19 lutego opublikowano projekt nowelizacji ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw. Celem zmian jest dostosowanie polskich przepisów do znowelizowanego rozporządzenia eIDAS (UE 2024/1183). Projekt wprowadza m.in. Europejski Portfel Tożsamości Cyfrowej (EUDI Walet), nowe zasady identyfikacji elektronicznej oraz rozwiązania, które dotyczą podpisu elektronicznego i elektronicznych poświadczeń atrybutów.
Zakres nowelizacji
Projekt obejmuje zmiany w czterech ustawach:
- ustawie o usługach zaufania oraz identyfikacji elektronicznej,
- ustawie o informatyzacji działalności podmiotów publicznych,
- ustawie o e-Doręczeniach,
- ustawie o aplikacji mObywatel.
Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet)
EUDI Wallet stanowi kluczowy element, wynikający z nowelizacji rozporządzenia eIDAS. Państwa członkowskie są zobowiązane do zapewnienia portfela dla osób fizycznych i prawnych. Rozporządzenie określa wymagania funkcjonalne oraz obowiązek certyfikacji. W Polsce wdrożenie planowane jest na 24 grudnia 2026 r. Portfel będzie funkcjonował jako środek identyfikacji elektronicznej w ramach krajowego systemu notyfikowanego w Komisji Europejskiej i zostanie włączony do krajowego węzła identyfikacji elektronicznej. Źródłem danych identyfikacyjnych pozostaje rejestr PESEL, a podstawowy zestaw danych obejmuje imię, nazwisko, datę urodzenia oraz numer PESEL.
Europejski Portfel Tożsamości Cyfrowej a aplikacja mObywatel
EUDI Wallet i aplikacja mObywatel przynajmniej czasowo będą funkcjonować jako niezależne rozwiązania. Projekt nie przewiduje wymiany danych między nimi ani ich pełnej funkcjonalnej równoważności. Wynika to z odmiennych wymagań technicznych i regulacyjnych.
Certyfikacja portfela
Certyfikacja Europejskiego Portfela Tożsamości Cyfrowej będzie realizowana w dwóch zakresach:
- cyberbezpieczeństwo – zgodnie z przepisami krajowego systemu certyfikacji,
- pozostałe wymagania – na podstawie ustawy o usługach zaufania i identyfikacji elektronicznej.
Profile zaufane podmiotów publicznych
Projekt wprowadza:
- profil zaufany podmiotu publicznego,
- profil zaufany osoby fizycznej reprezentującej podmiot publiczny.
Profil podmiotu publicznego stanowi środek identyfikacji osoby prawnej, natomiast profil osoby fizycznej umożliwia działanie w jej imieniu. Rozwiązania te są powiązane z profilami zaufanymi osób fizycznych uprawnionych do reprezentacji.
Potwierdzenie tożsamości użytkownika
W procesie onboardingu do Europejski Portfel Tożsamości Cyfrowej przewidziano trzy możliwe metody potwierdzania tożsamości:
- profil osobisty (wysoki poziom bezpieczeństwa),
- profil zaufany wraz z dodatkową weryfikacją zgodną z eIDAS,
- potwierdzenie tożsamości w punkcie potwierdzającym z udziałem fizycznym i dokumentem tożsamości.
Funkcję punktów potwierdzających będą pełnić wojewodowie. Możliwe będzie także – za zgodą ministra właściwego ds. informatyzacji – wykonywanie tej funkcji przez banki krajowe oraz wybrane jednostki samorządu terytorialnego.
Tożsamość osób prawnych
Projekt określa minimalny zestaw danych identyfikujących osoby prawne zgodny z wymaganiami eIDAS. Portfel osoby prawnej będzie dostępny wyłącznie dla użytkowników posiadających Europejski Portfel Tożsamości Cyfrowej jako osoby fizyczne. Uzyskanie go będzie możliwe po uwierzytelnieniu oraz przedstawieniu kwalifikowanego poświadczenia atrybutów potwierdzającego uprawnienie do reprezentacji. Przewiduje się również możliwość uzyskania portfela przez osoby fizyczne prowadzące działalność gospodarczą. Nie przewiduje się odrębnej aplikacji dla osób prawnych. Dalsze regulacje unijne dotyczące portfeli biznesowych mogą jednak wpłynąć na to rozwiązanie.
Elektroniczne poświadczenia atrybutów (EAA)
Elektroniczne poświadczenia atrybutów to nowa usługa zaufania wprowadzona nowelizacją eIDAS. Dzięki nim, na terenie całej UE, będziemy cyfrowo potwierdzać konkretne uprawnienia i dane (np. prawo jazdy, dyplom) bezpośrednio w portfelu, korzystając z weryfikacji w rejestrach państwowych. Projekt odwołuje się do bezpośredniego stosowania przepisów unijnego rozporządzenia eIDAS, w tym formatów określonych w jego załącznikach. Weryfikacja atrybutów będzie realizowana przez właściwe podmioty publiczne, odpowiedzialne za odpowiednie rejestry.
Minister właściwy ds. informatyzacji będzie odpowiedzialny za składanie wniosków, dotyczących katalogów atrybutów i schematów poświadczeń do Komisji Europejskiej. Nie przewiduje się wykorzystania obecnych dokumentów z aplikacji mObywatel w tym procesie.
Podpis elektroniczny w portfelu
Projekt przewiduje możliwość nieodpłatnego składania kwalifikowanego podpisu elektronicznego przez użytkowników EUDI Wallet. Podpis będzie realizowany z wykorzystaniem kwalifikowanych urządzeń i usług dostawców usług zaufania, ponieważ urządzenia użytkownika (np. smartfony) nie spełniają wymogów certyfikacyjnych. Usługa:
- będzie dostępna wyłącznie dla celów nieprofesjonalnych,
- będzie świadczona przez kwalifikowanych dostawców,
- będzie objęta mechanizmem rekompensaty kosztów,
- będzie koordynowana przez ministra właściwego ds. informatyzacji.
Dokumenty podpisane w ten sposób będą odpowiednio oznaczane w celu umożliwienia identyfikacji charakteru użycia podpisu. Projekt nie przewiduje sankcji za użycie niezgodne z przeznaczeniem, jednak oznaczenia mają umożliwiać ocenę wiarygodności przez strony ufające. Nie planuje się zmian w zakresie podpisu zaufanego ani podpisu osobistego w kierunku spełnienia wymogów podpisu kwalifikowanego.
Katalog Podmiotów Publicznych (KPP)
W obszarze doręczeń elektronicznych projekt wprowadza Katalog Podmiotów Publicznych (KPP), który ma umożliwić weryfikację danych podmiotów, w szczególności na potrzeby rejestru stron ufających oraz jego aktualizacji.
Wejście w życie przepisów
Projekt zakłada wejście w życie przepisów 24 grudnia 2026 r., z wyjątkami. Przewidziano możliwość wcześniejszego wykorzystania Europejskiego Portfela Tożsamości Cyfrowej w krajowych usługach publicznych jako środka identyfikacji elektronicznej na średnim poziomie bezpieczeństwa, jeszcze przed zakończeniem pełnej certyfikacji. Część regulacji, dotyczących osób prawnych oraz powiązanych mechanizmów identyfikacji ma wejść w życie w późniejszym terminie.
Data publikacji: 24.03.2026