zgodne z normą ETSI TS 119 101 [13].

4) 4.4 Proces sprawdzania przydatności technicznej (przepisów)

– REQ-4.4.2-03 Jeżeli którakolwiek z kontroli określonych w REQ-4.4.2-01 nie powiedzie się, wówczas:

a) zaprzestaje się procesu;

b) podpis jest określany technicznie jako nieokreślony, tj. ani jako kwalifikowany podpis elektroniczny UE, ani jako kwalifikowana pieczęć elektroniczna UE; oraz

c) powyższy wynik i wyniki procesów wszystkich procesów pośrednich muszą być odzwierciedlone w zasadach stosowania podpisu w sprawozdaniu sprawdzającym.

ZAŁĄCZNIK  II

Wykaz norm referencyjnych i specyfikacji do celów walidacji zaawansowanych podpisów elektronicznych opartych na kwalifikowanych certyfikatach i zaawansowanych pieczęci elektronicznych opartych na kwalifikowanych certyfikatach

Normy ETSI TS 119 172-4 V1.1.1 (2021-05) 8  ("ETSI TS 119 172-4") i ETSI TS 119 102-2 V1.4.1 (2023-06) 9  ("ETSI TS 119 102-2") stosuje się z zastrzeżeniem następujących dostosowań:

1. W przypadku ETSI TS 119 172-4

1) 2.1 Odniesienia normatywne:

– [1] ETSI EN 319 102-1 V1.4.1 (2024-06) "Podpisy elektroniczne i infrastruktura zaufania (ESI); Procedury składania i walidacji podpisów cyfrowych AdES; Część 1: Składanie i walidacja",

– Wszystkie odniesienia do "normy ETSI TS 119 102-1 [1]" należy rozumieć jako odniesienia do "normy ETSI EN 319 102-1 [1]",

– [2] ETSI TS 119 612 V2.3.1 (2024-11) "Podpisy elektroniczne i infrastruktura (ESI); Zaufane listy",

– [13] ETSI TS 119 101 V1.1.1 (2016-03) "Podpisy elektroniczne i infrastruktura (ESI); Wymogi dotyczące polityki i bezpieczeństwa w odniesieniu do wniosków o składanie i walidację podpisów".

2) 4.2 Ograniczenia walidacji i procedury walidacji, wymóg REQ-4.2-03, sekcja "X.509 Ograniczenia walidacji", lit. c):

- (i) Jeżeli certyfikat pozycji końcowej stanowi kotwicę zaufania, nie stosuje się ograniczeń RevocationCheckingConstraints,

- (ii) Jeżeli certyfikat podmiotu końcowego nie stanowi kotwicy zaufania, ograniczenia RevocationCheckingConstraints ustawia się na "eitherCheck", jak zdefiniowano w normie ETSI TS 119 172-1 [3], pkt A.4.2.1, tabela A.2 wiersze m) 2.1,

- (iii) Jeżeli certyfikat podmiotu końcowego stanowi kotwicę zaufania, nie stosuje się ograniczeń RevocationFreshnessConstraints określonych w ETSI TS 119 172-1 [3], pkt A.4.2.1, tabela A.2 wiersze (m)2.2,

- (iv) Jeżeli certyfikat podmiotu końcowego nie stanowi kotwicy zaufania, stosuje się ograniczenia RevocationFreshnessConstraints określone w normie ETSI TS 119 172-1 [3], pkt A.4.2.1, tabela A.2 wiersze (m)2.2, o maksymalnej wartości 24 godzin dla certyfikatu podpisu. W przypadku certyfikatów innych niż certyfikat podpisu, w tym certyfikatów potwierdzających znaczniki czasu, nie ustala się żadnej wartości dla RevocationFreshnessConstraints.

3) 4.3 Wymogi dotyczące zatwierdzania podpisów i zasad stosowania w zakresie kontroli praktyk

– REQ-4.3-02 Wnioski o zatwierdzenie podpisu muszą być zgodne z normą ETSI TS 119 101 [13].

4) 4.4 Proces sprawdzania przydatności technicznej (przepisów)

– REQ-4.4.2-03 Jeżeli którakolwiek z kontroli określonych w REQ-4.4.2-01 nie powiedzie się, wówczas:

a) zaprzestaje się procesu;

b) podpis jest określany technicznie jako nieokreślony, tj. jako ani zaawansowany podpis elektroniczny oparty na kwalifikowanym certyfikacie UE, ani jako zaawansowana pieczęć elektroniczna oparta na kwalifikowanym certyfikacie UE; oraz

c) powyższy wynik i wyniki procesów wszystkich procesów pośrednich muszą być odzwierciedlone w zasadach stosowania podpisu w sprawozdaniu sprawdzającym,

– REQ-4.4.2-04 nieważny,

– REQ-4.4.2-05 nieważny,

– REQ-4.4.2-06 W tym momencie procesu TARC, jeżeli spełnione są następujące warunki:

a) certyfikat podpisu określa się, w najkrótszym czasie podpisu, jako kwalifikowany certyfikat UE podpisów elektronicznych (odpowiednio w odniesieniu do pieczęci elektronicznych), jak określono w REQ-4.4.2-02 a); oraz

b) wynik przeprowadzonego procesu określonego w pkt 4.2 niniejszego dokumentu to TOTAL- PASSED,

wówczas podpis cyfrowy uznaje się za technicznie odpowiedni do wdrożenia zaawansowanego podpisu elektronicznego UE opartego na kwalifikowanym certyfikacie (odpowiednio zaawansowanej pieczęci elektronicznej UE opartej na kwalifikowanym certyfikacie), w przeciwnym razie podpis nie może być określany pod względem technicznym ani jako zaawansowany podpis elektroniczny UE oparty na kwalifikowanym certyfikacie, ani jako zaawansowana pieczęć elektroniczna UE oparta na kwalifikowanym certyfikacie.

1 Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
4 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
6 ETSI TS 119 172-4 - Podpisy elektroniczne i infrastruktura (ESI); Zasady składania podpisów; Część 4: Zasady stosowania podpisu (polityka walidacji) w odniesieniu do europejskich kwalifikowanych podpisów/pieczęci elektronicznych z wykorzystaniem zaufanych list, V1.1.1 (2021-05).
7 ETSI TS 119 102-2 - Podpisy elektroniczne i infrastruktura (ESI); Procedury składania i walidacji podpisów cyfrowych AdES; Część 2: Sprawozdanie z walidacji podpisu, V1.4.1 (2023-06).
8 ETSI TS 119 172-4 - Podpisy elektroniczne i infrastruktura (ESI); Zasady składania podpisów; Część 4: Zasady stosowania podpisu (polityka walidacji) w odniesieniu do europejskich kwalifikowanych podpisów/pieczęci elektronicznych z wykorzystaniem zaufanych list, V1.1.1 (2021-05).
9 ETSI TS 119 102-2 - Podpisy elektroniczne i infrastruktura (ESI); Procedury składania i walidacji podpisów cyfrowych AdES; Część 2: Sprawozdanie z walidacji podpisu, V1.4.1 (2023-06).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.1945

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie wykonawcze 2025/1945 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do walidacji kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych oraz walidacji zaawansowanych podpisów elektronicznych opartych na kwalifikowanych certyfikatach i zaawansowanych pieczęci elektronicznych opartych na kwalifikowanych certyfikatach
Data aktu:2025-09-29
Data ogłoszenia:2025-09-30
Data wejścia w życie:2025-10-20