1. Kwalifikowany dostawca usług zaufania jest obowiązany zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług zaufania powstałe w okresie świadczenia usług zaufania, w terminie 30 dni od dnia dokonania wpisu kwalifikowanej usługi zaufania do rejestru, nie później niż jeden dzień przed dniem rozpoczęcia świadczenia tej usługi.
2. Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 30 dni od dnia doręczenia decyzji o wpisie do rejestru, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię umowy, o której mowa w ust. 1.
3. Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 7 dni od dnia upływu okresu ubezpieczenia, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię kolejnej umowy ubezpieczenia.
4. Minister właściwy do spraw instytucji finansowych w porozumieniu z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, szczegółowy zakres ubezpieczenia, o którym mowa w ust. 1, oraz minimalną sumę gwarancyjną, uwzględniając specyfikę działalności prowadzonej przez kwalifikowanych dostawców usług zaufania.
Kwalifikowany dostawca usług zaufania, wydając kwalifikowany certyfikat podpisu elektronicznego, jest obowiązany:
1) uzyskać od osoby ubiegającej się o certyfikat potwierdzenie przyporządkowania do niej danych służących do weryfikacji podpisu elektronicznego, które są zawarte w wydanym certyfikacie;
2) poinformować osobę ubiegającą się o certyfikat o procedurze zgłaszania żądań unieważnienia kwalifikowanego certyfikatu.
1. Informacje i dane związane ze świadczeniem usług zaufania, których ujawnienie mogłoby narazić na szkodę dostawcę usług zaufania lub odbiorcę usług zaufania, w szczególności dane do składania podpisów elektronicznych lub pieczęci elektronicznych, są objęte tajemnicą.
2. Tajemnicą, o której mowa w ust. 1, nie są objęte informacje o naruszeniach przepisów o usługach zaufania przez dostawcę usług zaufania oraz informacje o zdarzeniach powodujących naruszenia bezpieczeństwa lub utratę integralności, o których mowa w art. 20a zarządzanie ryzykiem przez dostawców usług zaufania ust. 2.
3. Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązane:
1) osoby pozostające z dostawcą usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze;
2) osoby pozostające z podmiotami świadczącymi usługi na rzecz dostawcy usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
4. Osoby, o których mowa w ust. 3, mają obowiązek udzielenia informacji i danych, o których mowa w ust. 1, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych, wyłącznie na żądanie:
1) sądu lub prokuratora – w związku z toczącym się postępowaniem;
2) ministra właściwego do spraw informatyzacji – w związku ze sprawowaniem przez niego nadzoru nad działalnością dostawców usług zaufania;
3) innych upoważnionych organów – w związku z prowadzonym przez te organy postępowaniem.
5. Obowiązek zachowania tajemnicy, o której mowa w ust. 1, trwa przez 10 lat od dnia ustania stosunku prawnego, o którym mowa w ust. 3.
6. Obowiązek zachowania w tajemnicy danych do składania podpisu elektronicznego lub pieczęci elektronicznej jest nieograniczony w czasie.
Zaawansowany podpis elektroniczny lub zaawansowana pieczęć elektroniczna weryfikowane za pomocą certyfikatu dostawcy usług zaufania służą do opatrywania podpisem elektronicznym lub pieczęcią elektroniczną:
1) certyfikatów kwalifikowanych, o których mowa w załączniku I lit. g, załączniku III lit. g oraz załączniku IV lit. h do rozporządzenia 910/2014;
2) informacji o statusie certyfikatów kwalifikowanych, w tym listy zawieszonych lub unieważnionych certyfikatów;
3) innych certyfikatów związanych ze świadczeniem kwalifikowanych usług zaufania.
1. Kwalifikowany dostawca usług zaufania przechowuje następujące dokumenty i dane związane ze świadczeniem usług zaufania:
1) potwierdzenie, o którym mowa w art. 14 obowiązki kwalifikowanego dostawcy usług zaufania wydającego kwalifikowany certyfikat podpisu elektronicznego pkt 1,
2) listy zawieszonych i unieważnionych kwalifikowanych certyfikatów,
3) politykę świadczenia usługi,
4) żądania unieważnienia kwalifikowanego certyfikatu,
5) inne dokumenty, o ile polityka świadczenia usługi wymagała ich utworzenia i przechowywania
– w sposób umożliwiający odczytanie oraz zapewniający bezpieczeństwo przechowywanych dokumentów i danych.
2. Kwalifikowany dostawca usług zaufania jest obowiązany przechowywać dokumenty i dane, o których mowa w ust. 1, z wyłączeniem danych służących do składania podpisu elektronicznego lub pieczęci elektronicznej, przez 20 lat od dnia ich wytworzenia.
1. Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu.
2. Podpis elektroniczny lub pieczęć elektroniczna złożone w okresie zawieszenia certyfikatu wykorzystywanego do jego weryfikacji nie wywołują skutków prawnych. Informacja o zawieszeniu certyfikatu jest udostępniana w ramach usługi informowania o statusie certyfikatu.
3. Po uchyleniu zawieszenia certyfikatu, skutek prawny podpisu elektronicznego lub pieczęci elektronicznej weryfikowanych tym certyfikatem złożonych w trakcie zawieszenia następuje z chwilą uchylenia tego zawieszenia.
