Skip to main content

Ostateczna propozycja eIDAS 2.0 została opublikowana 3 czerwca 2021 r. Jej celem było skorygowanie różnych niedociągnięć i ustanowienie środków umożliwiających obywatelom Europy uzyskanie oficjalnie uznanej tożsamości cyfrowej z większą skutecznością.

eIDAS 2.0 przynosi ogromne możliwości dzięki wprowadzeniu Europejskiego Portfela Tożsamości Cyfrowej (EUDI). Poszerza koncepcję tożsamości o fizyczne usługi i transakcje, które są dostępne z dowolnego miejsca na świecie. Jednocześnie umożliwiają użytkownikowi wyłączną kontrolę nad danymi osobowymi i informacjami.
W tym artykule przyjrzymy się, w jaki sposób weryfikacja tożsamości cyfrowej odgrywa kluczową rolę.

Cele i korzyści eIDAS 2.0

Pierwotne rozporządzenie eIDAS dotyczyło wyłącznie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych oraz wzajemnego uznawania bezpiecznych interakcji elektronicznych między obywatelami, organizacjami i organami publicznymi. Celem było i nadal jest zwiększenie efektywności publicznych i prywatnych usług online, podkreślając znaczenie bezpieczeństwa usług elektronicznych. Usługi te obejmują podpisy elektroniczne, pieczęcie elektroniczne i znaczniki czasu. Jedną z najważniejszych zmian wprowadzonych przez eIDAS 2.0 jest rozszerzenie zakresu rozporządzenia o nowe rodzaje elektronicznych usług zaufania.

eIDAS 2.0 poszerza zakres o usługi rejestrowanego doręczenia elektronicznego, elektroniczne certyfikaty uwierzytelniające i pieczęcie elektroniczne dla dokumentów elektronicznych.

Rozwój koncepcji „kwalifikowanych dostawców usług zaufania” (QTSP) jest kolejną kluczową zmianą wprowadzoną przez rozporządzenie eIDAS 2.0. QTSP odgrywają dużą rolę w zaktualizowanym rozporządzeniu. Będą odpowiedzialni za zapewnienie, że autoryzowane tożsamości cyfrowe są zgodne ze zaktualizowanym rozporządzeniem. Rozporządzenie eIDAS 2.0 definiuje kwalifikowaną usługę zaufania (QTS) i kwalifikowanego dostawcę usług zaufania (QTSP) w celu wykazania zgodności z wysokimi standardami bezpieczeństwa i obowiązkami eIDAS. Kwalifikowane usługi zaufania mogą być oferowane wyłącznie przez kwalifikowanego dostawcę usług zaufania, takiego jak np. Eurocert lub GlobalSign.

QTSP są zobowiązani do spełnienia szeregu warunków bezpieczeństwa jako wyspecjalizowani dostawcy zapewniający bezpieczne transakcje elektroniczne, takie jak podpisy elektroniczne, pieczęcie elektroniczne, certyfikaty cyfrowe lub usługi znakowania czasem. Te warunki wstępne obejmują silne algorytmy kryptograficzne, metody uwierzytelniania, indywidualne ścieżki audytu transakcji i bezpieczną architekturę systemu.

QTSP to dostawca usług zaufania, któremu przyznano status kwalifikowany i który jest nadzorowany przez krajowy organ nadzorczy.

eIDAS 2.0 ma na celu rozszerzenie koncepcji tożsamości na usługi fizyczne, do których można uzyskać dostęp z dowolnego miejsca na świecie. Umożliwi to każdemu Europejczykowi posiadanie zestawu cyfrowych poświadczeń tożsamości (takich jak dowody tożsamości, paszporty, certyfikaty zawodowe i prawa jazdy), które są uznawane w całej UE – inaczej zwanych portfelami europejskiej tożsamości cyfrowej (EUDI). Te „portfele” to aplikacje mobilne lub usługi w chmurze, które gromadzą i przechowują cyfrowe dane uwierzytelniające, umożliwiając ich prywatne i bezpieczne wykorzystanie w różnych przypadkach zastosowań rządowych i pozarządowych.
Rozwój ten wymaga ustanowienia bezpiecznego, zaufanego i skutecznego procesu identyfikacji, który oferuje klientom płynne doświadczenie podczas dokonywania zakupów, rejestracji lub korzystania z usług.

Bezpieczne transakcje elektroniczne między obywatelami, biznesem i organami publicznymi

Celem eIDAS 2.0 jest realizacja celu określonego w europejskiej inicjatywie „Droga do cyfrowej dekady”, która ma umożliwić 80% obywateli UE korzystanie z identyfikacji cyfrowej do 2030 roku.

Obejmuje to możliwość:

  • uwierzytelniania swojej tożsamości poza granicami,
  • wyrażania wyraźnej zgody na udostępnianie określonych danych osobowych,
  • posiadania jasnej wiedzy na temat odbiorców i celów udostępnianych informacji.

