Minister właściwy do spraw informatyzacji zapewnia funkcjonowanie krajowej infrastruktury zaufania, która obejmuje:
1) rejestr dostawców usług zaufania, zwany dalej „rejestrem”;
2) zaufaną listę;
3) narodowe centrum certyfikacji.
1. Rejestr jest prowadzony w postaci elektronicznej.
2. Rejestr jest jawny. Każdy ma prawo dostępu do danych zawartych w rejestrze.
3. Do rejestru wpisuje się dostawców usług zaufania, którzy mają siedzibę lub oddział na terytorium Rzeczypospolitej Polskiej, oraz usługi zaufania świadczone przez tych dostawców.
4. Do rejestru wpisuje się:
1) imię i nazwisko lub firmę (nazwę) dostawcy usług zaufania;
2) adres siedziby i miejsca wykonywania działalności;
3) numer w Krajowym Rejestrze Sądowym – w przypadku dostawców usług zaufania podlegających wpisowi do tego rejestru;
4) numer identyfikacji podatkowej;
5) nazwę polityki świadczenia usług;
6) rodzaj świadczonych usług zaufania;
7) datę rozpoczęcia świadczenia usługi zaufania;
8) datę zakończenia świadczenia usługi zaufania;
9) informację o wystawionych certyfikatach, o których mowa w art. 10 zadania narodowego centrum certyfikacji ust. 1 pkt 1;
10) nazwę i adres zakładu ubezpieczeń, z którym dostawca usług zaufania zawarł umowę ubezpieczenia, okres, na jaki umowa ta została zawarta, oraz sumę ubezpieczenia;
11) informacje o zamiarze zaprzestania prowadzenia działalności w zakresie świadczenia usług zaufania lub zamiarze ograniczenia zakresu świadczonych usług zaufania;
12) informacje o otwarciu likwidacji dostawcy usług zaufania oraz datę jego likwidacji;
13) informacje o ogłoszeniu upadłości dostawcy usług zaufania lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 oddalenie wniosku o ogłoszenie upadłości ustawy z dnia 28 lutego 2003 r. – Prawo upadłościowe (Dz. U. z 2024 r. poz. 794 i 1222) oraz datę zakończenia postępowania upadłościowego;
14) datę wykreślenia z rejestru dostawcy usług zaufania.
1. Wpis do rejestru:
1) dostawcy usług zaufania, który zamierza świadczyć kwalifikowane usługi zaufania, lub
2) kwalifikowanej usługi zaufania
– następuje na wniosek dostawcy usług zaufania.
2. Wniosek o wpis, o którym mowa w ust. 1, zawiera dane i informacje, o których mowa w art. 3 rejestr dostawców usług zaufania ust. 4 pkt 1–7.
3. Minister właściwy do spraw informatyzacji udostępnia w Biuletynie Informacji Publicznej formularz wniosku o wpis, o którym mowa w ust. 1.
4. Do wniosku o wpis, o którym mowa w ust. 1, dołącza się, w postaci elektronicznej:
1) raport z oceny zgodności, o którym mowa w art. 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73), zwanego dalej „rozporządzeniem 910/2014”, wydany przez jednostkę oceniającą zgodność;
2) politykę świadczenia usług objętych wnioskiem, zgodnie z którą mają być świadczone usługi zaufania;
3) plan zakończenia działalności, o którym mowa w art. 24 ust. 2 lit. i rozporządzenia 910/2014;
4) dane niezbędne do wystawienia certyfikatu, o którym mowa w art. 10 zadania narodowego centrum certyfikacji ust. 1 pkt 1.
5. Do wniosku o wpis, o którym mowa w ust. 1, można dołączyć kopie dokumentów, o których mowa w ust. 4 pkt 1–3.
6. Minister właściwy do spraw informatyzacji, po rozpatrzeniu wniosku, o którym mowa w ust. 1, wydaje decyzję o wpisie:
1) dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania;
2) kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania.
7. Decyzja o wpisie, o której mowa w ust. 6, zawiera informacje podlegające wpisowi do rejestru.
1. Decyzja, o której mowa w art. 4 wpis do rejestru dostawców usług zaufania ust. 6, jest podstawą do wydania certyfikatu, o którym mowa w art. 10 zadania narodowego centrum certyfikacji ust. 1 pkt 1, oraz dokonania wpisu na zaufaną listę i oznacza nadanie statusu kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego usłudze.
2. Minister właściwy do spraw informatyzacji prowadzi zaufaną listę.
1. Wpis do rejestru:
1) niekwalifikowanego dostawcy usług zaufania lub
2) niekwalifikowanej usługi zaufania
– następuje na podstawie zgłoszenia przesłanego w postaci elektronicznej przez dostawcę usług zaufania.
2. Niekwalifikowany dostawca usług zaufania w zgłoszeniu, o którym mowa w ust. 1, zgłasza co najmniej informacje, o których mowa w art. 3 rejestr dostawców usług zaufania ust. 4 pkt 1–6.