1. Dostawca usług zaufania jest obowiązany posiadać politykę świadczenia usługi.
2. Polityka świadczenia usługi stanowi nazwany zestaw reguł, w szczególności takich jak polityka certyfikacji, określający zasady świadczenia usługi, odpowiedzialność stron, zasady postępowania z danymi i mający zastosowanie do określonego kręgu podmiotów lub zastosowań, o wspólnych dla tego kręgu wymaganiach bezpieczeństwa, opracowywany na podstawie norm lub standardów określających wymagania dla polityk świadczenia usług.
3. Kwalifikowany dostawca usług zaufania jest obowiązany posiadać plan zakończenia działalności oraz zastosować ten plan do zakończenia działalności.
4. Kwalifikowany dostawca usług zaufania zapewnia możliwość całodobowego zgłaszania żądań unieważnienia kwalifikowanych certyfikatów.
1. W przypadku gdy kwalifikowany dostawca usług zaufania utracił status kwalifikowany i żaden inny kwalifikowany dostawca usług zaufania nie przejął jego działalności w zakresie świadczenia usług zaufania, przekazuje on dokumenty i dane, o których mowa w art. 17 przechowywanie dokumentów i danych związanych ze świadczeniem usług zaufania ust. 1, ministrowi właściwemu do spraw informatyzacji w terminie 30 dni od dnia utraty statusu kwalifikowanego.
2. Minister właściwy do spraw informatyzacji przechowuje dokumenty i dane, o których mowa w art. 17 przechowywanie dokumentów i danych związanych ze świadczeniem usług zaufania ust. 1, do końca okresu, o którym mowa w art. 17 przechowywanie dokumentów i danych związanych ze świadczeniem usług zaufania ust. 2.
3. Kwalifikowany dostawca usług zaufania niszczy niezwłocznie dane do składania przez niego zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej weryfikowanych za pomocą certyfikatu dostawcy usług zaufania, w przypadku gdy polityka świadczenia usługi nie przewiduje dalszego wykorzystania tych danych lub w przypadku unieważnienia certyfikatu dostawcy usług zaufania powiązanego z tymi danymi.
4. Kwalifikowany dostawca usług zaufania z czynności, o których mowa w ust. 3, sporządza protokół zniszczenia danych i przekazuje go ministrowi właściwemu do spraw informatyzacji w terminie 7 dni od wykonania tych czynności.
1. Dostawcy usług zaufania podejmują odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług zaufania, w szczególności środki zapobiegające zdarzeniom powodującym naruszenie bezpieczeństwa lub utratę integralności, związanym z usługami zaufania lub minimalizujące wpływ tych zdarzeń. W ramach zadania, o którym mowa w zdaniu pierwszym, dostawcy usług zaufania uwzględniają najnowsze osiągnięcia w dziedzinie cyberbezpieczeństwa.
2. Dostawca usług zaufania zawiadamia ministra właściwego do spraw informatyzacji o zdarzeniu powodującym naruszenie bezpieczeństwa lub utratę integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe, niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia.
3. W przypadku gdy prawdopodobne jest, że zdarzenie, o którym mowa w ust. 2, niekorzystnie wpłynie na osobę fizyczną lub prawną, na rzecz której świadczona była usługa zaufania, dostawca usług zaufania bez zbędnej zwłoki zawiadamia także tę osobę fizyczną lub prawną o tym zdarzeniu i jego potencjalnych skutkach.
Dostawca usług zaufania nie odpowiada za szkody wynikające z nieprzestrzegania przez odbiorcę usług zaufania zasad określonych w polityce świadczenia usługi, w szczególności za szkody wynikające z:
1) użycia certyfikatu niezgodnie z zakresem określonym w polityce świadczenia usługi wskazanej w certyfikacie, w tym za szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta została wskazana w certyfikacie;
2) nieprawdziwości danych zawartych w certyfikacie, podanych przez odbiorcę usług zaufania używającego tego certyfikatu, chyba że szkoda była wynikiem niedołożenia należytej staranności przez dostawcę usług zaufania;
3) przechowywania lub używania przez odbiorców usług zaufania danych do składania podpisu elektronicznego, pieczęci elektronicznej lub uwierzytelniania witryn internetowych w sposób niezapewniający ich ochrony przed nieuprawnionym wykorzystaniem.
1. Krajowy schemat identyfikacji elektronicznej obejmuje:
1) węzeł krajowy identyfikacji elektronicznej, zwany dalej „węzłem krajowym”;
2) przyłączone do węzła krajowego:
a) systemy identyfikacji elektronicznej, w których wydawane są środki identyfikacji elektronicznej,
b) systemy teleinformatyczne, w których udostępniane są usługi online;
3) węzeł wykorzystywany w procesie transgranicznego uwierzytelniania osób, o którym mowa w przepisach wydanych na podstawie art. 12 rozporządzenie w sprawie rejestru dostawców usług zaufania ust. 8 rozporządzenia 910/2014, zwany dalej „węzłem transgranicznym”.
2. Węzeł krajowy jest rozwiązaniem organizacyjno-technicznym umożliwiającym uwierzytelnianie użytkownika systemu teleinformatycznego, korzystającego z usługi online, z wykorzystaniem środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do tego węzła bezpośrednio albo za pośrednictwem węzła transgranicznego.
