W dniu 20 maja 2024 r. w życie weszło tzw. rozporządzenie eIDAS2 ustanawiające Europejskie Ramy Tożsamości Cyfrowej. Nowelizacja przyjęta przez Parlament Europejski, a następnie Radę Unii Europejskiej rozszerza i dostosowuje do aktualnych realiów zakres pierwotnego aktu obowiązującego od blisko 10 lat. W jaki sposób wdrożone zmiany wpłyną na cyfrową dojrzałość Polski i kiedy należy spodziewać się ich pierwszych efektów?
Komentarza eksperckiego udzielił: Paweł Michalski, Solutions Architect w Iron Mountain Polska.
Nie mam wątpliwości, że znowelizowane rozporządzenie eIDAS2 przyniesie wyraźną zmianę w obszarze cyfrowej tożsamości obywateli i przedsiębiorstw w Unii Europejskiej. W swoich założeniach zakłada ono zapewnienie powszechnego dostępu do wiarygodnej identyfikacji elektronicznej i usług zaufania w transakcjach elektronicznych, na które dodatkowo nałożone zostały nowe wymogi dotyczące bezpieczeństwa oraz procedury certyfikacji. Nowelizacja rozszerza jednocześnie pierwotny zakres rozporządzenia, dodając do niego m.in. obiecujące dla cyfryzacji w kraju usługi cyfrowe takie jak: elektroniczna archiwizacja dokumentów elektronicznych, elektroniczne poświadczenia atrybutów czy też zarządzanie zdalnymi urządzeniami do składania podpisu elektronicznego i pieczęci. W mojej opinii głównym celem aktu, którego przepisy zaczęły w teorii obowiązywać 20 maja br., jest zbudowanie zaufania użytkowników – osób fizycznych i firm – wobec wszystkich wspomnianych usług, a także ich należyte zabezpieczenie w odpowiedzi na realia współczesnego świata.
Z całą pewnością kluczową zmianą, jaką przynosi nam eIDAS2, jest wprowadzenie Europejskiego Portfela Cyfrowej Tożsamości. Portfele cyfrowe będą mogły łączyć się z krajowymi narzędziami tożsamości cyfrowej z potwierdzeniem innych atrybutów osobistych takich jak rachunek bankowy czy też prawo jazdy. W Polsce rozwiązanie będzie adresowane przez aplikację mObywatel, która jest wykorzystywana powszechnie zarówno w sektorze publicznym, jak i prywatnym, umożliwiając posługiwanie się tożsamością cyfrową na terenie całej Unii Europejskiej. Z punktu widzenia obywateli bezproblemowe będzie udowodnienie swojej tożsamości wyłącznie przy pomocy telefonu komórkowego, a także m.in. udostępnianie dokumentów elektronicznych ze swojego portfela cyfrowego, który będzie oficjalnym środkiem identyfikacji.
Co ważne, a w mojej ocenie nawet rewolucyjne dla rynku cyfrowego, potwierdzenie atrybutów za pośrednictwem portfela elektronicznego będzie równoważne każdemu dotychczasowemu dokumentowi w wersji fizycznej lub potwierdzeniu papierowemu wydawanemu w postaci dokumentu zautoryzowanego pieczęcią elektroniczną. Elektroniczne potwierdzenie atrybutów będzie uznawane przez sądy i urzędy, przy czym każdy będzie mógł wykorzystywać Portfel Cyfrowej Tożsamości do otrzymywania, przechowywania i udostępniania elektronicznych potwierdzeń atrybutów. Będzie on darmowym narzędziem, dostępnym dla każdej osoby fizycznej, również do celów prywatnych. Funkcjonalność analogiczna do kwalifikowanego podpisu elektronicznego pozwoli na wykorzystanie go do wszystkich czynności cywilno-prawnych, m.in. złożenia pisma w urzędzie, zmiany warunków umowy konsumenckiej czy tez podpisania umowy o pracę, co przełoży się również bezpośrednio na cyfryzację biznesu, np. działów HR.
Choć przepisy rozporządzenia eIDAS2 weszły w życie 20 maja 2024 r., termin ich praktycznego wdrożenia nie jest jeszcze znany. Będzie on zależał od daty przyjęcia konkretnych aktów wykonawczych. Biorąc pod uwagę mnogość interesariuszy, zakładam, że prace nad finalną wersją zapisów potrwają przynajmniej kilka miesięcy. Pierwszych aktów prawnych dotyczących bezpieczeństwa oraz kształtu samej infrastruktury należy spodziewać się mniej więcej po upływie pół roku, czyli na przełomie 2024 i 2025 r. Ponadto w przypadku Europejskiego Portfela Cyfrowej Tożsamości, zgodnie z założeniami eIDAS2, państwa członkowie UE będą miały 2 lata od dnia publikacji wymagań i specyfikacji technicznych dotyczących portfeli na opracowanie i wdrożenie konkretnych rozwiązań. Pełne wdrożenie ma mieć miejsce przed końcem 2026 r.
Rozporządzenie eIDAS2 stanowi bardzo ważny krok na ścieżce cyfrowej transformacji w całej Unii Europejskiej, a tym samym również w naszym kraju. Przede wszystkim ze względu na wprowadzenie istotnych zmian mających na celu wzmocnienie i ujednolicenie rynku cyfrowego, poprawę bezpieczeństwa, a także rozszerzenie zakresu oraz zastosowań usług cyfrowych. Zasadne pozostaje pytanie, czy zostaną one wdrożone w pełnym zakresie sprawniej niż w przypadku pierwotnej wersji aktu eIDAS, na co przyszło nam czekać wówczas blisko dekadę.
