KOMISJA EUROPEJSKA

Bruksela, dnia 19.11.2025

COM(2025) 838 final

2025/0358(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie ustanowienia europejskich portfeli biznesowych

{SWD(2025) 837 final}

UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

–zmniejszenie obciążeń administracyjnych, usprawnienie procesów zapewniania zgodności z przepisami oraz poprawa świadczenia usług;

–zapewnienie podmiotom gospodarczym i organom sektora publicznego dostępu do bezpiecznej i wiarygodnej identyfikacji cyfrowej w wymiarze transgranicznym, wychodząc naprzeciw potrzebom użytkowników oraz zaspokajając zapotrzebowanie.

•Spójność z przepisami obowiązującymi w tej dziedzinie polityki

Wniosek dotyczący ustanowienia europejskich portfeli biznesowych opiera się na ekosystemie utworzonym na podstawie europejskich ram tożsamości cyfrowej (EUDI) – rozporządzenia (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, zmienionego rozporządzeniem (UE) 2024/1183 – i rozszerza ten ekosystem. Celem europejskich portfeli biznesowych jest uzupełnienie ram EUDI poprzez udostępnienie funkcji dostosowanych do potrzeb organów sektora publicznego i podmiotów gospodarczych, w tym umożliwienie cyfrowego zarządzania prawami i upoważnieniami do reprezentacji, oraz bezpiecznego kanału służącego do wymiany dokumentów urzędowych i poświadczeń, korzystającego ze wspólnego katalogu. Zagwarantowana zostanie pełna interoperacyjność z europejskimi portfelami tożsamości cyfrowej.

Wniosek stanowi uzupełnienie dorobku prawnego UE w zakresie prawa spółek i przewiduje wykorzystanie istniejących niepowtarzalnych identyfikatorów europejskich, które posiadają wszystkie spółki z ograniczoną odpowiedzialnością i spółki handlowe (jak również przedsiębiorstwa podlegające 28. systemowi prawnemu w przyszłości) zgodnie z unijnym prawem spółek. Ponadto wniosek jest zgodny z systemem integracji rejestrów przedsiębiorstw (BRIS), opracowanym zgodnie z tekstem jednolitym dyrektywy (UE) 2017/1132 w sprawie prawa spółek. Wniosek jest również zgodny z systemem integracji rejestrów beneficjentów rzeczywistych (BORIS), opracowanym zgodnie z dyrektywą (UE) 2015/849 w sprawie przeciwdziałania praniu pieniędzy. Powiązania te wykorzystują niepowtarzalny identyfikator europejski (EUID) do jednoznacznej identyfikacji przedsiębiorstw i innych podmiotów prawnych oraz porozumień prawnych w UE, ale nie obejmują wszystkich podmiotów gospodarczych ani organów sektora publicznego, takich jak przedsiębiorcy indywidualni, osoby samozatrudnione lub instytucje publiczne. Europejskie portfele biznesowe rozszerzają ten ekosystem, oferując wszystkim tym podmiotom interoperacyjne narzędzie godne zaufania.

•Spójność z innymi politykami Unii

–jednolity portal cyfrowy i jego system techniczny oparty na zasadzie jednorazowości (OOTS) wdrażają zasadę jednorazowości, zgodnie z którą organy muszą ponownie wykorzystywać dane już przechowywane w innym państwie członkowskim, aby przedsiębiorstwa nie musiały ich wielokrotnie przekazywać. Wniosek dotyczący europejskich portfeli biznesowych uzupełni jednolity portal cyfrowy i OOTS, zapewniając wiarygodną identyfikację i uwierzytelnianie podmiotów gospodarczych i administracji publicznych oraz warstwę bezpiecznej wymiany danych, która umożliwi przedsiębiorstwom i organom sektora publicznego sprawną wymianę danych i ponowne wykorzystywanie zweryfikowanych danych i poświadczeń urzędowych na szczeblu transgranicznym;

–cyfrowy paszport produktu, który jest centralnym elementem unijnego programu dotyczącego gospodarki o obiegu zamkniętym, opiera się na wiarygodnym dostępie do danych dotyczących zgodności i zrównoważoności. Wniosek dotyczący ustanowienia portfeli biznesowych może służyć potwierdzaniu tożsamości prawnej i wszelkich przyznanych praw dostępu, umożliwić podpisywanie i opatrywanie pieczęcią deklaracji zgodności oraz zapewnić bezpieczną i weryfikowalną wymianę danych dotyczących produktów na szczeblu transgranicznym;

–akt w sprawie Interoperacyjnej Europy ustanawia ramy transgranicznej interoperacyjności usług publicznych. Wniosek dotyczący ustanowienia portfeli biznesowych uzupełni ten system dzięki stworzeniu zaufanej infrastruktury, którą administracje mogą zintegrować z domyślnie cyfrowym świadczeniem usług, przyczyniając się do eliminowania barier technicznych i organizacyjnych;

–przyszły wniosek w sprawie instytucjonalnych ram prawnych stanowiących część 28. systemu prawnego zapewni przedsiębiorstwom proste, elastyczne i szybkie procedury zakładania i prowadzenia działalności oraz przyciągania inwestycji w UE za pomocą rozwiązań cyfrowych. Zagwarantuje, aby narzędzia cyfrowe, takie jak certyfikat spółki UE i unijne cyfrowe pełnomocnictwo, mogły być wykorzystywane w europejskich portfelach biznesowych;

–pakiet dotyczący VAT w epoce cyfrowej unowocześnia sprawozdawczość w zakresie podatku VAT, wprowadza obowiązkowe fakturowanie elektroniczne w handlu transgranicznym i wzmacnia zapobieganie nadużyciom finansowym. Wniosek dotyczący ustanowienia portfeli biznesowych umożliwi bezpieczne przechowywanie i weryfikowalną wymianę poświadczeń VAT i danych dotyczących transakcji, wspierając tym samym sprawozdawczość w czasie rzeczywistym i wiarygodne fakturowanie.

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

•Pomocniczość (w przypadku kompetencji niewyłącznych)

•Proporcjonalność

•Wybór instrumentu

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Konsultacje z zainteresowanymi stronami

•Gromadzenie i wykorzystanie wiedzy eksperckiej

•Sprawność regulacyjna i uproszczenie

•Prawa podstawowe

4.WPŁYW NA BUDŻET

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia i monitorowanie, ocena i sprawozdania

•Szczegółowe objaśnienia poszczególnych przepisów wniosku

W rozdziale II określono kluczowe elementy ram europejskich portfeli biznesowych. Ustanowiono w nim zasadę równoważności prawnej, która stanowi przepis zrównujący czynności wykonywane za pośrednictwem europejskiego portfela biznesowego z czynnościami wykonywanymi osobiście, w formie papierowej lub za pomocą wszelkich innych środków lub procesów: jest to zasadniczy element służący wyeliminowaniu utrudnień administracyjnych związanych z odnośną wymianą informacji. Zasada równoważności ma również zastosowanie do korzystania z kwalifikowanej usługi rejestrowanego doręczenia elektronicznego przez osoby samozatrudnione i przedsiębiorców indywidualnych. W tym samym rozdziale określono minimalny, interoperacyjny zestaw podstawowych funkcji, wraz z kwalifikowaną usługą rejestrowanego doręczenia elektronicznego jako samodzielną usługą dla użytkowników europejskich portfeli tożsamości cyfrowej, a także wymogi techniczne szerzej omówione w załączniku, które mają zostać uzupełnione aktami wykonawczymi. Przepisy tego rozdziału dotyczą również tego, kto może dostarczać europejskie portfele biznesowe, odpowiednich wymogów, które muszą spełniać takie osoby prawne, oraz procesu, który kwalifikujący się podmiot musi przejść na szczeblu krajowym, aby znaleźć się na zaufanej liście dostawców. Aby zagwarantować spójne uznawanie na szczeblu transgranicznym, wniosek opiera się na danych identyfikacyjnych właścicieli europejskich portfeli biznesowych wydawanych jako elektroniczne poświadczenia atrybutów przez kwalifikowanych dostawców usług zaufania, krajowe organy sektora publicznego lub przez Komisję w przypadku podmiotów unijnych. Korzystanie z tych poświadczeń gwarantuje możliwość wiarygodnej identyfikacji każdego właściciela portfela biznesowego na podstawie oficjalnych i możliwych do zweryfikowania informacji. Ponadto każdemu właścicielowi portfela biznesowego przypisuje się niepowtarzalny identyfikator. W przypadku gdy niepowtarzalny identyfikator europejski jest przypisany na podstawie dyrektywy (UE) 2017/1132 w sprawie prawa spółek lub dyrektywy w sprawie przeciwdziałania praniu pieniędzy, portfele biznesowe będą stosować niepowtarzalny identyfikator europejski jako niepowtarzalny identyfikator. W innych przypadkach państwa członkowskie wyznaczają istniejące rejestry krajowe i odpowiadające im numery rejestracyjne jako źródło autentyczne na potrzeby wygenerowania równoważnego identyfikatora. Struktura i specyfikacje techniczne tego identyfikatora, zapewniające niepowtarzalność i interoperacyjność w całej Unii, zostaną określone w aktach wykonawczych.

Aby umożliwić prostą komunikację za pośrednictwem portfeli biznesowych, we wniosku ustanowiono również europejski katalog cyfrowy, który utworzy i będzie prowadzić Komisja, co umożliwi łatwy kontakt z podmiotami gospodarczymi i organami sektora publicznego, przy jednoczesnym wdrożeniu odpowiednich środków ochrony danych osobowych. W związku z tym Komisja ustanowi w drodze aktów wykonawczych normy, specyfikacje techniczne i kategorie informacji, które należy przekazać Komisji w celu ich umieszczenia w katalogu.

W rozdziale II ustanowiono również mechanizm zarządzania i nadzoru. Aby zminimalizować fragmentację i wykorzystać istniejącą wiedzę specjalistyczną, we wniosku wymieniono obecne organy nadzoru ustanowione rozporządzeniem eIDAS, które mają pełnić funkcje organów nadzoru w każdym państwie członkowskim w odniesieniu do dostawców portfeli biznesowych mających siedzibę na terytorium danego państwa. Organy te pomagają również dostawcom portfeli biznesowych w uzyskaniu dostępu do informacji potrzebnych do wydania danych identyfikacyjnych właściciela przez podmioty wydające dane identyfikacyjne właściciela na podstawie informacji dostępnych ze źródeł autentycznych, ściśle współpracują z właściwymi organami ds. kwalifikowanych dostawców usług zaufania oraz powiadamiają Komisję o krajowych rejestrach zawierających dane dotyczące podmiotów gospodarczych i organów sektora publicznego. W tym względzie w rozporządzeniu określono rolę i zadania wspomnianych organów nadzoru. Biorąc pod uwagę równowagę instytucjonalną przewidzianą w traktatach, instytucje, organy i agencje UE (podmioty unijne) nie podlegają nadzorowi państw członkowskich. Wniosek przewiduje natomiast ustanowienie na szczeblu unijnym systemu nadzoru podlegającego Komisji.

W rozdziale III określono obowiązki nałożone na organy sektora publicznego. Przepisy te zapewniają, aby organy sektora publicznego umożliwiały podmiotom gospodarczym korzystanie z europejskich portfeli biznesowych do celów identyfikacji, uwierzytelniania, składania podpisu lub opatrywania pieczęcią, przedkładania dokumentów oraz wysyłania lub odbierania powiadomień w ramach procedur administracyjnych lub sprawozdawczych. W celu wymiany dokumentów i powiadomień organy sektora publicznego muszą same posiadać europejski portfel biznesowy i korzystać z bezpiecznego kanału komunikacji. Obowiązki te należy wypełnić w ustalonych ramach czasowych. Organy sektora publicznego mogą również uznać korzystanie z europejskich portfeli biznesowych i kanału komunikacji (w przypadku przedsiębiorców indywidualnych i osób samozatrudnionych) za jedyny sposób składania elektronicznych dokumentów i poświadczeń, jeżeli jest to wymagane na mocy prawa Unii. W miarę upływu czasu Komisja będzie dokonywać przeglądu tych obowiązków i ich zakresu.

W rozdziale IV określono międzynarodowy wymiar ram europejskiego portfela biznesowego, wprowadzając możliwość uznawania systemów opracowanych w państwach trzecich, które oferują funkcje równoważne funkcjom przewidzianym we wniosku, w przypadku gdy odpowiednie warunki gwarantują porównywalny poziom zaufania, bezpieczeństwa i interoperacyjności. Dzięki przyjęciu tego podejścia UE będzie mogła ułatwić prowadzenie zaufanej wymiany informacji na poziomie światowym z partnerami spoza UE z zachowaniem wysokich standardów Unii w zakresie tożsamości cyfrowej, uwierzytelniania i integralności danych.

Rozdział V zawiera przepisy horyzontalne i końcowe. Przewidziano w nim ocenę i przegląd proponowanego rozporządzenia w celu oceny skuteczności jego wdrożenia i funkcjonowania ram nadzoru.

2025/0358 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie ustanowienia europejskich portfeli biznesowych

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego( 1 ),

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)W komunikacie z dnia 29 stycznia 2025 r. pt. „Kompas konkurencyjności dla UE”( 2 ) Komisja zapowiedziała, że europejskie portfele biznesowe, opierając się na europejskich ramach tożsamości cyfrowej, będą podstawą prowadzenia działalności gospodarczej w UE w sposób prosty i cyfrowy oraz zapewnią przedsiębiorstwom sprawne środowisko do interakcji z organami administracji publicznej.

(2)Rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 910/2014( 3 ) ustanowiono europejskie ramy tożsamości cyfrowej i wprowadzono europejskie portfele tożsamości cyfrowej, umożliwiające użytkownikom bezpieczne przechowywanie tożsamości cyfrowej i elektronicznych poświadczeń atrybutów oraz zarządzanie nimi, a także dostęp do szerokiego zakresu usług online. Europejskie ramy tożsamości cyfrowej obejmują nowe usługi zaufania, w tym wydawanie elektronicznych poświadczeń atrybutów, co zwiększa bezpieczeństwo i wiarygodność transakcji i interakcji online.

(3)Aby wspierać konkurencyjną i cyfrową gospodarkę europejską oraz ułatwić transgraniczną działalność gospodarczą, należy utworzyć sprawne i bezpieczne środowisko na potrzeby interakcji cyfrowych między podmiotami gospodarczymi a organami sektora publicznego w różnych konfiguracjach.

(4)Aby zapewnić interoperacyjność i bezpieczeństwo europejskich portfeli biznesowych, należy stosować specyfikacje techniczne ustanowione w rozporządzeniu (UE) nr 910/2014 i późniejszych rozporządzeniach wykonawczych ustanowionych na podstawie tego rozporządzenia, a także osiągnięcia technologiczne i opracowywane normy oraz prace prowadzone na podstawie zalecenia (UE) 2021/946, w szczególności architekturę i ramy odniesienia, przy czym specyfikacje określone w niniejszym rozporządzeniu powinny mieć pierwszeństwo w przypadku jakichkolwiek niespójności.

(5)Aby usprawnić funkcjonowanie jednolitego rynku cyfrowego, zapewnić interoperacyjność i zmniejszyć obciążenia administracyjne, należy zagwarantować zgodność między europejskimi portfelami biznesowymi a istniejącymi systemami i rozwiązaniami zarówno na szczeblu unijnym, jak i krajowym. Zgodnie z aktem w sprawie Interoperacyjnej Europy oraz w celu poprawy bezpiecznej i skutecznej wymiany danych w całej Unii przy wdrażaniu europejskich portfeli biznesowych należy – w miarę możliwości, w stosownych przypadkach i po przeprowadzeniu analizy technicznej – wykorzystywać istniejącą infrastrukturę cyfrową i moduły UE, w tym infrastrukturę i moduły opracowane w ramach systemu technicznego opartego na zasadzie jednorazowości, systemu integracji rejestrów przedsiębiorstw i europejskiego portfela tożsamości cyfrowej, zapewniając tym samym komplementarność, interoperacyjność i efektywne wykorzystanie zasobów publicznych.

(6)Europejskie portfele biznesowe są cyfrowym narzędziem, które umożliwia podmiotom gospodarczym interakcję z organami sektora publicznego w kontekście wypełniania obowiązków sprawozdawczych i procedur administracyjnych. Korzystanie z podstawowych funkcji europejskich portfeli biznesowych w celu identyfikacji i uwierzytelniania, składania podpisu lub opatrywania pieczęcią, przedkładania dokumentów oraz wysyłania lub odbierania powiadomień powinno odbywać się bez uszczerbku dla wymogów proceduralnych, które mogą stanowić część danej procedury administracyjnej i których nie można spełnić za pomocą podstawowych funkcji europejskich portfeli biznesowych. Owe wymogi proceduralne mogą obejmować wszelkie dodatkowe zabezpieczenia lub weryfikacje, takie jak kontrole mające na celu zapewnienie znajomości lub zrozumienia treści dokumentu lub skutków podpisania umowy, lub konkretne działania, które są wymagane w ramach danej procedury administracyjnej i nie są obsługiwane przez podstawowe funkcje europejskich portfeli biznesowych. Organy sektora publicznego powinny zatem zapewnić spełnienie wszystkich odpowiednich wymogów proceduralnych, w tym wszelkich konkretnych działań lub procesów, które muszą zostać zrealizowane w ramach danej procedury administracyjnej i których nie można przeprowadzić za pośrednictwem europejskich portfeli biznesowych.

(7)Organy sektora publicznego mają swobodę decydowania o tym, w jaki sposób akceptować europejskie portfele biznesowe, biorąc pod uwagę różnorodność swojej infrastruktury informatycznej i potrzeby w zakresie interoperacyjności. Podejście to umożliwia organom sektora publicznego utrzymanie istniejących ram operacyjnych, a jednocześnie korzystanie z zalet europejskich portfeli biznesowych.

(8)Niniejsze rozporządzenie pozostaje bez uszczerbku dla autonomii proceduralnej, wymogów konstytucyjnych i niezależności sądów, które regulują organizację i funkcjonowanie krajowych systemów wymiaru sprawiedliwości państw członkowskich, a także dla ram, integralności i gwarancji proceduralnych postępowań sądowych.

(9)Niniejsze rozporządzenie pozostaje bez uszczerbku dla spoczywającego na państwach członkowskich obowiązku ochrony bezpieczeństwa narodowego oraz dla ich uprawnień do zabezpieczania innych podstawowych funkcji państwa, w tym zapewniania integralności terytorialnej państwa i utrzymywania porządku publicznego.

(10)Niniejsze rozporządzenie powinno pozostawać bez uszczerbku dla prawa osób prawnych do jednokrotnego przekazywania informacji organom sektora publicznego, a także dla prawa państw członkowskich do dalszego korzystania z innych systemów służących do przekazywania dokumentów i danych między właściwymi organami, ustanowionych na mocy prawa Unii, takich jak rozporządzenie (UE) 2018/1724( 4 ) i dyrektywa (UE) 2017/1132 ustanawiająca system integracji rejestrów przedsiębiorstw.

(11)Aby zmniejszyć obciążenia administracyjne i poprawić konkurencyjność, wszystkie podmioty prowadzące działalność gospodarczą, w tym przedsiębiorstwa, organizacje, osoby samozatrudnione, przedsiębiorcy indywidualni i wszelkie inne rodzaje działalności gospodarczej, niezależnie od wielkości, sektora lub formy prawnej, powinny mieć możliwość korzystania z europejskich portfeli biznesowych. Aby umożliwić wymianę prawnie wiążących powiadomień i dokumentów oraz wypełnianie obowiązków sprawozdawczych za pośrednictwem europejskich portfeli biznesowych, należy utworzyć niezawodny i bezpieczny kanał komunikacji, z którego będą mogli korzystać właściciele europejskich portfeli biznesowych w całej Unii. W związku z tym należy zintegrować kwalifikowaną usługę rejestrowanego doręczenia elektronicznego („QERDS”) jako bezpieczny kanał komunikacji w europejskich portfelach biznesowych i powinna ona umożliwiać bezpieczną i prawnie wiążącą wymianę informacji między stronami, jak przewidziano w art. 43 rozporządzenia (UE) nr 910/2014.

(12)Aby zapewnić dostosowane do potrzeb rozwiązanie dla osób samozatrudnionych i przedsiębiorców indywidualnych, należy zagwarantować płynną integrację europejskich portfeli tożsamości cyfrowej z europejskimi portfelami biznesowymi. Integracja ta powinna umożliwić tym osobom uwierzytelnianie tożsamości za pomocą posiadanego europejskiego portfela tożsamości cyfrowej oraz dostęp do usług zaufania oferowanych na potrzeby europejskich portfeli biznesowych, w tym usługi QERDS ustanowionej jako bezpieczny kanał komunikacji w niniejszym rozporządzeniu, za pomocą tych portfeli, bez konieczności tworzenia odrębnej tożsamości biznesowej. Dostawcy europejskich portfeli biznesowych powinni zatem mieć możliwość oferowania bezpiecznego kanału komunikacji jako samodzielnej usługi osobom samozatrudnionym i przedsiębiorcom indywidualnym, którzy w ramach prowadzonej działalności gospodarczej korzystają z europejskich portfeli tożsamości cyfrowej, przy zapewnieniu interoperacyjności ułatwiającej zmianę aplikacji, a także usług zaufania, takich jak podpisy elektroniczne oraz kwalifikowane i niekwalifikowane usługi znacznika czasu. Taki dostęp do bezpiecznego kanału komunikacji dla osób samozatrudnionych i przedsiębiorców indywidualnych należy promować poprzez zapewnienie oferty po rozsądnych i przystępnych cenach, która odzwierciedla potrzeby w zakresie użytkowania i której towarzyszą warunki użytkowania nienakładające nadmiernego obciążenia na te osoby.