3. Wykorzystywanie środka identyfikacji elektronicznej do uwierzytelnienia użytkownika systemu teleinformatycznego w celu realizacji usługi online świadczonej przez podmiot, o którym mowa w art. 2 stosowanie przepisów ustawy i art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2024 r. poz. 1557), lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, jest nieodpłatne.
4. Uwierzytelnienie użytkownika systemu teleinformatycznego w celu realizacji usługi online wymaga użycia środka identyfikacji elektronicznej na poziomie bezpieczeństwa określonym przez podmiot świadczący tę usługę.
5. Funkcjonowanie węzła krajowego zapewnia minister właściwy do spraw informatyzacji.
6. Minister właściwy do spraw informatyzacji przetwarza dane osobowe osób, którym wydano środki identyfikacji elektronicznej, obejmujące:
1) imię (imiona),
2) nazwisko,
3) nazwisko rodowe,
4) numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w przepisach wydanych na podstawie art. 12 rozporządzenie w sprawie rejestru dostawców usług zaufania ust. 8 rozporządzenia 910/2014,
5) datę urodzenia,
6) miejsce urodzenia,
7) płeć,
8) adres zamieszkania
– w celu uwierzytelnienia z wykorzystaniem węzła krajowego.
1. Minister właściwy do spraw informatyzacji wydaje decyzję o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego podmiotowi odpowiedzialnemu za ten system posiadającemu siedzibę na terenie jednego z państw członkowskich Unii Europejskiej po:
1) potwierdzeniu spełnienia przez ten system wymagań dla zadeklarowanych poziomów bezpieczeństwa środków identyfikacji elektronicznej wydawanych w tym systemie, określonych w przepisach wydanych na podstawie art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 3 rozporządzenia 910/2014;
2) przeprowadzeniu testów integracyjnych zakończonych wynikiem pozytywnym, potwierdzających interoperacyjność systemów identyfikacji elektronicznej, z uwzględnieniem przepisów wydanych na podstawie art. 12 rozporządzenie w sprawie rejestru dostawców usług zaufania ust. 8 rozporządzenia 910/2014;
3) zapewnieniu przez podmiot odpowiedzialny za ten system opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 delegacja ustawowa ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
4) przedstawieniu przez podmiot odpowiedzialny za ten system dokumentu zawierającego przyrzeczenie zakładu ubezpieczeń zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy;
5) przedstawieniu przez podmiot odpowiedzialny za ten system oświadczenia o działaniu tego podmiotu zgodnie z przepisami o ochronie danych osobowych;
6) uzyskaniu pozytywnej opinii Szefa Agencji Bezpieczeństwa Wewnętrznego w przypadku, o którym mowa w art. 21g wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego ust. 6.
2. Przyłączenie systemu identyfikacji elektronicznej do węzła krajowego następuje pod warunkiem dostarczenia ministrowi właściwemu do spraw informatyzacji przez podmiot odpowiedzialny za system identyfikacji elektronicznej, w terminie wskazanym przez tego ministra, nie krótszym niż 30 dni, kopii umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy.
3. Po spełnieniu warunku, o którym mowa w ust. 2, przyłączenie systemu identyfikacji elektronicznej do węzła krajowego następuje bez zbędnej zwłoki.
1. Ubezpieczeniem, o którym mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 2, jest objęta odpowiedzialność cywilna podmiotu odpowiedzialnego za system identyfikacji elektronicznej za szkodę wynikającą z działania lub zaniechania, wyrządzoną w związku z wykorzystaniem środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej, w usłudze online świadczonej przez podmiot, o którym mowa w art. 2 stosowanie przepisów ustawy i art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w art. 3 rejestr dostawców usług zaufania pkt 7 rozporządzenia 910/2014, spowodowaną przez awarię, przerwę lub błąd systemu lub przez zaciągnięcie zobowiązania w wyniku nieuprawnionego wykorzystania tego środka identyfikacji elektronicznej.
2. Ubezpieczenie, o którym mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 2, nie obejmuje szkód:
1) wyrządzonych przez ubezpieczonego po dniu wydania ostatecznej decyzji o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego, chyba że szkoda jest następstwem działania lub zaniechania, które miało miejsce w okresie przyłączenia do węzła krajowego,
2) polegających na zapłacie kar umownych,
3) powstałych wskutek siły wyższej
– chyba że w umowie ubezpieczenia zakres ochrony ubezpieczeniowej zostanie rozszerzony również o szkody wynikające ze zdarzeń wskazanych w pkt 1–3.
3. Ubezpieczenie, o którym mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 2, obejmuje wszystkie szkody w zakresie, o którym mowa w ust. 1 i 2, bez możliwości umownego ograniczenia odpowiedzialności przez zakład ubezpieczeń.
1. Podmiot odpowiedzialny za system identyfikacji elektronicznej ponosi odpowiedzialność cywilną za szkodę wynikającą z działania lub zaniechania, wyrządzoną w związku z wykorzystaniem środka identyfikacji elektronicznej, w celu uwierzytelnienia użytkowników systemów określonych w art. 21a krajowy schemat identyfikacji elektronicznej ust. 1 pkt 2 lit. b, korzystających z usługi online świadczonej przez podmiot, o którym mowa w art. 2 stosowanie przepisów ustawy i art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, spowodowaną przez awarię, przerwę lub błąd systemu lub przez zaciągnięcie zobowiązania w wyniku nieuprawnionego wykorzystania tego środka identyfikacji elektronicznej do wysokości 2 000 000 euro w odniesieniu do wszystkich zdarzeń w danym roku.
