NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie wykonawcze 2025/849 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do przekazywania informacji Komisji i grupie współpracy na potrzeby wykazu certyfikowanych europejskich portfeli tożsamości cyfrowej

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/849
z dnia 6 maja 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do przekazywania informacji Komisji i grupie współpracy na potrzeby wykazu certyfikowanych europejskich portfeli tożsamości cyfrowej

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE 1 , w szczególności jego art. 5d ust. 7,

a także mając na uwadze, co następuje:

(1) Europejskie ramy tożsamości cyfrowej ("ramy") ustanowione rozporządzeniem (UE) nr 910/2014 stanowią kluczowy element budowy bezpiecznego i interoperacyjnego ekosystemu tożsamości cyfrowej w całej Unii. Ramy te, których podstawę stanowią europejskie portfele tożsamości cyfrowej ("portfele"), mają na celu ułatwienie dostępu do usług online we wszystkich państwach członkowskich obywatelom, mieszkańcom i przedsiębiorstwom, a jednocześnie zapewnienie ochrony danych osobowych i prywatności.

(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 2  oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 3  mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(3) Aby Komisja mogła ustanowić, opublikować w Dzienniku Urzędowym Unii Europejskiej i prowadzić w formie nadającej się do odczytu maszynowego wykaz informacji przekazywanych przez państwa członkowskie na temat certyfikowanych portfeli, Komisja powinna ustanowić formaty i procedury umożliwiające państwom członkowskim przekazywanie wymaganych informacji Komisji i Grupie Współpracy na rzecz Europejskiej Tożsamości Cyfrowej ustanowionej na podstawie art. 46e ust. 1 rozporządzenia (UE) nr 910/2014 ("grupa współpracy"), a także aktualizowanie tych informacji. Biorąc pod uwagę, że przekazywane informacje mają być wykorzystywane przez Komisję, grupę współpracy i ogół społeczeństwa, państwa członkowskie powinny przekazywać informacje przynajmniej w języku angielskim, ponieważ ułatwia to ich szeroką dostępność, ocenę i zrozumienie, a jednocześnie sprzyja współpracy.

(4) Informacje na temat certyfikowanych portfeli, które państwa członkowskie powinny przekazywać, mają zasadnicze znaczenie dla zapewnienia zaufania, przejrzystości i harmonizacji w całym ekosystemie portfeli, a także zwiększenia zaufania użytkowników portfela, dostawców portfela i organów regulacyjnych. W związku z tym powinny one zawierać opis rozwiązania w zakresie portfela oraz systemu identyfikacji elektronicznej, w ramach którego dostarcza się rozwiązanie w zakresie portfela. Opis taki powinien zawierać szczegółowe informacje dotyczące organu lub organów odpowiedzialnych za rozwiązanie w zakresie portfela i system identyfikacji elektronicznej, mający zastosowanie system nadzoru, system odpowiedzialności w odniesieniu do strony dostarczającej rozwiązanie w zakresie portfela, ustalenia dotyczące zawieszenia lub unieważnienia systemu identyfikacji elektronicznej, rozwiązanie w zakresie portfela przewidziane w tym systemie lub wszelkie skompromitowane jego części, a także informacje dotyczące certyfikatu i sprawozdania z oceny certyfikacji odnoszącego się do dostarczania i funkcjonowania rozwiązań w zakresie portfela oraz systemów identyfikacji elektronicznej, w ramach których są one dostarczane. Informacje te powinny być wystarczające, aby umożliwić Komisji sporządzenie, opublikowanie w Dzienniku Urzędowym Unii Europejskiej i prowadzenie wykazu certyfikowanych portfeli w formie nadającej się do odczytu maszynowego. W bezpiecznym kanale elektronicznym wykorzystywanym do przekazywania informacji dotyczących certyfikowanych portfeli należy unikać powielania tych samych informacji przez państwa członkowskie.

(5) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 4  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 31 stycznia 2025 r.

