Usługi zaufania
Zgodnie z rozporządzeniem w sprawie europejskiej tożsamości cyfrowej definicja usług zaufania jest szersza niż w pierwotnym rozporządzeniu eIDAS. Obejmują one następujące usługi zaufania:
Certyfikaty podpisów elektronicznych, certyfikaty pieczęci elektronicznych, certyfikaty uwierzytelniania witryn internetowych lub certyfikaty na potrzeby świadczenia innych usług zaufania
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej utrzymano ramy prawne dotyczące zaświadczeń, w szczególności różnych zaświadczeń dostosowanych do konkretnych celów. Obejmują one certyfikaty podpisów elektronicznych, pieczęci elektronicznych, uwierzytelniania witryn internetowych oraz świadczenia innych usług zaufania. Certyfikat jest zdefiniowany jako elektroniczne poświadczenie tożsamości osoby, której został wydany, i służy jako dowód ułatwiający określone działania. Utrzymuje się rozróżnienie między certyfikatami kwalifikowanymi i niekwalifikowanymi, które zależy od statusu dostawcy usług zaufania oraz od poziomu wiarygodności poświadczonych informacji. Ponadto jedynym dodatkiem w odniesieniu do certyfikatów jest możliwość wnioskowania o te certyfikaty i przechowywania ich w europejskim portfelu tożsamości cyfrowej,niezależnie od rodzaju certyfikatu.
Podpisy elektroniczne
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej utrzymano ramy prawne dotyczące podpisów elektronicznych, które mają być wydawane i wykorzystywane przez osoby fizyczne do podpisywania dokumentu lub danych. Utrzymuje się rozróżnienie między podpisami elektronicznymi, zaawansowanymi podpisami elektronicznymi i kwalifikowanymi podpisami elektronicznymi, przy czym te ostatnie mają taki sam skutek prawny jak podpisy własnoręczne w całej Unii. Nowe rozporządzenie w sprawie europejskiej tożsamości cyfrowej sprawi, że korzystanie z kwalifikowanych podpisów elektronicznych będzie bezpłatne dla wszystkich osób fizycznych do celów nieprofesjonalnych, gdy zostaną one utworzone za pomocą europejskiego portfela tożsamości cyfrowej.
Pieczęcie elektroniczne
Rozporządzenie w sprawie europejskiej tożsamości cyfrowej nie zmienia ani definicji pieczęci elektronicznych, ani ich tworzenia, walidacji lub zachowania. Pieczęcie elektroniczne mają być wystawiane i wykorzystywane przez osoby prawne w celu zapewnienia pochodzenia i integralności danych/dokumentów. W rozporządzeniu utrzymano również rozróżnienie między pieczęciami elektronicznymi, zaawansowanymi pieczęciami elektronicznymi i kwalifikowanymi pieczęciami elektronicznymi.
Elektroniczne poświadczenia atrybutów
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej wprowadzono wydawanie elektronicznego poświadczenia atrybutów (EAA) jako nową usługę zaufania. EAAS definiuje się jako poświadczenie w formie elektronicznej, które umożliwia uwierzytelnianie atrybutów. Zgodnie z art. 45b ust. 1 zaświadczeń tych nie można pozbawić skutku prawnego ani dopuszczalności jako dowodów w postępowaniu sądowym wyłącznie z tego powodu, że mają one formę elektroniczną. Chociaż te usługi zaufania mogą być kwalifikowane lub niekwalifikowane, w zależności od statusu dostawcy usług zaufania niekwalifikowane EAA muszą być nadal dopuszczane i uznawane w postępowaniu sądowym, chociaż transgraniczne uznawanie nie będzie dla nich obowiązkowe. EAA może być również wydawane przez organ sektora publicznego odpowiedzialny za autentyczne źródło lub przez organizację działającą w jego imieniu. Użytkownicy będą mogli korzystać ze swoich europejskich portfeli tożsamości cyfrowej, aby otrzymywać, zatwierdzać i udostępniać swoje EAA.
Elektroniczne znaczniki czasu
Rozporządzenie w sprawie europejskiej tożsamości cyfrowej nie zmienia przepisów dotyczących elektronicznych znaczników czasu. Ich wydanie ma na celu zapewnienie poprawności czasu powiązanego z danymi/dokumentami. Rozporządzenie w sprawie europejskiej tożsamości cyfrowej nie zmienia przepisów regulujących usługi zaufania, które zapewniają ich tworzenie (w tym na poziomie kwalifikowanym) i walidację.
