4crypto.eu
Bezpłatna konsultacja
Compliance · Rozporządzenie UE · 2026

eIDAS 2.0 w 2026 r. - rozporządzenie 910/2014, usługi zaufania, EU Digital Identity Wallet

Autor: dr inż. Adam Czubak Czas czytania: 14 min Aktualizacja: 2026-05-15

Ratio legis

eIDAS realizuje wizję jednolitego cyfrowego rynku UE, w którym obywatel jednego państwa członkowskiego może wykonywać czynności prawne w innym państwie bez konieczności fizycznego stawiennictwa, dokumentów papierowych czy wielu krajowych systemów logowania. Sens regulacji to ustanowienie wspólnych ram zaufania - kwalifikowany podpis elektroniczny ma moc równoważną z własnoręcznym we wszystkich 27 państwach UE, a notyfikowane środki identyfikacji elektronicznej są wzajemnie uznawane. eIDAS 2.0 idzie krok dalej: europejski portfel tożsamości cyfrowej (EUDIW) ma uwolnić obywatela od dziesiątek osobnych logowań i pozwolić mu samodzielnie kontrolować, jakie atrybuty ujawnia, komu i kiedy.

eIDAS [1] (electronic IDentification, Authentication and trust Services, rozporządzenie 910/2014) to fundament europejskiego rynku cyfrowego. Obowiązuje od 1 lipca 2016 r. i reguluje dwie kluczowe domeny: (1) transgraniczne uznawanie środków identyfikacji elektronicznej (eID) oraz (2) usługi zaufania (Trust Services) - kwalifikowany podpis elektroniczny, pieczęć, znacznik czasu, dostarczanie elektroniczne, certyfikaty stron www (QWAC).

W 2024 r. eIDAS przeszedł fundamentalną nowelizację - eIDAS 2.0 (rozporządzenie 2024/1183 [2]) wprowadziła EU Digital Identity[9] Wallet (EUDIW), obowiązkowy portfel tożsamości cyfrowej, który każde państwo członkowskie musi udostępnić swoim obywatelom do 26 maja 2026 r. Polska realizuje to przez rozszerzenie aplikacji mObywatel. Artykuł porządkuje strukturę eIDAS, omawia poziomy LoA (low / substantial / high), rodzaje usług zaufania, role QTSP, nadzór NCCB oraz nadchodzące zmiany eIDAS 2.0.

Geneza eIDAS - od dyrektywy 1999/93 do rozporządzenia

Poprzednikiem eIDAS była dyrektywa 1999/93/WE w sprawie wspólnotowej infrastruktury dla podpisów elektronicznych. Po 15 latach okazała się niewystarczająca:

  • Fragmentacja - 28 państw transponowało dyrektywę różnie, podpisy z jednego państwa nie zawsze były uznawane w innym.
  • Brak regulacji eID - identyfikacja elektroniczna była poza zakresem dyrektywy 1999/93.
  • Wąski zakres usług zaufania - tylko podpis elektroniczny, brak pieczęci, znaczników czasu, QWAC.
  • Brak transgranicznego uznawania eID - obywatel jednego państwa nie mógł użyć krajowego eID w innym państwie.

eIDAS 1.0 (2014)

Rozporządzenie 910/2014 weszło w życie 17 września 2014 r., stosowane od 1 lipca 2016 r. (przepisy dotyczące usług zaufania) i 29 września 2018 r. (przepisy dotyczące transgranicznego uznawania eID). Główne osiągnięcia:

  • Jednolite ramy dla usług zaufania w całej UE.
  • Trzy poziomy podpisu elektronicznego (zwykły, zaawansowany, kwalifikowany).
  • Lista nowych usług zaufania - pieczęć elektroniczna, znacznik czasu, QWAC, eDoręczenia (QERDS).
  • EU Trusted List - publiczna lista wszystkich QTSP w UE.
  • Notyfikacja schematów eID - mechanizm transgranicznego uznawania.

eIDAS 2.0 (2024)

Rozporządzenie 2024/1183 [2] z 11 kwietnia 2024 r. wprowadziło fundamentalne zmiany:

  • EU Digital Identity Wallet (EUDIW) - obowiązkowy portfel tożsamości cyfrowej dla każdego obywatela UE.
  • Selective disclosure - obywatel ujawnia tylko niezbędne atrybuty (zasada minimalizacji).
  • Rozszerzony katalog usług zaufania - electronic ledger, kwalifikowana attribute attestation.
  • Mocniejsze wymagania dla TSP - cyberbezpieczeństwo, raportowanie incydentów.
  • Obowiązek akceptacji przez podmioty - banki, telekomy, główne platformy cyfrowe muszą akceptować EUDIW.

Wejście w życie: 20 maja 2024 r. Pełne stosowanie: 26 maja 2026 r. dla pierwszych funkcjonalności EUDIW; 26 listopada 2026 r. dla obowiązków podmiotów akceptujących.

