Prezydencja Rady Unii Europejskiej i przedstawiciele Parlamentu Europejskiego 28 czerwca 2023 osiągnęli wstępne porozumienie polityczne co do podstawowych elementów nowych ram Europejskiej Cyfrowej Tożsamości. Celem porozumienia jest zapewnienie bezpiecznego, godnego zaufania i bezproblemowego dostępu do transgranicznych usług publicznych i prywatnych w UE. Porozumienie przybliża wejście w życie nowelizacji rozporządzenia eIDAS, które daje podstawy stosowania identyfikacji i usług zaufania w Unii Europejskiej.
Zmienione rozporządzenie stanowi wyraźną zmianę paradygmatu tożsamości cyfrowej w Europie, mające na celu zapewnienie obywatelom i przedsiębiorstwom powszechnego dostępu do narzędzi bezpiecznej i godnej zaufania identyfikacji elektronicznej i uwierzytelniania elektronicznego za pomocą osobistego portfela cyfrowego w telefonie komórkowym. Dodatkowo rozporządzenie stworzy warunki powszechnej akceptacji Europejskiego Portfela Cyfrowej Tożsamości.
Coraz więcej osób wykorzystuje swoją tożsamość i referencje w codziennych kontaktach z podmiotami publicznymi i prywatnymi. Europejski portfel tożsamości cyfrowej jest zatem niezbędny dla swobodnego dostępu do usług elektronicznych i swobody przemieszczania się w UE. W ten sposób do 2030 r. co najmniej 80 proc. obywateli UE powinno mieć możliwość korzystania z rozwiązania elektronicznej identyfikacji w celu uzyskania dostępu do kluczowych usług publicznych, a także dostęp do wielu usług prywatnych niezależnie do kraju, z którego się pochodzi.
Europejski portfel cyfrowej tożsamości
Jednym z głównych celów politycznych zmienionego rozporządzenia jest zapewnienie obywatelom i innym mieszkańcom, zgodnie z definicją zawartą w prawie krajowym, zharmonizowanego europejskiego środka identyfikacji elektronicznej opartego na koncepcji europejskiego portfela tożsamości cyfrowej. Środek ten będzie dostępny zarówno dla usług online jaki i w bezpośredniej fizycznej obecności dla usług offline.
Jako środek identyfikacji elektronicznej („eID”) wydany w ramach systemów krajowych, portfel byłby samodzielnym środkiem identyfikacji elektronicznej. W tekście wstępnego porozumienia rozwinięto koncepcję portfela i jego wzajemne oddziaływanie z już istniejącymi krajowymi środkami identyfikacji elektronicznej.
Wysoki poziom zaufania i bezpieczeństwa
Poziomy zaufania powinny charakteryzować stopień bezpieczeństwa środka identyfikacji elektronicznej, dając w ten sposób pewność, że osoba deklarująca określoną tożsamość jest w rzeczywistości osobą, której przypisano tę tożsamość. W związku z tym portfel musi być emitowany w ramach systemu identyfikacji elektronicznej spełniającego poziom bezpieczeństwa i zaufania „wysoki”. Wstępne porozumienie wyjaśnia również, że wydanie, używanie do uwierzytelniania i odwoływanie portfeli powinno być bezpłatne dla osób fizycznych.
Portfel zapewni również możliwość bezpłatnego składania podpisów elektronicznych osobom fizycznym.
Rozszerzenie listy usług zaufania
Ponadto, aby odpowiedzieć na dynamikę rynków i rozwój technologiczny, zmienione rozporządzenie rozszerza obecny wykaz usług zaufania o nowe kwalifikowane usługi zaufania, w tym zapewnienie elektronicznych rejestrów (zapis do blockchain) oraz zarządzanie zdalnymi urządzeniami do składania podpisów elektronicznych i pieczęci.
Zharmonizowane podejście do bezpieczeństwa
Zmienione rozporządzenie oferuje również zharmonizowane podejście do bezpieczeństwa dla obywateli polegających na europejskiej tożsamości cyfrowej reprezentującej ich w internecie oraz dla dostawców usług internetowych, którzy będą mogli w pełni polegać na rozwiązaniach w zakresie tożsamości cyfrowej i akceptować je niezależnie od tego, gdzie zostały wydane.