Uwierzytelnianie strony internetowej
Uwierzytelnianie witryn internetowych zapewniono już w rozporządzeniu (UE) nr 910/2014 w sprawie eIDAS. Zgodnie ze zmienionym rozporządzeniem kwalifikowany certyfikat uwierzytelnienia strony internetowej (QWAC) jest wydawany osobie fizycznej lub prawnej i umożliwia uwierzytelnienie strony internetowej oraz powiązanie strony internetowej z tożsamością osoby, której wydano certyfikat. Rozporządzenie wymaga od przeglądarek internetowych rozpoznawania QWAC i wyświetlania danych dotyczących tożsamości właściciela strony internetowej w sposób przyjazny dla użytkownika. Certyfikaty mogą być kwalifikowane lub niekwalifikowane, a korzystanie z takich certyfikatów przez strony internetowe powinno być dobrowolne.
Archiwizacja elektroniczna
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej wprowadzono elektroniczną archiwizację danych elektronicznych i dokumentów elektronicznych jako usługę zaufania, która odnosi się do zapewniania odbioru, przechowywania, wyszukiwania i usuwania danych elektronicznych i dokumentów elektronicznych. Mogą one być kwalifikowane lub niekwalifikowane, jeżeli są świadczone odpowiednio przez kwalifikowanego lub niekwalifikowanego dostawcę usług zaufania.
Urządzenia do składania podpisu/pieczęci
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej wprowadzono kwalifikowaną usługę zaufania do zarządzania urządzeniami do składania kwalifikowanego podpisu elektronicznego/pieczęci elektronicznych na odległość w imieniu użytkowników. W rozporządzeniu (UE) nr 910/2014 zarządzanie takimi kwalifikowanymi urządzeniami zdalnymi nie zostało sklasyfikowane jako odrębna usługa zaufania.
Elektroniczne księgi rachunkowe
Rozporządzenie w sprawie europejskiej tożsamości cyfrowej wprowadza rejestrowanie danych elektronicznych w rejestrach elektronicznych jako usługę zaufania. Księgi elektroniczne definiuje się jako usługi, które oferują sekwencyjną kolejność chronologiczną rekordów danych, gwarantując integralność i dokładność zarówno samych rekordów, jak i ich kolejności chronologicznej. Można wyróżnić dwie typologie rejestrów elektronicznych: scentralizowane i rozproszone. Rozporządzenie zajmuje neutralne stanowisko w odniesieniu do takiej typologii, a nawet stosowanej technologii. Ponadto księgi elektroniczne mogą być kwalifikowane lub niekwalifikowane. Ogólnie rzecz biorąc, celem jest, aby rejestry elektroniczne, w połączeniu z innymi technologiami, przyczyniały się do tworzenia rozwiązań na rzecz bardziej wydajnych i transformacyjnych usług publicznych.
Usługa rejestrowanego doręczenia elektronicznego
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej utrzymano usługi rejestrowanego doręczenia elektronicznego jako usługi zaufania. Usługi te zapewniają bezpieczny kanał przekazywania dokumentów, w tym dowód wysłania i otrzymania danych. Zapewniają one całkowitą pewność co do identyfikacji adresata i utrzymują wysoki poziom zaufania co do identyfikacji nadawcy. Mogą one być kwalifikowane lub niekwalifikowane, natomiast tylko kwalifikowane usługi rejestrowanego doręczenia elektronicznego są uznawane w całej UE.
Z prawnego punktu widzenia zarówno kwalifikowane, jak i niekwalifikowane usługi zaufania korzystają z klauzuli o niedyskryminacji jako dowodu w sądach. Innymi słowy, usługi zaufania nie mogą zostać odrzucone w postępowaniu sądowym tylko dlatego, że mają formę elektroniczną lub nie są kwalifikowane.