Dwa filary - eID i usługi zaufania

eIDAS strukturyzuje regulację w dwóch równoległych filarach:

Filar 1 - Identyfikacja elektroniczna (eID)

Państwa członkowskie mogą notyfikować Komisji Europejskiej krajowe schematy identyfikacji elektronicznej. Po notyfikacji - schemat musi być uznawany w innych państwach członkowskich do dostępu do usług publicznych.

Polska notyfikowała:

  • Profil Zaufany - na poziomie substantial.
  • mObywatel - na poziomie substantial.
  • e-Dowód - na poziomie high (kwalifikowany).

Filar 2 - Usługi zaufania (Trust Services)

Definicja (art. 3 pkt 16 eIDAS): usługa elektroniczna polegająca na: (a) składaniu, weryfikacji i walidacji podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, lub (b) zachowywaniu długoterminowym tych elementów, lub (c) świadczeniu usługi rejestrowanego doręczenia elektronicznego, lub (d) wystawianiu i walidacji certyfikatów uwierzytelnienia stron www, lub (e) zachowywaniu elektronicznych podpisów, pieczęci lub certyfikatów.

Po eIDAS 2.0 katalog rozszerzono o:

  • Kwalifikowana attribute attestation (zaświadczenia atrybutów).
  • Electronic ledger (rejestry elektroniczne, np. blockchain).
  • Kwalifikowany podpis na zarządzanym serwerze.

Poziomy LoA - low, substantial, high

Art. 8 eIDAS definiuje trzy poziomy wiarygodności (Level of Assurance) środków identyfikacji elektronicznej:

Poziom 1 - Niski (low)

Ograniczone uwierzytelnienie. Przykład: tylko hasło, lub jednoczynnikowy SMS. Stosowane do usług niskiego ryzyka - np. dostęp do publicznych formularzy, biuletyn informacyjny.

Weryfikacja tożsamości może być minimalna - online z weryfikacją dokumentów.

Poziom 2 - Istotny (substantial)

Silne uwierzytelnienie wielofunkcyjne - kombinacja co najmniej dwóch z trzech czynników (wiedza / posiadanie / cecha). Typowa konfiguracja: login + hasło + SMS/TOTP, lub hardware token.

Weryfikacja tożsamości - face-to-face lub równoważna (np. wideokonferencja z dokumentem tożsamości, weryfikacja przez bank, profil zaufany w trybie pełnym).

Najczęściej stosowany - polski Profil Zaufany w pełnym trybie jest na poziomie substantial.

Poziom 3 - Wysoki (high)

Najsilniejsze uwierzytelnienie, kryptograf[11]iczne, oparte na QSCD (Qualified Signature Creation Device) lub równoważnym hardware module. Wymagania:

  • Silna weryfikacja tożsamości w trybie face-to-face z dokumentem tożsamości w urzędzie lub punkcie kwalifikowanego TSP.
  • Środek identyfikacji nieprzekazywalny i odporny na nieuprawnione użycie.
  • Kryptograficzne odporne na duplikację - np. SIM card z certyfikatami, smart card.

Stosowany do operacji o najwyższym ryzyku - QES, niektóre operacje bankowe. Polski e-Dowód jest na poziomie high.

Zasada uznawania

Aplikacje publiczne i prywatne muszą uznawać eID notyfikowane na poziomie odpowiadającym ich wymaganiom:

  • Aplikacja wymagająca substantial musi akceptować substantial i high.
  • Aplikacja wymagająca high akceptuje tylko high.
  • Aplikacja wymagająca low akceptuje wszystkie trzy poziomy.

Usługi zaufania - kwalifikowane vs niekwalifikowane

eIDAS wprowadza fundamentalne rozróżnienie:

Niekwalifikowane usługi zaufania

Świadczone przez TSP bez specjalnej certyfikacji. Mają charakter komercyjny, są używane do mniej krytycznych zastosowań. Przykład: zaawansowane podpisy elektroniczne (AdES) bez certyfikatu kwalifikowanego.

Skutek prawny - brak prawnego domniemania. Sąd ocenia indywidualnie w razie sporu.

Kwalifikowane usługi zaufania

Świadczone przez QTSP (Qualified Trust Service Provider) wpisanego na Trusted List. Wymagania:

  • Obowiązkowy audyt raz na 24 miesiące przez akredytowaną jednostkę zgodności (Conformity Assessment Body, CAB).
  • Spełnienie standardów - ETSI EN 319 401 [4] (general requirements) plus standardy dla konkretnej usługi.
  • Ubezpieczenie OC dla działalności.
  • Bezpieczne urządzenia kryptograficzne - QSCD certyfikowane.
  • Bezpieczeństwo organizacyjne - polityki, procedury, kontrola dostępu, ciągłość działania.
  • Wpis na Trusted List państwa członkowskiego.
  • Nadzór NCCB (National Cybersecurity Certification Body) państwa członkowskiego.

