Rozdział 2 - Krajowa infrastruktura zaufania - Usługi zaufania oraz identyfikacja elektroniczna.
Dziennik Ustaw
Dz.U.2024.422 t.j.
Akt obowiązujący Wersja od: 20 marca 2024 r.
Rozdział 2
Krajowa infrastruktura zaufania
Krajowa infrastruktura zaufania
Minister właściwy do spraw informatyzacji zapewnia funkcjonowanie krajowej infrastruktury zaufania, która obejmuje:
1)
rejestr dostawców usług zaufania, zwany dalej "rejestrem";2)
zaufaną listę;3)
narodowe centrum certyfikacji.1.
Rejestr jest prowadzony w postaci elektronicznej.2.
Rejestr jest jawny. Każdy ma prawo dostępu do danych zawartych w rejestrze.3.
Do rejestru wpisuje się dostawców usług zaufania, którzy mają siedzibę lub oddział na terytorium Rzeczypospolitej Polskiej, oraz usługi zaufania świadczone przez tych dostawców.4.
Do rejestru wpisuje się:1)
imię i nazwisko lub firmę (nazwę) dostawcy usług zaufania;2)
adres siedziby i miejsca wykonywania działalności;3)
numer w Krajowym Rejestrze Sądowym - w przypadku dostawców usług zaufania podlegających wpisowi do tego rejestru;4)
numer identyfikacji podatkowej;5)
nazwę polityki świadczenia usług;6)
rodzaj świadczonych usług zaufania;7)
datę rozpoczęcia świadczenia usługi zaufania;8)
datę zakończenia świadczenia usługi zaufania;9)
informację o wystawionych certyfikatach, o których mowa w art. 10 ust. 1 pkt 1;10)
nazwę i adres zakładu ubezpieczeń, z którym dostawca usług zaufania zawarł umowę ubezpieczenia, okres, na jaki umowa ta została zawarta, oraz sumę ubezpieczenia;11)
informacje o zamiarze zaprzestania prowadzenia działalności w zakresie świadczenia usług zaufania lub zamiarze ograniczenia zakresu świadczonych usług zaufania;12)
informacje o otwarciu likwidacji dostawcy usług zaufania oraz datę jego likwidacji;13)
informacje o ogłoszeniu upadłości dostawcy usług zaufania lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe (Dz. U. z 2022 r. poz. 1520 oraz z 2023 r. poz. 825, 1723, 1843 i 1860) oraz datę zakończenia postępowania upadłościowego;14)
datę wykreślenia z rejestru dostawcy usług zaufania.1.
Wpis do rejestru:1)
dostawcy usług zaufania, który zamierza świadczyć kwalifikowane usługi zaufania, lub2)
kwalifikowanej usługi zaufania- następuje na wniosek dostawcy usług zaufania.
2.
Wniosek o wpis, o którym mowa w ust. 1, zawiera dane i informacje, o których mowa w art. 3 ust. 4 pkt 1-7.3.
Minister właściwy do spraw informatyzacji udostępnia w Biuletynie Informacji Publicznej formularz wniosku o wpis, o którym mowa w ust. 1.4.
Do wniosku o wpis, o którym mowa w ust. 1, dołącza się, w postaci elektronicznej:1)
raport z oceny zgodności, o którym mowa w art. 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73), zwanego dalej "rozporządzeniem 910/2014", wydany przez jednostkę oceniającą zgodność;2)
politykę świadczenia usług objętych wnioskiem, zgodnie z którą mają być świadczone usługi zaufania;3)
plan zakończenia działalności, o którym mowa w art. 24 ust. 2 lit. i rozporządzenia 910/2014;4)
dane niezbędne do wystawienia certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1.5.
Do wniosku o wpis, o którym mowa w ust. 1, można dołączyć kopie dokumentów, o których mowa w ust. 4 pkt 1-3.6.
Minister właściwy do spraw informatyzacji, po rozpatrzeniu wniosku, o którym mowa w ust. 1, wydaje decyzję o wpisie:1)
dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania;2)
kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania.7.
Decyzja o wpisie, o której mowa w ust. 6, zawiera informacje podlegające wpisowi do rejestru.1.
Decyzja, o której mowa w art. 4 ust. 6, jest podstawą do wydania certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1, oraz dokonania wpisu na zaufaną listę i oznacza nadanie statusu kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego usłudze.2.
Minister właściwy do spraw informatyzacji prowadzi zaufaną listę.1.
Wpis do rejestru:1)
niekwalifikowanego dostawcy usług zaufania lub2)
niekwalifikowanej usługi zaufania- następuje na podstawie zgłoszenia przesłanego w postaci elektronicznej przez dostawcę usług zaufania.
2.