Ze względu na bardziej rygorystyczne wymogi mające zastosowanie do kwalifikowanych dostawców usług zaufania kwalifikowane usługi zaufania mają jednak silniejszy konkretny skutek prawny niż usługi niekwalifikowane, a także wyższy poziom bezpieczeństwa technicznego: Kwalifikowany podpis elektroniczny ma skutek prawny równoważny z podpisem własnoręcznym. Kwalifikowana pieczęć elektroniczna korzysta z domniemania integralności danych i poprawności pochodzenia danych, z którymi kwalifikowana pieczęć elektroniczna jest powiązana. Kwalifikowane elektroniczne poświadczenie atrybutów i poświadczenia atrybutów wydane przez organ sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu mają taki sam skutek prawny jak legalnie wydane poświadczenia w formie papierowej. Kwalifikowane usługi zaufania zapewniają zatem większą pewność prawa i większe bezpieczeństwo transakcji elektronicznych.
Nie ma zmian w odniesieniu do skutków prawnych przyznanych podpisom elektronicznym z pierwotnego rozporządzenia eIDAS na rozporządzenie w sprawie europejskiej tożsamości cyfrowej. To, co się zmieni, to dostępność i łatwość tworzenia kwalifikowanych podpisów elektronicznych. Po zainstalowaniu w europejskim portfelu tożsamości cyfrowej wszystkie osoby fizyczne będą mogły domyślnie podpisać się kwalifikowanym podpisem elektronicznym za pośrednictwem europejskiego portfela tożsamości cyfrowej bezpłatnie, do celów nieprofesjonalnych.
Rozporządzeniem eIDAS nr 910/2014 początkowo wprowadzono stosowanie pieczęci elektronicznych przez podmioty prawne, a przepis ten pozostaje niezmieniony na mocy zmienionego rozporządzenia. Podobnie jak osoby fizyczne, podmioty prawne uzyskają również dostęp do funkcji elektronicznego pieczętowania dokumentów za pomocą europejskiego portfela tożsamości cyfrowej. Dostawcy europejskiego portfela tożsamości cyfrowej lub państwa członkowskie nie są jednak zobowiązani do oferowania takich funkcji osobom prawnym lub w przypadkach zastosowań profesjonalnych bezpłatnie.
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej utrzymano zasadę niedyskryminacji dokumentów elektronicznych, stanowiąc, że nie można odmówić im skutku prawnego ani dopuszczalności wyłącznie na tej podstawie, że mają one formę elektroniczną. Ponadto nie wprowadza się rozróżnienia między danymi elektronicznymi, dokumentami elektronicznymi utworzonymi w formie elektronicznej i dokumentami fizycznymi, które zostały zdigitalizowane. Ponadto, wykorzystując archiwizację elektroniczną jako usługę zaufania, rozporządzenie ustanawia ramy ułatwiające trwałość i czytelność dokumentów elektronicznych, a także zachowanie ich integralności, poufności i dowodu pochodzenia przez cały okres przechowywania.
Jeżeli chodzi o skutki prawne, przepisy rozporządzenia eIDAS, które stanowią, że kwalifikowany podpis elektroniczny lub kwalifikowana pieczęć elektroniczna oparte na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim są uznawane odpowiednio za kwalifikowany podpis elektroniczny lub kwalifikowaną pieczęć elektroniczną we wszystkich pozostałych państwach członkowskich, zostały zachowane w rozporządzeniu w sprawie europejskiej tożsamości cyfrowej (EUDI).
W ciągu 12 miesięcy od daty wejścia w życie rozporządzenia w sprawie EUDI Komisja, w drodze aktów wykonawczych, sporządzi wykaz referencyjnych norm, specyfikacji i procedur, w razie potrzeby, dotyczących kwalifikowanych certyfikatów podpisów elektronicznych. W związku z tym dostawcy kwalifikowanych usług zaufania, odpowiedzialni za wydawanie lub walidację kwalifikowanych certyfikatów podpisów elektronicznych, będą zobowiązani do przestrzegania tych określonych norm i procedur. Kwalifikowane certyfikaty podpisów elektronicznych wydane przed datą wejścia w życie tych aktów wykonawczych zachowują ważność do czasu ich wygaśnięcia lub cofnięcia, w zależności od tego, co nastąpi wcześniej.
