Pierwsze akty implementacyjne eIDAS 2.0 weszły w życie

obserwatorium.biz 2 miesięcy temu

Weszły w życie pierwsze rozporządzenia wykonawcze do Europejskich Ram Tożsamości Cyfrowej znowelizowanego eIDAS

Znowelizowane Rozporządzanie eIDAS ustanawiające Europejskie Ramy Tożsamości Cyfrowej obowiązuje od maja 2024 roku. Proces legislacyjny nie jest jednak zakończony, ponieważ wciąż wymagane są rozporządzenia wykonawcze zwane również aktami implementacyjnymi. Obecnie eIDAS, jako główny dokument legislacyjny został uzupełniony o pięć pierwszych takich aktów.

Poniżej prezentujemy krótkie streszczenia tych rozporządzeń wykonawczych.

1. Certyfikacja europejskich portfeli tożsamości cyfrowej (C (2024) 8507)

Pierwsze z rozporządzeń określa normy referencyjne oraz ustanawia specyfikacje i procedury w celu stworzenia trwałych ram certyfikacji portfeli. Ramy te będą regularnie aktualizowane, aby zapewnić zgodność z rozwojem technologii i opracowywanymi normami. Aktualizacje uwzględnią także prace prowadzone na podstawie wydanego przez Komisję Europejską w 2021 roku zalecenia dotyczącego wspólnego unijnego zestawu narzędzi dla europejskich ram tożsamości cyfrowej, w szczególności w odniesieniu do ich architektury i ram odniesienia (potocznie zwanym ARF).

Akt ten ma na celu ustanowienie wymagań dotyczących certyfikacji zgodności europejskich portfeli tożsamości cyfrowej. W przypadku gdy państwa członkowskie nie mogą korzystać z europejskich systemów certyfikacji cyberbezpieczeństwa opartych na rozporządzeniu (UE) 2019/881 lub o ile takie systemy nie są wystarczające, muszą ustanowić krajowe systemy certyfikacji w celu ich uzupełnienia. Aktualnie, na poziomie europejskim, ENISA odpowiedzialana jest za wypracowanie programu certyfikacji. W tym celu powołano grupę roboczą, która wesprze ENISA w tym zakresie.

2. Integralność i podstawowe funkcje europejskich portfeli tożsamości cyfrowej (C (2024) 8495)

Drugie z rozporządzeń to jedna z czterech inicjatyw dotyczących struktury technicznej europejskich portfeli tożsamości cyfrowej. Jej celem jest ustanowienie przepisów zapewniających udostępnianie przez państwa członkowskie interoperacyjnych portfeli, które mogą być wykorzystywane do wszystkich zamierzonych celów.

Portfele mają umożliwiać m.in.:

  • bezpieczną transgraniczną identyfikację online dla szerokiego zakresu usług publicznych i prywatnych
  • udostępnianie poświadczeń elektronicznych
  • wydawanie podpisów elektronicznych.

Dączony do rozporządzenia aneks zawiera wykaz norm dotyczących bezpiecznej aplikacji kryptograficznej portfela oraz formatów danych identyfikujących osobę i elektronicznych poświadczeń atrybutów jak również specyfikacje techniczne dotyczące generowania pseudonimów a także wykaz obowiązkowych oraz opcjonalnych formatów podpisu i pieczęci.

3. Ekosystem europejskiego portfela tożsamości cyfrowej (C (2024) 8516)

Kolejny akt dotyczy obowiązków w zakresie powiadamiania Komisji o ekosystemie portfela identyfikacji elektronicznej. Jego celem jest zapewnienie, aby elektroniczny system powiadamiania ustanowiony przez Komisję Europejską funkcjonował jako kanał bezpiecznej i przejrzystej komunikacji służącej wymianie informacji między Komisją a państwami członkowskimi.

To rozporządzenie wykonawcze ustanawia obowiązki wobec Państw Członkowskich w zakresie przekazywania Komisji Europejskiej informacji, które umożliwią walidację:

  • rejestrów elektronicznych wykorzystywanych przez państwo członkowskie do publikowania informacji na temat stron ufających portfela zarejestrowanych w tym państwie członkowskim, informacji na temat lokalizacji rejestrów stron ufających portfela oraz identyfikacji podmiotów rejestrujących strony ufające portfela
  • tożsamości zarejestrowanych stron ufających portfela
  • autentyczności i ważności instancji portfela
  • identyfikacji dostawców portfela
  • autentyczności danych identyfikujących osobę (PID)
  • identyfikacji dostawców danych identyfikujących osobę (PID).

4. Wspierane protokoły i interfejsy obsługiwane przez europejskie ramy tożsamości cyfrowej (C (2024) 8496)

Akt dot. wspieranych protokołów i interfejsów to kolejna z regulacji dotyczących działania europejskich portfeli tożsamości cyfrowej. Jej celem jest zapewnienie adekwatnego wdrożenia protokołów i interfejsów gwarantujących skuteczne funkcjonowanie portfeli.

Dzięki obsłudze wspólnych protokołów i interfejsów, portfele zapewnią:

  • skuteczne wydawanie i przedstawianie danych identyfikacyjnych i poświadczeń elektronicznych stronom ufającym portfela i innym jednostkom portfela
  • skuteczną wymianę danych między portfelami
  • Przekazywanie stronom ufającym żądań usunięcia danych oraz zgłaszania stron ufających organom nadzorczym.

Te zasady dotyczące protokołów i interfejsów rozwiązań w zakresie portfela będą również podlegać regularnej aktualizacji w celu zapewnienia zgodności z rozwojem technologii i nowymi normami, które pojawią się w przyszłości.

5. Dane identyfikujące osobę i elektroniczne poświadczenia atrybutów wydawanych europejskim portfelom tożsamości cyfrowej (C (2024) 8498)

W niniejszym akcie ustanawia się przepisy dotyczące wydawania danych identyfikujących osobę (PID-Person Identification Data) i elektronicznych poświadczeń atrybutów do jednostek portfela;

Celem tego rozporządzenia wykonawczego jest zapewnienie sprawnego zarządzania danymi identyfikującymi osobę, jak i poświadczeń elektronicznych, obejmującego ich:

  • wydawanie
  • weryfikację
  • cofnięcie
  • zawieszenie.

Proces ten ma zagwarantować przekazywanie do portfela danych identyfikujących osobę użytkowników i poświadczeń elektronicznych oraz ich udostępnianie odpowiednim stronom ufającym.

W załączniku do rozporządzenia znajdują się specyfikacje techniczne dotyczące danych identyfikujących osobę takich jak:

  • obowiązkowe oraz opcjonalne dane identyfikujące osobę w przypadku osoby fizycznej oraz prawnej
  • metadane dotyczące danych identyfikujących osobę
  • kodowania atrybutów danych identyfikujących osobę.

Scharakteryzowane powyżej rozporządzenia wykonawcze to pierwsza „paczka” aktów , które zostały przyjęte 28 listopada 2024 roku. 04.12.2024 roku zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i po dwudziestu dniach weszły w życie.

Komisja Europejska zakończyła już konsultacje społeczne następnych pięciu projektów aktów które dotyczą takich obszarów jak:

  • Weryfikacja elektronicznego poświadczenia atrybutów;
  • Transgraniczne dopasowywanie tożsamości;
  • Lista certyfikowanych portfeli;
  • Naruszenia bezpieczeństwa;
  • Rejestracja stron ufających.

Ich przyjęcie planowane jest na pierwszy kwartał 2025 roku.

Data publikacji: 27.02.2025

Idź do oryginalnego materiału