Skutek prawny - prawne domniemanie autentyczności i integralności (art. 35 dla podpisów). W razie sporu strona kwestionująca musi obalić domniemanie.

Trusted List (EUTL)

EU Trusted List [6] to publiczne źródło wszystkich QTSP w UE. Każde państwo członkowskie publikuje listę krajowych QTSP w formacie XML zgodnym z ETSI TS 119 612. Komisja Europejska agreguje listy w EU Trusted List - dostępny przez Trust List Browser.

Podpis elektroniczny - 3 poziomy

eIDAS wprowadza trójstopniową hierarchię podpisów elektronicznych:

Zwykły podpis elektroniczny (electronic signature, art. 3 pkt 10)

Dane w postaci elektronicznej, dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej i użyte przez podpisującego jako podpis.

Praktycznie: dowolny zapis jako podpis - np. zeskanowany obraz podpisu, "OK" w mailu, kliknięcie checkboxa. Brak prawnego domniemania - sąd ocenia indywidualnie.

Skutek prawny (art. 25 ust. 1): "podpisu elektronicznego nie można odmówić skutku prawnego ani uznać za niedopuszczalny jako dowód w postępowaniu sądowym wyłącznie z tego powodu, że ma postać elektroniczną" - nawet zwykły podpis ma jakąś moc dowodową, ale słabą.

Zaawansowany podpis elektroniczny (AdES, art. 26)

Spełnia cztery warunki:

  1. Jednoznacznie powiązany z podpisującym.
  2. Umożliwia identyfikację podpisującego.
  3. Oparty na danych będących pod wyłączną kontrolą podpisującego (klucz prywatny).
  4. Wykrywa późniejsze zmiany w podpisanych danych (kryptograficzne hash).

Typowo realizowany jako podpis cyfrowy z certyfikatem - ale nie wymaga, by certyfikat był kwalifikowany. Średnia moc dowodowa.

Kwalifikowany podpis elektroniczny (QES, art. 3 pkt 12)

Spełnia warunki AdES plus:

  1. Tworzony za pomocą QSCD - kwalifikowanego urządzenia (karta kryptograficzna, USB token, qualified server-side).
  2. Bazujący na kwalifikowanym certyfikacie wydanym przez QTSP.

Skutek prawny równoważny z podpisem własnoręcznym (art. 25 ust. 2). Musi być uznawany we wszystkich państwach członkowskich.

Praktyczne zastosowania QES w Polsce

  • Umowa o pracę na odległość - wymaga QES jednej ze stron.
  • Faktury KSeF - krajowy system e-faktur używa QES (lub innego mechanizmu autoryzacji).
  • Dokumenty do KRS - większość zgłoszeń.
  • Wnioski do sądów elektroniczne.
  • Dokumenty notarialne elektroniczne (po reformie 2024-2025).
  • Międzynarodowe umowy biznesowe w UE - QES uznawany we wszystkich państwach.

Formaty kwalifikowane

  • PAdES (PDF Advanced Electronic Signatures) - podpis w PDF, najpopularniejszy w biznesie.
  • XAdES (XML Advanced Electronic Signatures) - podpis XML, używany w aplikacjach administracyjnych (KSeF, deklaracje VAT).
  • CAdES (CMS Advanced Electronic Signatures) - format ogólny, używany w komunikacji.
  • JAdES (JSON Advanced Electronic Signatures) - nowszy format dla aplikacji web/REST.

Pieczęć elektroniczna i znacznik czasu

Pieczęć elektroniczna (electronic seal, art. 35-40)

Analog podpisu elektronicznego, ale dla osób prawnych (nie fizycznych). Pieczęć jest składana przez organizację jako całość, identyfikuje organizację (nie konkretną osobę).

Trzy poziomy (analogicznie do podpisu):

  • Zwykła pieczęć elektroniczna.
  • Zaawansowana pieczęć elektroniczna (AdSeal).
  • Kwalifikowana pieczęć elektroniczna (QSeal) - wystawiana z QSeal certyfikatem przez QTSP.

Skutek prawny (art. 35 ust. 2): prawne domniemanie integralności i autentyczności danych, do których kwalifikowana pieczęć jest powiązana.

Praktyczne zastosowania:

  • Faktury elektroniczne wystawiane przez firmy.
  • Dokumenty urzędowe wystawiane przez instytucje publiczne (e-zaświadczenia).
  • Raporty audytowe.
  • API responses - pieczęć dla automatycznych komunikatów.

Znacznik czasu (electronic time stamp, art. 41-42)

Mechanizm poświadczający, że dane istniały w określonym momencie czasu. Trzy poziomy:

  • Zwykły znacznik czasu.
  • Kwalifikowany znacznik czasu (QTimeStamp) - wystawiany przez QTSP, oparty na precyzyjnym źródle czasu UTC.