W ciągu 12 miesięcy od daty wejścia w życie rozporządzenia w sprawie EUDI Komisja, w drodze aktów wykonawczych, sporządzi wykaz norm referencyjnych, specyfikacji i procedur, w razie potrzeby, dotyczących kwalifikowanych certyfikatów pieczęci elektronicznych. W związku z tym dostawcy kwalifikowanych usług zaufania odpowiedzialni za wydawanie lub walidację certyfikatów kwalifikowanych pieczęci elektronicznych będą zobowiązani do przestrzegania tych określonych norm i procedur. Kwalifikowane certyfikaty pieczęci elektronicznych wydane przed datą wejścia w życie tych aktów wykonawczych zachowują ważność do czasu ich wygaśnięcia lub cofnięcia, w zależności od tego, co nastąpi wcześniej.
Dostawcy usług zaufania
- Jeżeli dostawca usług zaufania chce świadczyć kwalifikowaną usługę zaufania, najpierw zwraca się o ocenę do akredytowanej jednostki oceniającej zgodność. Jednostka musi potwierdzić, że kandydat na kwalifikowanego dostawcę usług zaufania i kwalifikowana usługa zaufania, którą zamierza świadczyć, spełniają wymogi określone w rozporządzeniu w sprawie europejskiej tożsamości cyfrowej i w art. 21 dyrektywy NIS 2 (UE) 2022/2555. Proces ten jest powszechnie określany jako "audyt".
- Po otrzymaniu sprawozdania TSP musi złożyć wniosek do organu nadzorczego państwa, w którym ma siedzibę, wraz ze sprawozdaniem jednostki oceniającej zgodność potwierdzającym zgodność. Organ nadzorczy powinien zweryfikować tę deklarowaną zgodność w ciągu trzech miesięcy. Jeżeli weryfikacja przez organ nadzorczy potrwa dłużej niż oczekiwano, TSP zostanie poinformowany o takim opóźnieniu w ciągu trzech miesięcy od jego złożenia, podając przyczyny opóźnienia, a także zaktualizowany harmonogram.
- Po pozytywnym zakończeniu weryfikacji organ nadzorczy przyznałby status kwalifikowanego podmiotu. Następnie zaktualizowano by krajową zaufaną listę kwalifikowanych dostawców usług zaufania. Dopiero po dodaniu go do listy przez odpowiedzialny organ QTSP będzie mógł rozpocząć oferowanie swojej kwalifikowanej usługi zaufania. Oferowane kwalifikowane usługi zaufania będą korzystać z transgranicznego uznawania w całej UE.
Kwalifikowane usługi zaufania podlegają ocenie zgodności co 24 miesiące. Jednostka oceniająca zgodność przeprowadzi audyt kwalifikowanego dostawcy usług zaufania i świadczonej kwalifikowanej usługi zaufania. Jeżeli nadal spełnia on wymogi określone w rozporządzeniu w sprawie europejskiej tożsamości cyfrowej, QTSP zostanie poinformowane o tym fakcie. Po otrzymaniu sprawozdania QTSP ma trzy dni robocze od daty jego otrzymania na przedłożenie go organowi nadzorczemu. Po pozytywnej weryfikacji przez organ nadzoru status kwalifikowany zostaje utrzymany. Organ nadzorczy zastrzega sobie jednak prawo do zażądania dodatkowych dowodów lub przeprowadzenia dalszych ocen w dowolnym momencie.
Za każdym razem, gdy QTSP planuje przeprowadzenie audytu, musi poinformować o tym organ nadzorczy z co najmniej miesięcznym wyprzedzeniem. Ponadto organ nadzorczy jest uprawniony do uczestniczenia w audycie z organem oceny zgodności, jeżeli organ nadzorczy sobie tego życzy.
W okresie między dwoma regularnymi audytami organ nadzorczy może w dowolnym momencie przeprowadzić audyt jednostki oceniającej zgodność lub zwrócić się do niej o przeprowadzenie oceny zgodności w celu potwierdzenia statusu kwalifikowanego świadczonych usług i siebie samego.
Jeżeli QTSP uzyskał już status kwalifikowanego podmiotu wydającego kwalifikowane certyfikaty, przed wejściem w życie rozporządzenia musi przedłożyć organowi nadzorczemu sprawozdanie z oceny zgodności nie później niż dwa lata po wejściu w życie rozporządzenia.