Nowe przepisy oznaczają zmianę dla emitentów europejskich rozwiązań w zakresie tożsamości cyfrowej, zapewniając wspólną architekturę techniczną i ramy odniesienia oraz wspólne standardy, które mają zostać opracowane z państwami członkowskimi. Użytkownicy mogliby zatem polegać na ulepszonym ekosystemie tożsamości elektronicznej i usług zaufania uznawanych i akceptowanych w całej UE.
Dostosowanie do obowiązujących przepisów dotyczących cyberbezpieczeństwa
Zmienione rozporządzenie powinno lewarować odpowiednie i istniejące systemy certyfikacji określone europejskim przepisami w sprawie cyberbezpieczeństwa (Cybersecurity Act), opierać się na nich i nakazywać stosowanie tych systemów w celu poświadczania zgodności portfeli z mającymi zastosowanie wymogami cyberbezpieczeństwa. Aby w miarę możliwości dostosować zmienione rozporządzenie w sprawie identyfikacji elektronicznej do obowiązujących przepisów dotyczących cyberbezpieczeństwa, państwa członkowskie wyznaczą publiczne i prywatne podmioty akredytowane do certyfikacji portfela zgodnie z aktem w sprawie cyberbezpieczeństwa.
Elektroniczne poświadczanie atrybutów przez organy publiczne
Wydawanie elektronicznych poświadczeń atrybutów, takich jak orzeczenia lekarskie lub kwalifikacje zawodowe, przez kwalifikowanych dostawców zostało zachowane z pierwotnego wniosku Komisji. W ten sposób tekst wstępnego porozumienia zapewnia ogólnoeuropejskie uznawanie takich danych uwierzytelniających w formie elektronicznej i umożliwia użytkownikom ograniczenie udostępniania danych dotyczących tożsamości do tego, co jest ściśle niezbędne do świadczenia usługi.
Dopasowanie rekordów
Zmienione ramy nakładają na państwa członkowskie obowiązek jednoznacznego dopasowywania tożsamości w przypadku usług transgranicznych.
Dalsze działania
Prace pomiędzy Radą i Parlamentem będą kontynuowane w celu ukończenia tekstu prawnego zgodnie z porozumieniem politycznym. Po sfinalizowaniu tekst zostanie przedłożony przedstawicielom państw członkowskich do zatwierdzenia. Zmienione rozporządzenie, z zastrzeżeniem weryfikacji prawno-językowej, będzie musiało zostać formalnie przyjęte przez Parlament i Radę, zanim będzie mogło zostać opublikowane w Dzienniku Urzędowym UE i wejść w życie.
Tło
W czerwcu 2021 r. Komisja zaproponowała ramy europejskiej tożsamości cyfrowej, które byłyby dostępne dla wszystkich obywateli, mieszkańców i przedsiębiorstw UE za pośrednictwem europejskiego portfela tożsamości cyfrowej.
Proponowane nowe ramy zmieniają rozporządzenie z 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie eIDAS), które położyło podwaliny pod bezpieczny dostęp do usług publicznych i przeprowadzanie transakcji online i transgranicznych w UE.
Wniosek nakłada na państwa członkowskie obowiązek wydawania portfela cyfrowego w ramach zgłoszonego systemu identyfikacji elektronicznej, opartego na wspólnych standardach technicznych, po obowiązkowej certyfikacji. Aby stworzyć niezbędną architekturę techniczną, przyspieszyć wdrażanie zmienionego rozporządzenia, zapewnić wytyczne dla państw członkowskich i uniknąć rozdrobnienia, wnioskowi towarzyszyło zalecenie dotyczące opracowania unijnego zestawu narzędzi określającego specyfikacje techniczne portfela.
Polecane publikacje:
- Architektura Europejskiej Tożsamości Cyfrowej
- Cyfrowy Portfel Tożsamości dla Europejczyków – plany, zapowiedzi, szanse
- Funkcje portfela cyfrowej tożsamości
- Poświadczenia atrybutów
- Nowelizacja eIDAS wprowadza Europejski Portfel Cyfrowej Tożsamości
Data publikacji: 30.06.2023