Skutek prawny: prawne domniemanie dokładności daty i czasu oraz integralności danych w tym momencie.

Praktyczne zastosowania:

  • Długoterminowe podpisy - znacznik czasu na podpisie pozwala go zweryfikować nawet po wygaśnięciu certyfikatu.
  • Archiwizacja - dowód kiedy dokument został utworzony.
  • Wycena patentowa - dowód priorytetu czasowego.
  • Rejestry transakcji finansowych.

QWAC - certyfikaty stron www

QWAC (Qualified Website Authentication Certificate, art. 45) - kwalifikowany certyfikat uwierzytelnienia strony www. Specjalny rodzaj certyfikatu SSL/TLS wydany przez QTSP.

Co odróżnia QWAC od EV SSL

  • QWAC - wydawany pod nadzorem prawnym państwa członkowskiego, identyfikuje właściciela strony zgodnie z eIDAS, daje prawne domniemanie autentyczności (po eIDAS 2.0).
  • EV SSL - certyfikat komercyjny wydawany przez globalne CA, identyfikuje organizację, ale bez prawnego domniemania w sensie eIDAS.

Spór z przeglądarkami

eIDAS 2.0 wymaga, by przeglądarki wyświetlały w widoczny sposób tożsamość właściciela strony, gdy używa QWAC. Główni vendorzy przeglądarek (Mozilla, Google) początkowo opierali się temu z obawy o jakość weryfikacji - argumentowali, że ich kryteria są wyższe niż minimum eIDAS.

Kompromis: QWAC funkcjonuje obok komercyjnych certyfikatów, ale wyświetlanie w pasku adresu jest pozostawione decyzji vendorów (z dodatkowymi mechanizmami weryfikacji).

Praktyczne zastosowanie QWAC

  • Serwisy bankowe - po regulacjach EBA (RTS PSD2 SCA, art. 34) QWAC jest zalecany dla bank-to-bank komunikacji.
  • Administracja publiczna - usługi rządowe.
  • Sektor finansowy - po DORA wzrasta nacisk na QWAC.

QTSP - kwalifikowani dostawcy w Polsce

Polska Trusted List wymienia QTSP - kwalifikowanych dostawców usług zaufania zatwierdzonych przez Ministra Cyfryzacji.

Polskie QTSP (stan na maj 2026)

  • KIR S.A. (Krajowa Izba Rozliczeniowa) - certyfikaty bankowe (Szafir), certyfikaty biznesowe.
  • PWPW S.A. (Polska Wytwórnia Papierów Wartościowych) - Sigillum, m.in. dla administracji.
  • Asseco Data Systems S.A. - Certum, najpopularniejszy QTSP w Polsce.
  • Eurotag sp. z o.o. - CenCert.
  • eSignum (Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa).
  • Enigma Systemy Ochrony Informacji.

Procedura uzyskania statusu QTSP

  1. Założenie firmy jako TSP - osoba prawna z odpowiednim kapitałem i strukturą organizacyjną.
  2. Przygotowanie dokumentacji - polityki, procedury, plan ciągłości działania zgodne z ETSI EN 319 401.
  3. Audyt zgodności przez akredytowaną CAB (np. PCA-akredytowane jednostki).
  4. Wniosek o wpis na Trusted List do Ministra Cyfryzacji.
  5. Wpis na Trusted List i publikacja w EU Trust List Browser.
  6. Audyty cykliczne - co 24 miesiące.

Koszt uzyskania statusu QTSP w Polsce: 500 tys. - 2 mln zł (przygotowanie + pierwszy audyt + infrastruktura kryptograficzna).

Ceny usług

  • Kwalifikowany certyfikat osobisty (QES): 150-400 zł rocznie, w zależności od dostawcy.
  • Kwalifikowany certyfikat dla firmy (QSeal): 500-1500 zł rocznie.
  • QWAC dla strony www: 1000-3000 zł rocznie.
  • QTimeStamp service: opłaty wolumenowe (np. groszy za znacznik).
  • Karty kryptograficzne / USB tokeny: 200-500 zł jednorazowo.

eIDAS 2.0 i EU Digital Identity Wallet

EU Digital Identity Wallet (EUDIW) to flagship eIDAS 2.0 [2] - obowiązkowy portfel tożsamości cyfrowej dla każdego obywatela UE.

Funkcjonalności EUDIW

  • Przechowywanie eID - krajowy identyfikator obywatela.
  • Przechowywanie atrybutów - uprawnienia zawodowe, dyplomy, prawo jazdy, dane pojazdu, recepty medyczne, dane bankowe, certyfikaty.
  • Podpisywanie QES - mobilny podpis kwalifikowany.
  • Uwierzytelnianie w serwisach publicznych i prywatnych.
  • Selective disclosure - ujawnienie tylko niezbędnych atrybutów (np. wiek powyżej 18 lat zamiast pełnej daty urodzenia).
  • Zero-knowledge proofs - kryptograficzne dowody bez ujawniania danych.
  • Wymiana atrybutów między państwami członkowskimi.