2. Ograniczenia odpowiedzialności do wysokości wskazanej w ust. 1 nie stosuje się w przypadku transgranicznego uwierzytelniania osób, o którym mowa w przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014.
1. Minister właściwy do spraw instytucji finansowych w porozumieniu z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, minimalną sumę gwarancyjną ubezpieczenia, o którym mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 2, za szkody wynikające z działania lub zaniechania, wyrządzone w związku z wykorzystaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej, w usługach online świadczonych przez podmioty, o których mowa w art. 2 stosowanie przepisów ustawy lub art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. l ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmioty sektora publicznego, o których mowa w art. 3 rejestr dostawców usług zaufania pkt 7 rozporządzenia 910/2014, spowodowane przez awarie, przerwy lub błędy systemu lub przez zaciągnięcie zobowiązań w wyniku nieuprawnionego wykorzystania środka identyfikacji elektronicznej, uwzględniając specyfikę działalności prowadzonej przez podmioty odpowiedzialne za systemy identyfikacji elektronicznej.
2. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wysokość kwot odpowiedzialności podmiotu odpowiedzialnego za system identyfikacji elektronicznej, o której mowa w art. 21ca odpowiedzialność cywilna podmiotu odpowiedzialnego za system identyfikacji elektronicznej ust. 1, w odniesieniu do jednego zdarzenia, w zależności od poziomu bezpieczeństwa środków identyfikacji elektronicznej wydawanych w tym systemie, kierując się potrzebą zapewnienia zaufania do uwierzytelnienia z wykorzystaniem środków identyfikacji elektronicznej.
1. Osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, jest obowiązana:
1) korzystać ze środka identyfikacji elektronicznej zgodnie z warunkami określonymi przez podmiot odpowiedzialny za system identyfikacji elektronicznej, w którym został wydany ten środek;
2) zgłaszać niezwłocznie podmiotowi odpowiedzialnemu za system identyfikacji elektronicznej, w którym został wydany ten środek, utratę, kradzież, przywłaszczenie środka identyfikacji elektronicznej lub utratę wyłącznej kontroli nad danymi umożliwiającymi identyfikację przy użyciu tego środka albo stwierdzenie nieuprawnionego użycia środka identyfikacji elektronicznej.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, z chwilą wydania tego środka podejmuje niezbędne działania służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego środka lub danych umożliwiających identyfikację przy użyciu tego środka.
W przypadku zgłoszenia, o którym mowa w art. 21e obowiązki osoby, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej ust. 1 pkt 2, osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, po dokonaniu zgłoszenia nie ponosi odpowiedzialności za zobowiązanie zaciągnięte z wykorzystaniem środka identyfikacji elektronicznej.
1. Przyłączenie systemu identyfikacji elektronicznej do węzła krajowego następuje na wniosek podmiotu odpowiedzialnego za system identyfikacji elektronicznej.
2. Wniosek zawiera:
1) imię i nazwisko lub firmę (nazwę), adres siedziby i miejsca wykonywania działalności, numer w Krajowym Rejestrze Sądowym, a w przypadku gdy podmiot nie posiada numeru w Krajowym Rejestrze Sądowym, wskazanie organu, któremu działalność podmiotu została zgłoszona, lub właściwego rejestru oraz podanie numeru identyfikacyjnego, jeżeli został on nadany, podmiotu odpowiedzialnego za system identyfikacji elektronicznej;
2) imię i nazwisko lub firmę (nazwę), adres siedziby i miejsca wykonywania działalności, numer w Krajowym Rejestrze Sądowym, a w przypadku gdy podmiot nie posiada numeru w Krajowym Rejestrze Sądowym, wskazanie organu, któremu działalność podmiotu została zgłoszona, lub właściwego rejestru oraz podanie numeru identyfikacyjnego, jeżeli został on nadany, każdego podmiotu:
a) potwierdzającego tożsamość oraz weryfikującego dane identyfikujące osoby ubiegającej się o wydanie środka identyfikacji elektronicznej,
b) wydającego środki identyfikacji elektronicznej,
c) zapewniającego funkcjonalność pozwalającą na uwierzytelnienie osób, którym wydano środek identyfikacji elektronicznej
– w przypadku gdy czynności tych nie wykonuje podmiot odpowiedzialny za system identyfikacji elektronicznej;
3) nazwę i szczegółowy opis systemu identyfikacji elektronicznej, w tym opis środków identyfikacji elektronicznej wydawanych w tym systemie z określeniem ich poziomu bezpieczeństwa, o którym mowa w art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 2 rozporządzenia 910/2014, oraz informacje techniczne i organizacyjne dotyczące wykorzystania tych środków.