(13)Europejskie portfele biznesowe, w połączeniu z rozporządzeniem (UE) 2018/1724, powinny wspierać przyszły 28. system prawny( 5 ) poprzez udostępnienie infrastruktury cyfrowej na potrzeby przeprowadzania w pełni cyfrowych procedur, umożliwiając przedsiębiorstwom typu start-up i scale-up szybkie i skuteczne wykonywanie działań w całej UE. Portfele biznesowe powinny zapewniać infrastrukturę cyfrową na potrzeby strategii kontaktów w pierwszej kolejności cyfrowych w ramach 28. systemu prawnego, usprawniając interakcje transgraniczne i zmniejszając obciążenia administracyjne, np. ułatwiając bezpieczne przechowywanie i podpisywanie umów i certyfikatów lub składanie, odbieranie i udostępnianie elektronicznych wniosków i dokumentów. Dzięki udostępnieniu tej infrastruktury portfele biznesowe powinny pomóc w urzeczywistnieniu zasady „domyślnej cyfrowości”, ułatwiając wzrost i rozwój przedsiębiorstw z UE oraz zwiększając ich konkurencyjność.

(14)Biorąc pod uwagę cel, jakim jest stworzenie jednolitego ekosystemu cyfrowego służącego do identyfikacji elektronicznej, uwierzytelniania elektronicznego oraz wymiany elektronicznych dokumentów, powiadomień i poświadczeń atrybutów, wśród organów sektora publicznego objętych niniejszym rozporządzeniem należy uwzględnić podmioty unijne. Ich uwzględnienie powinno skutkować stworzeniem spójnych ram umożliwiających właścicielom europejskich portfeli biznesowych współpracę ze wszystkimi szczeblami administracji publicznej, a tym samym zmniejszyć złożoność administracyjną i przyspieszyć upowszechnienie europejskich portfeli biznesowych.

(15)Aby zagwarantować właściwe wydawanie i integrację europejskich portfeli biznesowych ze wszystkimi działaniami i systemami podmiotów unijnych, w niniejszym rozporządzeniu należy należycie uwzględnić szczególny charakter i strukturę tych instytucji, organów, urzędów i agencji. Aby zapewnić poszanowanie autonomii administracyjnej i bezpieczeństwa podmiotów unijnych, należy im umożliwić nabycie europejskich portfeli biznesowych od już istniejących dostawców europejskich portfeli biznesowych, opracowanie własnych europejskich portfeli biznesowych lub samodzielne działanie w charakterze dostawcy dla podmiotów unijnych. W przypadku gdy podmioty unijne działają jako dostawcy europejskich portfeli biznesowych, powinny one również podlegać ramom nadzoru. W takich przypadkach zadanie sprawowania nadzoru nad udostępnianiem europejskich portfeli biznesowych przez podmioty unijne należy powierzyć Komisji.

(16)Rozporządzeniem (UE) nr 910/2014 ustanowiono ramy identyfikacji elektronicznej i usług zaufania na rynku wewnętrznym. Opierając się na ekosystemie ustanowionym rozporządzeniem (UE) nr 910/2014, europejskie portfele biznesowe powinny oferować podmiotom gospodarczym i organom sektora publicznego bezpieczne i niezawodne rozwiązanie w zakresie cyfrowej identyfikacji i uwierzytelniania, udostępniania danych i dostarczania prawnie ważnych powiadomień. Ramy zaufania dla europejskich portfeli biznesowych, w tym stosowanie zaufanych list, powinny opierać się na strukturach ustanowionych na mocy rozporządzenia (UE) nr 910/2014.

(17)Osobom fizycznym, którym przyznano uprawnienia do działania w imieniu danego podmiotu w sprawach prawnych, finansowych i administracyjnych, europejskie portfele biznesowe powinny umożliwiać wykonywanie ich funkcji poprzez podpisywanie wszelkich poświadczeń, oświadczeń lub dokumentów za pomocą podpisu elektronicznego mającego moc prawną w rozumieniu rozporządzenia (UE) nr 910/2014, które stanowi, że podpisy elektroniczne mają skutek prawny równoważny podpisowi własnoręcznemu.

(18)Aby wspierać przekazywanie uprawnień i upoważnień w kontekście zawodowym, europejskie portfele biznesowe powinny obejmować system autoryzacji oparty na upoważnieniach i rolach, regulujący dostęp do usług i transakcji w ramach europejskiego portfela biznesowego w sposób pozwalający zachować integralność tożsamości właściciela tego portfela. System ten powinien umożliwiać podmiotom gospodarczym i organom sektora publicznego przyznawanie praw upoważnionym przedstawicielom za pomocą jasno określonych upoważnień technicznych umożliwiających właścicielowi konkretnego europejskiego portfela biznesowego przyznanie pełnych praw do ogólnego korzystania z tego rozwiązania i działania w jego imieniu, a także upoważnienia administracyjnego umożliwiającego właścicielowi portfela biznesowego przydzielanie ról i obowiązków różnym użytkownikom rozwiązania w ramach ich organizacji. Ten system upoważnień powinien zapewniać zgodność z unijnym cyfrowym pełnomocnictwem ustanowionym dyrektywą Parlamentu Europejskiego i Rady (UE) 2025/25 6 . System upoważnień powinien być solidny i skalowalny, aby zagwarantować podmiotom gospodarczym i organom sektora publicznego – jako właścicielom europejskich portfeli biznesowych – możliwość przekazywania uprawnień wielu użytkownikom, w tym pracownikom lub innym upoważnionym osobom fizycznym lub prawnym, ułatwiając tym samym skuteczne i bezpieczne zarządzanie działaniami wewnętrznymi oraz zapewniając, aby dostęp do europejskich portfeli biznesowych i ich funkcji był kontrolowany i możliwy do skontrolowania. System ten powinien regulować dostęp do usług i transakcji w ramach europejskiego portfela biznesowego przy jednoczesnym zachowaniu integralności tożsamości właścicieli.

(19)Aby ułatwić przeprowadzanie transgranicznych transakcji handlowych, zmniejszyć obciążenia administracyjne i wspierać wzrost gospodarczy, należy ustanowić jasne i przewidywalne ramy prawne uznające równoważność prawną między korzystaniem z europejskich portfeli biznesowych lub ich podstawowych funkcji oraz bezpiecznego kanału komunikacji, w przypadku gdy z tego ostatniego korzystają osoby samozatrudnione i przedsiębiorcy indywidualni, oraz innymi akceptowanymi metodami identyfikacji, uwierzytelniania, przedkładania dokumentów i odbierania powiadomień przez podmioty gospodarcze podczas kontaktów z organami sektora publicznego w Unii. W tym celu korzystanie z podstawowych funkcji europejskiego portfela biznesowego lub bezpiecznego kanału komunikacji, w przypadku gdy korzystają z niego osoby samozatrudnione i przedsiębiorcy indywidualni, powinno mieć takie same skutki prawne, jak gdyby czynności tych dokonano zgodnie z prawem osobiście, w formie papierowej lub za pośrednictwem wszelkich innych środków lub procesów, które w innym przypadku zostałyby uznane za zgodne z mającymi zastosowanie wymogami prawnymi, administracyjnymi lub proceduralnymi.

(20)Aby zapewnić użytkownikom spójne doświadczenie oraz zagwarantować użyteczność, niezawodność i interoperacyjność europejskich portfeli biznesowych w całej Unii, dostawcy europejskich portfeli biznesowych powinni wdrożyć podstawowy zestaw funkcji. Powinni oni zachować swobodę udostępniania dodatkowych funkcji w ramach swojej oferty handlowej, wspierając innowacje i reagując na potrzeby rynku. W celu zagwarantowania jednolitych warunków opracowywania i korzystania z podstawowych funkcji należy powierzyć Komisji uprawnienia wykonawcze do określenia wymogów i specyfikacji technicznych niezbędnych do zapewnienia interoperacyjności i sprawnego funkcjonowania w całej Unii. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011( 7 ) i powinny obejmować uprawnienia do określenia niezbędnych norm i protokołów dotyczących bezpiecznego kanału komunikacji, z uwzględnieniem najnowszych osiągnięć technologicznych.

(21)Europejskie portfele biznesowe powinny uprościć złożone interakcje między podmiotami gospodarczymi a organami sektora publicznego, a także mogłyby ułatwić interakcje między samymi podmiotami gospodarczymi, zmniejszając obciążenia administracyjne dla podmiotów gospodarczych w wielu sektorach gospodarki. Aby wspierać innowacje i konkurencyjność, europejskie portfele biznesowe powinny obsługiwać przypadki użycia w poszczególnych sektorach i zwiększać efektywność operacyjną, przy jednoczesnym zapewnieniu elastyczności i możliwości dostosowania w celu spełnienia unikalnych wymogów różnych sektorów, w tym między innymi rolnictwa, energetyki, środowiska i koordynacji systemów zabezpieczenia społecznego.

(22)Korzystanie z europejskich portfeli biznesowych w takich kontekstach może pomóc w obniżeniu kosztów i promować szeroki zakres zastosowań i przypadków użycia w całej Unii, takich jak składanie oświadczeń, ubieganie się o finansowanie ze środków publicznych, dostęp do usług publicznych oraz ułatwianie bezpiecznej wymiany danych i dostępu do nich w przestrzeniach danych, np. składanie zaświadczeń A1 dotyczących pracowników delegowanych, przewidzianych w rozporządzeniu (WE) nr 883/2004.

(23)Oczekuje się, że ustanowienie europejskich portfeli biznesowych wraz z systemem technicznym opartym na zasadzie jednorazowości stworzy potężny efekt synergii, który zmaksymalizuje skuteczność i łatwość obsługi. W szczególności podmioty gospodarcze powinny mieć możliwość korzystania z europejskiego portfela biznesowego w celu przechowywania i przekazywania dowodów uzyskanych od właściwych organów publicznych za pośrednictwem systemu technicznego opartego na zasadzie jednorazowości. W stosownych przypadkach podmioty gospodarcze powinny również mieć możliwość łączenia dowodów przechowywanych w europejskim portfelu biznesowym z dowodami uzyskanymi za pośrednictwem systemu technicznego opartego na zasadzie jednorazowości w kontekście procedur publicznych. W związku z tym, dzięki udostępnieniu bezpiecznej platformy cyfrowej do przechowywania i wymiany dokumentów biznesowych, europejskie portfele biznesowe powinny ułatwić wymianę takich dokumentów między organami sektora publicznego za pośrednictwem mechanizmów ustanowionych w ramach systemu technicznego opartego na zasadzie jednorazowości.

(24)Aby zagwarantować koordynację między trwającą cyfryzacją współpracy sądowej w Unii, modernizacją bezpiecznej wymiany informacji na szczeblu transgranicznym i potrzebą wyposażenia podmiotów gospodarczych w skuteczne narzędzia cyfrowe do interakcji z organami, należy ustanowić spójne ramy umożliwiające płynną interakcję między takimi odpowiednimi systemami. Wzmocnienie takiej koordynacji zmniejszy obciążenia administracyjne, zwiększy pewność prawa i poprawi skuteczność współpracy transgranicznej dzięki zagwarantowaniu sprawnego funkcjonowania kanałów komunikacji wykorzystywanych przez podmioty gospodarcze na europejskim rynku cyfrowym. W tym kontekście europejskie portfele biznesowe powinny uzupełniać systemy określone w rozporządzeniu (UE) 2023/2844 i rozporządzeniu (UE) 2023/969, przy czym należy utrzymać sprawną interakcję między tymi systemami a portfelami biznesowymi za pośrednictwem portalu portfeli biznesowych, umożliwiając właściwym organom utrzymanie tych systemów przy jednoczesnym promowaniu uproszczeń dla europejskich przedsiębiorstw.

(25)Aby ułatwić elastyczną i efektywną wymianę informacji i usług podczas korzystania z europejskich portfeli biznesowych oraz zapewnić sprawną integrację europejskich portfeli biznesowych z istniejącymi rozwiązaniami w zakresie tożsamości cyfrowej, należy umożliwić korzystanie z europejskich portfeli tożsamości cyfrowej i elektronicznych poświadczeń atrybutów do celów rejestracji w europejskich portfelach biznesowych i zarządzania dostępem do nich. Powinno to umożliwić użytkownikom wykorzystanie istniejących tożsamości cyfrowych i elektronicznych poświadczeń atrybutów w celu uzyskania dostępu do europejskich portfeli biznesowych, a tym samym usprawnić proces rejestracji i poprawić ogólne doświadczenia użytkowników. Wykorzystanie elektronicznych poświadczeń atrybutów w kontekście europejskich portfeli biznesowych powinno zaspokajać zróżnicowane potrzeby właścicieli europejskich portfeli biznesowych i może służyć do wydawania i umożliwiania bezpiecznej i wiarygodnej weryfikacji kluczowych atrybutów, takich jak aktualny adres właściciela, numer identyfikacyjny VAT, numer identyfikacji podatkowej, identyfikator podmiotu prawnego (LEI), numer rejestracyjny i identyfikacyjny przedsiębiorcy (EORI) oraz numer akcyzowy. Europejskie portfele biznesowe powinny obsługiwać szeroki zakres przypadków użycia, od prostego uwierzytelniania i identyfikacji po bardziej złożone transakcje i interakcje.

(26)Aby zapewnić bezpieczne i godne zaufania funkcjonowanie europejskich portfeli biznesowych, dostawcy europejskich portfeli biznesowych powinni dopilnować, aby każdy dostarczany przez nich europejski portfel biznesowy był wstępnie skonfigurowany do interakcji z niektórymi usługami zaufania, które są niezbędne do umożliwienia podstawowych funkcji europejskich portfeli biznesowych, w tym tworzenia kwalifikowanych podpisów elektronicznych, tworzenia kwalifikowanych pieczęci elektronicznych oraz wydawania i walidacji kwalifikowanych i niekwalifikowanych elektronicznych poświadczeń atrybutów. Aby zapewnić obsługę tych funkcji, europejskie portfele biznesowe powinny umożliwiać udostępnianie i przechowywanie konkretnych informacji i dokumentów dotyczących właściciela, takich jak wiadomości i dokumenty na potrzeby bezpiecznego kanału komunikacji, podpisane i opatrzone pieczęcią dokumenty oraz zestawy atrybutów na potrzeby usług związanych z poświadczaniem.

(27)Aby umożliwić prawne uznawanie elektronicznych poświadczeń atrybutów przedstawianych za pośrednictwem europejskich portfeli biznesowych, należy umożliwić tworzenie i walidację powiązanych poświadczeń, w ramach których jedno poświadczenie jest kryptograficznie powiązane z innym w sposób umożliwiający weryfikację autentyczności i integralności każdego pojedynczego poświadczenia oraz wszystkich powiązanych poświadczeń łącznie. W tym celu, poprzez wykorzystanie łańcucha poświadczeń, infrastruktura europejskiego portfela biznesowego powinna umożliwiać jednorazowe przedłożenie poświadczenia i ułatwiać jego późniejsze ponowne wykorzystanie w ramach odpowiednich procedur. Funkcja ta powinna umożliwiać właścicielom europejskich portfeli biznesowych przekazywanie odniesienia do dokumentu, w stosownych przypadkach z elementem kryptograficznym, takim jak klucz skrótu do opatrzonego pieczęcią poświadczenia wydanego przez europejski portfel biznesowy, potwierdzającego w ten sposób integralność i autentyczność pierwotnie przesłanego dokumentu.

(28)Aby zagwarantować harmonizację różnych rozwiązań na podstawie norm i specyfikacji technicznych europejskich portfeli biznesowych, w załączniku do niniejszego rozporządzenia należy określić normy i protokoły dotyczące podstawowych funkcji europejskich portfeli biznesowych i wymogi techniczne, jakie portfele te powinny spełniać. Załącznik powinien wskazywać wymagania dotyczące wdrażania europejskich portfeli biznesowych. Aby zapewnić długoterminową rentowność i skuteczność europejskich portfeli biznesowych, należy powierzyć Komisji uprawnienia wykonawcze do ustanowienia i aktualizacji procedur i specyfikacji technicznych dotyczących wdrażania podstawowych funkcji, umożliwiając tym samym integrację dodatkowych funkcji i nowych technologii, które przełożą się na nowe przypadki użycia, takie jak agentowa sztuczna inteligencja lub nadanie tożsamości cyfrowej składnikowi aktywów właściciela, oraz umożliwiając europejskim portfelom biznesowym dalsze zaspokajanie zmieniających się potrzeb podmiotów gospodarczych w bezpieczny i godny zaufania sposób. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011. W miarę możliwości normy i specyfikacje techniczne europejskiego portfela biznesowego powinny uwzględniać odpowiednie rozwiązania techniczne i normy stosowane w ramach istniejących systemów ICT przez podmioty gospodarcze, ułatwiając dostosowanie tych systemów do europejskiego portfela biznesowego i zapewnienie ich interoperacyjności z tym portfelem.

(29)Aby wspierać rozwój rynku europejskich portfeli biznesowych w odpowiednim czasie, należy priorytetowo potraktować przyjęcie aktów wykonawczych dotyczących podstawowych funkcji i towarzyszących im specyfikacji technicznych. W stosownych przypadkach powinny one opierać się na istniejących normach, w tym normach określonych w architekturze i ramach odniesienia przewidzianych w kontekście rozporządzenia (UE) nr 910/2014, aby wspierać ponowne wykorzystywanie znanych norm technicznych i upowszechnianie europejskich portfeli biznesowych.

(30)Aby zapewnić wysoki poziom zaufania, funkcjonalności i bezpieczeństwa europejskich portfeli biznesowych niezbędny do transgranicznego świadczenia usług, a w szczególności aby ograniczyć ryzyko nadużyć, dostawcy europejskich portfeli biznesowych powinni podlegać jasnym i proporcjonalnym wymogom i obowiązkom, którym nie powinny towarzyszyć dodatkowe wymogi krajowe.

(31)Aby zapewnić odpowiedni nadzór zgodnie z niniejszym rozporządzeniem, podmioty chętne do przyjęcia roli dostawców europejskich portfeli biznesowych powinny być zobowiązane do powiadomienia organów nadzoru o zamiarze udostępnienia takich europejskich portfeli biznesowych, zanim zaczną oferować usługi w tym zakresie. Aby zagwarantować integralność i rozliczalność dostawców europejskich portfeli biznesowych oraz zapewnić bezpieczeństwo danych przechowywanych lub wymienianych w ekosystemie europejskich portfeli biznesowych, dostawcy powinni mieć siedzibę w Unii. Dzięki temu dostawcy ci będą podlegać jurysdykcji i nadzorowi właściwego organu w państwie członkowskim, co umożliwi skuteczne egzekwowanie niniejszego rozporządzenia oraz ochronę praw i danych użytkowników. Ponadto dostawcy europejskich portfeli biznesowych nie powinni stanowić zagrożenia dla bezpieczeństwa Unii, a mianowicie nie powinni podlegać kontroli państwa trzeciego ani podmiotu z państwa trzeciego, aby zagwarantować stałe bezpieczeństwo i odporność krytycznej infrastruktury cyfrowej Unii. Zgodnie z wymogami określonymi w niniejszym rozporządzeniu Komisja może przyjmować akty wykonawcze w celu zapewnienia współpracy i interoperacyjności z rozwiązaniami ustanowionymi lub zatwierdzonymi przez partnerów Unii o zbieżnych poglądach.

(32)Unia musi chronić swoje interesy w zakresie bezpieczeństwa przed dostawcami, którzy mogą stanowić trwałe zagrożenie dla bezpieczeństwa ze względu na potencjalną ingerencję ze strony państw trzecich. W tym celu należy ograniczyć zagrożenie trwałym uzależnieniem od dostawców wysokiego ryzyka na rynku wewnętrznym, w tym w łańcuchu dostaw ICT, ponieważ mogą oni mieć poważny negatywny wpływ na bezpieczeństwo podmiotów gospodarczych i organów sektora publicznego w całej Unii oraz na infrastrukturę krytyczną Unii, zwłaszcza w odniesieniu do integralności, poufności i dostępności danych i usług. Wszelkie ograniczenia powinny opierać się na proporcjonalnej ocenie ryzyka i odpowiednich środkach ograniczających ryzyko, jak określono w politykach i przepisach Unii. Takie ograniczenia mogą mieć zastosowanie na przykład do dostawców wysokiego ryzyka określonych w prawie Unii.

(33)W celu ustalenia tożsamości podmiotów gospodarczych w sposób bezpieczny i wiarygodny niniejsze rozporządzenie powinno umożliwiać stosowanie kwalifikowanych elektronicznych poświadczeń atrybutów do wydawania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych. Kwalifikowane elektroniczne poświadczenia atrybutów można łatwo zaktualizować lub cofnąć. Stosowanie kwalifikowanych elektronicznych poświadczeń atrybutów do ustalania tożsamości podmiotów gospodarczych stanowi skuteczne i bezpieczne rozwiązanie dostosowane do potrzeb gospodarki cyfrowej. Kwalifikowani dostawcy usług zaufania wydający te poświadczenia podlegają przepisom rozporządzenia (UE) nr 910/2014 oraz rygorystycznym wymogom i kontroli, co zapewnia wysoki poziom bezpieczeństwa i zaufania w procesie wydawania poświadczeń. Źródłami autentycznymi wykorzystywanymi do weryfikacji danych zawartych w kwalifikowanych elektronicznych poświadczeniach atrybutów są rejestry przedsiębiorstw i inne rejestry, a w celu ułatwienia weryfikacji tych danych, a tym samym zapewnienia dokładności i wiarygodności danych identyfikacyjnych, należy promować korzystanie z systemu integracji rejestrów przedsiębiorstw („BRIS”) i systemu integracji rejestrów beneficjentów rzeczywistych („BORIS”).