Architecture and Reference Framework[14] (ARF)

Komisja Europejska opracowała ARF [5] - referencyjną architekturę EUDIW. Główne elementy:

  • Wallet Instance - aplikacja na urządzeniu obywatela.
  • Wallet Solution - całość usługi (wallet instance + backend + zarządzanie).
  • Wallet Provider - operator (państwo członkowskie lub podmiot upoważniony).
  • Issuer - wystawiający atrybuty (np. urząd skarbowy wystawia zaświadczenie o niezaleganiu).
  • Relying Party - podmiot akceptujący atrybut (np. bank weryfikujący tożsamość).

Polska implementacja - mObywatel

Polska realizuje EUDIW przez rozszerzenie aplikacji mObywatel. Plan:

  • 2024-2025 - prototyp, testy beta.
  • 26 maja 2026 - obowiązkowe uruchomienie zgodnie z eIDAS 2.0.
  • 2026-2027 - integracje z usługami publicznymi i prywatnymi (banki, telekomy).
  • 2027+ - rozszerzanie katalogu atrybutów (dyplomy, prawo jazdy europejskie, recepty).

Obowiązek akceptacji EUDIW

Po wejściu w życie obowiązków (26 listopada 2026 r.) niektóre kategorie podmiotów muszą obowiązkowo akceptować EUDIW:

  • Podmioty publiczne.
  • Duże platformy cyfrowe (DSA gatekeepers).
  • Banki krajowe.
  • Telekomy.
  • Dostawcy energii powyżej progu.
  • Dostawcy transportu (przewoźnicy lotniczy, kolejowi).
  • Dostawcy edukacji.
  • Dostawcy zdrowia.

To fundamentalna zmiana krajobraz[13]u onboardingu cyfrowego - bank musi akceptować EUDIW na równi z dotychczasowymi metodami (np. weryfikacja oddziałowa).

Bezpieczeństwo EUDIW

Wymagania techniczne EUDIW są bardzo wysokie:

  • Storage - kryptograficzny element (HSM / Secure Element / TEE) na urządzeniu.
  • Authentication - biometria (z odpowiednim zabezpieczeniem na urządzeniu) lub strong PIN.
  • Communication - zaszyfrowana z relying party, mutual authentication.
  • Audit - obowiązkowe testy bezpieczeństwa, certyfikacja przed uruchomieniem.
  • Privacy - selective disclosure, unlinkability (różne transakcje nie powinny być powiązywalne).

Nadzór - NCCB i Trusted List

NCCB (National Cybersecurity Certification Body)

Każde państwo członkowskie wyznacza National Cybersecurity Certification Body nadzorujący TSP. W Polsce funkcję pełni:

  • Minister Cyfryzacji - jako organ nadzoru.
  • NASK - wsparcie techniczne i eksperckie.

Uprawnienia NCCB

  • Wpis i wykreślenie z Trusted List.
  • Inspekcje TSP, audyty zlecone.
  • Wydawanie zaleceń korygujących.
  • Kary administracyjne za naruszenia.
  • Cofnięcie statusu QTSP.
  • Współpraca z NCCB innych państw członkowskich.

Polska ustawa o usługach zaufania

Ustawa z 5 września 2016 r. [3] doprecyzowuje wymogi krajowe:

  • Tryb postępowania w sprawie wpisu na listę.
  • Kompetencje Ministra Cyfryzacji.
  • Sankcje za nieuprawnione świadczenie usług zaufania jako kwalifikowane.
  • Rejestracja schematów identyfikacji elektronicznej.

Cykliczny audyt QTSP

QTSP podlegają audytowi co najmniej raz na 24 miesiące przez akredytowaną Conformity Assessment Body. Audyt obejmuje:

  • Zgodność z standardami ETSI.
  • Środki techniczne (kryptografia, infrastruktura).
  • Procedury organizacyjne.
  • Bezpieczeństwo personelu.
  • Ciągłość działania.
  • Zarządzanie incydentami.

Raport audytu jest składany do NCCB. Negatywny raport może skutkować cofnięciem statusu QTSP.

Mapping do RODO, NIS2, AI Act

eIDAS vs RODO

Usługi zaufania przetwarzają dane osobowe obywateli - QTSP są administratorami danych w rozumieniu RODO [7]. Praktycznie:

  • Wystawienie certyfikatu - przetwarzanie danych identyfikacyjnych.
  • Składanie podpisu - przetwarzanie danych do podpisu.
  • EUDIW - przetwarzanie pełnego spektrum atrybutów.