Jeżeli QTSP nie spełni wymogów określonych w rozporządzeniu w sprawie europejskiej tożsamości cyfrowej i nie skoryguje ich w określonym terminie po otrzymaniu informacji, status kwalifikowany może zostać cofnięty, a krajowa zaufana lista odpowiednio zaktualizowana.
Od momentu wskazania na zaufanej liście statusu kwalifikowanego usługi zaufania świadczonej przez dostawcę usług płatniczych jako wycofanego dostawca usług płatniczych nie jest już upoważniony do świadczenia tej kwalifikowanej usługi zaufania.
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej jednostkę oceniającą zgodność definiuje się jako podmiot właściwy do oceny kwalifikowanych dostawców usług zaufania i oferowanych przez nich usług.
Początkowo krajowe jednostki akredytujące ani państwa członkowskie nie miały obowiązku informowania Komisji Europejskiej o akredytowanych jednostkach oceniających zgodność na podstawie art. 3 pkt 18 rozporządzenia eIDAS.
Dzięki wspólnym wysiłkom krajowych organów nadzoru i organów nadzorczych Komisja sporządziła jednak wykazjednostek oceniającychzgodność akredytowanych przez eIDAS.
Zgodnie z rozporządzeniem eIDAS nr 910/2014 jednostki oceniające zgodność są wymienione w kraju, w którym znajduje się jednostka akredytująca, co może różnić się od kraju, w którym jednostka ma siedzibę.
Rozporządzenie w sprawie europejskiej tożsamości cyfrowej wprowadza zmianę, ponieważ państwa członkowskie będą zobowiązane do niezwłocznego powiadamiania Komisji o akredytowanych jednostkach oceniających zgodność, w tym o ich nazwach, adresach i szczegółach akredytacji, wraz z wszelkimi późniejszymi zmianami. Informacje te będą udostępniane wszystkim państwom członkowskim i pozostaną publicznie dostępne.
Zaufane listy mają zasadnicze znaczenie dla zapewnienia pewności i budowania zaufania między podmiotami rynkowymi. Zaufane listy stale wskazują kwalifikowany status dostawcy usług zaufania i oferowaną przez niego usługę zaufania. Wykaz wspiera interoperacyjność kwalifikowanych usług zaufania poprzez ułatwianie walidacji między innymi kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych.
Zgodnie z rozporządzeniem w sprawie europejskiej tożsamości cyfrowej krajowe zaufane listy nadal mają konstytutywny skutek prawny, jak miało to już miejsce w pierwotnym rozporządzeniu eIDAS. Innymi słowy, dostawca/usługa zostanie zakwalifikowany tylko wtedy, gdy pojawi się z ważnym statusem kwalifikowanym na krajowej zaufanej liście państwa członkowskiego, w którym ma siedzibę. W związku z tym użytkownicy (obywatele, przedsiębiorstwa lub organy administracji publicznej) odniosą korzyści ze skutków prawnych związanych z daną kwalifikowaną usługą zaufania tylko wtedy, gdy ta ostatnia zostanie wymieniona (zgodnie z kwalifikacjami) na odpowiedniej zaufanej liście.
Zgodnie z nowym rozporządzeniem w sprawie europejskiej tożsamości cyfrowej dostawcy przeglądarek nie mają obowiązku rozpoznawania, integrowania ani wykorzystywania zaufanych list w swoich produktach. Obowiązek przeglądarek ogranicza się do wyświetlania certyfikowanych danych dotyczących tożsamości i innych poświadczonych atrybutów użytkownikowi końcowemu w przyjazny dla użytkownika sposób w środowisku przeglądarki, za pomocą wybranych przez niego środków technicznych. Ma to na celu zwiększenie bezpieczeństwa i przejrzystości Internetu jako zaufanych usług.
Nie. Jest to decyzja biznesowa dostawców usług zaufania dotycząca tego, czy świadczyć jedną, więcej niż jedną lub wszystkie usługi zaufania, w tym świadczyć usługi w ich wersji kwalifikowanej.