Niekwalifikowany dostawca usług zaufania w zgłoszeniu, o którym mowa w ust. 1, zgłasza co najmniej informacje, o których mowa w art. 3 ust. 4 pkt 1-6.Dostawca usług zaufania wpisany do rejestru jest obowiązany informować ministra właściwego do spraw informatyzacji o:
1)
każdej zmianie danych wpisanych do rejestru - w terminie 14 dni od zmiany tych danych;2)
zamiarze zaprzestania świadczenia kwalifikowanych usług zaufania, otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe - niezwłocznie.1.
Minister właściwy do spraw informatyzacji wykreśla kwalifikowanego dostawcę usług zaufania lub świadczoną przez niego kwalifikowaną usługę zaufania z rejestru w drodze decyzji.2.
Decyzja o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania oznacza odebranie statusu kwalifikowanego temu dostawcy.3.
Decyzja o wykreśleniu z rejestru kwalifikowanej usługi zaufania oznacza odebranie tej usłudze statusu kwalifikowanego.4.
Minister właściwy do spraw informatyzacji wydaje decyzję o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego kwalifikowanej usługi zaufania w przypadku:1)
złożenia przez tego dostawcę wniosku o wykreślenie z rejestru;2)
wykorzystywania certyfikatów, o których mowa w art. 10 ust. 1 pkt 1, w sposób wykraczający poza zakres ich stosowania;3)
o którym mowa w art. 20 ust. 3 rozporządzenia 910/2014;4)
zaprzestania działalności przez kwalifikowanego dostawcę usług zaufania.5.
Decyzja o wykreśleniu, o której mowa w ust. 1, jest podstawą wykreślenia dostawcy usług zaufania z zaufanej listy oraz może być podstawą do unieważnienia certyfikatów, o których mowa w art. 10 ust. 1 pkt 1.6.
Minister właściwy do spraw informatyzacji wykreśla niekwalifikowanego dostawcę usług zaufania z rejestru w przypadku ustalenia, że zaprzestał on świadczenia usług zaufania.1.
Decyzja o wykreśleniu kwalifikowanego dostawcy usług zaufania z rejestru oraz decyzja o wykreśleniu wpisu kwalifikowanej usługi zaufania z rejestru podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634, 1705 i 1860) nie stosuje się.2.
W przypadku wykreślenia dostawcy usług zaufania z rejestru w rejestrze pozostawia się informacje o dostawcy i świadczonych przez niego usługach.1.
Narodowe centrum certyfikacji:1)
tworzy i wydaje kwalifikowanym dostawcom usług zaufania certyfikaty służące do weryfikacji zaawansowanych podpisów elektronicznych lub pieczęci elektronicznych, o których mowa w załączniku I lit. g, załączniku III lit. g i załączniku IV lit. h do rozporządzenia 910/2014, oraz certyfikatów służących do weryfikacji innych usług zaufania świadczonych przez kwalifikowanych dostawców, zwanych dalej "certyfikatami dostawcy usług zaufania";2)
publikuje certyfikaty, o których mowa w pkt 1;3)
publikuje listy unieważnionych certyfikatów, o których mowa w pkt 1;4)
tworzy dane do opatrywania pieczęcią elektroniczną certyfikatów, o których mowa w pkt 1, oraz certyfikatów do weryfikacji tych pieczęci, zwanych dalej "certyfikatami narodowego centrum certyfikacji".2.
Narodowe centrum certyfikacji realizuje zadania, o których mowa w ust. 1, zgodnie z polityką certyfikacji.Art. 11. [Upoważnienie NBP do realizacji zadań narodowego centrum certyfikacji, prowadzenia rejestru i zaufanej listy]
1.
Na wniosek Prezesa Narodowego Banku Polskiego, minister właściwy do spraw informatyzacji może upoważnić Narodowy Bank Polski do realizacji zadań, o których mowa w art. 10, jak również do prowadzenia rejestru i zaufanej listy.2.
W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10, polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z ministrem właściwym do spraw informatyzacji.3.
W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10, minister właściwy do spraw informatyzacji przekazuje do Narodowego Banku Polskiego kopie dokumentów stanowiących podstawę wpisu do rejestru lub wykreślenia z rejestru albo zmian wpisów w rejestrze.Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:
1)
wymagania organizacyjno-techniczne krajowej infrastruktury zaufania,2)
szczegółową treść wpisów w rejestrze oraz sposób ich dokonywania,3)
tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji,4)
wymagania dla polityki certyfikacji narodowego centrum certyfikacji,5)
wymagania bezpieczeństwa krajowej infrastruktury zaufania- uwzględniając konieczność zapewnienia ochrony tajemnicy przedsiębiorstwa i interesów odbiorców usług zaufania oraz interoperacyjność systemów stosowanych przez dostawców usług zaufania oraz krajową infrastrukturę zaufania.