Zob. artykuł o RODO.

eIDAS vs NIS2

QTSP są podmiotami NIS2 [8] jako "trust service providers" w sektorze infrastruktury cyfrowej (załącznik I). Niezależnie od rozmiaru. Konsekwencje:

  • Pełne wymagania art. 21 NIS2.
  • Zgłaszanie incydentów do CSIRT (NIS2) plus do NCCB (eIDAS).
  • Audyt KSC/NIS2 plus audyt eIDAS.

Zob. artykuł o NIS2.

eIDAS vs AI Act

EUDIW wykorzystuje biometrię (face matching dla onboardingu) - kategoria wysokiego ryzyka w AI Act. Konieczne spełnienie obu regulacji. Zob. artykuł o AI Act.

eIDAS vs DORA

Banki używające QES, QSeal, QWAC podlegają DORA dla systemów ICT. QTSP obsługujący sektor finansowy mogą zostać uznani za CTPP. Zob. artykuł o DORA.

Checklist: 10 punktów eIDAS compliance

Lista dla podmiotów wdrażających usługi zaufania, eID lub korzystających z nich biznesowo. Z myślą o wymogach eIDAS 2.0 i EUDIW.

  1. Klasyfikacja wymagań. Jaki poziom LoA jest wymagany dla usługi? Czy potrzeba QES, QSeal, QWAC?
  2. Wybór QTSP. Z polskiej Trusted List, certyfikat odpowiedni dla zastosowania.
  3. Integracja techniczna. Walidacja podpisów (PAdES/XAdES/CAdES/JAdES), weryfikacja przez EU Trust List Browser.
  4. Polityka kryptograficzna. TLS 1.3+, klucze min. RSA-3072/ECDSA P-384, zarządzanie certyfikatami.
  5. QSCD dla kont uprzywilejowanych w organizacji - karta kryptograficzna, USB token, mobile signing.
  6. Plan dla EUDIW. Czy organizacja będzie zobowiązana akceptować (po 26 listopada 2026 r.)? Roadmap integracji.
  7. Wsparcie dla wielu QTSP. Akceptowanie certyfikatów wszystkich QTSP z EU Trusted List.
  8. Archiwizacja długoterminowa. Znaczniki czasu (QTimeStamp) dla zachowania mocy dowodowej dokumentów.
  9. Polityka odnowienia certyfikatów. Procedura przed wygaśnięciem (typowo certyfikaty 1-3 letnie).
  10. Dokumentacja zgodności. Polityki, procedury, audyty - jako część SZBI[12] zgodnego z ISO 27001 i NIS2.

Najczęściej zadawane pytania

Co to jest eIDAS?

eIDAS (ang. electronic IDentification, Authentication and trust Services) - rozporządzenie Parlamentu Europejskiego i Rady UE 910/2014 z 23 lipca 2014 r. regulujące identyfikację elektroniczną i usługi zaufania w UE.

Cel: stworzenie wewnętrznego rynku cyfrowego z możliwością transgranicznego uznawania środków identyfikacji elektronicznej (eID) i usług zaufania.

Praktycznie: obywatel jednego państwa UE może użyć krajowego eID (np. polskiego profilu zaufanego, mObywatela) do dostępu do usług publicznych w innym państwie członkowskim. eIDAS reguluje również usługi zaufania: kwalifikowany podpis elektroniczny, pieczęć elektroniczną, znacznik czasu, dostarczanie elektroniczne, certyfikaty SSL/TLS (QWAC).

Czym różni się eIDAS 1.0 od 2.0?

eIDAS 1.0 (2014) regulował identyfikację elektroniczną i usługi zaufania w UE, ale notyfikacja schematów eID przez państwa członkowskie była dobrowolna i opóźniona.

eIDAS 2.0 (rozporządzenie 2024/1183 zmieniające 910/2014) wprowadza dwie fundamentalne nowości:

  1. EU Digital Identity Wallet (EUDIW) - obowiązkowy portfel tożsamości cyfrowej, każde państwo członkowskie musi do końca 2026 r. udostępnić swoim obywatelom.
  2. Rozszerzenie usług zaufania - QSeal dla osób prawnych, QWAC z prawnym domniemaniem, electronic ledger.

Zmiany weszły w życie 20 maja 2024 r., pełne stosowanie - 26 maja 2026 r. dla pierwszych funkcjonalności EUDIW.

Co to qualified electronic signature?

QES (kwalifikowany podpis elektroniczny) - najwyższy poziom podpisu elektronicznego w eIDAS. Ma skutek prawny równoważny z podpisem własnoręcznym (art. 25 ust. 2 eIDAS). Składa się z trzech elementów:

  1. Podpis elektroniczny zaawansowany (AdES).
  2. Tworzony za pomocą QSCD (Qualified Signature Creation Device).
  3. Bazujący na kwalifikowanym certyfikacie wydanym przez QTSP.

W Polsce QES jest m.in. wymagany do umowy o pracę na odległość, podpisywania faktur strukturyzowanych KSeF, składania niektórych dokumentów do KRS i sądów.

Co to TSP/QTSP?