Nie mam wątpliwości, że znowelizowane rozporządzenie eIDAS2 przyniesie wyraźną zmianę w obszarze cyfrowej tożsamości obywateli i przedsiębiorstw w Unii Europejskiej. W swoich założeniach zakłada ono zapewnienie powszechnego dostępu do wiarygodnej identyfikacji elektronicznej i usług zaufania w transakcjach elektronicznych, na które dodatkowo nałożone zostały nowe wymogi dotyczące bezpieczeństwa oraz procedury certyfikacji. Nowelizacja rozszerza jednocześnie pierwotny zakres rozporządzenia, dodając do niego m.in. obiecujące dla cyfryzacji w kraju usługi cyfrowe takie jak: elektroniczna archiwizacja dokumentów elektronicznych, elektroniczne poświadczenia atrybutów czy też zarządzanie zdalnymi urządzeniami do składania podpisu elektronicznego i pieczęci. W mojej opinii głównym celem aktu, którego przepisy zaczęły w teorii obowiązywać 20 maja br., jest zbudowanie zaufania użytkowników – osób fizycznych i firm – wobec wszystkich wspomnianych usług, a także ich należyte zabezpieczenie w odpowiedzi na realia współczesnego świata.
Z całą pewnością kluczową zmianą, jaką przynosi nam eIDAS2, jest wprowadzenie Europejskiego Portfela Cyfrowej Tożsamości. Portfele cyfrowe będą mogły łączyć się z krajowymi narzędziami tożsamości cyfrowej z potwierdzeniem innych atrybutów osobistych takich jak rachunek bankowy czy też prawo jazdy. W Polsce rozwiązanie będzie adresowane przez aplikację mObywatel, która jest wykorzystywana powszechnie zarówno w sektorze publicznym, jak i prywatnym, umożliwiając posługiwanie się tożsamością cyfrową na terenie całej Unii Europejskiej. Z punktu widzenia obywateli bezproblemowe będzie udowodnienie swojej tożsamości wyłącznie przy pomocy telefonu komórkowego, a także m.in. udostępnianie dokumentów elektronicznych ze swojego portfela cyfrowego, który będzie oficjalnym środkiem identyfikacji.
Co ważne, a w mojej ocenie nawet rewolucyjne dla rynku cyfrowego, potwierdzenie atrybutów za pośrednictwem portfela elektronicznego będzie równoważne każdemu dotychczasowemu dokumentowi w wersji fizycznej lub potwierdzeniu papierowemu wydawanemu w postaci dokumentu zautoryzowanego pieczęcią elektroniczną. Elektroniczne potwierdzenie atrybutów będzie uznawane przez sądy i urzędy, przy czym każdy będzie mógł wykorzystywać Portfel Cyfrowej Tożsamości do otrzymywania, przechowywania i udostępniania elektronicznych potwierdzeń atrybutów. Będzie on darmowym narzędziem, dostępnym dla każdej osoby fizycznej, również do celów prywatnych. Funkcjonalność analogiczna do kwalifikowanego podpisu elektronicznego pozwoli na wykorzystanie go do wszystkich czynności cywilno-prawnych, m.in. złożenia pisma w urzędzie, zmiany warunków umowy konsumenckiej czy tez podpisania umowy o pracę, co przełoży się również bezpośrednio na cyfryzację biznesu, np. działów HR.
Choć przepisy rozporządzenia eIDAS2 weszły w życie 20 maja 2024 r., termin ich praktycznego wdrożenia nie jest jeszcze znany. Będzie on zależał od daty przyjęcia konkretnych aktów wykonawczych. Biorąc pod uwagę mnogość interesariuszy, zakładam, że prace nad finalną wersją zapisów potrwają przynajmniej kilka miesięcy. Pierwszych aktów prawnych dotyczących bezpieczeństwa oraz kształtu samej infrastruktury należy spodziewać się mniej więcej po upływie pół roku, czyli na przełomie 2024 i 2025 r. Ponadto w przypadku Europejskiego Portfela Cyfrowej Tożsamości, zgodnie z założeniami eIDAS2, państwa członkowie UE będą miały 2 lata od dnia publikacji wymagań i specyfikacji technicznych dotyczących portfeli na opracowanie i wdrożenie konkretnych rozwiązań. Pełne wdrożenie ma mieć miejsce przed końcem 2026 r.
Rozporządzenie eIDAS2 stanowi bardzo ważny krok na ścieżce cyfrowej transformacji w całej Unii Europejskiej, a tym samym również w naszym kraju. Przede wszystkim ze względu na wprowadzenie istotnych zmian mających na celu wzmocnienie i ujednolicenie rynku cyfrowego, poprawę bezpieczeństwa, a także rozszerzenie zakresu oraz zastosowań usług cyfrowych. Zasadne pozostaje pytanie, czy zostaną one wdrożone w pełnym zakresie sprawniej niż w przypadku pierwotnej wersji aktu eIDAS, na co przyszło nam czekać wówczas blisko dekadę.
Paweł Michalski, Solutions Architect w Iron Mountain Polska