(6) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego w art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Przedmiot

W niniejszym rozporządzeniu określa się formaty i procedury dotyczące przekazywania przez państwa członkowskie Komisji i grupie współpracy informacji na potrzeby wykazu certyfikowanych portfeli zgodnie z art. 5d rozporządzenia (UE) nr 910/2014, które mają być regularnie aktualizowane w celu zapewnienia zgodności z rozwojem technologii i opracowywanymi normami oraz z pracami prowadzonymi na podstawie zalecenia Komisji (UE) 2021/946 5 , w szczególności z architekturą i ramami odniesienia.

Artykuł  2

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)
"rozwiązanie w zakresie portfela" oznacza połączenie oprogramowania, sprzętu, usług, ustawień i konfiguracji, z uwzględnieniem instancji portfela, co najmniej jednej bezpiecznej aplikacji kryptograficznej portfela oraz co najmniej jednego bezpiecznego urządzenia kryptograficznego portfela;
2)
"instancja portfela" oznacza aplikację zainstalowaną i skonfigurowaną na urządzeniu lub w środowisku użytkownika portfela, która jest częścią jednostki portfela i z której użytkownik portfela korzysta do interakcji z daną jednostką portfela;
3)
"jednostka portfela" oznacza niepowtarzalną konfigurację rozwiązania w zakresie portfela, która obejmuje instancje portfela, bezpieczne aplikacje kryptograficzne portfela i bezpieczne urządzenia kryptograficzne portfela dostarczane przez dostawcę portfela indywidualnemu użytkownikowi portfela;
4)
"dostawca portfela" oznacza osobę fizyczną lub prawną, która dostarcza rozwiązania w zakresie portfela;
5)
"użytkownik portfela" oznacza użytkownika, który kontroluje jednostkę portfela;
6)
"bezpieczna aplikacja kryptograficzna portfela" oznacza aplikację, która zarządza aktywami krytycznymi, łącząc się z funkcjami kryptograficznymi i niekryptograficznymi zapewnianymi przez bezpieczne urządzenie kryptograficzne portfela oraz korzystając z tych funkcji;
7)
"bezpieczne urządzenie kryptograficzne portfela" oznacza urządzenie odporne na manipulacje, które zapewnia otoczenie połączone z bezpieczną aplikacją kryptograficzną portfela i przez nią wykorzystywane, aby chronić aktywa krytyczne i zapewniać funkcje kryptograficzne na potrzeby bezpiecznego wykonywania operacji krytycznych;
8)
"aktywa krytyczne" oznaczają aktywa wewnątrz jednostki portfela lub z nią związane o tak istotnym znaczeniu, że naruszenie ich dostępności, poufności lub integralności miałoby bardzo poważny, szkodliwy wpływ na zdolność do polegania na danej jednostce portfela;
9)
"dostawca danych identyfikujących osobę" oznacza osobę fizyczną lub prawną odpowiedzialną za wydanie i unieważnienie danych identyfikujących osobę oraz za zapewnienie, aby dane identyfikujące osobę odnoszące się do użytkownika były powiązane kryptograficznie z jednostką portfela.
Artykuł  3

Format, procedura przekazywania i informacje, które mają być przekazywane Komisji przez państwa członkowskie

1. 
Państwa członkowskie przekazują Komisji i grupie współpracy informacje określone w załączniku za pośrednictwem bezpiecznego kanału elektronicznego udostępnionego przez Komisję.
2. 
Państwa członkowskie przekazują informacje wymagane na podstawie ust. 1 przynajmniej w języku angielskim.
3. 
W przypadku jakichkolwiek zmian przekazanych informacji, w tym zmian statusu certyfikacji portfeli, państwa członkowskie przekazują zaktualizowane informacje za pośrednictwem kanału, o którym mowa w ust. 1.
Artykuł  4

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 6 maja 2025 r.