TSP (Trust Service Provider) - dostawca usług zaufania świadczący jedną lub więcej usług zaufania w rozumieniu eIDAS.

QTSP (Qualified TSP) - kwalifikowany TSP - świadczy co najmniej jedną kwalifikowaną usługę zaufania, podlega obowiązkowemu audytowi raz na 24 miesiące, jest wpisany na Trusted List swojego państwa członkowskiego, podlega nadzorowi NCCB.

W Polsce QTSP: KIR (Krajowa Izba Rozliczeniowa), PWPW, Certum (Asseco), CenCert (Eurotag), eSignum, Sigillum. Lista pełna na EU Trusted List.

LoA - co znaczy?

LoA (Level of Assurance) - poziom wiarygodności środka identyfikacji elektronicznej. eIDAS art. 8 definiuje trzy poziomy:

  1. NISKI (low) - ograniczone uwierzytelnianie, np. tylko hasło.
  2. ISTOTNY (substantial) - silne uwierzytelnianie wielofunkcyjne, z weryfikacją tożsamości face-to-face lub równoważnym. Najczęściej stosowany - np. polski Profil Zaufany w trybie pełnym.
  3. WYSOKI (high) - najsilniejsze uwierzytelnienie, kryptograficzne, oparte na QSCD. Stosowany do operacji o najwyższym ryzyku - np. podpis QES.

Aplikacje muszą uznawać eID notyfikowane na poziomie odpowiadającym ich wymaganiom.

Co to QWAC?

QWAC (Qualified Website Authentication Certificate) - kwalifikowany certyfikat uwierzytelnienia strony www. Specjalny rodzaj certyfikatu SSL/TLS wydany przez QTSP.

Różnica wobec zwykłych certyfikatów EV (Extended Validation): QWAC jest wydawany pod nadzorem prawnym państwa członkowskiego i daje prawne domniemanie integralności i autentyczności (po eIDAS 2.0).

Praktyczne zastosowanie: serwisy bankowe, instytucje finansowe (po regulacjach EBA), administracja publiczna.

Kiedy EU Digital Identity Wallet?

eIDAS 2.0 wymaga, by każde państwo członkowskie do 26 maja 2026 r. udostępniło swoim obywatelom co najmniej jeden EU Digital Identity Wallet (EUDIW) zgodny z Architecture and Reference Framework (ARF).

Wallet to aplikacja mobilna/desktop pozwalająca:

  • Przechowywać i prezentować eID, certyfikaty, atrybuty.
  • Podpisywać dokumenty elektronicznie (QES).
  • Uwierzytelniać się w serwisach zgodnie z zasadą minimalizacji.
  • Autoryzować transakcje.

W Polsce projekt prowadzi Ministerstwo Cyfryzacji - prawdopodobnie przez rozszerzenie aplikacji mObywatel.

Czy podpis kwalifikowany ma moc papierową?

Tak. Art. 25 ust. 2 eIDAS stwierdza wprost, że kwalifikowany podpis elektroniczny ma skutek prawny równoważny z podpisem własnoręcznym.

Konsekwencja: dokumenty podpisane QES mają taką samą moc dowodową w sądzie jak podpisane długopisem na papierze. To dotyczy całej UE - QES wystawiony w jednym państwie członkowskim musi być uznawany w innym.

Niektóre szczególne czynności prawne nadal wymagają formy pisemnej (np. notarialnej) - eIDAS nie eliminuje tego wymogu. Polskie prawo (Kodeks cywilny art. 78(1)) potwierdza tę równoważność.

Praktyczne zastosowania: umowy biznesowe, faktury KSeF, umowa o pracę na odległość, wnioski do sądów, międzynarodowe umowy biznesowe w UE.

Kto wydaje certyfikaty w Polsce?

W Polsce kwalifikowane certyfikaty wydają QTSP wpisane na polską Trusted List:

  • KIR S.A. - certyfikaty bankowe i biznesowe.
  • PWPW S.A. - certyfikaty Sigillum.
  • Asseco Data Systems - Certum (najpopularniejszy w PL).
  • Eurotag sp. z o.o. - CenCert.
  • eSignum (KSKOK).
  • Enigma Systemy Ochrony Informacji.

Aktualną listę można sprawdzić na EU Trusted List Browser. Nadzór sprawuje Minister Cyfryzacji przez NCCB wspierany przez NASK.

Czy SaaS musi spełniać eIDAS?

Bezpośrednio - tylko jeśli świadczy usługi zaufania (np. składa podpisy, pieczęcie, znaczniki czasu, dostarczanie elektroniczne).

Jednak SaaS w wielu przypadkach musi się integrować z eIDAS:

  1. Akceptować zalogowanie przez notyfikowany eID.
  2. Akceptować podpisy QES dla operacji wymagających podpisu pisemnego.
  3. Wystawiać dokumenty w formacie kompatybilnym z weryfikacją podpisów (PAdES, XAdES).
  4. Integrować z EU Digital Identity Wallet po 2026 r.