(34)Niniejsze rozporządzenie nie powinno wpływać na funkcjonowanie ani rolę rejestrów przedsiębiorstw jako źródeł autentycznych i nie powinno zmieniać sposobu ich funkcjonowania ani przechowywanych w nich danych, lecz raczej powinno opierać się na istniejącej infrastrukturze i stanowić jej uzupełnienie. W związku z tym w przypadku wydania elektronicznych poświadczeń atrybutów przez źródło autentyczne, takie jak rejestr przedsiębiorstw, lub w jego imieniu, rejestr mógłby bezpośrednio wydawać odpowiednie dane, co dodatkowo zwiększyłoby bezpieczeństwo i wiarygodność procesu identyfikacji.

(35)Rozporządzenie (UE) nr 910/2014 zobowiązuje państwa członkowskie do zapewnienia, aby wprowadzono środki umożliwiające kwalifikowanym dostawcom usług zaufania weryfikację drogą elektroniczną, na żądanie użytkownika, autentyczności atrybutów wymienionych w załączniku VI do rozporządzenia (UE) nr 910/2014, takich jak wykształcenie i kwalifikacje zawodowe, tytuły i licencje, pełnomocnictwa i upoważnienia do reprezentowania osób fizycznych lub prawnych, zezwolenia i licencje publiczne oraz dane finansowe i dane dotyczące przedsiębiorstwa. Ramy europejskich portfeli biznesowych należy oprzeć na tym istniejącym wymogu, który powinien obejmować wszystkie oficjalne dane istotne dla podmiotów gospodarczych w kontekście europejskich portfeli biznesowych i umożliwiać elektroniczną weryfikację atrybutów w celu ułatwienia wydawania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych oraz innych elektronicznych poświadczeń atrybutów.

(36)Ponieważ wszystkie podmioty gospodarcze i podmioty prowadzące działalność gospodarczą powinny mieć możliwość korzystania z europejskich portfeli biznesowych, w tym osoby samozatrudnione i przedsiębiorcy indywidualni, dane identyfikacyjne właścicieli europejskich portfeli biznesowych powinny być przekazywane w sposób specjalnie zaprojektowany w celu weryfikacji ich tożsamości i poświadczonych atrybutów w kontekście biznesowym. Aby zapewnić spójność z istniejącymi ramami unijnymi i ułatwić interoperacyjność na szczeblu transgranicznym, w ramach europejskiego portfela biznesowego należy stosować niepowtarzalny identyfikator europejski (EUID) przewidziany w ujednoliconej dyrektywie w sprawie prawa spółek (UE) 2017/1132( 8 ) i rozporządzeniu wykonawczym Komisji (UE) 2021/369( 9 ) ), a także rozporządzeniu (UE) 2024/1624( 10 ) i rozporządzeniu wykonawczym Komisji (UE) 2021/369( 11 ). Spółkom i innym podmiotom prawnym, a także strukturom takim jak trusty, przypisuje się niepowtarzalny identyfikator europejski, aby umożliwić ich jednoznaczną identyfikację w sytuacjach transgranicznych. Niepowtarzalny identyfikator europejski jest obecnie publicznie dostępny za pośrednictwem systemu BRIS i wykorzystywany przez system BORIS. W związku z tym ramy europejskiego portfela biznesowego powinny opierać się na procesie wydawania i rejestrowania niepowtarzalnych identyfikatorów europejskich jako sposobie weryfikowania tożsamości podmiotów gospodarczych, którym nadaje się niepowtarzalne identyfikatory europejskie zgodnie z dyrektywą (UE) 2017/1132. Ramy europejskiego portfela biznesowego należy oprzeć na procesie wydawania i rejestrowania niepowtarzalnych identyfikatorów europejskich dla innych podmiotów gospodarczych objętych dyrektywą (UE) 2015/849.

(37)Aby zagwarantować możliwość wiarygodnej identyfikacji wszystkich właścicieli europejskich portfeli biznesowych oraz powiązania ich elektronicznego poświadczenia atrybutów z niepowtarzalnym podmiotem, należy również przypisać niepowtarzalny identyfikator innym podmiotom gospodarczym i organom sektora publicznego. Aby zapewnić jednolite warunki wdrażania niepowtarzalnych identyfikatorów, w szczególności ich skuteczność i spójność, należy powierzyć Komisji uprawnienia wykonawcze do określenia szczegółowych wymogów dotyczących niepowtarzalnych identyfikatorów. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011. Biorąc pod uwagę różne podejścia państw członkowskich do rejestracji niektórych podmiotów gospodarczych i organów sektora publicznego, dostawcom danych identyfikacyjnych właścicieli europejskich portfeli biznesowych należy zagwarantować przejrzystość i dostępność. W tym celu państwa członkowskie powinny powiadomić Komisję o źródłach autentycznych, które są istotne dla wydawania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych.

(38)Aby zapewnić skuteczne, bezpieczne i przejrzyste funkcjonowanie ram europejskiego portfela biznesowego, należy utworzyć europejski katalog cyfrowy zawierający dane osobowe podmiotów gospodarczych. Komisja powinna być uprawniona do utworzenia i prowadzenia tego katalogu jako zaufanego źródła informacji na temat podmiotów gospodarczych i organów sektora publicznego korzystających z europejskich portfeli biznesowych. Katalog powinien umożliwiać łatwy kontakt z właścicielami europejskich portfeli biznesowych w celu promowania pewności prawa w stosunkach między przedsiębiorstwami oraz w kontaktach z organami sektora publicznego, w szczególności w celu promowania handlu między państwami członkowskimi. Dostawcy europejskich portfeli biznesowych, w porozumieniu z Komisją, powinni przekazywać niezbędne informacje, aby wspierać funkcjonowanie europejskiego katalogu cyfrowego, oraz współpracować z odpowiednimi kwalifikowanymi dostawcami usług zaufania w celu zagwarantowania stałej dokładności przekazywanych danych. Działania takie nie skutkują pośrednio nałożeniem na podmioty gospodarcze wymogu aktualizowania takich informacji. W tym względzie katalog cyfrowy będzie opierał się na informacjach udostępnianych przez rejestry przedsiębiorstw również za pośrednictwem systemu BRIS, uniemożliwiając jednocześnie powielanie tych informacji.

(39)Do wszystkich czynności związanych z przetwarzaniem danych osobowych prowadzonych na podstawie niniejszego rozporządzenia zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679. W przypadku gdy europejski katalog cyfrowy obejmuje przetwarzanie danych osobowych, będzie ono odbywać się zgodnie z odpowiednimi zasadami ochrony danych, takimi jak zasada minimalizacji danych i zasada celowości, oraz obowiązkami, takimi jak uwzględnianie ochrony danych w fazie projektowania i domyślna ochrona danych, i będzie obejmować, w stosownych przypadkach, funkcje pseudonimizacji.

(40)Aby uniknąć nadmiernych obciążeń regulacyjnych, należy przewidzieć nadzór ex post nad dostawcami europejskich portfeli biznesowych i monitorowanie ich działalności bez konieczności uprzedniej weryfikacji zgodności w odniesieniu do każdego aspektu ich działalności. Takie podejście powinno umożliwić stworzenie bardziej elastycznego i efektywnego otoczenia regulacyjnego, przy jednoczesnym utrzymaniu niezbędnych zabezpieczeń chroniących użytkowników i zapewniających zgodność z wymogami ram europejskich portfeli biznesowych. Proces zgłaszania dla dostawców europejskich portfeli biznesowych powinien być uproszczony i efektywny, ze wskazaniem jasno określonych wymogów i terminów dla wnioskodawców. Kwalifikowani dostawcy usług zaufania, którzy podlegają już solidnym ramom regulacyjnym na mocy rozporządzenia (UE) nr 910/2014, powinni korzystać ze szczególnie uproszczonej procedury, aby móc dostarczać europejskie portfele biznesowe.

(41)Aby zapewnić przejrzystość i rozliczalność w ekosystemie europejskich portfeli biznesowych, Komisja powinna utworzyć i prowadzić publicznie dostępny wykaz zgłoszonych dostawców europejskich portfeli biznesowych. Wykaz ten powinien zawierać informacje przekazane przez krajowe organy nadzoru dotyczące dostawców, w tym kwalifikowanych dostawców usług zaufania, którzy zakończyli proces zgłoszenia. Publiczne udostępnianie tych informacji powinno umożliwić użytkownikom weryfikację autentyczności i wiarygodności dostawców, a tym samym promować wysoki poziom bezpieczeństwa i zaufania do ekosystemu europejskiego portfela biznesowego.

(42)Skuteczny nadzór sprawowany przez organy nadzoru, posiadające wystarczające uprawnienia i odpowiednie zasoby, ma zasadnicze znaczenie dla zagwarantowania zgodności europejskich portfeli biznesowych udostępnianych w Unii z wymogami określonymi w niniejszym rozporządzeniu. Aby jak najlepiej zapewnić taki nadzór i odpowiednią wiedzę fachową, państwa członkowskie powinny wyznaczyć ten sam organ lub te same organy nadzoru, które wyznaczono zgodnie z art. 46a ust. 1 i art. 46b ust. 1 rozporządzenia (UE) nr 910/2014.

(43)Należy zwrócić należytą uwagę na zapewnienie skutecznej współpracy między organami nadzoru wyznaczonymi na mocy niniejszego rozporządzenia i art. 46b rozporządzenia (UE) nr 910/2014 a właściwymi organami wyznaczonymi lub ustanowionymi na podstawie art. 8 ust. 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555( 12 ). Ponieważ właściwe organy są odrębnymi podmiotami, powinny one ściśle współpracować ze sobą w odpowiednim czasie, w tym poprzez wymianę istotnych informacji, w celu zapewnienia skutecznego nadzoru nad dostawcami europejskich portfeli biznesowych i przestrzegania przez nich odnośnych obowiązków wynikających z rozporządzenia (UE) nr 910/2014 i dyrektywy (UE) 2022/2555.

(44)Aby zharmonizować egzekwowanie niniejszego rozporządzenia, krajowe organy nadzoru powinny być uprawnione do nakładania administracyjnych kar pieniężnych. Należy określić górną granicę administracyjnych kar pieniężnych oraz kryteria ich ustalania, aby promować równe traktowanie dostawców europejskich portfeli biznesowych w całej Unii, niezależnie od państwa członkowskiego, w którym mają siedzibę. Właściwy organ nadzoru powinien oceniać każdy przypadek indywidualnie, biorąc pod uwagę wszystkie istotne okoliczności, w tym charakter, wagę i czas trwania naruszenia, jego konsekwencje oraz wszelkie środki zastosowane w celu zapewnienia zgodności i złagodzenia szkody. W związku z tym do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 12 miesięcy po wejściu w życie niniejszego rozporządzenia] r. państwa członkowskie powinny powiadomić Komisję o przepisach ustanowionych w prawie krajowym umożliwiających organowi nadzoru nakładanie kar, a także powinny niezwłocznie powiadamiać Komisję o wszelkich późniejszych zmianach tych przepisów.

(45)W celu zapewnienia właściwego funkcjonowania rynku wewnętrznego i ochrony praw podmiotów gospodarczych należy ustanowić mechanizm umożliwiający Komisji interweniowanie w przypadkach, w których stwierdzono, że dostawca europejskich portfeli biznesowych nie spełnia wymogów niniejszego rozporządzenia, a właściwy organ nadzoru nie zastosował skutecznych środków w celu zaradzenia tej sytuacji. Mechanizm ten powinien umożliwiać Komisji przeprowadzanie oceny zgodności, przeprowadzanie konsultacji z zainteresowanymi państwami członkowskimi i dostawcą oraz przyjmowanie aktów wykonawczych w celu zapewnienia środków naprawczych lub ograniczających. Dzięki temu Komisja powinna być w stanie szybko podjąć skuteczne działania w celu wyeliminowania wszelkich niezgodności oraz dopilnowania, aby z europejskich portfeli biznesowych można było korzystać w sposób bezpieczny i godny zaufania.

(46)Grupie współpracy ustanowionej na podstawie rozporządzenia (UE) nr 910/2014 należy powierzyć dodatkową odpowiedzialność za koordynację krajowych praktyk i polityk związanych z niniejszym rozporządzeniem oraz ułatwić dyskusje między właściwymi organami na temat stosowania i egzekwowania rozporządzenia, realizując tym samym cele przyświecające utworzeniu grupy współpracy i zachowując wiedzę fachową z korzyścią dla wdrażania ram europejskiego portfela biznesowego.

(47)Aby wspierać skuteczne upowszechnianie i interoperacyjność, wszystkie organy sektora publicznego powinny być zobowiązane do umożliwienia korzystania z europejskiego portfela biznesowego we wszystkich odpowiednich procedurach administracyjnych do celów identyfikacji i uwierzytelniania, podpisywania dokumentów lub opatrywania ich pieczęcią, przedkładania dokumentów oraz wysyłania lub odbierania powiadomień. W związku z tym do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 24 miesiące po wejściu w życie niniejszego rozporządzenia] r. organy sektora publicznego powinny zapewnić, aby podmioty gospodarcze mogły korzystać z europejskich portfeli biznesowych oraz – w przypadku otrzymywania lub przekazywania dokumentów lub powiadomień – aby miały one dostęp do bezpiecznego kanału komunikacji portfeli biznesowych. Aby zagwarantować sprawne i interoperacyjne stosowanie niniejszego rozporządzenia w tym zakresie, organy sektora publicznego powinny posiadać europejski portfel biznesowy do celów otrzymywania lub wysyłania dokumentów i powiadomień. Spoczywający na organach sektora publicznego obowiązek akceptowania europejskich portfeli biznesowych podmiotów gospodarczych nie powinien mieć wpływu na systemy wykorzystywane do wymiany dokumentów lub danych między właściwymi organami lub ich przedkładania.

(48)Aby uniknąć zakłóceń w ramach istniejących interakcji między podmiotami gospodarczymi a organami sektora publicznego, należy przewidzieć okres przejściowy do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 36 miesięcy po wejściu w życie niniejszego rozporządzenia] r. W tym okresie organy sektora publicznego mogą zdecydować o nieudostępnianiu bezpiecznego kanału komunikacji europejskich portfeli biznesowych i zamiast tego, przed zaoferowaniem bezpiecznego kanału komunikacji europejskich portfeli biznesowych, obsługiwać dotychczasowe rozwiązania alternatywne, które umożliwiają podmiotom gospodarczym komunikowanie się z organami sektora publicznego. Aby zapewnić odpowiedni poziom bezpieczeństwa i interoperacyjności, każde rozwiązanie alternatywne stosowane w tym okresie przejściowym powinno spełniać wymogi dotyczące kwalifikowanych usług rejestrowanego doręczenia elektronicznego określone w rozporządzeniu (UE) nr 910/2014 i oferować punkt dostępu do europejskich portfeli biznesowych. Ten punkt powinien umożliwiać użytkownikom europejskich portfeli biznesowych dostęp do alternatywnych rozwiązań stosowanych w okresie przejściowym. Po upływie tego okresu organy sektora publicznego powinny wspierać bezpieczny kanał komunikacji europejskich portfeli biznesowych, aby zapewnić zharmonizowane i skuteczne środki komunikacji w całej Unii, z korzyścią dla europejskich przedsiębiorstw.

(49)Europejskie portfele biznesowe przyczyniają się do świadczenia transgranicznej cyfrowej usługi publicznej w rozumieniu aktu w sprawie Interoperacyjnej Europy (UE) 2024/903. Przeprowadzono ocenę wymaganą na mocy tego rozporządzenia, a wynikające z niej sprawozdanie zostanie opublikowane na portalu Interoperacyjna Europa.

(50)W celu dopilnowania, aby ekosystem europejskich portfeli biznesowych nadal zaspokajał potrzeby podmiotów gospodarczych i organów sektora publicznego, należy ocenić jego wdrożenie i wpływ w świetle celu niniejszego rozporządzenia. W ocenie tej należy w szczególności uwzględnić ryzyko rozdrobnienia przepisów na rynku wewnętrznym w odniesieniu do elektronicznego przedkładania dokumentów i poświadczeń atrybutów, a także rozwój technologiczny i postępy na rynku europejskich portfeli biznesowych i powiązanych usług zaufania.

(51)Aby uniknąć powielania działań i zmniejszyć obciążenia administracyjne, organy sektora publicznego nie powinny wymagać ponownego przedkładania tych samych informacji lub dokumentów w postaci fizycznej lub za pomocą alternatywnych środków cyfrowych, lub żądać ich przedłożenia w innym formacie niż pierwotnie udostępniony, po ich prawidłowym przekazaniu za pośrednictwem europejskiego portfela biznesowego zgodnie z niniejszym rozporządzeniem. Państwa członkowskie nie powinny zatem przyjmować ani utrzymywać dodatkowych wymagań krajowych w odniesieniu do kwestii wchodzących w zakres stosowania niniejszego rozporządzenia, chyba że wyraźnie stanowi ono inaczej, ponieważ miałoby to wpływ to na jego bezpośrednie i jednolite stosowanie.

(52)W celu umożliwienia skutecznego dostępu do unijnych procedur i rynków oraz ułatwienia uczestnictwa podmiotów gospodarczych mających siedzibę poza Unią w ramach europejskich portfeli biznesowych dostawcom europejskich portfeli biznesowych należy umożliwić wydawanie takim podmiotom europejskich portfeli biznesowych, pod warunkiem że ich tożsamość można zweryfikować z wysokim poziomem pewności. Aby zapobiec podwójnej rejestracji i chronić integralność rynku wewnętrznego, tacy operatorzy nie powinni mieć możliwości uzyskania więcej niż jednego zestawu danych identyfikacyjnych właściciela europejskiego portfela biznesowego i jednego niepowtarzalnego identyfikatora. Państwa członkowskie powinny współpracować w celu ograniczenia ryzyka podwójnej rejestracji i zapewnienia niepowtarzalności rejestracji podmiotów gospodarczych mających siedzibę poza Unią.

(53)Akt wykonawczy dotyczący wymogów i procedur odnoszących się do niepowtarzalnego identyfikatora powinien obejmować warunki jego wydawania podmiotom gospodarczym z państw trzecich. W szczególności należy w nim określić warunki sprzyjające koordynacji między dostawcami danych identyfikacyjnych właścicieli europejskich portfeli biznesowych, zapewniając, aby każdemu podmiotowi gospodarczemu z państwa trzeciego przypisano tylko jeden niepowtarzalny identyfikator do celów danych identyfikacyjnych właściciela europejskiego portfela biznesowego. Przed dostarczeniem europejskiego portfela biznesowego podmiotowi gospodarczemu mającemu siedzibę poza Unią odpowiedni dostawca powinien potwierdzić, że warunki weryfikacji tożsamości tego podmiotu gospodarczego zostały spełnione. Powinno to umożliwić podmiotom gospodarczym z państw trzecich korzystanie z europejskich portfeli biznesowych, przy jednoczesnym zachowaniu bezpieczeństwa i wiarygodności ekosystemu.

(54)Aby zagwarantować jednolite warunki wdrożenia uznawania i interoperacyjności portfeli biznesowych lub podobnych systemów i ram z państw trzecich w celu wspierania i promowania partnerstw i współpracy, należy powierzyć Komisji uprawnienia wykonawcze do określania warunków, na jakich takie podobne systemy lub ramy korzystają z przepisów niniejszego rozporządzenia. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011.

(55)Rozporządzenie (UE) nr 910/2014 zapewnia osobom fizycznym, takim jak obywatele i rezydenci, bezpieczne i wygodne środki identyfikacji i dostępu do usług online. Zobowiązano w nim państwa członkowskie do zapewnienia, aby europejskie portfele tożsamości cyfrowej były udostępniane osobom prawnym, pomimo braku jasności co do konkretnego technicznego wdrożenia europejskich portfeli tożsamości cyfrowej dla osób prawnych. Owa niepewność co do celu i funkcjonowania europejskich portfeli tożsamości cyfrowej dla osób prawnych zwiększa złożoność prawną i techniczną dla państw członkowskich. Konieczna jest zatem zmiana art. 5a rozporządzenia (UE) nr 910/2014 w celu zagwarantowania, aby obowiązkowe wydawanie europejskich portfeli tożsamości cyfrowej dotyczyło wyłącznie osób fizycznych.

(56)Ramy ustanowione niniejszym rozporządzeniem powinny zapewniać bezpieczną, ogólnounijną infrastrukturę cyfrową, a w związku z tym powinny stanowić główny instrument do takich celów. Aby w pełni wykorzystać korzyści płynące z ram europejskiego portfela biznesowego zarówno dla podmiotów gospodarczych, jak i organów sektora publicznego, należy promować ich stosowanie jako domyślnego narzędzia bezpiecznej identyfikacji cyfrowej, uwierzytelniania cyfrowego oraz cyfrowej wymiany dokumentów elektronicznych i poświadczeń atrybutów.