3. Do wniosku dołącza się:
1) dokument potwierdzający spełnianie wymagań dla zadeklarowanych poziomów bezpieczeństwa środków identyfikacji elektronicznej, określonych w przepisach wydanych na podstawie art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 3 rozporządzenia 910/2014, w szczególności:
a) pozytywny wynik audytu systemu zarządzania bezpieczeństwem informacji obejmującego swym zakresem system identyfikacji elektronicznej, którego dotyczy wniosek, albo
b) pozytywny wynik audytu, o którym mowa w przepisach wydanych na podstawie art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 3 rozporządzenia 910/2014
– adekwatnie do poziomu bezpieczeństwa środków identyfikacji elektronicznej wydawanych w tym systemie;
2) dokument zawierający przyrzeczenie zakładu ubezpieczeń zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy;
3) oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 3;
4) oświadczenie o działaniu podmiotu zgodnie z przepisami o ochronie danych osobowych.
4. Wniosek oraz dokumenty, o których mowa w ust. 3, składa się w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym.
5. Minister właściwy do spraw informatyzacji informuje Szefa Agencji Bezpieczeństwa Wewnętrznego o wpłynięciu wniosku, o którym mowa w ust. 1, w celu umożliwienia Szefowi Agencji Bezpieczeństwa Wewnętrznego dokonania oceny, czy podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, znajdują się pod kontrolą korporacyjną, w tym faktycznym wpływem innego państwa, jego podmiotu lub obywatela tego państwa, a w przypadku znajdowania się pod taką kontrolą, w celu ustalenia, czy może zagrażać bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa.
6. Szef Agencji Bezpieczeństwa Wewnętrznego może przeprowadzić postępowanie w celu dokonania oceny, o której mowa w ust. 5, o czym informuje ministra właściwego do spraw informatyzacji w terminie 7 dni od dnia otrzymania informacji o wpłynięciu wniosku.
7. Kontrolą korporacyjną, o której mowa w ust. 5, są wszelkie formy bezpośredniego lub pośredniego uzyskania przez podmiot uprawnień, które osobno albo łącznie, przy uwzględnieniu wszystkich okoliczności prawnych i faktycznych, umożliwiają wywieranie decydującego wpływu na podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, a w szczególności w przypadku:
1) dysponowania bezpośrednio lub pośrednio większością głosów na zgromadzeniu wspólników albo na walnym zgromadzeniu, także jako zastawnik albo użytkownik, bądź w zarządzie innego podmiotu (podmiotu zależnego), także na podstawie porozumień z innymi osobami;
2) uprawnienia do powoływania lub odwoływania większości członków zarządu lub rady nadzorczej innego podmiotu (podmiotu zależnego), także na podstawie porozumień z innymi osobami;
3) gdy członkowie jego zarządu lub rady nadzorczej stanowią więcej niż połowę członków zarządu innego podmiotu (podmiotu zależnego);
4) dysponowania bezpośrednio lub pośrednio większością głosów w spółce osobowej zależnej albo na walnym zgromadzeniu spółdzielni zależnej, także na podstawie porozumień z innymi osobami;
5) dysponowania prawem do całego albo do części mienia innego podmiotu (podmiotu zależnego);
6) umów przewidujących zarządzanie innym podmiotem (podmiotem zależnym) lub przekazywanie zysku przez taki podmiot.
8. W przypadku wszczęcia przez Szefa Agencji Bezpieczeństwa Wewnętrznego postępowania w celu dokonania oceny, o której mowa w ust. 5, minister właściwy do spraw informatyzacji wzywa podmiot odpowiedzialny za system identyfikacji elektronicznej do przekazania danych niezbędnych do przeprowadzenia postępowania w stosunku do tego podmiotu lub podmiotu, o którym mowa w ust. 2 pkt 2.
9. Podmiot odpowiedzialny za system identyfikacji elektronicznej na żądanie ministra właściwego do spraw informatyzacji obowiązany jest przekazać dane i dokumenty niezbędne do przeprowadzenia postępowania w celu dokonania oceny, o której mowa w ust. 5.
10. Agencja Bezpieczeństwa Wewnętrznego po przeprowadzeniu postępowania w celu dokonania oceny, o której mowa w ust. 5, wydaje pozytywną opinię, jeżeli podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2:
1) nie znajduje się pod kontrolą korporacyjną innego państwa, jego podmiotu lub obywatela tego państwa, albo
2) znajduje się pod kontrolą korporacyjną innego państwa, jego podmiotu lub obywatela tego państwa, ale kontrola ta nie zagraża bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa.
11. Szef Agencji Bezpieczeństwa Wewnętrznego wydaje negatywną opinię w przypadku niespełnienia odpowiednio przez podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, warunków, o których mowa w ust. 10.
12. Opinia Szefa Agencji Bezpieczeństwa Wewnętrznego zawiera oddzielnie stanowisko w stosunku do każdego z ocenianych podmiotów.
13. Rada Ministrów określi, w drodze rozporządzenia, zakres danych i dokumentów niezbędnych do przeprowadzenia postępowania w celu dokonania oceny, o której mowa w ust. 5, mając na uwadze potrzebę zapewnienia kompletności danych i dokumentów niezbędnych do wydania opinii oraz zapewnienie sprawności postępowania.
14. Termin postępowania w sprawie przeprowadzenia oceny, o której mowa w ust. 5, wynosi 30 dni od otrzymania danych i dokumentów niezbędnych do przeprowadzenia postępowania i może zostać wydłużony o kolejne 30 dni w przypadkach szczególnie uzasadnionych. Okresu przeprowadzenia postępowania nie wlicza się do terminów przewidzianych na wydanie decyzji, o której mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1.