Praktyka: większe SaaS B2B implementują integracje z głównymi QTSP (Certum, KIR) jako opcje dla klientów.

Co z eDoręczeniami?

eDoręczenia to polska implementacja kwalifikowanej usługi rejestrowanego doręczenia elektronicznego (Qualified Electronic Registered Delivery Service, QERDS) wprowadzonej eIDAS art. 44. Operatorem jest Poczta Polska.

Usługa pozwala na elektroniczne doręczanie korespondencji z mocą prawną równoważną tradycyjnemu listowi poleconemu. Każdy obywatel ma adres do doręczeń elektronicznych (ADE).

Od 1 stycznia 2026 r. wszystkie podmioty publiczne i niektóre prywatne (spółki kapitałowe w KRS) mają obowiązek odbioru eDoręczeń.

Praktyczne wykorzystanie: korespondencja z urzędami, sądami, ZUS, NFZ, US, doręczanie pozwów i decyzji administracyjnych.

AI Act i biometria - jak się ma do eIDAS?

EU Digital Identity Wallet wprowadzany eIDAS 2.0 wykorzystuje mechanizmy biometryczne (face matching dla onboardingu, opcjonalnie odcisk palca lub face ID dla autentykacji). AI Act klasyfikuje systemy rozpoznawania biometrycznego jako wysokiego ryzyka.

Relacje:

  1. EUDIW musi spełniać zarówno eIDAS jak i AI Act.
  2. eIDAS daje prawne ramy dla legalnego użycia biometrii w identyfikacji elektronicznej.
  3. Pamiętajmy o RODO - biometria to szczególna kategoria danych (art. 9).
  4. Wszystkie trzy regulacje muszą być stosowane łącznie.

Praktycznie: bank wprowadzający face unlock musi mapować wymagania wszystkich trzech regulacji.

Potrzebujesz konsultacji w zakresie eIDAS?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Sprawdzamy wymagania (LoA, QES, QWAC), mapujemy integracje z QTSP, omawiamy plan dla EUDIW.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Compliance i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Rozporządzenia UE, ETSI standards i ARF EUDIW odsyłają do oryginałów.

  1. [1]regulationParlament Europejski, Rada UE (2014). Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (eIDAS). Dz.U. UE L 257, 28.8.2014 · https://eur-lex.europa.eu/eli/reg/2014/910/oj
  2. [2]regulationParlament Europejski, Rada UE (2024). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. zmieniające rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskiej tożsamości cyfrowej (eIDAS 2.0). Dz.U. UE L · https://eur-lex.europa.eu/eli/reg/2024/1183/oj
  3. [3]regulationSejm RP (2016). Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej. Dz.U. 2016 poz. 1579 z późn. zm. · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20160001579
  4. [4]standardEuropean Telecommunications Standards Institute (ETSI) (2022). ETSI EN 319 401 - General Policy Requirements for Trust Service Providers · https://www.etsi.org/standards
  5. [5]guidelineKomisja Europejska, eIDAS Expert Group (2024). Architecture and Reference Framework (ARF) for European Digital Identity Wallet · https://digital-strategy.ec.europa.eu/en/policies/eudi-wallet
  6. [6]guidelineKomisja Europejska (ongoing). EU Trusted List - Lista zaufanych dostawców usług zaufania. EU Trust List Browser · https://eidas.ec.europa.eu/efda/tl-browser/
  7. [7]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO). Dz.U. UE L 119, 4.5.2016 · https://eur-lex.europa.eu/eli/reg/2016/679/oj
  8. [8]regulationParlament Europejski, Rada UE (2022). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2). Dz.U. UE L 333, 27.12.2022 · https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  9. [9]standardGrassi, P. A., Garcia, M. E., Fenton, J. L. (2017). NIST SP 800-63-3: Digital Identity Guidelines. NIST. DOI: 10.6028/NIST.SP.800-63-3 · https://doi.org/10.6028/NIST.SP.800-63-3
  10. [10]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). Remote ID Proofing - Good Practices. ENISA · https://www.enisa.europa.eu/publications/remote-id-proofing-good-practices
  11. [11]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Post-Quantum Cryptography: Current state and quantum mitigation. ENISA · https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation
  12. [12]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  13. [13]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  14. [14]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  15. [15]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  16. [16]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  17. [17]standardOpen Web Application Security Project (OWASP) (2021). OWASP Application Security Verification Standard (ASVS) v4.0.3. OWASP · https://owasp.org/www-project-application-security-verification-standard/
  18. [18]peer-reviewedVielberth, M., B�hm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514
  19. [19]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/
  20. [20]standardMITRE Corporation (2024). MITRE ATT&CK Framework v15 (Enterprise, Mobile, ICS). MITRE · https://attack.mitre.org/