Ta legislacja wprowadza koncepcję portfela EUDI i dokonuje transformacji w unijnych ramach tożsamości cyfrowej.
Do tej pory dyskusje wokół zmiany ram eIDAS koncentrowały się głównie na potencjalnych zagrożeniach i korzyściach dla obywateli i konsumentów. Aby jednak nowe europejskie ramy tożsamości cyfrowej mogły się rozwijać, ważne jest, aby ich wdrożenie uwzględniało również odrębne wymagania identyfikacyjne przedsiębiorstw.

Tożsamość cyfrowa

Tożsamość cyfrowa to szeroki termin, który obejmuje różne rozwiązania w zakresie tożsamości. Niezależnie od konkretnego typu rozwiązania tożsamościowego, we wszystkich scenariuszach zaangażowane są trzy strony:

  • podmiot wydający lub dostawca tożsamości,
  • użytkownik (lub posiadacz tożsamości),
  • strona zaufania (która wykorzystuje tożsamość dostarczoną przez podmiot wydający).

Posiadanie tożsamości cyfrowej, takiej jak cyfrowy dowód osobisty, umożliwia osobom fizycznym ustalenie ich tożsamości. Nie dostarcza jednak informacji o ich kwalifikacjach lub uprawnieniach. Dostęp do usług cyfrowych często wymaga jednak takich atrybutów. Są to: cecha, charakterystyka lub zdolność osoby fizycznej lub prawnej lub podmiotu w formie elektronicznej. W rezultacie dodatkowe atrybuty, jak np. zaświadczenia lekarskie, kwalifikacje zawodowe lub prawa jazdy, stały się kluczowymi elementami systemów tożsamości cyfrowej. Atrybuty te są powiązane z tożsamością cyfrową i weryfikowane przez kwalifikowanego dostawcę usług zaufania. Kwalifikowane usługi zaufania umożliwiają dostarczanie kwalifikowanych elektronicznych poświadczeń atrybutów powiązanych z zaufanymi źródłami i egzekwowalnych transgranicznie. Wspiera to z kolei wiele przypadków użycia, które opierają się na wymogu weryfikacji atrybutów tożsamości powiązanych z daną osobą.

Weryfikacja tożsamości cyfrowej – sposób udostępniania informacji za wyraźną zgodą

Jednym z kluczowych aspektów eIDAS 2.0 jest to, że użytkownik ma wyłączną kontrolę nad wszystkimi danymi osobowymi. Portfel EUDI opracowano w celu uproszczenia procesu dostępu osób fizycznych i firm do usług online, przeprowadzania bezpiecznych transakcji i nawigacji w operacjach transgranicznych i podróżach. Dzięki scentralizowanej lokalizacji, przechowującej identyfikację elektroniczną oraz usługi zaufania, takie jak podpisy elektroniczne i certyfikaty cyfrowe, użytkownicy mogą łatwo uzyskiwać dostęp do swoich danych i certyfikatów oraz korzystać z nich według potrzeb.
To usprawnione podejście zwiększa dostępność dla użytkowników i ułatwia efektywne korzystanie z tych usług.

Prywatność danych

Portfel EUDI gromadzi tylko niezbędne informacje dotyczące użytkowania, ograniczając je do minimum potrzebnego do świadczenia usług. Europejski Portfel Tożsamości Cyfrowej nie będzie łączyć danych osobowych ani innych informacji związanych z nim z danymi osobowymi pochodzącymi z innych usług świadczonych przez emitenta. Nie będzie także łączyć danych z niepowiązanych usług stron trzecich, chyba że użytkownik wyraźnie wyrazi takie żądanie. Prywatność w fazie projektowania i selektywne ujawnianie atrybutów będą egzekwowane w ramach Portfela EUDI. Priorytetowo traktuje się prywatność użytkowników i ochrona danych.

Dodatkowe zasady świadczenia usług elektronicznego poświadczania atrybutów

  1. Dostawcy kwalifikowanych i niekwalifikowanych usług elektronicznego poświadczania atrybutów nie mogą łączyć danych osobowych związanych ze świadczeniem tych usług z danymi osobowymi pochodzącymi z innych ich usług.
  2. Dane osobowe związane ze świadczeniem usług elektronicznego poświadczania atrybutów są logicznie oddzielone od innych przechowywanych danych.
  3. Dane osobowe związane ze świadczeniem usług kwalifikowanego elektronicznego poświadczenia atrybutów są fizycznie i logicznie oddzielone od wszelkich innych przechowywanych danych.
  4. Podmioty świadczące usługi kwalifikowanego elektronicznego poświadczenia atrybutów świadczą takie usługi w ramach odrębnego podmiotu prawnego.