(57)Aby zadbać o spójne i horyzontalne stosowanie prawodawstwa Unii we wszystkich sektorach, zmniejszyć koszty administracyjne ponoszone przez podmioty gospodarcze oraz poprawić efektywność budżetową, prawo Unii dotyczące identyfikacji elektronicznej, uwierzytelniania elektronicznego lub wymiany dokumentów elektronicznych, powiadomień lub poświadczeń atrybutów, w szczególności w przypadku ustanowienia szczegółowych wymogów technicznych, systemów lub protokołów, powinno być stosowane w sposób spójny z niniejszym rozporządzeniem. W związku z tym wszelkie przyszłe inicjatywy ustawodawcze lub nieustawodawcze w tych dziedzinach powinny być zgodne z zasadą domyślnego stosowania portfela biznesowego oraz powinny być opracowywane i rozwijane w taki sposób, aby opierały się na europejskich portfelach biznesowych i umożliwiały korzystanie z nich. Jeżeli takie dostosowanie nie jest możliwe, Komisja powinna przedstawić pisemne uzasadnienie w formie oceny skutków towarzyszącej odpowiedniej inicjatywie, określające powody, dla których nie umożliwiono korzystania z europejskich portfeli biznesowych. Komisja powinna dokonać oceny i przeglądu niniejszego rozporządzenia do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 3 lata po przyjęciu] r., a następnie co cztery lata, oraz składać sprawozdanie Parlamentowi Europejskiemu i Radzie. Przegląd ten ma zasadnicze znaczenie dla oceny dalszej adekwatności zalecanych podstawowych funkcji i specyfikacji technicznych, zwłaszcza tych związanych z usługą QERDS jako bezpiecznym kanałem komunikacji, w kontekście najnowszych osiągnięć technologicznych. Ponadto Komisja powinna ocenić procedury zgłaszania dostawców europejskiego portfela biznesowego, a także wdrożenie i skuteczność przepisów dotyczących kar ustanowionych przez państwa członkowskie, aby ocenić zmiany na rynku i poziomy zgodności.

(58)Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725( 13 ) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu [wstawić datę] r.,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

Rozdział I – Przedmiot, zakres stosowania i definicje

Artykuł 1

Przedmiot

Niniejsze rozporządzenie umożliwia bezpieczną cyfrową identyfikację i cyfrowe uwierzytelnianie, wymianę danych i przekazywanie powiadomień mających moc prawną, zmniejsza obciążenia administracyjne i koszty zapewnienia zgodności z przepisami oraz wspiera transgraniczną działalność gospodarczą i konkurencyjność. W szczególności:

1)ustanawia ramy udostępniania europejskich portfeli biznesowych;

2)ustanawia zasadę równoważności, nadając działaniom i transakcjom przeprowadzanym za pośrednictwem europejskiego portfela biznesowego skutek prawny równoważny działaniom i transakcjom przeprowadzanym zgodnie z prawem osobiście, w formie papierowej lub za pośrednictwem wszelkich innych środków lub procesów, które zostałyby uznane za zgodne z mającymi zastosowanie wymogami prawnymi, administracyjnymi lub proceduralnymi;

3)ustanawia przepisy dotyczące wydawania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych w celu identyfikacji podmiotów gospodarczych i organów sektora publicznego;

4)ustanawia europejski katalog cyfrowy;

5)wyznacza niepowtarzalny identyfikator europejski (EUID), ustanowiony i regulowany dyrektywą (UE) 2017/1132, jako niepowtarzalny identyfikator dla właścicieli europejskich portfeli biznesowych oraz ustanawia podobny niepowtarzalny identyfikator dla właścicieli europejskich portfeli biznesowych, którzy nie mają dostępu do niepowtarzalnego identyfikatora europejskiego;

6)określa mechanizm zgłaszania, w ramach którego ustanawia się dostawców europejskich portfeli biznesowych;

7)określa obowiązki organów sektora publicznego dotyczące europejskich portfeli biznesowych;

8)zapewnia ramy nadzoru nad podmiotami unijnymi, w przypadku gdy takie organy sektora publicznego udostępniają europejskie portfele biznesowe;

9)zapewnia ramy uznawania systemów państw trzecich podobnych do europejskich portfeli biznesowych oraz wydawania europejskich portfeli biznesowych podmiotom gospodarczym z państw trzecich.

Artykuł 2

Zakres stosowania

1.Niniejsze rozporządzenie ma zastosowanie do dostarczania i akceptowania europejskich portfeli biznesowych oraz wydawania i akceptowania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych, a także do korzystania z europejskich portfeli biznesowych przez podmioty gospodarcze i organy sektora publicznego.

2.Niniejsze rozporządzenie pozostaje bez uszczerbku dla istniejących systemów i procedur przewidzianych w prawie Unii, regulujących wymianę dokumentów i danych między właściwymi organami.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)„europejski portfel biznesowy” oznacza rozwiązanie cyfrowe, które umożliwia właścicielom europejskich portfeli biznesowych bezpieczne przechowywanie danych identyfikacyjnych właścicieli europejskich portfeli biznesowych oraz elektronicznych poświadczeń atrybutów, zarządzanie nimi i ich prezentację stronom ufającym portfela biznesowego i innym podmiotom korzystającym z europejskich portfeli biznesowych i europejskich portfeli tożsamości cyfrowej w następujących celach:

a)uwierzytelnianie i dostarczanie zweryfikowanych dowodów wymaganych przez stronę ufającą;

b)dostęp do elektronicznych poświadczeń atrybutów, podpisów elektronicznych, pieczęci elektronicznych, usług rejestrowanego doręczenia elektronicznego i elektronicznych znaczników czasu oraz korzystanie z nich;

c)umożliwienie tworzenia upoważnień, zarządzania nimi i ich przekazywania upoważnionym przedstawicielom;

oraz które może obsługiwać dodatkowe funkcje zgodnie z niniejszym rozporządzeniem;

2)„dane identyfikacyjne właściciela europejskiego portfela biznesowego” oznaczają zbiór danych, który umożliwia ustalenie tożsamości właściciela europejskiego portfela biznesowego i który jest wydawany przez dostawcę danych identyfikacyjnych właścicieli europejskich portfeli biznesowych;

3)„dostawca danych identyfikacyjnych właścicieli europejskich portfeli biznesowych” oznacza kwalifikowanego dostawcę usług zaufania lub organ sektora publicznego, lub Komisję, którzy wydają dane identyfikacyjne właścicieli europejskich portfeli biznesowych;

4)„podmiot gospodarczy” oznacza każdą osobę fizyczną lub prawną lub grupę takich osób, w tym tymczasowe stowarzyszenia przedsiębiorstw, działające w celach handlowych lub zawodowych związanych z ich działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;

5)„organ sektora publicznego” oznacza podmiot unijny, organ krajowy, państwowy, regionalny lub lokalny, podmiot prawa publicznego lub stowarzyszenie utworzone przez co najmniej jeden taki podmiot lub organ, lub jednostkę prywatną, której co najmniej jeden z tych podmiotów, organów lub jedno z takich stowarzyszeń udzieliły upoważnienia do świadczenia usług publicznych, gdy działa ona na podstawie takiego upoważnienia;

6)„podmiot unijny” oznacza instytucję, organ i jednostkę administracyjną Unii ustanowione Traktatem o Unii Europejskiej, Traktatem o funkcjonowaniu Unii Europejskiej lub Traktatem ustanawiającym Europejską Wspólnotę Energii Atomowej, lub na podstawie tych traktatów;

7)„właściciel europejskiego portfela biznesowego” oznacza podmiot gospodarczy lub organ sektora publicznego, który jest właścicielem europejskiego portfela biznesowego lub ma prawo do korzystania z niego;

8)„usługa zaufania” oznacza usługę zaufania zdefiniowaną w art. 3 pkt 16 rozporządzenia (UE) 910/2014;

9)„atrybut” oznacza atrybut zdefiniowany w art. 3 pkt 43 rozporządzenia (UE) 910/2014;

10)„elektroniczne poświadczenia atrybutów” oznaczają elektroniczne poświadczenia atrybutów zdefiniowane w art. 3 pkt 44 rozporządzenia (UE) nr 910/2014;

11)„kwalifikowane poświadczenie atrybutów” oznacza kwalifikowane poświadczenie atrybutów zdefiniowane w art. 3 pkt 45 rozporządzenia (UE) nr 910/2014;

12)„europejski portfel tożsamości cyfrowej” oznacza europejski portfel tożsamości cyfrowej zdefiniowany w art. 3 pkt 42 rozporządzenia (UE) nr 910/2014;

13)„podpis elektroniczny” oznacza podpis elektroniczny zdefiniowany w art. 3 pkt 10 rozporządzenia (UE) nr 910/2014;

14)„kwalifikowany podpis elektroniczny” oznacza kwalifikowany podpis elektroniczny zdefiniowany w art. 3 pkt 12 rozporządzenia (UE) nr 910/2014;

15)„pieczęć elektroniczna” oznacza pieczęć elektroniczną zdefiniowaną w art. 3 pkt 25 rozporządzenia (UE) nr 910/2014.

16)„kwalifikowana pieczęć elektroniczna” oznacza kwalifikowaną pieczęć elektroniczną zdefiniowaną w art. 3 pkt 27 rozporządzenia (UE) nr 910/2014;

17)„kwalifikowany elektroniczny znacznik czasu” oznacza kwalifikowany elektroniczny znacznik czasu zdefiniowany w art. 3 pkt 34 rozporządzenia (UE) nr 910/2014;

18)„upoważniony przedstawiciel” oznacza osobę fizyczną lub prawną działającą w imieniu właściciela europejskiego portfela biznesowego w zakresie pełnienia funkcji wykonawczych i operacyjnych wyznaczonego europejskiego portfela biznesowego na podstawie upoważnienia udzielonego przez tego właściciela europejskiego portfela biznesowego;

19)„upoważnienie” oznacza upoważnienie udzielone przez właściciela europejskiego portfela biznesowego upoważnionemu przedstawicielowi, umożliwiające temu przedstawicielowi działanie w imieniu właściciela w zakresie pełnienia funkcji wykonawczych i operacyjnych wyznaczonego europejskiego portfela biznesowego;

20)„dokument elektroniczny” oznacza dokument elektroniczny zdefiniowany w art. 3 pkt 35 rozporządzenia (UE) nr 910/2014;

21)„kwalifikowana usługa rejestrowanego doręczenia elektronicznego” oznacza kwalifikowaną usługę rejestrowanego doręczenia elektronicznego zdefiniowaną w art. 3 pkt 37 rozporządzenia (UE) nr 910/2014;

22)„użytkownik” oznacza osobę fizyczną lub prawną, lub osobę fizyczną reprezentującą inną osobę fizyczną lub osobę prawną, korzystającą z europejskich portfeli biznesowych lub środków identyfikacji elektronicznej europejskich portfeli biznesowych zapewnianych zgodnie z niniejszym rozporządzeniem;

23)„strona ufająca europejskiego portfela biznesowego” oznacza osobę fizyczną, podmiot gospodarczy lub organ sektora publicznego, które korzystają z europejskich portfeli biznesowych;

24)„poświadczenie jednostki portfela” oznacza obiekt danych, który opisuje komponenty jednostki europejskiego portfela biznesowego lub umożliwia uwierzytelnienie oraz walidację tych komponentów;

25)„jednostka europejskiego portfela biznesowego” oznacza niepowtarzalną konfigurację rozwiązania w zakresie europejskiego portfela biznesowego, która obejmuje segment front-end europejskiego portfela biznesowego i segment back-end europejskiego portfela biznesowego, bezpieczne aplikacje kryptograficzne portfela i bezpieczne urządzenia kryptograficzne portfela dostarczane przez dostawcę europejskiego portfela biznesowego konkretnemu właścicielowi europejskiego portfela biznesowego;

26)„rozwiązanie w zakresie europejskiego portfela biznesowego” oznacza połączenie oprogramowania, sprzętu, usług, ustawień i konfiguracji, z uwzględnieniem segmentu front-end i segmentu back-end europejskiego portfela biznesowego, co najmniej jednej bezpiecznej aplikacji kryptograficznej portfela oraz co najmniej jednego bezpiecznego urządzenia kryptograficznego portfela;

27)„aktywa krytyczne” oznaczają aktywa wewnątrz jednostki europejskiego portfela biznesowego lub z nią związane o tak istotnym znaczeniu, że naruszenie ich dostępności, poufności lub integralności miałoby bardzo poważny, szkodliwy wpływ na zdolność do polegania na danej jednostce europejskiego portfela biznesowego;

28)„bezpieczna aplikacja kryptograficzna portfela” oznacza aplikację, która zarządza aktywami krytycznymi, łącząc się z funkcjami kryptograficznymi i niekryptograficznymi zapewnianymi przez bezpieczne urządzenie kryptograficzne portfela oraz korzystając z tych funkcji;

29)„bezpieczne urządzenie kryptograficzne portfela” oznacza urządzenie odporne na manipulacje, które zapewnia otoczenie połączone z bezpieczną aplikacją kryptograficzną portfela i przez nią wykorzystywane, aby chronić aktywa krytyczne i zapewniać funkcje kryptograficzne na potrzeby bezpiecznego wykonywania operacji krytycznych;

30)„dostawca usług zaufania” oznacza dostawcę usług zaufania zdefiniowanego w art. 3 pkt 19 rozporządzenia (UE) nr 910/2014;

31)„kwalifikowany dostawca usług zaufania” oznacza kwalifikowanego dostawcę usług zaufania zdefiniowanego w art. 3 pkt 20 rozporządzenia (UE) nr 910/2014;

32)„elektroniczne poświadczenie atrybutów wydane przez organ sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu” oznacza elektroniczne poświadczenie atrybutów wydane przez organ sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu zdefiniowane w art. 3 pkt 46 rozporządzenia (UE) nr 910/2014;

33)„źródło autentyczne” oznacza źródło autentyczne zdefiniowane w art. 3 pkt 47 rozporządzenia (UE) nr 910/2014;

34)„system poświadczania” oznacza zbiór zasad mających zastosowanie do co najmniej jednego rodzaju elektronicznych poświadczeń atrybutów;

35)„katalog systemów” oznacza cyfrowe repozytorium zawierające wykaz systemów poświadczania atrybutów zarejestrowanych zgodnie z niniejszym rozporządzeniem, prowadzone i publikowane przez Komisję w internecie; 

36)„niepowtarzalny identyfikator europejski” oznacza niepowtarzalny identyfikator europejski, o którym mowa w dyrektywie (UE) 2017/1132;

37)„rejestr krajowy” oznacza urzędową bazę danych lub urzędowy system utworzony i prowadzony przez rząd krajowy lub wyznaczony przez niego organ lub w ich imieniu, który rejestruje i przechowuje informacje dotyczące podmiotów prawnych, w tym między innymi spółek, spółek osobowych, fundacji, stowarzyszeń, a także przedsiębiorstw będących osobami fizycznymi, takich jak przedsiębiorcy indywidualni i osoby samozatrudnione, lub innych osób lub organizacji podlegających rejestracji, oraz zarządza tymi informacjami;

38)„API” lub „interfejs programowania aplikacji” oznacza zbiór definicji i protokołów na potrzeby tworzenia i integracji oprogramowania użytkowego do celów udostępniania danych;

39)„przedkładanie” lub „przedłożenie” oznacza każde przekazanie ustrukturyzowanych lub nieustrukturyzowanych danych, plików, formularzy lub zapisów między organem sektora publicznego a podmiotem gospodarczym lub między podmiotami gospodarczymi lub między organami sektora publicznego, w przypadku gdy takie przekazanie jest wymagane, żądane lub dozwolone na mocy prawa Unii lub prawa krajowego i służy wsparciu celu prawnego, administracyjnego lub proceduralnego;

40)„powiadomienie” oznacza każde przekazanie informacji, decyzji, wniosków lub potwierdzeń między organem sektora publicznego a podmiotem gospodarczym lub między podmiotami gospodarczymi lub między organami sektora publicznego, które jest wymagane, żądane lub dozwolone na mocy prawa Unii lub prawa krajowego i które ma na celu wywołanie skutków prawnych lub poinformowanie odbiorcy o prawach, obowiązkach lub zmianach proceduralnych;

41)„procedura administracyjna” oznacza sekwencję działań określonych w prawie Unii lub prawie krajowym, które podmioty gospodarcze lub organy sektora publicznego muszą podjąć w celu wypełnienia obowiązków, udzielenia informacji lub uzyskania decyzji, zezwolenia lub korzyści od organu sektora publicznego w ramach wykonywania funkcji administracyjnych;

42)„segment front-end europejskiego portfela biznesowego” oznacza element interfejsu użytkownika, niezależnie od platformy lub formy, który wchodzi w interakcję z użytkownikami działającymi w imieniu właściciela i jest częścią jednostki europejskiego portfela biznesowego;

43)„segment back-end europejskiego portfela biznesowego” oznacza elementy po stronie serwera, w tym oprogramowanie, usługi i infrastrukturę, które zapewniają niezbędną funkcjonalność i wsparcie dla segmentu front-end europejskiego portfela biznesowego i stanowią część jednostki europejskiego portfela biznesowego.

Rozdział II – Europejskie portfele biznesowe

Artykuł 4

Zasada równoważności

W przypadku gdy właściciel europejskiego portfela biznesowego korzysta z którejkolwiek z podstawowych funkcji europejskiego portfela biznesowego, o których mowa w art. 5 ust. 1, wynikające z tego działanie wywołuje takie same skutki prawne, jak gdyby zostało ono przeprowadzone zgodnie z prawem osobiście, w formie papierowej lub za pośrednictwem wszelkich innych środków lub procesów, które zostałyby uznane za zgodne z mającymi zastosowanie wymogami prawnymi, administracyjnymi lub proceduralnymi.

W przypadku gdy osoba samozatrudniona lub przedsiębiorca indywidualny korzysta z kwalifikowanej usługi rejestrowanego doręczenia elektronicznego w okolicznościach określonych w art. 5 ust. 3, wynikające z tego działanie wywołuje takie same skutki prawne, jak gdyby zostało ono przeprowadzone zgodnie z prawem osobiście, w formie papierowej lub za pośrednictwem wszelkich innych środków lub procesów, które zostałyby uznane za zgodne z mającymi zastosowanie wymogami prawnymi, administracyjnymi lub proceduralnymi.

Artykuł 5

Podstawowe funkcje europejskich portfeli biznesowych

1.Dostawcy europejskich portfeli biznesowych zapewniają, aby dostarczane przez nich europejskie portfele biznesowe umożliwiały właścicielom europejskich portfeli biznesowych korzystanie z następujących podstawowych funkcji:

a)bezpieczne wydawanie, żądanie, otrzymywanie, wybieranie, łączenie, przechowywanie, usuwanie, udostępnianie i prezentacja elektronicznych poświadczeń atrybutów;

b)selektywne ujawnianie danych identyfikacyjnych właściciela europejskiego portfela biznesowego oraz atrybutów zawartych w elektronicznych poświadczeniach atrybutów w kontekście funkcji wymienionych w lit. a);

c)żądanie danych identyfikacyjnych właściciela europejskiego portfela biznesowego i elektronicznych poświadczeń atrybutów oraz udostępnianie ich w bezpieczny sposób między europejskimi portfelami biznesowymi a europejskimi portfelami tożsamości cyfrowej oraz stronom ufającym europejskiego portfela biznesowego;

d)składanie kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych, stosownie do przypadku;

e)wiązanie danych w formie elektronicznej z określonym czasem za pomocą kwalifikowanych elektronicznych znaczników czasu;

f)wydawanie elektronicznych poświadczeń atrybutów europejskim portfelom biznesowym i europejskim portfelom tożsamości cyfrowej;

g)wydawanie elektronicznych poświadczeń atrybutów za pośrednictwem europejskiego portfela biznesowego właściciela, umożliwiając powiązanie wydanego poświadczenia z innymi odpowiednimi poświadczeniami stanowiącymi część łańcucha;

h)umożliwienie korzystania z kwalifikowanych i niekwalifikowanych elektronicznych poświadczeń atrybutów, aby umożliwić uwierzytelnienie się właścicielom europejskich portfeli biznesowych i ich upoważnionym przedstawicielom;

i)przesyłanie i odbieranie dokumentów i danych elektronicznych za pośrednictwem kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, która jest w stanie zapewnić poufność i integralność;

j)upoważnianie wielu użytkowników do dostępu do europejskiego portfela biznesowego właściciela i jego obsługi oraz upoważnianie właściciela europejskiego portfela biznesowego do zarządzania takimi upoważnieniami i ich cofania;

k)upoważnianie stron ufających europejskiego portfela biznesowego do żądania elektronicznych poświadczeń atrybutów wydanych właścicielowi europejskiego portfela biznesowego, a właściciela europejskiego portfela biznesowego – do zarządzania takimi upoważnieniami i ich cofania;

l)eksportowanie swoich danych, w tym wydanych danych identyfikacyjnych właściciela europejskiego portfela biznesowego, elektronicznych poświadczeń atrybutów, rejestrów komunikacji i zapisów interakcji, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, na wniosek właściciela lub w przypadku zakończenia świadczenia usługi lub unieważnienia zgłoszenia dostawcy europejskiego portfela biznesowego;

m)dostęp do rejestru wszystkich transakcji;

n)dostęp do wspólnego panelu zarządzania umożliwiającego dostęp do komunikatów wymienianych za pośrednictwem kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w lit. i), oraz przechowywanie i weryfikowanie tych komunikatów.

2.Dostawcy europejskich portfeli biznesowych mogą oferować dodatkowe funkcje poza funkcjami wymienionymi w ust. 1, pod warunkiem że takie funkcje nie zakłócają ani nie naruszają poufności, dostępności lub integralności minimalnych podstawowych funkcji oraz niezawodności i interoperacyjności dostarczanych przez nich europejskich portfeli biznesowych.