Tak, w kontekście dostarczenia kwalifikowanego certyfikatu lub kwalifikowanego poświadczenia atrybutów, kwalifikowany zaufany dostawca usług (QTSP) jest zobowiązany do zweryfikowania tożsamości osoby fizycznej lub prawnej. Wymóg ten obejmuje również przypadki, w których wydawana jest kwalifikowana usługa rejestrowanego doręczenia elektronicznego. Zgodnie z art. 24 rozporządzenia w sprawie europejskiej tożsamości cyfrowej przy wydawaniu kwalifikowanego certyfikatu lub kwalifikowanego elektronicznego poświadczenia atrybutów QTSP musi zweryfikować tożsamość i wszelkie niezbędne atrybuty danej osoby. Gwarantuje to, że QTSP ma pewność co do dokładności i poprawności tożsamości danej osoby, a także wszelkich istotnych atrybutów, w momencie wydania. Weryfikację można przeprowadzić przy użyciu różnych metod, w tym europejskiego portfela tożsamości cyfrowej, kwalifikowanych podpisów lub pieczęci elektronicznych lub innych wysoce wiarygodnych metod. Ponadto środkiem weryfikacji może być również fizyczna obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej.
Nie. Zgodnie z zasadą rynku wewnętrznego (art. 4) i art. 24a rozporządzenia w sprawie europejskiej tożsamości cyfrowej kwalifikowana usługa zaufania świadczona w jednym państwie członkowskim jest uznawana za kwalifikowaną we wszystkich pozostałych państwach członkowskich.
Rozporządzenie w sprawie europejskiej tożsamości cyfrowej upraszcza proces wzajemnego uznawania usług zaufania, dodając do umowy międzynarodowej zawartej w art. 218 TFUE możliwość przyjmowania aktów wykonawczych w celu ustanowienia warunków, na jakich ramy zaufania państw trzecich można uznać za równoważne z ramami kwalifikowanych usług zaufania w Unii.
Co można/należy zrobić na szczeblu krajowym?
W rozporządzeniu w sprawie europejskiej tożsamości cyfrowej określono nowe kompleksowe ramy zarządzania w zakresie identyfikacji elektronicznej i usług zaufania. Ramy te mają na celu ułatwienie wdrażania i nadzorowania zarówno europejskich portfeli tożsamości cyfrowej, jak i usług zaufania. Nowe ramy zarządzania obejmują w szczególności nowy organ ds. współpracy i koordynacji – Europejską Grupę Współpracy ds. Tożsamości Cyfrowej. Organ ten został upoważniony do wykonywania szerokiego zakresu zadań, np. do wymiany porad i współpracy z Komisją w zakresie pojawiających się inicjatyw politycznych, organizowania wzajemnych ocen notyfikowanych środków identyfikacji elektronicznej innych niż europejski portfel tożsamości cyfrowej, omawiania wniosków o wzajemną pomoc oraz wymiany poglądów, najlepszych praktyk i innych informacji między wszystkimi stronami. Nowa struktura poprawi spójność i skuteczność obecnego systemu zarządzania i zastąpi obecną rozdrobnioną strukturę.
Tak, państwa członkowskie mogą ustanowić inne usługi zaufania. Jeżeli jednak usługi te nie będą zgodne z ramami prawnymi określonymi w zmienionym rozporządzeniu eIDAS, w szczególności w odniesieniu do kwalifikowanych usług zaufania, nie będą miały skutków prawnych w wymiarze transgranicznym.
Co do zasady podpisom elektronicznym i pieczęciom elektronicznym nie odmawia się skutku prawnego ani dopuszczalności jako dowodów w postępowaniu sądowym, w tym przez organy administracji publicznej, wyłącznie z tego powodu, że mają formę elektroniczną lub że nie spełniają wymogów dotyczących kwalifikowanych podpisów/pieczęci elektronicznych. Takie podpisy/pieczęcie elektroniczne powinny korzystać z tej zasady niezależnie od ich formatu technicznego. W rozporządzeniu w sprawie EUDI utrzymano obowiązek uznawania co najmniej tych formatów lub metod technicznych, które są wymienione w akcie wykonawczym przyjętym na podstawie art. 27/37I, w odniesieniu do usług online oferowanych przez organ sektora publicznego lub w jego imieniu.
Nie, przepisy krajowe nie mogą regulować okresu ważności kwalifikowanych certyfikatów, ponieważ jest to zharmonizowane rozporządzeniem w sprawie europejskiej tożsamości cyfrowej.