ZAŁĄCZNIK

Informacje przekazywane przez państwa członkowskie

1.
Cel przekazania informacji, wskazany jako jeden z poniższych:
a)
dostarczony i certyfikowany portfel;
b)
zmiana w uprzednio przekazanych informacjach dotyczących portfela;
c)
wniosek o usunięcie portfela z wykazu dostarczonych i certyfikowanych portfeli.
2.
Informacje, które należy przekazać odnośnie do dostarczonego i certyfikowanego portfela:
a)
opis rozwiązania w zakresie portfela, w tym:
nazwa rozwiązania w zakresie portfela;
niepowtarzalny identyfikator odniesienia rozwiązania w zakresie portfela;
nazwa, w stosownych przypadkach nazwa handlowa, adres oraz, w stosownych przypadkach, dodatkowe informacje na temat dostawcy portfela;
opis zarządzania rozwiązaniem w zakresie portfela, w tym:
cechy charakterystyczne i konstrukcja;
wydawanie, dostarczanie i aktywacja;
zawieszenie, unieważnienie i przywrócenie;
odzyskiwanie i tworzenie kopii zapasowych, w stosownych przypadkach;
wznowienie i wymiana;
praktyki zarządzania dziennikami transakcji portfela;
b)
opis systemu identyfikacji elektronicznej, w ramach którego zapewnia się i certyfikuje rozwiązanie w zakresie portfela, w tym:
tytuł systemu identyfikacji elektronicznej;
niepowtarzalny identyfikator systemu identyfikacji elektronicznej;
nazwa organu lub organów odpowiedzialnych za system identyfikacji elektronicznej;
opis zarządzania systemem identyfikacji elektronicznej i jego organizacji;
nazwa, w stosownych przypadkach nazwa handlowa, adres oraz, w stosownych przypadkach, dodatkowe informacje na temat dostawcy lub dostawców danych identyfikujących osobę;
w odniesieniu do każdego dostawcy danych identyfikujących osobę:
zbiór lub zbiory danych identyfikujących osobę przekazanych osobom fizycznym i prawnym w ramach systemu identyfikacji elektronicznej;
opis zbioru lub zbiorów danych identyfikujących osobę, w odniesieniu do których państwo członkowskie zapewnia niepowtarzalność;
opis systemu nadzoru zgodnie z art. 46a rozporządzenia (UE) nr 910/2014 w odniesieniu do:
dostawców danych identyfikujących osobę, z uwzględnieniem identyfikacji podmiotu nadzorującego;
dostawcy portfela, z uwzględnieniem identyfikacji podmiotu nadzorującego;
opis systemu odpowiedzialności zgodnie z art. 5a ust. 19 rozporządzenia (UE) nr 910/2014 w odniesieniu do:
dostawcy lub dostawców danych identyfikujących osobę;
dostawcy portfela;
opis procesu rejestracji, w tym opisy:
wnioskowania o jednostki portfela i dane identyfikujące osobę;
rejestracji użytkowników portfela;
poświadczania tożsamości i weryfikacji osób fizycznych, w stosownych przypadkach;
poświadczania tożsamości i weryfikacji osób prawnych, w stosownych przypadkach;
wszelkie polityki mające zastosowanie do organów odpowiedzialnych za system identyfikacji elektronicznej, w tym ustalenia dotyczące zawieszenia lub unieważnienia:
systemów identyfikacji elektronicznej;
poświadczeń jednostki portfela wydanych przez dostawcę portfela;
wszelkich innych skompromitowanych części portfeli;
c)
certyfikat i sprawozdanie z oceny certyfikacji zgodnie z art. 5c rozporządzenia (UE) nr 910/2014.
1 Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
3 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
5 Zalecenie Komisji (UE) 2021/946 z dnia 3 czerwca 2021 r. w sprawie wspólnego unijnego zestawu narzędzi na potrzeby skoordynowanego podejścia do europejskich ram tożsamości cyfrowej (Dz.U. L 210 z 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/ reco/2021/946/oj).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.849

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie wykonawcze 2025/849 ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do przekazywania informacji Komisji i grupie współpracy na potrzeby wykazu certyfikowanych europejskich portfeli tożsamości cyfrowej
Data aktu:2025-05-06
Data ogłoszenia:2025-05-07
Data wejścia w życie:2025-05-27