3.Dostawcy europejskich portfeli biznesowych umożliwiają świadczenie na rzecz użytkowników europejskich portfeli tożsamości cyfrowej kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w ust. 1 lit. i), jako samodzielnej usługi.

4.Dostawcy europejskich portfeli biznesowych wdrażają funkcje, o których mowa w ust. 1, zgodnie z wymogami określonymi w załączniku.

5.Komisja, w drodze aktów wykonawczych, sporządzi wykaz norm referencyjnych oraz, w razie potrzeby, ustanowi specyfikacje i procedury dotyczące podstawowych funkcji europejskich portfeli biznesowych, o których to funkcjach mowa w ust. 1 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

Artykuł 6

Cechy techniczne europejskich portfeli biznesowych

1.Dostawcy europejskich portfeli biznesowych zapewniają, aby oferowane przez nich europejskie portfele biznesowe obsługiwały wspólne protokoły i interfejsy:

a)do celów wydawania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych, kwalifikowanych i niekwalifikowanych elektronicznych poświadczeń atrybutów i kwalifikowanych i niekwalifikowanych certyfikatów dla europejskich portfeli biznesowych;

b)na potrzeby stron ufających europejskich portfeli biznesowych do celów żądania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych i elektronicznych poświadczeń atrybutów oraz ich walidacji;

c)na potrzeby udostępniania i prezentowania stronom ufającym europejskich portfeli biznesowych danych identyfikacyjnych właścicieli europejskich portfeli biznesowych, elektronicznych poświadczeń atrybutów i selektywnie ujawnionych danych;

d)do celów umożliwienia interakcji z europejskimi portfelami biznesowymi automatycznie bez ręcznej interwencji lub poprzez bezpośrednie działanie użytkownika;

e)na potrzeby bezpiecznej zdalnej rejestracji właściciela europejskiego portfela biznesowego za pośrednictwem upoważnionego przedstawiciela przy użyciu środka identyfikacji elektronicznej tego upoważnionego przedstawiciela, który spełnia wymogi rozporządzenia (UE) nr 910/2014 w odniesieniu do „średniego” lub „wysokiego” poziomu bezpieczeństwa;

f)na potrzeby interakcji między europejskimi portfelami biznesowymi oraz między europejskimi portfelami biznesowymi a europejskimi portfelami tożsamości cyfrowej do celów otrzymywania, walidacji oraz udostępniania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych i elektronicznych poświadczeń atrybutów w bezpieczny sposób;

g)do celów uwierzytelniania stron ufających europejskiego portfela biznesowego poprzez wdrożenie mechanizmów uwierzytelniania, w przypadku gdy wymagane jest uwierzytelnienie;

h)na potrzeby stron ufających europejskich portfeli biznesowych do celów weryfikowania autentyczności i ważności europejskich portfeli biznesowych, w przypadku gdy weryfikacja autentyczności i ważności jest wymagana;

i)do celów świadczenia kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i), w tym interfejs do europejskiego katalogu cyfrowego ustanowionego na podstawie art. 10;

j)do celów przypisania każdemu właścicielowi europejskiego portfela biznesowego, na potrzeby kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i), oraz europejskiego katalogu cyfrowego, o którym mowa w art. 10, co najmniej jednego niepowtarzalnego adresu cyfrowego;

k)do celów dostarczania wszystkim jednostkom europejskiego portfela biznesowego poświadczeń jednostki portfela zawierających klucze publiczne i odpowiadające im klucze prywatne chronione bezpiecznym urządzeniem kryptograficznym portfela;

l)do celów zarządzania aktywami krytycznymi, stosowania co najmniej jednej bezpiecznej aplikacji kryptograficznej portfela i jednego bezpiecznego urządzenia kryptograficznego portfela oraz, w przypadku gdy aktywa krytyczne są związane z przeprowadzaniem identyfikacji elektronicznej na średnim poziomie bezpieczeństwa, do celów zapewnienia, aby takie operacje kryptograficzne lub inne operacje przetwarzania aktywów krytycznych były przeprowadzane zgodnie z wymogami dotyczącymi cech charakterystycznych i konstrukcji środków identyfikacji elektronicznej na średnim poziomie bezpieczeństwa, jak określono w rozporządzeniu wykonawczym Komisji (UE) 2015/1502.

2.Ponadto dostawcy europejskich portfeli biznesowych:

a)zapewniają, aby dane identyfikacyjne właściciela europejskiego portfela biznesowego były cyfrowo powiązane z europejskim portfelem biznesowym właściciela;

b)zapewniają, aby do celów funkcji, o której mowa w art. 5 ust. 1 lit. j):

–przyporządkowanie ról do atrybutów było możliwe do zweryfikowania, skontrolowania, odwołania i zidentyfikowania w celu ich powiązania z uprawnionymi wydawcami,

–konflikty ról, nadmierne delegowanie uprawnień lub wygasłe upoważnienia były automatycznie wykrywane i udaremniane w czasie rzeczywistym,

–cała logika upoważnień była interoperacyjna we wszystkich państwach członkowskich;

c)zapewniają bezpieczeństwo już na etapie projektowania;

d)zapewniają mechanizmy walidacji w celu zagwarantowania możliwości weryfikacji autentyczności i ważności europejskich portfeli biznesowych;

e)zapewniają mechanizm umożliwiający właścicielom europejskich portfeli biznesowych łatwe zwracanie się o wsparcie techniczne oraz zgłaszanie problemów technicznych lub wszelkich innych incydentów mających negatywny wpływ na używanie europejskich portfeli biznesowych;

f)zapewniają, aby europejskie portfele biznesowe mogły zostać unieważnione w następujących przypadkach:

–na wyraźny wniosek właściciela europejskiego portfela biznesowego,

–w przypadku naruszenia bezpieczeństwa europejskiego portfela biznesowego,

–w przypadku trwałego lub tymczasowego zaprzestania działalności przez właściciela europejskiego portfela biznesowego,

–w przypadku gdy dostawca europejskiego portfela biznesowego nie figuruje w wykazie, o którym mowa w art. 12 ust. 5;

g)bez zbędnej zwłoki powiadamiają Komisję o:

–mechanizmie umożliwiającym walidację danych identyfikacyjnych właściciela europejskiego portfela biznesowego,

–mechanizmie walidacji autentyczności i ważności europejskich portfeli biznesowych.

3.Komisja – przy użyciu zabezpieczonego kanału komunikacji – udostępnia publicznie informacje przekazane zgodnie z ust. 2 lit. g) niniejszego artykułu, w postaci pozwalającej na automatyczne przetwarzanie, elektronicznie podpisane lub opatrzone pieczęcią elektroniczną.

4.Dostawcy europejskich portfeli biznesowych wdrażają cechy techniczne przewidziane w ust. 1 i 2 zgodnie z wymogami określonymi w załączniku.

5.Komisja, w drodze aktów wykonawczych, sporządza wykaz norm referencyjnych oraz, w razie potrzeby, ustanawia specyfikacje i procedury dotyczące cech technicznych europejskich portfeli biznesowych przewidzianych w ust. 1, 2 i 3 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

Artykuł 7

Wymogi dotyczące dostawców europejskich portfeli biznesowych i spoczywające na nich obowiązki

1.Europejskie portfele biznesowe są dostarczane przez dostawców europejskich portfeli biznesowych figurujących w wykazie ustanowionym zgodnie z art. 12 ust. 5.

2.Biorąc pod uwagę rolę europejskich portfeli biznesowych w unijnej infrastrukturze cyfrowej, dostawcy europejskich portfeli biznesowych mają siedzibę w Unii, prowadzą główną działalność gospodarczą i główne operacje w Unii oraz nie mogą stanowić zagrożenia dla bezpieczeństwa Unii. W szczególności nie mogą oni podlegać kontroli państwa trzeciego ani podmiotu z państwa trzeciego.

3.Dostawcy europejskich portfeli biznesowych spełniają wymogi określone w art. 19a rozporządzenia (UE) nr 910/2014. Obowiązek ten nie ma zastosowania do dostawców europejskich portfeli biznesowych, którzy są kwalifikowanymi dostawcami usług zaufania.

4.Dostawcy europejskich portfeli biznesowych spełniają wymogi określone w dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.

5.Dostawcy europejskich portfeli biznesowych spełniają mające zastosowanie wymogi w zakresie cyberbezpieczeństwa określone w prawie Unii i prawie krajowym, w tym wymogi dotyczące identyfikacji dostawców wysokiego ryzyka. Dostawcy zapewniają również, aby ich dostawcy oprogramowania i rozwiązań w zakresie bezpieczeństwa spełniali te wymogi i stosowali się do odpowiednich norm i wymogów bezpieczeństwa.

6.Dostawcy europejskich portfeli biznesowych:

a)wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia poufności, integralności, autentyczności, interoperacyjności i dostępności dostarczanych przez nich europejskich portfeli biznesowych dla innych europejskich portfeli biznesowych i europejskich portfeli tożsamości cyfrowej;

b)zapewniają, aby właściciele europejskich portfeli biznesowych byli informowani w jasny, przyjazny dla użytkownika, zwięzły i przystępny sposób o warunkach korzystania z europejskiego portfela biznesowego, w tym o zakresie i ograniczeniach podstawowych i dodatkowych funkcji, normach cyberbezpieczeństwa oraz prawach właściciela europejskiego portfela biznesowego w odniesieniu do przenoszenia danych, dochodzenia roszczeń i zakończenia świadczenia usług;

c)zapewniają, aby upoważnieni przedstawiciele właścicieli europejskich portfeli biznesowych byli informowani w jasny, przyjazny dla użytkownika, zwięzły i przystępny sposób o ich prawach i obowiązkach w odniesieniu do ich jednostki europejskiego portfela biznesowego, w szczególności o prawie do żądania unieważnienia ich poświadczenia jednostki portfela, z wykorzystaniem mechanizmu uwierzytelniania przewidzianego w pkt 1 załącznika;

d)współpracują z właściwymi organami nadzoru, o których mowa w art. 13 ust. 1, lub z Komisją w przypadkach, o których mowa w art. 13 ust. 10 i art. 14 ust. 1, oraz bez zbędnej zwłoki odpowiadają na wszelkie wnioski o udzielenie informacji lub dostarczenie dokumentacji niezbędnej do weryfikacji zgodności z niniejszym rozporządzeniem;

e)powiadamiają odpowiednie krajowe organy nadzoru lub Komisję w przypadkach, o których mowa w art. 14 ust. 1, o wszelkich istotnych zmianach w ich usługach lub ogólnej strukturze, które mogą mieć wpływ na przestrzeganie przez dostawcę niniejszego rozporządzenia;

f)powiadamiają właścicieli europejskich portfeli biznesowych w przypadku zawieszenia, unieważnienia lub dobrowolnego zakończenia świadczenia usług przez dostawców europejskich portfeli biznesowych oraz usunięcia dostawcy europejskich portfeli biznesowych z wykazu ustanowionego zgodnie z art. 12 ust. 5, a także zapewniają przeniesienie lub usunięcie danych właścicieli europejskich portfeli biznesowych zgodnie z instrukcjami właścicieli europejskich portfeli biznesowych, w tym danych identyfikacyjnych właścicieli europejskich portfeli biznesowych;

g)zapewniają, aby informacje dotyczące właścicieli europejskich portfeli biznesowych, zgodnie z art. 10 ust. 2, były przekazywane Komisji oraz aby informacje pierwotnie przedłożone Komisji były aktualizowane i potwierdzane za pośrednictwem dostawców danych identyfikacyjnych właścicieli europejskich portfeli biznesowych wydających niepowtarzalne identyfikatory, o których mowa w art. 8 ust. 5 lit. b).

Artykuł 8

Dane identyfikacyjne właściciela europejskiego portfela biznesowego

1.Dostawcy danych identyfikacyjnych właścicieli europejskich portfeli biznesowych wydają dane identyfikacyjne właścicieli europejskich portfeli biznesowych europejskim portfelom biznesowym należącym do właścicieli europejskich portfeli biznesowych. W przypadku gdy właścicielami europejskich portfeli biznesowych są podmioty unijne, dane identyfikacyjne właścicieli europejskich portfeli biznesowych europejskim portfelom biznesowym tych podmiotów unijnych wydaje Komisja.

2.Państwa członkowskie zgłaszają Komisji odpowiednie źródła autentyczne służące do weryfikacji atrybutów wymaganych do wydania danych identyfikacyjnych właściciela europejskiego portfela biznesowego. Na podstawie informacji otrzymanych zgodnie z niniejszym ustępem Komisja udostępnia na swojej stronie internetowej, w formacie nadającym się do odczytu maszynowego, wykaz zgłoszonych odpowiednich źródeł autentycznych.

3.Dane identyfikacyjne właściciela europejskiego portfela biznesowego wydaje się w formacie zgodnym z jedną z norm wymienionych w załączniku II do rozporządzenia wykonawczego Komisji (UE) 2024/2979 oraz jako:

a)kwalifikowane elektroniczne poświadczenia atrybutów, jeżeli dostarczają je kwalifikowani dostawcy usług zaufania;

b)elektroniczne poświadczenia atrybutów wydane przez organ sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu, jeżeli dostarcza je taki organ sektora publicznego;

c)elektroniczne poświadczenia atrybutów, jeżeli dostarcza je Komisja.

4.Dane identyfikacyjne właściciela europejskiego portfela biznesowego wydane przez Komisję mają taki sam skutek prawny jak kwalifikowane elektroniczne poświadczenia atrybutów i poświadczenia atrybutów wydane przez organ sektora publicznego odpowiedzialny za źródło autentyczne lub w jego imieniu.

5.Dane identyfikacyjne właściciela europejskiego portfela biznesowego zawierają co najmniej następujące atrybuty:

a)oficjalną nazwę podmiotu gospodarczego lub organu sektora publicznego, zgodnie z wpisem w odpowiednim rejestrze lub dokumencie urzędowym;

b)odpowiedni niepowtarzalny identyfikator nadany zgodnie z art. 9. 

6.Komisja ustanawia i utrzymuje system poświadczania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych. System ten jest wymieniony w katalogu schematów poświadczania atrybutów, o którym mowa w art. 8 rozporządzenia wykonawczego (UE) 2025/1569.

7.Komisja może, w drodze aktów wykonawczych, określić wymogi dotyczące danych identyfikacyjnych właścicieli europejskich portfeli biznesowych wydanych na podstawie niniejszego artykułu, w tym procedury powiadamiania Komisji przez państwa członkowskie o odpowiednich źródłach autentycznych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

Artykuł 9

Niepowtarzalne identyfikatory

1.W przypadku gdy podmiotowi gospodarczemu nadano niepowtarzalny identyfikator europejski, identyfikator ten stosuje się jako niepowtarzalny identyfikator, o którym mowa w art. 8 ust. 4 lit. b) niniejszego rozporządzenia.

2.W przypadku gdy podmiotowi gospodarczemu lub organowi sektora publicznego nie nadano niepowtarzalnego identyfikatora europejskiego, tworzy się niepowtarzalny identyfikator zgodnie z aktem wykonawczym, o którym mowa w ust. 4.

3.W przypadku gdy organ sektora publicznego jest podmiotem unijnym, niepowtarzalny identyfikator tworzy i nadaje temu podmiotowi unijnemu Komisja zgodnie z ust. 4 niniejszego artykułu.

4.Komisja w drodze aktów wykonawczych ustanawia specyfikacje, wymogi i procedury dotyczące niepowtarzalnego identyfikatora, o którym mowa w ust. 2 niniejszego artykułu, w tym środki służące zagwarantowaniu, aby właścicielom europejskich portfeli biznesowych nie nadano więcej niż jednego niepowtarzalnego identyfikatora. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

Artykuł 10

Europejski katalog cyfrowy

1.Komisja ustanawia, prowadzi i utrzymuje europejski katalog cyfrowy, który pełni funkcję zaufanego źródła informacji dla właścicieli europejskich portfeli biznesowych i ma postać aplikacji internetowej składającej się z dwóch interfejsów:

a)interfejsu nadającego się do odczytu maszynowego udostępnianego za pośrednictwem API na potrzeby zautomatyzowanej komunikacji między systemami;

b)bezpiecznej platformy internetowej, która zapewnia dostęp do uwierzytelnionych i upoważnionych użytkowników oraz stanowi internetowy portal systemowy dla użytkowników europejskiego portfela biznesowego.

2.Do celów prowadzenia europejskiego katalogu cyfrowego dostawcy europejskich portfeli biznesowych, po udostępnieniu europejskiego portfela biznesowego, przekazują Komisji kategorie informacji określone w aktach wykonawczych, o których mowa w ust. 6.

3.Komisja zapewnia, aby w europejskim katalogu cyfrowym były umieszczane odpowiednie informacje.

4.Komisja udostępnia europejski katalog cyfrowy wyłącznie właścicielom europejskich portfeli biznesowych oraz ich upoważnionym przedstawicielom i dostawcom europejskich portfeli biznesowych.

5.Do celów prowadzenia europejskiego katalogu cyfrowego dostawcy europejskiego portfela biznesowego bezpośrednio informują Komisję o wszelkich zmianach lub unieważnieniach informacji, o których mowa w ust. 2, bez zbędnej zwłoki, a w każdym razie w ciągu jednego dnia roboczego.

6.Komisja ustanawia, w drodze aktów wykonawczych, normy i specyfikacje techniczne dotyczące niepowtarzalnych adresów cyfrowych i kategorii informacji, które należy przekazywać Komisji do celów europejskiego katalogu cyfrowego. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

Artykuł 11

Zgłaszanie dostawców europejskich portfeli biznesowych

1.Podmioty, które zamierzają dostarczać europejskie portfele biznesowe, zgłaszają ten zamiar właściwemu organowi nadzoru wraz z informacjami wymienionymi w ust. 2.

2.Zgłoszenie, o którym mowa w ust. 1, zawiera następujące informacje:

a)nazwę prawną podmiotu, wszelkie używane nazwy handlowe, adres strony internetowej, adres e-mail do kontaktu, numer telefonu i adres fizyczny;

b)numer podmiotu w rejestrze nadawany przez rejestr krajowy, jeżeli jest dostępny;

c)opis sposobu, w jaki europejskie portfele biznesowe, które podmiot zamierza dostarczać, oferują podstawowe funkcje określone w art. 5 ust. 1;

d)opis wszelkich dodatkowych funkcji obsługiwanych przez europejskie portfele biznesowe, które podmiot zamierza dostarczać;

e)deklarację zgodności z wymogami niniejszego rozporządzenia.

3.Kwalifikowani dostawcy usług zaufania nie podlegają procedurze przeglądu i weryfikacji określonej w ust. 4–6. Po przedłożeniu informacji wymienionych w ust. 2 właściwy organ nadzoru informuje o tym Komisję w terminie dwóch dni roboczych w celu dodania takiego dostawcy do wykazu, o którym mowa w art. 12 ust. 5, i dostawca ten może niezwłocznie oferować europejskie portfele biznesowe.

4.Po otrzymaniu zgłoszenia organ nadzoru ma 30 dni na zapoznanie się z przekazanymi informacjami.

Jeżeli w wyniku tego przeglądu organ nadzoru stwierdzi, że informacje są kompletne, i okazuje się, że opis, o którym mowa w ust. 2 lit. c), odpowiada wymogom określonym w art. 5 ust. 1, informuje o tym Komisję w terminie dwóch dni roboczych w celu dodania tego dostawcy do wykazu, o którym mowa w art. 12 ust. 5.

5.Jeżeli w wyniku tego przeglądu organ nadzoru stwierdzi, że informacje nie są kompletne lub okazuje się, że opis, o którym mowa w ust. 2 lit. c), nie odpowiada wymogom określonym w art. 5 ust. 1, zwraca się do podmiotu dokonującego zgłoszenia o dodatkowe informacje lub wyjaśnienia i wyznacza rozsądny termin na udzielenie odpowiedzi, nieprzekraczający 15 dni kalendarzowych. Jeżeli te informacje lub wyjaśnienia umożliwiają organowi nadzoru stwierdzenie, że informacje są kompletne, i okazuje się, że opis, o którym mowa w ust. 2 lit. c), odpowiada wymogom określonym w art. 5 ust. 1, organ ten informuje o tym Komisję w terminie dwóch dni roboczych w celu dodania tego dostawcy do wykazu, o którym mowa w art. 12 ust. 5. W przeciwnym razie lub w przypadku braku odpowiedzi organ nadzoru informuje podmiot dokonujący zgłoszenia, że nie zostanie on dodany do wykazu, o którym mowa w art. 12 ust. 5.

6.Jeżeli organ nadzoru nie udzielił podmiotowi dokonującemu zgłoszenia merytorycznej odpowiedzi w sprawie wyniku przeglądu, o którym mowa w ust. 4, w terminie 30 dni kalendarzowych od otrzymania zgłoszenia, informacje uznaje się za kompletne, a opis, o którym mowa w ust. 2 lit. c), uznaje się za spełniający wymogi określone w art. 5 ust. 1, a organ nadzoru informuje o tym Komisję w terminie dwóch dni roboczych w celu dodania tego dostawcy do wykazu, o którym mowa w art. 12 ust. 5.

7.Państwa członkowskie zapewniają, aby podmioty dokonujące zgłoszenia miały prawo do skutecznego środka ochrony prawnej przed sądem przeciwko decyzji organu nadzoru, bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej, w przypadkach gdy organ nadzoru odmawia wpisania ich do wykazu dostawców europejskich portfeli biznesowych lub nie podejmuje decyzji w rozsądnym terminie.

