ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY zmieniające rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej

[Rozporządzenie o tożsamości cyfrowej, EDI Regulation, EDIR, eIDAS]

Podsumowanie

Celem rozporządzenia jest rozpowszechnienie rozwiązań w zakresie tożsamości cyfrowej w usługach publicznych i prywatnych. Na mocy rozporządzenia stworzony zostanie europejski portfel tożsamości cyfrowej (EDIW) – kompleksowe rozwiązanie służące do uwierzytelniania użytkownika, dostarczania danych go dotyczących do innych podmiotów, a także składania kwalifikowanych podpisów i pieczęci. Dla niektórych dostawców akceptowanie EDIW będzie obowiązkowe. Rozporządzenie wprowadzi też regulacje nakierowane na harmonizację rozwiązań w zakresie tożsamości cyfrowej w ramach UE. Ponadto rozporządzenie zdefiniuje nowe kwalifikowane usługi zaufania, a także zmodyfikuje dotychczasowe obowiązki ich dostawców.

Wpływ

Rozporządzenie ureguluje obowiązki podmiotów akceptujących EDIW (stron ufających). Akceptowanie EDIW będzie obowiązkowe dla:

• dostawców, którzy stosują silne uwierzytelnienie użytkownika do celów identyfikacji w usługach online ze względu na obowiązek prawny lub umowny (dotyczy w szczególności podmiotów z rynku finansowego),
• bardzo dużych platform internetowych w rozumieniu Digital Services Act,
• państw członkowskich w sytuacji, gdy wymagają identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia w celu dostępu do usługi online świadczonej przez podmiot sektora publicznego.

Rozporządzenie ureguluje również obowiązki wydawców EDIW (m.in. w zakresie zapewnienia pełnej kontroli użytkownika nad jego e-walletem, czy certyfikacji). Zapewniona zostanie uznawalność EDIW wydanych w innym państwie członkowskim. Zostanie również wprowadzony mechanizm wzajemnego uznawania innych środków identyfikacji elektronicznej.

Rozporządzenie wprowadzi zmiany mające wpływ na dotychczasowych dostawców usług zaufania (m. in. zmiany w zakresie audytów). Utworzone także zostaną nowe kwalifikowane usługi zaufania – usługa archiwizacji elektronicznej, usługa rejestrów elektronicznych oraz usługa zarządzania urządzeniami do składania podpisu elektronicznego (pieczęci) na odległość.

Dostawcy przeglądarek internetowych zostaną zobowiązani, by kwalifikowane certyfikaty uwierzytelniania witryn internetowych były wyświetlane w sposób przyjazny dla użytkownika.

Każde państwo członkowskie będzie zobowiązane notyfikować co najmniej jeden system identyfikacji elektronicznej (do tej pory – w ramach rozporządzenia e-IDAS – uczyniło to jedynie część państw członkowskich).

Wybrane zagadnienia szczegółowe

Europejskie portfele tożsamości cyfrowej (EDIW) powinny zostać udostępnione przez państwa członkowskie w ciągu 24 miesięcy od daty przyjęcia przez Komisję tzw. standardów referencyjnych. Dostawcy usług płatniczych są zobligowani umożliwić użycie EDIW jako silnego uwierzytelnienia (SCA) w ciągu 36 miesięcy od powyższej daty. 21.11.2024 r. minął termin na przyjęcie tych standardów przez Komisję. Jeśli zostaną przyjęte w 2024 r., wtedy pod koniec 2026 r. użytkownicy powinni mieć EDIWY w swoich telefonach, a pod koniec 2027 powinni móc używać swojego EDIWu do silnego uwierzytelnienia zamiast aplikacji banku, SKOK, KIP czy MIP.

W 2027 r. zakres obowiązkowego SCA wyznaczać będzie rozporządzenie o usługach płatniczych PSR, a nie UUP. Zakres SCA w PSR jest zasadniczo podobny do PSD2 (w pracach kolejnych Prezydencji dochodzi jednak do ciągłych zmian w tym zakresie). Oprócz PSR o użyciu „metod silnego uwierzytelnienia” (w polskiej wersji językowej „solidnego” uwierzytelnienia) mowa także w RTS 1774 do DORA, niemniej wymogi eIDAS nie dotyczą tego wymiaru.

Użytkownik ma mieć możliwość wykonania SCA z użyciem każdego EDIW przede wszystkim w scenariuszu logowania do rachunku oraz w scenariuszu zdalnego inicjowania transakcji. W przypadku transakcji inicjowanych przez lub za pośrednictwem odbiorcy w aplikacjach może oznaczać konieczność powszechnego wdrożenia komunikacji app-to-app. W zakresie transakcji tzw. proximity (POS, ATM, vending machines) wymóg honorowania EDIW jako SCA nie stosuje się, mimo że stosowanie SCA jest w nich obowiązkowe.

Dostawca EDIW niebędący przedsiębiorstwem w rozumieniu DORA nie będzie ICT TPSP. Nie będzie to też outsourcing regulowany. W tym zakresie warto byłoby jednoznaczne przesądzić w PSR, że dostawca EDIW nie jest tzw. TSP (technical service provider) uczestniczącym w SCA. Celem jest uniknięcie dywagacji o ich odpowiedzialności na gruncie art. 58 PSR czy obowiązku zawarcia umowy outsourcingowej z art. 87 PSR (numeracja przepisów zgodnie z pierwszym projektem PSR).