Dostawca usług zaufania wpisany do rejestru jest obowiązany informować ministra właściwego do spraw informatyzacji o:
1) każdej zmianie danych wpisanych do rejestru – w terminie 14 dni od zmiany tych danych;
2) zamiarze zaprzestania świadczenia kwalifikowanych usług zaufania, otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 oddalenie wniosku o ogłoszenie upadłości ustawy z dnia 28 lutego 2003 r. – Prawo upadłościowe – niezwłocznie.
1. Minister właściwy do spraw informatyzacji wykreśla kwalifikowanego dostawcę usług zaufania lub świadczoną przez niego kwalifikowaną usługę zaufania z rejestru w drodze decyzji.
2. Decyzja o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania oznacza odebranie statusu kwalifikowanego temu dostawcy.
3. Decyzja o wykreśleniu z rejestru kwalifikowanej usługi zaufania oznacza odebranie tej usłudze statusu kwalifikowanego.
4. Minister właściwy do spraw informatyzacji wydaje decyzję o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego kwalifikowanej usługi zaufania w przypadku:
1) złożenia przez tego dostawcę wniosku o wykreślenie z rejestru;
2) wykorzystywania certyfikatów, o których mowa w art. 10 zadania narodowego centrum certyfikacji ust. 1 pkt 1, w sposób wykraczający poza zakres ich stosowania;
3) o którym mowa w art. 20 ust. 3 rozporządzenia 910/2014;
4) zaprzestania działalności przez kwalifikowanego dostawcę usług zaufania.
5. Decyzja o wykreśleniu, o której mowa w ust. 1, jest podstawą wykreślenia dostawcy usług zaufania z zaufanej listy oraz może być podstawą do unieważnienia certyfikatów, o których mowa w art. 10 zadania narodowego centrum certyfikacji ust. 1 pkt 1.
6. Minister właściwy do spraw informatyzacji wykreśla niekwalifikowanego dostawcę usług zaufania z rejestru w przypadku ustalenia, że zaprzestał on świadczenia usług zaufania.
1. Decyzja o wykreśleniu kwalifikowanego dostawcy usług zaufania z rejestru oraz decyzja o wykreśleniu wpisu kwalifikowanej usługi zaufania z rejestru podlega natychmiastowemu wykonaniu. Przepisu art. 61 skarga a wykonywanie aktu lub czynności § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935) nie stosuje się.
2. W przypadku wykreślenia dostawcy usług zaufania z rejestru w rejestrze pozostawia się informacje o dostawcy i świadczonych przez niego usługach.
1. Narodowe centrum certyfikacji:
1) tworzy i wydaje kwalifikowanym dostawcom usług zaufania certyfikaty służące do weryfikacji zaawansowanych podpisów elektronicznych lub pieczęci elektronicznych, o których mowa w załączniku I lit. g, załączniku III lit. g i załączniku IV lit. h do rozporządzenia 910/2014, oraz certyfikatów służących do weryfikacji innych usług zaufania świadczonych przez kwalifikowanych dostawców, zwanych dalej „certyfikatami dostawcy usług zaufania”;
2) publikuje certyfikaty, o których mowa w pkt 1;
3) publikuje listy unieważnionych certyfikatów, o których mowa w pkt 1;
4) tworzy dane do opatrywania pieczęcią elektroniczną certyfikatów, o których mowa w pkt 1, oraz certyfikatów do weryfikacji tych pieczęci, zwanych dalej „certyfikatami narodowego centrum certyfikacji”.
2. Narodowe centrum certyfikacji realizuje zadania, o których mowa w ust. 1, zgodnie z polityką certyfikacji.
1. Na wniosek Prezesa Narodowego Banku Polskiego, minister właściwy do spraw informatyzacji może upoważnić Narodowy Bank Polski do realizacji zadań, o których mowa w art. 10 zadania narodowego centrum certyfikacji, jak również do prowadzenia rejestru i zaufanej listy.
2. W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10 zadania narodowego centrum certyfikacji, polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z ministrem właściwym do spraw informatyzacji.
3. W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10 zadania narodowego centrum certyfikacji, minister właściwy do spraw informatyzacji przekazuje do Narodowego Banku Polskiego kopie dokumentów stanowiących podstawę wpisu do rejestru lub wykreślenia z rejestru albo zmian wpisów w rejestrze.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:
1) wymagania organizacyjno-techniczne krajowej infrastruktury zaufania,
2) szczegółową treść wpisów w rejestrze oraz sposób ich dokonywania,
3) tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji,
4) wymagania dla polityki certyfikacji narodowego centrum certyfikacji,
5) wymagania bezpieczeństwa krajowej infrastruktury zaufania
– uwzględniając konieczność zapewnienia ochrony tajemnicy przedsiębiorstwa i interesów odbiorców usług zaufania oraz interoperacyjność systemów stosowanych przez dostawców usług zaufania oraz krajową infrastrukturę zaufania.