Artykuł 12

Wykaz zgłoszonych dostawców europejskich portfeli biznesowych

1.Organy nadzoru informują Komisję o wszelkich zmianach informacji przekazanych zgodnie z art. 11 w ciągu 24 godzin od uzyskania informacji o takich zmianach.

2.Przekazywane przez organy nadzoru informacje, o których mowa w art. 11 i art. 12 ust. 1, obejmują:

a)cel przekazania informacji, którym może być:

–rejestracja zgłoszonego dostawcy europejskich portfeli biznesowych, który wcześniej nie figurował w wykazie, o którym mowa w ust. 5,

–zmiana uprzednio przekazanych informacji dotyczących dostawców europejskich portfeli biznesowych figurujących obecnie w wykazie, o którym mowa w ust. 5,

–wniosek o usunięcie dostawcy europejskich portfeli biznesowych z wykazu, o którym mowa w ust. 5;

b)nazwę i, w stosownych przypadkach, nazwę handlową dostawcy europejskich portfeli biznesowych;

c)państwo członkowskie będące głównym miejscem prowadzenia działalności dostawcy europejskich portfeli biznesowych;

d)nazwę właściwego organu nadzoru;

e)wskazanie, czy dostawca europejskich portfeli biznesowych jest kwalifikowanym dostawcą usług zaufania.

3.Na podstawie informacji otrzymanych zgodnie z niniejszym artykułem Komisja sporządza i prowadzi na swojej stronie internetowej, w formacie nadającym się do odczytu maszynowego, wykaz dostawców europejskich portfeli biznesowych.

Artykuł 13

Zarządzanie i nadzór

1.W każdym państwie członkowskim organy nadzoru wyznaczone na podstawie art. 46a rozporządzenia (UE) nr 910/2014 są również organami nadzoru do celów niniejszego rozporządzenia.

2.Te organy nadzoru są odpowiedzialne za zadania nadzorcze w odniesieniu do dostawców europejskich portfeli biznesowych, których główne miejsce prowadzenia działalności znajduje się w danym państwie członkowskim.

3.Państwa członkowskie zapewniają, aby organy nadzoru, o których mowa w ust. 1, posiadały niezbędne uprawnienia i odpowiednie zasoby do wykonywania swoich zadań w sposób skuteczny, efektywny i niezależny.

4.Rolą krajowych organów nadzoru, o których mowa w ust. 1, jest:

a)monitorowanie zgodności z wymogami określonymi w niniejszym rozporządzeniu i podejmowanie w razie potrzeby działań w odniesieniu do dostawców europejskich portfeli biznesowych poprzez działania nadzorcze ex post;

b)pełnienie funkcji głównego biura łącznikowego dla dostawców danych identyfikacyjnych właścicieli europejskich portfeli biznesowych, w razie potrzeby ułatwiającego dostęp do informacji od właściwych organów krajowych i rejestrów na potrzeby wydawania danych identyfikacyjnych właścicieli europejskich portfeli biznesowych i niepowtarzalnych identyfikatorów.

5.Zadania organów nadzoru, o których mowa w ust. 1, obejmują:

a)przegląd i ocenę zgłoszeń przedłożonych zgodnie z art. 11;

b)badanie uzasadnionych skarg, w szczególności skarg właścicieli europejskich portfeli biznesowych, dotyczących nieprzestrzegania przez dostawcę europejskich portfeli biznesowych któregokolwiek z obowiązków wynikających z niniejszego rozporządzenia, oraz podejmowanie działań w razie potrzeby;

c)sprawdzanie istnienia i prawidłowego stosowania planów zakończenia działalności w przypadkach, gdy dostawca europejskich portfeli biznesowych zaprzestaje działalności, w tym sposobu, w jaki zapewnia się dalszą dostępność informacji;

d)zapewnianie, aby dostawcy europejskich portfeli biznesowych eliminowali wszelkie przypadki niespełnienia wymogów określonych w niniejszym rozporządzeniu;

e)nakładanie kar zgodnie z ust. 6–9;

f)informowanie odpowiednich właściwych organów wyznaczonych lub ustanowionych w danym państwie członkowskim zgodnie z art. 8 ust. 1 dyrektywy (UE) 2022/2555 o wszelkich poważnych naruszeniach bezpieczeństwa lub utracie integralności, o których organ nadzoru dowiedział się w trakcie wykonywania swoich zadań oraz – w przypadku gdy poważne naruszenie bezpieczeństwa lub utrata integralności dotyczą innych państw członkowskich – informowanie pojedynczego punktu kontaktowego wyznaczonego lub ustanowionego w danym państwie członkowskim zgodnie z art. 8 ust. 3 dyrektywy (UE) 2022/2555 oraz pojedynczych punktów kontaktowych wyznaczonych w innych państwach członkowskich zgodnie z art. 46c ust. 1 rozporządzenia (UE) nr 910/2014, a także informowanie opinii publicznej lub zobowiązanie do tego dostawcy europejskich portfeli biznesowych, w przypadku gdy organ nadzoru stwierdzi, że ujawnienie naruszenia bezpieczeństwa lub utraty integralności leży w interesie publicznym;

g)współpracę z organami nadzoru ustanowionymi zgodnie z art. 51 rozporządzenia (UE) 2016/679, w szczególności poprzez informowanie ich, bez zbędnej zwłoki, w przypadku podejrzenia naruszenia przepisów dotyczących ochrony danych osobowych, a także informowanie ich o naruszeniach bezpieczeństwa, które przypuszczalnie stanowią naruszenie ochrony danych osobowych;

h)współpracę, w stosownych przypadkach, z innymi krajowymi organami nadzoru;

i)ustanowienie i zapewnienie jasnej promocji mechanizmu rozpatrywania skarg, za pomocą którego dostawcy europejskich portfeli biznesowych mogą składać skargi zgodnie z art. 11 ust. 7;

j)przedkładanie Komisji sprawozdań dotyczących swoich głównych działań;

k)unieważnienie wpisu dostawcy europejskich portfeli biznesowych w wykazie ustanowionym zgodnie z art. 12 ust. 5, jeżeli organ nadzoru stwierdzi, że dostawca ten nie spełnia już wymogów określonych w niniejszym rozporządzeniu lub że dostawca ten nie wywiązuje się z obowiązków nałożonych niniejszym rozporządzeniem;

l)współpracę z organami nadzoru wyznaczonymi przez państwa członkowskie na podstawie art. 46b rozporządzenia (UE) nr 910/2014, w szczególności w celu zapewnienia, aby podmiotom gospodarczym mającym siedzibę poza Unią wydano tylko jeden zestaw danych identyfikacyjnych właściciela europejskiego portfela biznesowego i niepowtarzalny identyfikator europejskiego portfela biznesowego.

6.Państwa członkowskie ustanawiają przepisy umożliwiające organowi nadzoru, o którym mowa w ust. 1 niniejszego artykułu, nakładanie kar mających zastosowanie w przypadku naruszeń przepisów niniejszego rozporządzenia i wprowadzają wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Kary te muszą być skuteczne, proporcjonalne i odstraszające. Przepisy te nie mają wpływu na art. 31 dyrektywy (UE) 2022/2555 i art. 83 rozporządzenia (UE) 2016/679.

7.Do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 12 miesięcy po wejściu w życie niniejszego rozporządzenia] r. państwa członkowskie powiadamiają Komisję o przepisach ustanowionych przez państwa członkowskie zgodnie z ust. 6 oraz niezwłocznie powiadamiają Komisję o wszelkich późniejszych zmianach tych przepisów. Komisja prowadzi i regularnie aktualizuje łatwo dostępny publiczny rejestr tych przepisów.

8.Państwa członkowskie uwzględniają następujące niewyczerpujące i orientacyjne kryteria nakładania kar zgodnie z ust. 6: 

a)charakter, wagę, skalę i czas trwania naruszenia;

b)wszelkie działania podjęte przez stronę naruszającą w celu złagodzenia skutków lub naprawienia szkody spowodowanej naruszeniem;

c)wszelkie wcześniejsze naruszenia dokonane przez stronę naruszającą;

d)korzyści finansowe uzyskane lub straty uniknięte przez stronę naruszającą w wyniku naruszenia, o ile takie korzyści lub straty można wiarygodnie ustalić;

e)inne czynniki obciążające lub łagodzące mające zastosowanie w okolicznościach danej sprawy;

f)całkowity roczny obrót strony naruszającej w Unii w poprzednim roku obrotowym.

Państwa członkowskie zapewniają, aby naruszenia niniejszego rozporządzenia popełnione przez dostawców europejskich portfeli biznesowych podlegały administracyjnym karom pieniężnym w wysokości maksymalnie 2 % całkowitego rocznego obrotu na całym świecie w poprzednim roku obrotowym.

9.W przypadku gdy system prawny państwa członkowskiego nie przewiduje nakładania administracyjnych kar pieniężnych przez organy administracyjne, kary pieniężne, o których zastosowanie wnosi organ nadzoru, i które nakładają właściwe sądy krajowe, które to kary mają skutek równoważny administracyjnym karom pieniężnym nakładanym przez organy nadzoru, uznaje się za spełniające wymogi określone w ust. 6. W każdym przypadku nakładane kary pieniężne muszą być skuteczne, proporcjonalne i odstraszające. Dane państwo członkowskie powiadamia Komisję o przepisach prawa przyjętych na podstawie niniejszego ustępu do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 12 miesięcy po wejściu w życie niniejszego rozporządzenia] r. oraz niezwłocznie o wszelkich późniejszych aktach zmieniających lub zmianach mających wpływ na te przepisy.

10.W okolicznościach, które uzasadniają niezwłoczną interwencję w celu utrzymania prawidłowego funkcjonowania rynku wewnętrznego, i jeżeli Komisja ma wystarczający powód, by sądzić, że europejskie portfele biznesowe dostarczane przez dostawcę nie spełniają wymogów określonych w niniejszym rozporządzeniu, a właściwy organ nadzoru nie zastosował żadnych skutecznych środków, Komisja przeprowadza ocenę zgodności. Komisja informuje o tym odpowiednie organy, a dostawca w razie potrzeby współpracuje.

11.Na podstawie tej oceny Komisja może zdecydować, że konieczne jest zastosowanie środków naprawczych lub ograniczających, a po konsultacji z zainteresowanymi państwami członkowskimi i dostawcą Komisja może określić odpowiedni sposób postępowania. Komisja uwzględnia charakter i wagę niezgodności, a także potencjalny wpływ na rynek wewnętrzny i prawa podmiotów gospodarczych.

12.Na podstawie konsultacji Komisja może przyjąć akty wykonawcze w celu ustanowienia środków naprawczych lub ograniczających, w tym tymczasowego zawieszenia dostawcy w wykazie zgłoszonych dostawców lub zobowiązania dostawcy do podjęcia konkretnych działań w celu zapewnienia zgodności europejskich portfeli biznesowych z rozporządzeniem. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą.

13.Komisja niezwłocznie przekazuje te akty wykonawcze dostawcy, a państwa członkowskie niezwłocznie wdrażają te akty wykonawcze i odpowiednio informują o tym Komisję. Środki te mają zastosowanie przez okres trwania wyjątkowej sytuacji, która uzasadniała interwencję Komisji, pod warunkiem że nie zapewniono zgodności odnośnych europejskich portfeli biznesowych z niniejszym rozporządzeniem.

Artykuł 14

Grupa Współpracy na rzecz Europejskiej Tożsamości Cyfrowej

Grupa Współpracy na rzecz Europejskiej Tożsamości Cyfrowej ustanowiona na podstawie art. 46e rozporządzenia (UE) nr 910/2014 jest odpowiedzialna za ułatwianie współpracy i wymiany informacji między państwami członkowskimi i Komisją w kwestiach związanych z europejskimi portfelami biznesowymi. Obejmuje to wymianę najlepszych praktyk, omawianie kwestii technicznych i operacyjnych oraz koordynację wysiłków na rzecz zapewnienia właściwego wdrożenia i funkcjonowania europejskich portfeli biznesowych.

Artykuł 15

Zarządzanie podmiotami unijnymi będącymi dostawcami europejskich portfeli biznesowych i sprawowanie nad nimi nadzoru

1.W przypadku gdy dostawcą europejskich portfeli biznesowych jest podmiot unijny, organem nadzoru jest Komisja.

2.Rolą Komisji działającej jako organ nadzoru zgodnie z ust. 1 jest monitorowanie zgodności z wymogami określonymi w niniejszym rozporządzeniu i podejmowanie w razie potrzeby działań w odniesieniu do dostawców europejskich portfeli biznesowych poprzez działania nadzorcze ex post.

3.Działając jako organ nadzoru zgodnie z ust. 1, Komisja wykonuje zadania, o których mowa w art. 13 ust. 5 lit. a), b), c), d), h) i k).

Komisja przygotowuje sprawozdanie ze swoich głównych działań w tym zakresie.

Rozdział III – Akceptacja europejskich portfeli biznesowych

Artykuł 16

Obowiązki organów sektora publicznego

4.Do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 24 miesiące po wejściu w życie niniejszego rozporządzenia] r. organy sektora publicznego umożliwiają podmiotom gospodarczym podejmowanie następujących działań z wykorzystaniem podstawowych funkcji europejskich portfeli biznesowych określonych w art. 5 ust. 1:

a)identyfikacja i uwierzytelnianie;

b)składanie podpisu lub opatrywanie pieczęcią;

c)przedkładanie dokumentów;

d)wysyłanie lub odbieranie powiadomień.

Działania wymienione w akapicie pierwszym lit. a)–d) mają na celu wypełnienie obowiązku sprawozdawczego lub przeprowadzenie procedury administracyjnej.

5.Do celów ust. 1 lit. c) i d) organy sektora publicznego posiadają europejskie portfele biznesowe, w tym kwalifikowaną usługę rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i).

6.Na zasadzie odstępstwa od ust. 2 i do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 36 miesięcy po wejściu w życie niniejszego rozporządzenia] r. organy sektora publicznego mogą zdecydować, że nie będą oferować kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i), a zamiast tego będą obsługiwać inne istniejące rozwiązania alternatywne, które umożliwiają podmiotom gospodarczym podejmowanie działań wymienionych w ust. 1 lit. c) i d), pod warunkiem że rozwiązania te:

a)spełniają wymogi mające zastosowanie do kwalifikowanych usług rejestrowanego doręczenia elektronicznego określone w rozporządzeniu (UE) nr 910/2014;

b)oferują portal umożliwiający właścicielom europejskich portfeli biznesowych przedkładanie dokumentów oraz wysyłanie i otrzymywanie powiadomień z wykorzystaniem kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i).

Po upływie okresu odstępstwa określonego w niniejszym ustępie organy sektora publicznego mogą nadal obsługiwać rozwiązania alternatywne, o których mowa w tym ustępie, ale zgodnie z ust. 2 posiadają europejskie portfele biznesowe, w tym kwalifikowaną usługę rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i).

Rozdział IV – Aspekty międzynarodowe

Artykuł 17

Portfele biznesowe oraz inne podobne instrumenty i ramy oferowane w państwach trzecich

1.Komisja może przyjmować akty wykonawcze stanowiące, że portfele biznesowe lub systemy oferujące podobne funkcje, wydane przez dostawców mających siedzibę w państwach trzecich, należy uznawać za oferujące zabezpieczenia równoważne zabezpieczeniom europejskich portfeli biznesowych wydawanych zgodnie z niniejszym rozporządzeniem, pod warunkiem że takie portfele biznesowe lub systemy są interoperacyjne z ramami zaufania określonymi w rozporządzeniu (UE) nr 910/2014 i umożliwiają obsługę co najmniej funkcji identyfikacji i uwierzytelniania oraz wymianę elektronicznych poświadczeń atrybutów. Takie akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

2.Komisja może przyjmować akty wykonawcze stanowiące, że ramy państw trzecich dotyczące systemów oferujących funkcje podobne do europejskich portfeli biznesowych należy uznawać za oferujące zabezpieczenia równoważne zabezpieczeniom europejskich portfeli biznesowych wydanych zgodnie z niniejszym rozporządzeniem, pod warunkiem że systemy udostępnione na podstawie tych ram są interoperacyjne z ramami zaufania określonymi w rozporządzeniu (UE) nr 910/2014 i umożliwiają obsługę co najmniej funkcji identyfikacji i uwierzytelniania oraz wymianę elektronicznych poświadczeń atrybutów. Takie akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 19.

3.Przed przyjęciem aktów wykonawczych, o których mowa w ust. 1 i 2, Komisja ocenia, czy zabezpieczenia można uznać za równoważne z wymogami niniejszego rozporządzenia.

4.Jeżeli z dostępnych informacji wynika, że zabezpieczeń tych nie można już uznać za równoważne z wymogami niniejszego rozporządzenia, Komisja w niezbędnym zakresie uchyla, zmienia lub zawiesza akt, o którym mowa w ust. 1 i 2, w drodze aktu wykonawczego.

5.Komisja publikuje na swojej stronie internetowej wykaz ram, portfeli biznesowych lub systemów oferujących podobne funkcje, wydanych przez dostawców mających siedzibę w państwach trzecich, w odniesieniu do których Komisja przyjęła akt wykonawczy na podstawie niniejszego artykułu.

Artykuł 18

Wydawanie europejskich portfeli biznesowych podmiotom gospodarczym mającym siedzibę poza Unią

1.Dostawcy europejskich portfeli biznesowych mogą udostępniać europejskie portfele biznesowe podmiotom gospodarczym mającym siedzibę w państwie trzecim, pod warunkiem że takim podmiotom gospodarczym wydano dane identyfikacyjne właściciela europejskiego portfela biznesowego oraz niepowtarzalny identyfikator zgodnie z niniejszym artykułem.

2.Do celów niniejszego artykułu podmioty gospodarcze zwracają się tylko o jeden zestaw danych identyfikacyjnych właściciela europejskiego portfela biznesowego do jednego dostawcy danych identyfikacyjnych właściciela europejskiego portfela biznesowego.

3.W przypadku gdy podmiot gospodarczy mający siedzibę poza Unią zwraca się z wnioskiem o europejski portfel biznesowy, dostawca europejskich portfeli biznesowych powiadamia o tym wniosku organ nadzoru państwa członkowskiego, w którym dostawca jest zgłoszony.

4.Dostawcy europejskich portfeli biznesowych zwracają się o dane identyfikacyjne właściciela europejskiego portfela biznesowego do dostawcy danych identyfikacyjnych właściciela europejskiego portfela biznesowego w imieniu podmiotu gospodarczego mającego siedzibę w państwie trzecim.

5.Dostawcy danych identyfikacyjnych właściciela europejskiego portfela biznesowego mogą wydawać dane identyfikacyjne właścicieli europejskich portfeli biznesowych i niepowtarzalne identyfikatory zgodnie z art. 8 i 9 podmiotom gospodarczym mającym siedzibę poza Unią, pod warunkiem że:

a)potwierdzanie i weryfikacja tożsamości tych podmiotów gospodarczych odbywa się przy użyciu jednej z metod weryfikacji tożsamości określonych w art. 24 ust. 1a rozporządzenia (UE) nr 910/2014 lub, w razie potrzeby, ich kombinacji;

b)podmiotowi gospodarczemu nie wydano innego zestawu danych identyfikacyjnych właściciela europejskiego portfela biznesowego.

6.Państwa członkowskie współpracują w celu zapewnienia, aby dostawcy danych identyfikacyjnych właściciela europejskiego portfela biznesowego mogli zweryfikować, czy podmiotowi gospodarczemu mającemu siedzibę poza Unią nie wydano jeszcze danych identyfikacyjnych właściciela europejskiego portfela biznesowego.

Rozdział V – Przepisy końcowe

Artykuł 19

Procedura komitetowa

Komisję wspomaga komitet ustanowiony na mocy art. 48 rozporządzenia (UE) 910/2014. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

Artykuł 20

Zmiana rozporządzenia (UE) nr 910/2014

W art. 5a rozporządzenia (UE) nr 910/2014 wprowadza się następujące zmiany:

1) ust. 1 otrzymuje brzmienie:

„1. W celu zapewnienia wszystkim osobom fizycznym w Unii bezpiecznego, zaufanego i niezakłóconego transgranicznego dostępu do usług publicznych i prywatnych, przy jednoczesnym zachowaniu pełnej kontroli nad ich danymi, każde państwo członkowskie zapewnia co najmniej jeden europejski portfel tożsamości cyfrowej w terminie 24 miesięcy od dnia wejścia w życie aktów wykonawczych, o których mowa w ust. 23 niniejszego artykułu i w art. 5c ust. 6.”;

2) ust. 5 lit. f) otrzymuje brzmienie:

„f) muszą zapewniać, aby dane identyfikujące osobę, które są dostępne w systemie identyfikacji elektronicznej, w ramach którego zapewniany jest europejski portfel tożsamości cyfrowej, niepowtarzalnie reprezentowały osobę fizyczną lub osobę fizyczną reprezentującą osobę fizyczną lub prawną, oraz były powiązane z tym europejskim portfelem tożsamości cyfrowej;”;

3) ust. 9 lit. c) otrzymuje brzmienie:

„c) po śmierci użytkownika.”;

4) ust. 15 otrzymuje brzmienie:

„15. Używanie europejskich portfeli tożsamości cyfrowej musi być dobrowolne. Osobom fizycznym, które nie korzystają z europejskich portfeli tożsamości cyfrowej, nie można w żaden sposób ograniczać ani utrudniać dostępu do usług publicznych i prywatnych, dostępu do rynku pracy i swobody prowadzenia działalności gospodarczej. Nadal musi być możliwy dostęp do usług publicznych i prywatnych za pomocą innych istniejących środków identyfikacji i uwierzytelniania.”.

