NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie wykonawcze 2025/2527 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/2527
z dnia 16 grudnia 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE 1 , w szczególności jego art. 45 ust. 2,

a także mając na uwadze, co następuje:

(1) Kwalifikowane certyfikaty uwierzytelniania witryn internetowych mają zasadnicze znaczenie dla zapewnienia zaufania i przejrzystości w interakcjach online. Umożliwiają one uwierzytelnianie witryn internetowych i przyporządkowanie witryny internetowej do osoby fizycznej lub prawnej, której wydano certyfikat. Komisja ma sporządzić wykaz norm referencyjnych dotyczących takich certyfikatów.

(2) Normy referencyjne powinny umożliwiać wdrażanie różnych rodzajów kwalifikowanych certyfikatów uwierzytelniania witryn internetowych w odniesieniu do różnych przypadków użycia, w tym ich stosowanie zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 2 . Powinny one odzwierciedlać utrwalone praktyki i być powszechnie uznawane w odpowiednich sektorach. Aby umożliwić innowacje i uwzględnić zróżnicowane potrzeby techniczne i operacyjne, normy referencyjne powinny również umożliwiać wydawanie kwalifikowanych certyfikatów uwierzytelniania witryn internetowych na różne sposoby, tj. jako certyfikaty samodzielne, certyfikaty powiązane z innymi certyfikatami lub w innych konfiguracjach spełniających wymogi rozporządzenia (UE) nr 910/2014. Taka elastyczność w odniesieniu do wydawania kwalifikowanych certyfikatów uwierzytelniania witryn internetowych zapewnia możliwość dostosowania certyfikatów do potrzeb szerokiego zakresu przypadków użycia, co pozwala zachować zaufanie i interoperacyjność we wszystkich państwach członkowskich, jednocześnie nie wpływając na swobodę dostawców przeglądarek internetowych w zakresie zapewniania bezpieczeństwa sieci, uwierzytelniania domen i szyfrowania ruchu sieciowego w sposób i za pomocą technologii, które uznają za najbardziej odpowiednie.

(3) Aby zapewnić wystarczający czas audytu kwalifikowanych dostawców usług zaufania w odniesieniu do spełnienia wymogów niniejszego rozporządzenia, powinno ono mieć zastosowanie po upływie 12 miesięcy od jego wejścia w życie.

(4) Komisja regularnie przeprowadza ocenę nowych technologii, praktyk, norm lub specyfikacji technicznych. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1183 3  Komisja powinna, w razie potrzeby, poddawać niniejsze rozporządzenie przeglądowi i aktualizacji, aby zachować jego aktualność względem globalnych zmian, nowych technologii, praktyk, norm lub specyfikacji technicznych oraz przestrzegać najlepszych praktyk na rynku wewnętrznym.

(5) Do czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia mają zastosowanie rozporządzenie Parlamentu Europejskiego i Rady (Ue) 2016/679 4  oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 5 .

(6) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 6  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 21 października 2025 r. 7

(7) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Normy referencyjne, o których mowa w art. 45 ust. 2 rozporządzenia (UE) nr 910/2014, określono w załączniku do niniejszego rozporządzenia.

Artykuł  2

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia 6 stycznia 2027 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 16 grudnia 2025 r.

ZAŁĄCZNIK

Wykaz norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

1.
W przypadku kwalifikowanych certyfikatów uwierzytelniania witryn internetowych wydawanych w celu wykorzystania w uwierzytelnianiu bezpieczeństwa warstwy transportowej poza kontekstem przeglądarki internetowej:
ETSI EN 319 411-2 V2.6.1 (2025-06); certyfikaty te wydaje się zgodnie z polityką certyfikacji QNCP-w-gen, polityką certyfikacji QEVCP-w lub polityką certyfikacji QNCP-w, jak określono w tej normie, lub
ETSI TS 119 495 V1.7.1 (2024-07).
2.
W przypadku innych kwalifikowanych certyfikatów uwierzytelniania witryn internetowych niż te, o których mowa w pkt 1, w tym w kontekście przeglądarki internetowej:
ETSI TS 119 411-5 V2.1.1 (2025-02).
1 Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. L 337 z 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http:// data.europa.eu/eli/reg/2024/1183/oj).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
5 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
6 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
7 EDPS Formal comments on the draft Implementing Regulation laying down rules for the application of Regulation (EU) No 910/2014 as regards reference standards for qualified certificates for website authentication [Formalne uwagi EIOD do projektu rozporządzenia wykonawczego ustanawiającego zasady stosowania rozporządzenia (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych].
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.2527

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie wykonawcze 2025/2527 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do norm referencyjnych dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych
Data aktu:2025-12-16
Data ogłoszenia:2025-12-17
Data wejścia w życie:2027-01-06, 2026-01-06