Minister właściwy do spraw informatyzacji po dokonaniu oceny wniosku oraz dokumentów załączonych do wniosku wyznacza termin przeprowadzenia testów integracyjnych, o których mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1 pkt 2, i przeprowadza testy zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.
Minister właściwy do spraw informatyzacji informuje podmiot odpowiedzialny za system identyfikacji elektronicznej na piśmie, w postaci papierowej albo elektronicznej, o:
1) przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego;
2) każdej zmianie polityki bezpieczeństwa, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 3.
W przypadku niespełniania wymagań, o których mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1, minister właściwy do spraw informatyzacji wydaje decyzję o odmowie przyłączenia systemu identyfikacji elektronicznej do węzła krajowego.
Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego dostarcza ministrowi właściwemu do spraw informatyzacji:
1) dokumenty potwierdzające spełnianie aktualnych wymagań dla wskazanych we wniosku poziomów bezpieczeństwa środków identyfikacji elektronicznej, o których mowa w art. 21g wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego ust. 3 pkt 1, w przypadku zmiany przepisów wydanych na podstawie art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 3 rozporządzenia 910/2014, w terminie 14 dni od dnia wejścia w życie zmiany tych przepisów;
2) kopię kolejnej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy, w terminie 14 dni od dnia jej zawarcia.
1. Ponowne złożenie wniosku, o którym mowa w art. 21g wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego ust. 1, wymagane jest w przypadku:
1) zmiany poziomu bezpieczeństwa środka identyfikacji elektronicznej, wydawanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego;
2) uruchomienia w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego środka identyfikacji elektronicznej nieobjętego zakresem wniosku, na podstawie którego została wydana decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego;
3) wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego negatywnej opinii w przypadku, o którym mowa w art. 21s obowiązki informacyjne podmiotu odpowiedzialnego za system identyfikacji elektronicznej ust. 3.
2. Umożliwienie korzystania za pośrednictwem węzła krajowego ze środków identyfikacji elektronicznej, o których mowa w ust. 1, następuje po pozytywnym rozpatrzeniu wniosku i przeprowadzeniu testów integracyjnych.
Do węzła krajowego przyłącza się system teleinformatyczny zapewniający obsługę publicznego systemu identyfikacji elektronicznej, o którym mowa w art. 20aa odpowiedzialność za funkcjonowanie systemu teleinformatycznego pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
1. Minister właściwy do spraw informatyzacji prowadzi rejestr systemów identyfikacji elektronicznej przyłączonych do węzła krajowego, zwany dalej „rejestrem systemów”.
2. Rejestr systemów jest jawny.
3. Podstawą do wpisania systemu identyfikacji elektronicznej do rejestru systemów jest decyzja, o której mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1. Wpis jest czynnością materialno-techniczną.
4. Do rejestru systemów wpisuje się:
1) informacje zawarte we wniosku, o którym mowa w art. 21g wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego ust. 1;
2) datę przyłączenia systemu identyfikacji elektronicznej do węzła krajowego;
3) informacje o zamiarze zaprzestania świadczenia usług związanych ze środkami identyfikacji elektronicznej wydawanymi w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego;
4) informacje o otwarciu likwidacji podmiotu odpowiedzialnego za system identyfikacji elektronicznej oraz datę jego likwidacji;
5) informacje o ogłoszeniu upadłości podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 oddalenie wniosku o ogłoszenie upadłości ustawy z dnia 28 lutego 2003 r. – Prawo upadłościowe oraz datę zakończenia postępowania upadłościowego;
6) informacje o zawieszeniu możliwości korzystania z systemu identyfikacji elektronicznej lub uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej wydanych w tym systemie;
7) informacje o przywróceniu możliwości korzystania z systemu identyfikacji elektronicznej lub uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej wydanych w tym systemie;
8) informację o tym, czy system identyfikacji elektronicznej został przyłączony do węzła transgranicznego;
9) datę wykreślenia z rejestru systemów podmiotu odpowiedzialnego za system identyfikacji elektronicznej.
1. Informacje i dane zawarte w dokumentach potwierdzających spełnianie wymagań, o których mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1, których ujawnienie mogłoby narazić na szkodę podmiot odpowiedzialny za system identyfikacji elektronicznej, objęte są tajemnicą.
2. Informacje i dane objęte tajemnicą udostępnia się wyłącznie na żądanie:
1) sądu lub prokuratora – w związku z toczącym się postępowaniem;
2) innych upoważnionych organów – w związku z prowadzonym przez te organy postępowaniem;
3) Szefa Agencji Bezpieczeństwa Wewnętrznego.
1. Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego:
1) zarządza systemem identyfikacji elektronicznej oraz ponosi koszty jego utrzymania i rozwoju;
2) potwierdza tożsamość oraz weryfikuje dane identyfikujące osoby ubiegającej się o wydanie środka identyfikacji elektronicznej w sposób adekwatny do poziomu bezpieczeństwa danego środka identyfikacji elektronicznej, zgodnie z wymaganiami określonymi w przepisach wydanych na podstawie art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 3 rozporządzenia 910/2014;
3) wydaje, zawiesza i unieważnia środki identyfikacji elektronicznej;
4) zapewnia funkcjonalność pozwalającą na uwierzytelnienie osoby, której wydano środek identyfikacji elektronicznej, z wykorzystaniem tego środka;
5) zapisuje i zachowuje informacje związane z wydawaniem, zawieszaniem i unieważnianiem środków identyfikacji elektronicznej oraz zapewnieniem rozliczalności i niezaprzeczalności działań użytkowników korzystających z tych środków;
6) stosuje politykę bezpieczeństwa węzła krajowego, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 3;
7) unieważnia środki identyfikacji elektronicznej wydane przez podmiot, w stosunku do którego Szef Agencji Bezpieczeństwa Wewnętrznego wydał negatywną opinię w przypadku, o którym mowa w art. 21s obowiązki informacyjne podmiotu odpowiedzialnego za system identyfikacji elektronicznej ust. 3.
2. Czynności, o których mowa w ust. 1 pkt 2–5 i 7, mogą wykonywać podmioty inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej, spełniające wymogi określone w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1 pkt 1, 3 i 5, o ile posiadają siedzibę na terenie jednego z państw członkowskich Unii Europejskiej. Odpowiedzialność za czynności wykonywane przez podmioty inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej ponosi podmiot odpowiedzialny za system identyfikacji elektronicznej.
3. Podmioty inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej stosują politykę bezpieczeństwa węzła krajowego, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 3.
1. Podmiot odpowiedzialny za system identyfikacji elektronicznej przetwarza dane osobowe osób, którym w tym systemie wydano środki identyfikacji elektronicznej, obejmujące:
1) imię (imiona),
2) nazwisko,
3) nazwisko rodowe,
4) numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w przepisach wydanych na podstawie art. 12 rozporządzenie w sprawie rejestru dostawców usług zaufania ust. 8 rozporządzenia 910/2014,
5) datę urodzenia,
6) miejsce urodzenia,
7) płeć,
8) adres zamieszkania
– w celu realizacji zadań, o których mowa w art. 21p zadania podmiotu odpowiedzialnego za system identyfikacji elektronicznej przyłączony do węzła krajowego ust. 1 pkt 1–5 i 7.
2. Podmiot, o którym mowa w art. 21p zadania podmiotu odpowiedzialnego za system identyfikacji elektronicznej przyłączony do węzła krajowego, inny niż podmiot wskazany w art. 2 stosowanie przepisów ustawy i art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne lub podmiot sektora publicznego, o którym mowa w art. 3 rejestr dostawców usług zaufania pkt 7 rozporządzenia 910/2014, zapewniając możliwość uwierzytelniania w usługach online, nie może pozyskiwać, przechowywać oraz przetwarzać danych dotyczących realizacji tych usług, innych niż dane niezbędne do zrealizowania procesu uwierzytelnienia.
1. W przypadku gdy nastąpi naruszenie bezpieczeństwa systemu identyfikacji elektronicznej przyłączonego do węzła krajowego lub części środków identyfikacji elektronicznej wydanych w tym systemie, mogące mieć wpływ na rozliczalność i niezaprzeczalność działań wykonywanych z wykorzystaniem tego systemu lub części środków identyfikacji elektronicznej wydanych w tym systemie, podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego niezwłocznie zawiesza możliwość uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej, których dotyczy naruszenie bezpieczeństwa.
2. Po usunięciu naruszenia bezpieczeństwa systemu identyfikacji elektronicznej lub zawieszonej części środków identyfikacji elektronicznej podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego przywraca możliwość uwierzytelniania za pomocą środków identyfikacji elektronicznej, których dotyczyło zawieszenie.
1. Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego informuje ministra właściwego do spraw informatyzacji o:
1) każdej zmianie dotyczącej systemu identyfikacji elektronicznej przyłączonego do węzła krajowego mającej wpływ na aktualność danych wpisanych do rejestru systemów – w terminie 14 dni od dnia zmiany tych danych;
2) zamiarze zaprzestania świadczenia usług związanych ze środkami identyfikacji elektronicznej wydawanymi w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego – w terminie 12 miesięcy przed planowanym zaprzestaniem świadczenia tych usług;
3) otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 oddalenie wniosku o ogłoszenie upadłości ustawy z dnia 28 lutego 2003 r. – Prawo upadłościowe – niezwłocznie;
4) zawieszeniu możliwości uwierzytelniania z powodu naruszenia bezpieczeństwa, o którym mowa w art. 21r naruszenie bezpieczeństwa systemu identyfikacji elektronicznej przyłączonego do węzła krajowego ust. 1, oraz przywróceniu możliwości uwierzytelniania po usunięciu naruszenia bezpieczeństwa, o którym mowa w art. 21r naruszenie bezpieczeństwa systemu identyfikacji elektronicznej przyłączonego do węzła krajowego ust. 2 – niezwłocznie, nie później niż w ciągu 24 godzin od momentu odpowiednio wykrycia naruszenia bezpieczeństwa oraz usunięcia naruszenia bezpieczeństwa.
2. Minister właściwy do spraw informatyzacji po otrzymaniu danych, o których mowa w ust. 1, przekazuje je Szefowi Agencji Bezpieczeństwa Wewnętrznego, jeżeli istnieją uzasadnione przesłanki pozwalające wnioskować, iż zmiany tych danych mogą mieć wpływ na bezpieczeństwo publiczne, bezpieczeństwo państwa lub zagrażają w sposób bezpośredni bezpieczeństwu systemów teleinformatycznych państwa.