Rozwiązania zgodne z eIDAS

eIDAS 2.0 ustanawia ustandaryzowane przepisy dotyczące tożsamości elektronicznej (eID) i usług zaufania na rynku wewnętrznym. Przepisy te kładą nacisk zarówno na zachowanie zaufania, jak i na kontrolę użytkowników nad ich danymi osobowymi. Stanowi to znaczący postęp w zakresie prywatności, bezpieczeństwa i autonomii użytkownika, oznaczając znaczący krok naprzód w zakresie ochrony praw do prywatności i zwiększenia ogólnej kontroli użytkownika.

W SIGNIUS doskonale rozumiemy, jak ważne jest bycie na bieżąco z aktualnymi przepisami, w tym eIDAS. Istnieje wiele sposobów, w jaki możemy pomóc organizacjom w przestrzeganiu rozporządzenia eIDAS. Są to m.in. podpisy kwalifikowane i kwalifikowane pieczęcie elektroniczne, uwierzytelnianie, znakowanie czasem. Skontaktuj się z nami i sprawdź, jak możemy wesprzeć Twoją firmę.

Zachęcamy do zapoznania się z naszymi usługami: podpis elektronicznypieczęć elektronicznaweryfikacja tożsamości online, znacznik czasu, podpis kwalifikowany.

Sprawdź nasze produkty również dla innych branży:

FAQ – eIDAS 2.0 i Europejski Portfel Tożsamości Cyfrowej

Czym jest eIDAS 2.0 i jakie są jego główne cele?

eIDAS 2.0 to nowelizacja unijnego rozporządzenia dotyczącego identyfikacji elektronicznej i usług zaufania. Jej kluczowym celem jest usunięcie barier w transakcjach transgranicznych oraz realizacja założeń cyfrowej dekady Europy – tak, aby do 2030 roku co najmniej 80% obywateli UE mogło bezpiecznie i skutecznie korzystać z oficjalnie uznawanej tożsamości cyfrowej poza granicami swojego kraju. Rozporządzenie rozszerza także katalog usług zaufania m.in. o rejestrowane doręczenia elektroniczne czy e-poświadczenia atrybutów.

Czym jest Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet) i do czego służy?

Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet) to bezpieczna aplikacja mobilna lub usługa w chmurze, która umożliwi obywatelom i przedsiębiorcom w UE cyfrowe przechowywanie dokumentów (takich jak dowód osobisty, paszport, prawo jazdy) oraz kwalifikacji zawodowych. Służy do wygodnego, transgranicznego uwierzytelniania tożsamości, przeprowadzania bezpiecznych transakcji oraz logowania się do usług publicznych i prywatnych w całej Unii Europejskiej.

Jak eIDAS 2.0 chroni prywatność danych i kontrolę użytkownika?

Rozporządzenie eIDAS 2.0 kładzie ogromny nacisk na prywatność użytkownika w fazie projektowania (privacy by design). Portfel EUDI gromadzi absolutne minimum informacji niezbędnych do świadczenia usług i pozwala na tzw. selektywne ujawnianie atrybutów – to użytkownik ma wyłączną kontrolę nad swoimi danymi i świadomie decyduje, jakie konkretnie informacje, komu i w jakim celu udostępnia. Ponadto dostawcy usług nie mogą łączyć tych danych osobowych z innymi swoimi usługami bez wyraźnej zgody właściciela.

Czym są elektroniczne poświadczenia atrybutów w tożsamości cyfrowej?

Są to cyfrowe certyfikaty potwierdzające określone cechy, uprawnienia lub kwalifikacje danej osoby fizycznej lub prawnej, które są powiązane z jej tożsamością cyfrową. O ile cyfrowy dowód potwierdza jedynie to, kim jesteśmy, o tyle elektroniczne poświadczenia atrybutów mogą zawierać zweryfikowane informacje o wykształceniu, prawie do wykonywania zawodu (np. lekarza), zaświadczeniach medycznych czy uprawnieniach do prowadzenia pojazdów, będąc w pełni egzekwowalne transgranicznie.

Kim jest Kwalifikowany Dostawca Usług Zaufania (QTSP) i jak SIGNIUS wspiera eIDAS 2.0?

Kwalifikowany Dostawca Usług Zaufania (QTSP) to podmiot spełniający rygorystyczne normy bezpieczeństwa eIDAS, nadzorowany przez państwowy organ krajowy, który jest uprawniony do wydawania certyfikatów i świadczenia usług o najwyższej mocy prawnej. SIGNIUS aktywnie wspiera przedsiębiorstwa w dostosowaniu do eIDAS 2.0, oferując m.in. podpisy kwalifikowane, kwalifikowane pieczęcie elektroniczne, zaawansowaną weryfikację tożsamości online oraz elektroniczne znaczniki czasu, umożliwiając bezpieczną i w pełni legalną digitalizację biznesu.