Artykuł 21

Ocena i przegląd

7.Komisja dokonuje przeglądu stosowania niniejszego rozporządzenia i do dnia [Urząd Publikacji: proszę wstawić datę przypadającą 3 lata po wejściu w życie] r. przedkłada sprawozdanie Parlamentowi Europejskiemu i Radzie. W sprawozdaniu ocenia się skuteczność przepisów niniejszego rozporządzenia w odniesieniu do ułatwiania składania dokumentów elektronicznych i poświadczeń elektronicznych organom sektora publicznego dzięki wykorzystaniu europejskich portfeli biznesowych, a także zmiany technologiczne, rynkowe i prawne. W sprawozdaniu ocenia się również, czy konieczna jest zmiana zakresu niniejszego rozporządzenia lub jego przepisów szczegółowych w celu ustanowienia obowiązku korzystania z europejskich portfeli biznesowych, aby przeciwdziałać ryzyku fragmentacji prawa.

8.Sprawozdanie, o którym mowa w ust. 1, obejmuje następujące aspekty:

a)minimalne podstawowe funkcje europejskich portfeli biznesowych;

b)poziom zgodności dostawców europejskich portfeli biznesowych oraz procedura i kryteria zgłaszania ustanowione w art. 11;

c)stosowanie i funkcjonowanie przepisów dotyczących kar ustanowionych przez państwa członkowskie zgodnie z art. 13;

d)szczegółowe wymagania i specyfikacje techniczne dotyczące kwalifikowanej usługi rejestrowanego doręczenia elektronicznego, o której mowa w art. 5 ust. 1 lit. i).

Najpóźniej na rok przed terminem przedłożenia sprawozdania, o którym mowa w ust. 1, państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania sprawozdań.

Artykuł 22

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia [Urząd Publikacji: proszę wstawić datę przypadającą 1 rok po wejściu w życie] r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia r.

OCENA SKUTKÓW FINANSOWYCH I CYFROWYCH REGULACJI

1.STRUKTURA WNIOSKU/INICJATYWY3

1.1.Tytuł wniosku/inicjatywy3

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa3

1.3.Cel(e)3

1.3.1.Cel(e) ogólny(-e)3

1.3.2.Cel(e) szczegółowy(-e)3

1.3.3.Oczekiwane wyniki i wpływ3

1.3.4.Wskaźniki dotyczące realizacji celów3

1.4.Wniosek/inicjatywa dotyczy:4

1.5.Uzasadnienie wniosku/inicjatywy4

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy4

1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tej sekcji „wartość dodaną z tytułu zaangażowania Unii Europejskiej” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.4

1.5.3.Główne wnioski wyciągnięte z podobnych działań4

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami5

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym możliwości przegrupowania środków5

1.6.Czas trwania wniosku/inicjatywy i jego/jej wpływu finansowego6

1.7.Planowane metody wykonania budżetu6

2.ŚRODKI ZARZĄDZANIA8

2.1.Zasady nadzoru i sprawozdawczości8

2.2.System zarządzania i kontroli8

2.2.1.Uzasadnienie dla proponowanych metod wykonania budżetu, mechanizmów finansowania wykonania, sposobów dokonywania płatności i strategii kontroli8

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia8

2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu)8

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom9

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY10

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ10

3.2.Szacunkowy wpływ finansowy wniosku na środki12

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne12

3.2.1.1.Środki z uchwalonego budżetu12

3.2.1.2.Środki z zewnętrznych dochodów przeznaczonych na określony cel17

3.2.2.Szacowany produkt finansowany ze środków operacyjnych22

3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne24

3.2.3.1. Środki z uchwalonego budżetu24

3.2.3.2.Środki z zewnętrznych dochodów przeznaczonych na określony cel24

3.2.3.3.Ogółem środki24

3.2.4.Szacowane zapotrzebowanie na zasoby ludzkie25

3.2.4.1.Finansowane z uchwalonego budżetu25

3.2.4.2.Finansowane z zewnętrznych dochodów przeznaczonych na określony cel26

3.2.4.3.Zapotrzebowanie na zasoby ludzkie ogółem26

3.2.5.Przegląd szacowanego wpływu na inwestycje związane z technologiami cyfrowymi28

3.2.6.Zgodność z obowiązującymi wieloletnimi ramami finansowymi28

3.2.7.Udział osób trzecich w finansowaniu28

3.3.Szacunkowy wpływ na dochody29

4.Wymiar cyfrowy29

4.1.Wymogi cyfrowe30

4.2.Dane30

4.3.Rozwiązania cyfrowe31

4.4.Ocena interoperacyjności31

4.5.Środki wspierające cyfrowe wdrażanie32

1.STRUKTURA WNIOSKU/INICJATYWY 

1.1.Tytuł wniosku/inicjatywy

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa 

1.3.Cel(e)

1.3.1.Cel(e) ogólny(-e)

1.3.2.Cel(e) szczegółowy(-e)

1.3.3.Oczekiwane wyniki i wpływ

Należy wskazać, jakie efekty przyniesie wniosek/inicjatywa beneficjentom/grupie docelowej.

1.3.4.Wskaźniki dotyczące realizacji celów

Należy wskazać wskaźniki stosowane do monitorowania postępów i osiągnięć.

Aby zapewnić spójność i proporcjonalność, ramy monitorowania opierają się na strukturze trzech filarów, o której mowa w ocenie skutków dotyczącej zmiany rozporządzenia eIDAS, na wskaźnikach wdrażania, stosowania i wskaźnikach kontekstowych, oraz dostosowują je do szczególnego zakresu europejskich portfeli biznesowych. Zapewnia to spójność, a jednocześnie zapobiega powielaniu obowiązków w zakresie monitorowania i pozwala zachować zgodność z zasadami lepszego stanowienia prawa, w tym z zasadą proporcjonalności i ponownego wykorzystywania istniejących strumieni danych. Ponadto do oceny wyników inicjatywy za pomocą wskaźników zastępczych przewidziano wykorzystanie zestawu dodatkowych wskaźników, w szczególności powiązanych z celami szczegółowymi. Te szersze tendencje makroekonomiczne i dotyczące obciążeń administracyjnych zachowują charakter kontekstowy i będą interpretowane wraz z danymi eIDAS w celu wsparcia wnioskowania statystycznego zamiast sugerowania bezpośredniego związku przyczynowego.

Nowy zestaw wskaźników związanych z celami szczegółowymi przedstawiono poniżej:

1.4.Wniosek/inicjatywa dotyczy: 

 nowego działania 

 nowego działania, będącego następstwem projektu pilotażowego/działania przygotowawczego 16  

 przedłużenia bieżącego działania 

 połączenia lub przekształcenia co najmniej jednego działania pod kątem innego/nowego działania

1.5.Uzasadnienie wniosku/inicjatywy 

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy

1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tej sekcji „wartość dodaną z tytułu zaangażowania Unii Europejskiej” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.

1.5.3.Główne wnioski wyciągnięte z podobnych działań

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym możliwości przegrupowania środków

1.6.Czas trwania wniosku/inicjatywy i jego/jej wpływu finansowego

 Ograniczony czas trwania

–    Czas trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.

–    Czas trwania wpływu finansowego: od RRRR r. do RRRR r. w odniesieniu do środków na zobowiązania oraz od RRRR r. do RRRR r. w odniesieniu do środków na płatności.

Nieograniczony czas trwania

–Wprowadzenie w życie z okresem rozruchu od 2028 r. do 2029 r.,

–po którym następuje faza operacyjna.

1.7.Planowane metody wykonania budżetu 

 Bezpośrednie zarządzanie przez Komisję

– w ramach jej służb, w tym za pośrednictwem jej pracowników w delegaturach Unii

– przez agencje wykonawcze

 Zarządzanie dzielone z państwami członkowskimi

 Zarządzanie pośrednie przez przekazanie zadań związanych z wykonaniem budżetu:

– państwom trzecim lub organom przez nie wyznaczonym

– organizacjom międzynarodowym i ich agencjom (wyszczególnić)

– Europejskiemu Bankowi Inwestycyjnemu i Europejskiemu Funduszowi Inwestycyjnemu

– organom, o których mowa w art. 70 i 71 rozporządzenia finansowego

– organom prawa publicznego

– podmiotom podlegającym prawu prywatnemu, które świadczą usługi użyteczności publicznej, w zakresie, w jakim są im zapewnione odpowiednie gwarancje finansowe

– podmiotom podlegającym prawu prywatnemu państwa członkowskiego, którym powierzono realizację partnerstwa publiczno-prywatnego i zapewniono odpowiednie gwarancje finansowe

– podmiotom lub osobom odpowiedzialnym za wykonanie określonych działań w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa na mocy tytułu V Traktatu o Unii Europejskiej oraz określonym we właściwym podstawowym akcie prawnym

– podmiotom mającym siedzibę w państwie członkowskim, podlegającym prawu prywatnemu państwa członkowskiego lub prawu Unii i kwalifikującym się, zgodnie z przepisami sektorowymi, do powierzenia im wykonywania środków finansowych Unii lub gwarancji budżetowych, w zakresie, w jakim podmioty te są kontrolowane przez podmioty prawa publicznego lub podmioty podlegające prawu prywatnemu świadczące usługi użyteczności publicznej, a także posiadają odpowiednie gwarancje finansowe w formie odpowiedzialności solidarnej organów kontrolnych lub równoważne gwarancje finansowe, które mogą być ograniczone, w odniesieniu do każdego działania, do maksymalnej kwoty wsparcia Unii.

2.ŚRODKI ZARZĄDZANIA 

2.1.Zasady nadzoru i sprawozdawczości 

2.2.System zarządzania i kontroli 

2.2.1.Uzasadnienie dla proponowanych metod wykonania budżetu, mechanizmów finansowania wykonania, sposobów dokonywania płatności i strategii kontroli

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu) 

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom 

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY 

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ 

·Istniejące linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

·Proponowane nowe linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

3.2.Szacunkowy wpływ finansowy wniosku na środki 

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne 

–    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków operacyjnych

–    Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków operacyjnych, jak określono poniżej

–Wskazane kwoty mają charakter wyłącznie orientacyjny, w oczekiwaniu na ostateczny wynik negocjacji w sprawie WRF na lata 2028–2034.

–Niniejsza inicjatywa będzie finansowana przez przegrupowanie środków w ramach programów operacyjnych objętych kolejnymi WRF, a częściowo z wydatków administracyjnych. Na tym etapie dokładne określenie wkładu poszczególnych działów i programów WRF nie jest możliwe, natomiast oczekuje się, że znaczący wkład będzie pochodził z programów w ramach działu 2 WRF na lata 2028–2034 (np. Europejskiego Funduszu Konkurencyjności).

–

3.2.1.1.Środki z uchwalonego budżetu

w mln EUR (do trzech miejsc po przecinku)

Dane liczbowe przedstawione w powyższej tabeli są wyłącznie orientacyjne w oczekiwaniu na wynik negocjacji w sprawie wieloletnich ram finansowych.

Dane liczbowe przedstawione w powyższej tabeli są wyłącznie orientacyjne w oczekiwaniu na wynik negocjacji w sprawie wieloletnich ram finansowych.

3.2.2.Szacowany produkt finansowany ze środków operacyjnych (nie wypełniać w przypadku agencji zdecentralizowanych)

Środki na zobowiązania w mln EUR (do trzech miejsc po przecinku)

3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne 

–    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

–    Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej

3.2.3.1. Środki z uchwalonego budżetu

w mln EUR (do trzech miejsc po przecinku)

Wszystkie dane liczbowe w powyższej tabeli mają charakter wyłącznie orientacyjny w oczekiwaniu na wynik negocjacji w sprawie wieloletnich ram finansowych.

Potrzeby w zakresie środków na zasoby ludzkie i inne wydatki o charakterze administracyjnym zostaną pokryte ze środków dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

3.2.4.Szacowane zapotrzebowanie na zasoby ludzkie 

–    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich

– Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej

3.2.4.1.Finansowane z uchwalonego budżetu

Wartości szacunkowe należy wyrazić w ekwiwalentach pełnego czasu pracy (EPC)

Z uwagi na ogólną napiętą sytuację w ramach działu 4, zarówno pod względem personelu, jak i poziomu środków, potrzeby w zakresie zasobów ludzkich zostaną pokryte przez personel dyrekcji generalnej już przydzielony na zarządzanie tym działaniem lub przesunięty w ramach dyrekcji generalnej lub innych służb Komisji.

Personel niezbędny do wdrożenia wniosku (w EPC):

Opis zadań do wykonania:

3.2.5.Przegląd szacowanego wpływu na inwestycje związane z technologiami cyfrowymi

Obowiązkowo w tabeli poniżej: szacowany wpływ wniosku/inicjatywy na inwestycje związane z technologiami cyfrowymi.

Wydatki te odnoszą się do budżetu operacyjnego na ponowne wykorzystanie / zakup / rozwój platform / narzędzi informatycznych bezpośrednio związanych z realizacją inicjatywy oraz powiązanych z nimi inwestycji (np. licencje, badania, przechowywanie danych). Informacje podane w tej tabeli powinny zgadzać się z informacjami przedstawionymi w sekcji 4 „Wymiar cyfrowy”.

3.2.6.Zgodność z obowiązującymi wieloletnimi ramami finansowymi 

Wniosek/inicjatywa:

–    może zostać w pełni sfinansowany(-a) przez przegrupowanie środków w ramach odpowiedniego działu proponowanych wieloletnich ram finansowych (WRF) na lata 2028–2034

–    wymaga zastosowania nieprzydzielonego marginesu środków w ramach odpowiedniego działu WRF lub zastosowania specjalnych instrumentów zdefiniowanych w rozporządzeniu w sprawie WRF

–    wymaga rewizji WRF

3.2.7.Udział osób trzecich w finansowaniu 

Wniosek/inicjatywa:

–    nie przewiduje współfinansowania ze strony osób trzecich

–    przewiduje współfinansowanie ze strony osób trzecich zgodnie z poniższymi szacunkami:

środki w mln EUR (do trzech miejsc po przecinku)

 
3.3.    Szacunkowy wpływ na dochody 

–Wniosek/inicjatywa nie ma wpływu finansowego na dochody

–    Wniosek/inicjatywa ma wpływ finansowy określony poniżej:

–    wpływ na zasoby własne

–    wpływ na dochody inne

–    Wskazać, czy dochody są przypisane do linii budżetowej po stronie wydatków

w mln EUR (do trzech miejsc po przecinku)

W przypadku wpływu na dochody przeznaczone na określony cel należy wskazać linie budżetowe po stronie wydatków, które ten wpływ obejmie.

Pozostałe uwagi (np. metoda/wzór użyte do obliczenia wpływu na dochody albo inne informacje).

9.4. WYMIAR CYFROWY

4.1. Wymogi cyfrowe

Jeżeli inicjatywa oceniana jest jako nieposiadająca wymogów cyfrowych:

Uzasadnienie, czemu do wzmocnienia wdrażania danej polityki nie można wykorzystać środków cyfrowych i czemu nie ma zastosowania zasada domyślnej cyfrowości

w przeciwnym wypadku:

Ogólny opis wymogów cyfrowych i powiązanych kategorii (dane, cyfryzacja i automatyzacja procesu, rozwiązania cyfrowe lub cyfrowe usługi publiczne)

4.2. Dane

Ogólny opis danych objętych zakresem inicjatywy

Powiązanie z europejską strategią w zakresie danych

Wyjaśnienie, w jaki sposób wymogi te są zgodne z europejską strategią w zakresie danych.

Powiązanie z zasadą jednorazowości

Wyjaśnienie, w jaki sposób uwzględniono zasadę jednorazowości i w jaki sposób zbadano możliwość ponownego wykorzystania istniejących danych.

Wyjaśnienie, w jaki sposób nowo utworzone dane są możliwe do znalezienia, dostępne, interoperacyjne i nadające się do ponownego wykorzystania oraz spełniają normy wysokiej jakości.

Przepływ danych

Ogólny opis przepływu danych

4.3. Rozwiązania cyfrowe

Ogólny opis rozwiązań cyfrowych

W odniesieniu do każdego rozwiązania cyfrowego wyjaśnienie, w jaki sposób to rozwiązanie cyfrowe spełnia wymogi mających zastosowanie polityk cyfrowych i aktów ustawodawczych

Europejski portfel biznesowy

Europejski katalog cyfrowy

Aplikacja służąca do składania podpisu

4.4. Ocena interoperacyjności

Ogólny opis cyfrowych usług publicznych, na które te wymogi mają wpływ

Wpływ wymogów na interoperacyjność transgraniczną dla każdej cyfrowej usługi publicznej

Cyfrowa usługa publiczna #1: europejski portfel biznesowy

Cyfrowa usługa publiczna #2: cyfrowe usługi publiczne w państwach członkowskich, które są upoważnione do odbioru dowodów za pośrednictwem europejskich portfeli biznesowych

4.5. Środki wspierające cyfrowe wdrażanie

Ogólny opis środków wspierających cyfrowe wdrażanie

(1)

   Dz.U. C 365 z 23.9.2022, s. 18.

(2)    Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów pt. „Kompas konkurencyjności dla UE”, COM(2025) 30 final.

(3)

   Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).

(4)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1724 z dnia 2 października 2018 r. w sprawie utworzenia jednolitego portalu cyfrowego w celu zapewnienia dostępu do informacji, procedur oraz usług wsparcia i rozwiązywania problemów, a także zmieniające rozporządzenie (UE) nr 1024/2012 (Dz.U. L 295 z 21.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).

(5)    Komisja Europejska, zaproszenie do zgłaszania uwag: 28. system prawny – jednolity zharmonizowany zbiór przepisów dla innowacyjnych przedsiębiorstw w całej UE, 8 lipca, dostępne pod adresem https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14674-28th-regime-a-single-harmonized-set-of-rules-for-innovative-companies-throughout-the-EU_pl

(6)     Dyrektywa Parlamentu Europejskiego i Rady (UE) 2025/25 z dnia 19 grudnia 2024 r. w sprawie zmiany dyrektyw 2009/102/WE i (UE) 2017/1132 w odniesieniu do szerszego wykorzystania i aktualizacji narzędzi i procesów cyfrowych w ramach prawa spółek (Dz.U. L, 2025/25, 10.1.2025, ELI:  http://data.europa.eu/eli/dir/2025/25/oj ).

(7)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj ).

(8)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/1132 z dnia 14 czerwca 2017 r. w sprawie niektórych aspektów prawa spółek (tekst jednolity) (Dz.U. L 169 z 30.6.2017, s. 46, ELI: http://data.europa.eu/eli/dir/2017/1132/oj).

(9)

   Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (Dz.U. L, 2024/1624, 19.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1624/oj).

(10)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu i zmieniające rozporządzenia (UE) nr 1093/2010, (UE) nr 1094/2010 i (UE) nr 1095/2010 (Dz.U. L …, 19.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1624/oj).

(11)    Rozporządzenie wykonawcze Komisji (UE) 2021/369 z dnia 1 marca 2021 r. ustanawiające specyfikacje techniczne i procedury niezbędne w ramach systemu integracji rejestrów centralnych, o której to integracji mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/849 (Dz.U. L 71 z 2.3.2021, s. 11, ELI: http://data.europa.eu/eli/reg_impl/2021/369/oj).

(12)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.U. L 333 z 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(13)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data. europa.eu/eli/reg/2018/1725/oj).

(14)    Plus wszelkie potencjalne kluczowe wskaźniki efektywności dotyczące zmniejszenia obciążeń administracyjnych w następstwie przeglądu programu polityki „Droga ku cyfrowej dekadzie”

(15)    Liczba portfeli niekoniecznie odpowiada liczbie właścicieli, ponieważ jeden właściciel przypisany do jednego niepowtarzalnego identyfikatora może mieć wiele zarejestrowanych na siebie portfeli, ale będą to dobre przybliżone dane pozwalające określić poziom wykorzystania.

(16)    O którym mowa w art. 58 ust. 2 lit. a) lub b) rozporządzenia finansowego.

(17)    Środki zróżnicowane/środki niezróżnicowane.

(18)    EFTA: Europejskie Stowarzyszenie Wolnego Handlu.

(19)    Kraje kandydujące oraz, w stosownych przypadkach, potencjalni kandydaci z Bałkanów Zachodnich.

(20)    Linie budżetowe dotyczące nowych WRF nie są jeszcze znane.

(21)    Produkty odnoszą się do produktów i usług, które mają zostać zapewnione (np. liczba sfinansowanych wymian studentów, liczba kilometrów zbudowanych dróg itp.).

(22)    Zgodnie z opisem w sekcji 1.3.2. „Cel(e) szczegółowy(-e)”.

(23)    W przypadku tradycyjnych zasobów własnych (opłaty celne, opłaty wyrównawcze od cukru) należy wskazać kwoty netto, tzn. kwoty brutto po odliczeniu 20 % na poczet kosztów poboru.