3. Szef Agencji Bezpieczeństwa Wewnętrznego, w przypadku powzięcia informacji o okolicznościach prawnych lub faktycznych dotyczących struktury właścicielskiej podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub podmiotu, o którym mowa w art. 21g wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego ust. 2 pkt 2, które mogą zagrozić bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa, przeprowadza postępowanie w tej sprawie. Do postępowania stosuje się odpowiednio przepisy art. 21g wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego ust. 5-13.
4. Szef Agencji Bezpieczeństwa Wewnętrznego przeprowadza postępowanie, o którym mowa w ust. 3, również na polecenie Prezesa Rady Ministrów lub ministra członka Rady Ministrów właściwego do spraw koordynowania działalności służb specjalnych.
5. Szef Agencji Bezpieczeństwa Wewnętrznego po przeprowadzeniu postępowania przekazuje opinię ministrowi właściwemu do spraw informatyzacji.
6. Minister właściwy do spraw informatyzacji przekazuje opinię podmiotowi odpowiedzialnemu za system identyfikacji elektronicznej.
1. Minister właściwy do spraw informatyzacji wydaje zgodę o przyłączeniu do węzła krajowego systemu teleinformatycznego, w którym udostępniane są usługi online, po:
1) zapewnieniu przez podmiot odpowiedzialny za ten system opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 delegacja ustawowa ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
2) przeprowadzeniu testów integracyjnych zakończonych wynikiem pozytywnym, potwierdzających interoperacyjność tego systemu z węzłem krajowym;
3) przedstawieniu przez podmiot odpowiedzialny za ten system oświadczenia o działaniu tego podmiotu zgodnie z przepisami o ochronie danych osobowych;
4) wskazaniu interesu faktycznego w uwierzytelnianiu z wykorzystaniem węzła krajowego – w przypadku podmiotu innego niż podmiot wskazany w art. 2 stosowanie przepisów ustawy i art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne lub podmiot sektora publicznego, o którym mowa w art. 3 rejestr dostawców usług zaufania pkt 7 rozporządzenia 910/2014.
2. Ocena interesu faktycznego dokonywana jest z uwzględnieniem jego wpływu na bezpieczeństwo i interes publiczny.
3. Wyrażenie zgody, o której mowa w ust. 1, stanowi czynność materialno-techniczną.
1. Przyłączenie systemu, o którym mowa w art. 21t czynności ministra poprzedzające zgodę na przyłączeniu do węzła krajowego systemu teleinformatycznego ust. 1, do węzła krajowego następuje na wniosek podmiotu odpowiedzialnego za ten system.
2. Wniosek zawiera nazwę podmiotu odpowiedzialnego za system albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania.
3. Do wniosku dołącza się:
1) oświadczenie o zapewnieniu przez podmiot odpowiedzialny za ten system opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 delegacja ustawowa ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
2) oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust.1 pkt 3;
3) listę usług online udostępnianych w tym systemie wraz z określeniem dla każdej z tych usług wymaganych poziomów bezpieczeństwa środków identyfikacji elektronicznej, o których mowa w art. 8 wykreślenie z rejestru kwalifikowanego dostawcy usług zaufania ust. 2 rozporządzenia 910/2014, niezbędnych dla realizacji tych usług;
4) oświadczenie o działaniu podmiotu zgodnie z przepisami o ochronie danych osobowych;
5) uzasadnienie interesu faktycznego w uwierzytelnianiu z wykorzystaniem węzła krajowego – w przypadku podmiotu innego niż podmiot, o których mowa w art. 2 stosowanie przepisów ustawy i art. 19c porozumienie w sprawie udostępniania usług na ePUAP ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014;
6) raport z testów integracyjnych zakończonych wynikiem pozytywnym, potwierdzających interoperacyjność tego systemu z węzłem krajowym.
4. Wniosek oraz dokumenty, o których mowa w ust. 3, składa się w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym.
Testy integracyjne, o których mowa w art. 21t czynności ministra poprzedzające zgodę na przyłączeniu do węzła krajowego systemu teleinformatycznego ust. 1 pkt 2, przeprowadza się zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw informatyzacji.
Podmiot odpowiedzialny za system teleinformatyczny, w którym udostępniane są usługi online, przyłączony do węzła krajowego, niezwłocznie informuje ministra właściwego do spraw informatyzacji o każdej zmianie danych zawartych w liście usług, o której mowa w art. 21u wniosek o przyłączenie systemu teleinformatycznego do węzła krajowego ust. 3 pkt 3.
Minister właściwy do spraw informatyzacji udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej informację o przyłączonych do węzła krajowego systemach teleinformatycznych, w którym udostępniane są usługi online.
W przypadku niespełniania wymagań, o których mowa w art. 21t czynności ministra poprzedzające zgodę na przyłączeniu do węzła krajowego systemu teleinformatycznego ust. 1, minister właściwy do spraw informatyzacji wydaje decyzję o odmowie przyłączenia systemu teleinformatycznego, w którym udostępniane są usługi online, do węzła krajowego.
Do węzła krajowego przyłącza się elektroniczną platformę usług administracji publicznej.