Nie, przepisy krajowe nie mogą regulować tej kwestii, ponieważ jest to zharmonizowane rozporządzeniem w sprawie europejskiej tożsamości cyfrowej. Rozporządzenie w sprawie europejskiej tożsamości cyfrowej stanowi, że ważność takiej certyfikacji nie może przekraczać pięciu lat, pod warunkiem że oceny narażenia są przeprowadzane co dwa lata. Komisja będzie odpowiedzialna za wydawanie wytycznych dotyczących certyfikacji i ponownej certyfikacji urządzeń do składania kwalifikowanego podpisu elektronicznego i urządzeń do składania kwalifikowanej pieczęci elektronicznej, w tym ich ważności i ograniczeń czasowych. Zapewni to spójność praktyk certyfikacyjnych w całej Unii.
Rozporządzenie wsprawie europejskiej tożsamości cyfrowej stanowi, że państwa członkowskie muszą określić kary za naruszenia, w tym za nadużywanie unijnego znaku zaufania w odniesieniu do kwalifikowanych usług zaufania przez niekwalifikowanych dostawców usług zaufania. Aby zapewnić skuteczne egzekwowanie rozporządzenia przy jednoczesnym zagwarantowaniu skuteczności, proporcjonalności i odstraszającego charakteru kar, w rozporządzeniu przewidziano ustanowienie wytycznych dotyczących administracyjnych kar pieniężnych zarówno dla kwalifikowanych, jak i niekwalifikowanych dostawców usług zaufania. Rozporządzenie ustanawia próg maksymalnych kar, które mogą być stosowane wobec dostawców usług zaufania, w przypadku których stwierdzono naruszenie przepisów dotyczących osób fizycznych.
Działania podejmowane przez instytucje UE i państwa członkowskie
Po wejściu w życie rozporządzenia w sprawie europejskiej tożsamości cyfrowej Komisja wyda szereg aktów wykonawczych mających na celu harmonizację wdrażania wymogów rozporządzenia. Ponadto Komisja będzie wspierać ścisłą i zorganizowaną współpracę z różnymi zainteresowanymi stronami, w tym państwami członkowskimi, społeczeństwem obywatelskim i sektorem prywatnym. Współpraca ta zostanie ułatwiona dzięki grupom ekspertów, ukierunkowanym konsultacjom z zainteresowanymi stronami i konsultacjom publicznym.
Rozporządzeniew sprawie europejskiej tożsamości cyfrowej jest bezpośrednio stosowane we wszystkich 27 państwach członkowskich UE. Państwa członkowskie zapewniają między innymi:
- Wyznaczają jeden lub więcej organów nadzorczych i powiadamiają Komisję o ich nazwach i adresach.
- Wyznaczają jednostki oceniające zgodność do celów certyfikacji europejskich portfeli tożsamości cyfrowej i powiadamiają Komisję o swoich nazwach, adresach i szczegółach akredytacji.
- Współpraca z Komisją w celu wyznaczenia przedstawicieli w grupie współpracy ds. współpracy transgranicznej.
- Wdrożenie skutecznych, proporcjonalnych i odstraszających kar za naruszenia.
- Zapewnienie, aby kwalifikowani dostawcy usług zaufania w zakresie elektronicznego poświadczenia atrybutów mogli elektronicznie weryfikować kluczowe atrybuty na wniosek użytkownika. Atrybuty te obejmują co najmniej atrybuty wymienione w załączniku VI do rozporządzenia w sprawie europejskiej tożsamości cyfrowej, jeżeli opierają się one na autentycznych źródłach w sektorze publicznym.
- Rozważ wprowadzenie kwalifikowanych certyfikatów uwierzytelniania witryn internetowych na rządowych stronach internetowych.
- Dalsze publikowanie i prowadzenie krajowych zaufanych list zgodnie z art. 22.
- Zapewnienie uznawania przez organy sektora publicznego formatów zaawansowanych podpisów elektronicznych i pieczęci elektronicznych zgodnie z art. 27/37.
Rozporządzenie nie ma zastosowania do instytucji UE, które podlegają swoim własnym przyjętym regulaminom wewnętrznym. Komisja Europejska jest obecnie regulowana w tej dziedzinie decyzją Komisji 2021/2121 ustanawiającą własne przepisy Komisji dotyczące dokumentów elektronicznych i cyfrowych.