KOMISJA EUROPEJSKA

Bruksela, dnia 19.11.2025

COM(2025) 838 final

ZAŁĄCZNIKI

do

wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady

w sprawie ustanowienia europejskich portfeli biznesowych

{SWD(2025) 837 final}

ZAŁĄCZNIK

Wymogi dotyczące minimalnych funkcji europejskich portfeli biznesowych i wymogi techniczne, które portfele te muszą spełniać

1.Uwierzytelnianie europejskich portfeli biznesowych

Dostęp do jednostki europejskiego portfela biznesowego przyznaje się dopiero po pomyślnym uwierzytelnieniu użytkownika europejskiego portfela biznesowego za pomocą:

1)zgłoszonego środka identyfikacji elektronicznej (eID) zgodnie z art. 6 rozporządzenia (UE) nr 910/2014, spełniającego wymogi co najmniej średniego poziomu bezpieczeństwa określone w art. 8 tego rozporządzenia i doprecyzowane w rozporządzeniu wykonawczym Komisji (UE) 2015/1502; lub

2)alternatywnego mechanizmu uwierzytelniania uznanego za równoważny i spełniającego wymogi co najmniej średniego poziomu bezpieczeństwa określone w art. 8 rozporządzenia (UE) nr 910/2014 i doprecyzowane w rozporządzeniu wykonawczym Komisji (UE) 2015/1502.

Do czasu zakończenia takiego uwierzytelniania użytkownikowi portfela nie udostępnia się żadnych funkcji jednostki europejskiego portfela biznesowego ani żadnych innych funkcji.

2.Integralność jednostki europejskiego portfela biznesowego

Dostawcy europejskich portfeli biznesowych generują i podpisują dla każdej jednostki europejskiego portfela biznesowego poświadczenie jednostki europejskiego portfela biznesowego zgodnie z wymogami określonymi w pkt 5. Certyfikat stosowany do podpisywania lub opatrywania pieczęcią poświadczenia jednostki portfela biznesowego wydaje się na podstawie certyfikatu wymienionego w zaufanej liście, o której mowa w rozporządzeniu wykonawczym Komisji (UE) 2024/2980.

3.Bezpieczna komunikacja i zarządzanie aktywami krytycznymi europejskich portfeli biznesowych

1)Do zarządzania aktywami krytycznymi segment back-end europejskiego portfela biznesowego wykorzystuje co najmniej jedną bezpieczną aplikację kryptograficzną portfela oraz co najmniej jedno bezpieczne urządzenie kryptograficzne portfela.

2)Dostawcy europejskich portfeli biznesowych zapewniają integralność, autentyczność i poufność komunikacji między segmentem back-end i segmentem front-end portfela biznesowego oraz bezpieczną aplikacją kryptograficzną portfela i bezpiecznym urządzeniem kryptograficznym portfela.

3)W przypadku gdy aktywa krytyczne odnoszą się do przeprowadzania identyfikacji elektronicznej na średnim poziomie bezpieczeństwa, operacje kryptograficzne europejskiego portfela biznesowego lub inne operacje przetwarzania aktywów krytycznych przeprowadza się zgodnie z wymogami dotyczącymi cech charakterystycznych i konstrukcji środków identyfikacji elektronicznej na średnim poziomie bezpieczeństwa, jak określono w rozporządzeniu wykonawczym Komisji (UE) 2015/1502. 

4.Bezpieczne aplikacje kryptograficzne portfeli

1)Dostawcy europejskich portfeli biznesowych zapewniają, aby bezpieczne aplikacje i urządzenia kryptograficzne europejskich portfeli biznesowych:

a)wykonywały operacje kryptograficzne portfela wykorzystujące aktywa krytyczne inne niż te, które są potrzebne jednostce portfela do uwierzytelnienia właściciela portfeli, wyłącznie w przypadkach, gdy aplikacje te skutecznie uwierzytelniły użytkowników portfeli;

b)jeżeli uwierzytelniają właściciela europejskiego portfela biznesowego w kontekście przeprowadzania identyfikacji elektronicznej na średnim poziomie bezpieczeństwa, jak określono w rozporządzeniu wykonawczym (UE) 2015/1502;

c)były w stanie bezpiecznie generować nowe klucze kryptograficzne;

d)były w stanie w bezpieczny sposób usuwać aktywa krytyczne;

e)były w stanie wygenerować dowód posiadania kluczy prywatnych; 

f)chroniły klucze prywatne generowane przez te bezpieczne aplikacje i urządzenia kryptograficzne portfela podczas funkcjonowania kluczy;

g)spełniały wymogi dotyczące cech charakterystycznych i konstrukcji środków identyfikacji elektronicznej na średnim poziomie bezpieczeństwa określone w rozporządzeniu wykonawczym (UE) 2015/1502.

5.Autentyczność i ważność jednostki portfela

1)Dostawcy europejskich portfeli biznesowych zapewniają, aby poświadczenia jednostki europejskiego portfela biznesowego, o których mowa w pkt 1, zawierały klucze publiczne oraz aby odpowiadające im klucze prywatne były chronione przez bezpieczne urządzenie kryptograficzne portfela.

2)Dostawcy europejskich portfeli biznesowych zapewniają niezależne od jednostek portfela mechanizmy bezpiecznej identyfikacji i uwierzytelniania użytkowników portfela.

6.Unieważnienie poświadczeń jednostki portfela

1)Dostawcy europejskich portfeli biznesowych ustanawiają publicznie dostępną politykę określającą warunki i ramy czasowe unieważniania poświadczeń jednostki portfela.

2)Zgodnie z art. 6, w przypadku gdy dostawcy europejskich portfeli biznesowych unieważniają poświadczenia jednostki europejskiego portfela biznesowego, informują o tym użytkowników europejskiego portfela biznesowego, których to dotyczy, bez zbędnej zwłoki i nie później niż 24 godziny od unieważnienia ich jednostek europejskiego portfela biznesowego, w tym o przyczynach unieważnienia i konsekwencjach dla użytkownika europejskiego portfela biznesowego. Informacje te przekazuje się w formie zwięzłej, łatwo dostępnej oraz używając jasnego i przystępnego języka.

3)W przypadku gdy dostawcy europejskich portfeli biznesowych unieważnili poświadczenie jednostki europejskiego portfela biznesowego, udostępniają publicznie status ważności poświadczenia jednostki europejskiego portfela biznesowego i opisują lokalizację tych informacji w poświadczeniu jednostki portfela biznesowego.

7.Dzienniki transakcji

1)Dostawcy europejskich portfeli biznesowych zapewniają odpowiednią politykę rejestrowania, która obejmuje co najmniej składanie podpisów i pieczęci elektronicznych oraz powiadomienia o wszystkich transakcjach ze stronami ufającymi portfeli biznesowych, innymi jednostkami europejskich portfeli biznesowych i jednostkami europejskich portfeli tożsamości cyfrowej, niezależnie od tego, czy transakcja zakończyła się pomyślnie.

2)Zarejestrowane informacje muszą obejmować co najmniej:

a)czas i datę transakcji;

b)imię i nazwisko lub nazwę, dane kontaktowe oraz niepowtarzalny identyfikator odpowiedniej strony ufającej portfela biznesowego i państwo członkowskie, w którym ta strona ufająca portfela biznesowego ma siedzibę, lub, w przypadku innych jednostek portfeli, odpowiednie informacje z poświadczenia jednostki portfela; 

c)rodzaj lub rodzaje danych żądanych i przedstawionych w ramach transakcji; 

d)w przypadku transakcji nieukończonych – przyczynę braku ich ukończenia.

3)Dostawcy europejskich portfeli biznesowych zapewniają integralność, autentyczność i poufność zarejestrowanych informacji.

4)Segment back-end europejskiego portfela biznesowego rejestruje zgłoszenia przesłane przez użytkownika portfela właściwym organom za pośrednictwem jednostki portfela, w tym interakcje związane z powiadomieniami, zgodnością regulacyjną, udostępnianiem danych lub wnioskami o audyt.

5)Rejestry, o których mowa w ppkt 1 i 2, są dostępne dla dostawcy europejskich portfeli biznesowych, jeżeli jest to konieczne do świadczenia usług portfela.

6)Rejestry, o których mowa w ppkt 1 i 2, pozostają dostępne tak długo, jak wymagają tego przepisy Unii lub prawo krajowe.

8.Kwalifikowane podpisy i pieczęcie elektroniczne

1)Zgodnie z art. 6 dostawcy europejskich portfeli biznesowych zapewniają, aby użytkownicy portfela mogli otrzymywać kwalifikowane certyfikaty kwalifikowanych podpisów lub pieczęci elektronicznych, które są powiązane z kwalifikowanymi urządzeniami do składania podpisu lub pieczęci mającymi charakter lokalny, zewnętrzny albo zdalny względem jednostki portfela.

2)Dostawcy europejskich portfeli biznesowych zapewniają, aby rozwiązania w zakresie europejskich portfeli biznesowych były w stanie bezpiecznie łączyć się z jednym z następujących rodzajów kwalifikowanych urządzeń do składania podpisu lub pieczęci: lokalnymi, zewnętrznymi lub zdalnie zarządzanymi kwalifikowanymi urządzeniami do składania podpisu lub pieczęci na potrzeby korzystania z kwalifikowanych certyfikatów, o których mowa w ppkt 1.

9.Aplikacje służące do składania podpisu

1)Aplikacje służące do składania podpisu wykorzystywane przez jednostki europejskich portfeli biznesowych mogą być dostarczane przez dostawców europejskich portfeli biznesowych, dostawców usług zaufania albo przez strony ufające portfela biznesowego.

2)Aplikacje służące do składania podpisu pełnią takie funkcje, jak:

a)podpisywanie lub opatrywanie pieczęcią danych przekazanych przez użytkowników europejskich portfeli biznesowych;

b)podpisywanie lub opatrywanie pieczęcią danych przekazanych przez strony ufające;

c)składanie podpisów lub pieczęci zgodnie z co najmniej obowiązkowym formatem;

–składanie podpisów lub pieczęci zgodnie z formatem nieobowiązkowym;

–informowanie użytkowników portfela o wynikach procesu składania podpisu lub pieczęci.

W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia Komisja jest uprawniona do przyjmowania zgodnie z art. 6 aktów wykonawczych określających normy techniczne, o których mowa w ppkt 2 lit. c) i lit. c) ppkt (ii).

3)Aplikacje służące do składania podpisu mogą być zintegrowane z segmentem back-end europejskiego portfela biznesowego albo mieć względem niego charakter zewnętrzny. W przypadku gdy aplikacje służące do składania podpisu polegają na kwalifikowanych urządzeniach do składania podpisu na odległość i gdy są zintegrowane z segmentem back-end europejskiego portfela biznesowego, obsługują interfejs programowania aplikacji określony w aktach wykonawczych, do których przyjęcia Komisja jest uprawniona zgodnie z art. 5 w celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia.

10.Eksport i możliwość przenoszenia danych

Portfele biznesowe obsługują bezpieczny eksport i bezpieczną możliwość przenoszenia danych, które właściciel posiada w swoim europejskim portfelu biznesowym, co najmniej w otwartym formacie. Umożliwia to właścicielowi migrację danych do innego rozwiązania w zakresie portfela biznesowego, przy jednoczesnym zapewnieniu co najmniej „średniego” poziomu bezpieczeństwa, jak określono w rozporządzeniu wykonawczym (UE) 2015/1502.

11.Bezpieczny kanał komunikacji prawnej dla portfela biznesowego

1)Zgodnie z art. 5 niniejszego rozporządzenia portfele biznesowe integrują i obsługują korzystanie z określonej kwalifikowanej usługi rejestrowanego doręczenia elektronicznego zgodnie z art. 43 i 44 rozporządzenia (UE) nr 910/2014.

2)Komisja w drodze aktów wykonawczych:

a)wyznacza jedną kwalifikowaną usługę rejestrowanego doręczenia elektronicznego, która będzie służyć europejskim portfelom biznesowym jako obowiązkowy bezpieczny kanał komunikacji wywołującej skutki prawne;

b)określa minimalne wymogi techniczne i wymogi w zakresie interoperacyjności, które musi spełniać taka kwalifikowana usługa rejestrowanego doręczenia elektronicznego, w tym zgodność z normami referencyjnymi, specyfikacjami i procedurami ustanowionymi na podstawie art. 43 i 44 rozporządzenia (UE) nr 910/2014;

c)zapewnia, aby wybrana kwalifikowana usługa rejestrowanego doręczenia elektronicznego opierała się na otwartych, publicznie dostępnych i nieobjętych opłatami licencyjnymi normach w celu zagwarantowania interoperacyjności i uniknięcia uzależnienia od jednego dostawcy;

d)zapewnia, aby wybrana kwalifikowana usługa rejestrowanego doręczenia elektronicznego zapewniała pełne szyfrowanie transmisji w celu zagwarantowania poufności;

e)ustanawia procedury zapewniające ciągłą dostępność, nadmiarowe zdolności i mechanizmy awaryjne na wypadek awarii usługi.

3)Interoperacyjność między portfelami biznesowymi a wyznaczoną kwalifikowaną usługą rejestrowanego doręczenia elektronicznego jest obowiązkowa. Dostawcy portfeli biznesowych zapewniają integrację techniczną zgodnie z aktami wykonawczymi, o których mowa w ppkt 2.

12.Mechanizm kontroli dostępu do europejskich portfeli biznesowych

1)Dostawcy europejskich portfeli biznesowych zapewniają, aby decyzje dotyczące udzielania zezwoleń w ramach mechanizmu kontroli dostępu opierały się na co najmniej jednym z następujących kryteriów, stosownie do konkretnego wniosku o udzielenie dostępu:

a)elektroniczne poświadczenie atrybutów podmiotu ubiegającego się o dostęp;

b)formalna rola podmiotów ubiegających się o dostęp w ramach uznanej struktury organizacyjnej lub podmiotu gospodarczego;

c)zakres, ważność i ograniczenia każdego upoważnienia, delegowania lub pełnomocnictwa;

d)informacje kontekstowe lub polityki i przepisy przyjęte na szczeblu unijnym lub krajowym w celu zapewnienia zgodności z przepisami sektorowymi.

2)Dostawcy europejskich portfeli biznesowych zapewniają mechanizm kontroli dostępu, który umożliwia uzyskanie szczegółowych i podlegających audytowi wyników autoryzacji, zapewniając, aby:

a)widoczność danych uwierzytelniających i poświadczeń miała charakter selektywny i była uzależniona od praw dostępu;

b)dostęp do procesów biznesowych, procedur cyfrowych lub interfejsów przedkładania był kontrolowany przez walidację w czasie rzeczywistym ról i upoważnień;

c)wszystkie zdarzenia związane z dostępem i wykonaniem były rejestrowane, opatrzone znacznikiem czasu i powiązane z kryptograficznie weryfikowalnymi dowodami autoryzacji, odpowiednimi do celów audytu i postępowania prawnego.

3)Dostawcy europejskich portfeli biznesowych zapewniają, aby:

a)przyporządkowanie ról do atrybutów było możliwe do zweryfikowania, skontrolowania, odwołania i zidentyfikowania w celu ich powiązania z uprawnionymi wydawcami;

b)konflikty ról, nadmierne delegowanie uprawnień lub wygasłe upoważnienia były automatycznie wykrywane i udaremniane w czasie rzeczywistym;

c)cała logika upoważnień była interoperacyjna we wszystkich państwach członkowskich.

4)Wykaz norm referencyjnych, specyfikacji technicznych i procedur, które mają być stosowane przy wdrażaniu mechanizmu kontroli dostępu, określa się w aktach wykonawczych, do których przyjęcia Komisja jest uprawniona zgodnie z art. 5 w celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia. Obejmują one w szczególności:

a)formaty przedstawiania ról i atrybutów;

b)mechanizmy interoperacyjności dotyczące upoważnień i delegacji między portfelami;

c)protokoły, język polityki i egzekwowanie ograniczeń;

d)wymogi dotyczące bezpiecznego rejestrowania, oznaczania czasu i możliwości audytu zdarzeń związanych z autoryzacją.

5)W przypadku gdy normy, specyfikacje i procedury, o których mowa w ppkt 1, są przestrzegane, domniemywa się zgodność z wymogami określonymi we wspomnianym artykule.

13.Przepisy ogólne dotyczące protokołów i interfejsów

Zgodnie z art. 6 niniejszego rozporządzenia dostawcy europejskich portfeli biznesowych zapewniają, aby europejskie jednostki portfeli biznesowych:

1)autoryzowały żądania i, w stosownych przypadkach, uwierzytelniały żądania składane za pomocą certyfikatów dostępu strony ufającej lub poświadczeń jednostki portfela. Uwierzytelnianie strony ufającej jest wymagane w przypadku, gdy poświadczenia są przeznaczone dla ograniczonej grupy odbiorców; we wszystkich innych przypadkach poświadczenia mogą być przedstawiane przez każdą ze stron wnioskujących;

2)wyświetlały użytkownikom portfela informacje zawarte w certyfikatach dostępu strony ufającej portfela biznesowego lub, w stosownych przypadkach, w poświadczeniach jednostki portfela;

3)wyświetlały użytkownikom portfela, w stosownych przypadkach, atrybuty, które użytkownicy portfela mają obowiązek przedstawić;

4)przedstawiały poświadczenia jednostki portfela danej jednostki portfela stronom ufającym portfela biznesowego lub jednostkom portfela, które o to wystąpiły.

14.Wydawanie elektronicznych poświadczeń atrybutów jednostkom portfela

1)Zgodnie z art. 5 niniejszego rozporządzenia dostawcy europejskich portfeli biznesowych zapewniają, aby jednostki portfela biznesowego wnioskujące o wydanie elektronicznych poświadczeń atrybutów były w stanie uwierzytelnić strony ufające.

2)W odniesieniu do wydawania elektronicznych poświadczeń atrybutów jednostce portfela dostawcy portfela zapewniają spełnienie następujących wymogów:

a)w przypadku gdy właściciele europejskich portfeli biznesowych, za pośrednictwem swojej jednostki portfela biznesowego, zwracają się do dostawcy europejskiego portfela biznesowego o wydanie danych identyfikacyjnych właściciela portfela biznesowego lub elektronicznych poświadczeń atrybutów od dostawców danych identyfikacyjnych właścicieli portfeli biznesowych lub dostawców elektronicznych poświadczeń atrybutów, które umożliwiają wydawanie danych identyfikacyjnych właścicieli portfeli biznesowych lub poświadczeń elektronicznych w więcej niż jednym formacie, jednostka portfela zwraca się o takie dane we wszystkich formatach, o których mowa w art. 8 niniejszego rozporządzenia ustanawiającym zasady stosowania rozporządzenia w sprawie portfeli biznesowych w odniesieniu do integralności i podstawowych funkcji portfeli biznesowych;

b)w przypadku gdy właściciele portfela biznesowego wykorzystują swoje jednostki portfela biznesowego do interakcji z właściwymi organami krajowymi i dostawcami elektronicznych poświadczeń atrybutów, jednostki portfela umożliwiają uwierzytelnianie i walidację elementów jednostki portfela poprzez przedstawianie poświadczeń jednostki portfela tym właściwym organom krajowym i dostawcom na ich wniosek;

c)rozwiązania w zakresie portfela obsługują mechanizmy umożliwiające dostawcom danych identyfikacyjnych właściciela portfela biznesowego weryfikację wydania, dostarczenia i aktywacji zgodnie z wymogami dotyczącymi średniego poziomu bezpieczeństwa określonymi w rozporządzeniu wykonawczym Komisji (UE) 2015/1502 (11);

d)jednostki portfela weryfikują autentyczność i ważność danych identyfikacyjnych właściciela portfela biznesowego oraz elektronicznych poświadczeń atrybutów.

15.Prezentacja atrybutów stronom ufającym europejskich portfeli biznesowych

Zgodnie z art. 5 ust. 1 lit. d) i k) dostawcy europejskich portfeli biznesowych zapewniają, aby:

1)rozwiązania w zakresie europejskich portfeli biznesowych obsługiwały protokoły i interfejsy służące do prezentacji atrybutów stronom ufającym portfela biznesowego, zgodnie z normami określonymi w aktach wykonawczych;

2)na wniosek użytkowników – jednostki europejskiego portfela biznesowego odpowiadały na skutecznie uwierzytelnione i poddane walidacji żądania stron ufających portfela biznesowego zgodnie z normami określonymi w aktach wykonawczych;

3)jednostki europejskich portfeli biznesowych obsługiwały potwierdzenie posiadania kluczy prywatnych odpowiadających kluczom publicznym wykorzystywanym w powiązaniach kryptograficznych.

16.Wydawanie danych identyfikacyjnych właścicieli europejskich portfeli biznesowych jednostkom portfeli

1)Właściwe organy zapewniają, aby dane identyfikacyjne właścicieli portfeli biznesowych wydane jednostkom portfeli biznesowych były zgodne ze specyfikacjami technicznymi określonymi w aktach wykonawczych, zgodnie z art. 8 niniejszego rozporządzenia.

2)Właściwe organy krajowe zapewniają, aby dane identyfikacyjne właściciela portfela biznesowego, które wydają, były kryptograficznie powiązane z jednostką portfela, której wydają te dane.

17.Wydawanie elektronicznych poświadczeń atrybutów jednostkom portfela

1)Elektroniczne poświadczenia atrybutów wydawane jednostkom europejskich portfeli biznesowych są zgodne z co najmniej jedną z norm wymienionych w wykazie określonym w aktach wykonawczych, zgodnie z art. 5 niniejszego rozporządzenia.

2)Dostawcy elektronicznych poświadczeń atrybutów potwierdzają swoją tożsamość wobec jednostek europejskich portfeli biznesowych przy użyciu swojego certyfikatu dostępu strony ufającej portfela.

3)Dostawcy elektronicznych poświadczeń atrybutów zapewniają, aby elektroniczne poświadczenia atrybutów wydawane jednostkom europejskich portfeli biznesowych zawierały informacje niezbędne do uwierzytelniania i walidacji tych elektronicznych poświadczeń atrybutów.