Multicert

Bezpłatna wycena

Regulacje UE · w 2h, bez zobowiązań

Wyceń →
Regulacje UE

eIDAS 2.0 — co to jest, EUDI Wallet i nowe usługi zaufania (przewodnik 2026)

eIDAS 2.0 (Rozp. UE 2024/1183) — co zmienia względem 910/2014, czym jest EUDI Wallet, kogo dotyczy, terminy. Kwalifikowane podpisy, pieczęcie, znaczniki czasu, e-doręczenia.

Małgorzata Nowakowska 8 min czytania

Małgorzata Nowakowska

Doradca klienta · Akredytowana jednostka certyfikująca

Rozporządzenie eIDAS (UE 910/2014) to fundament zaufania cyfrowego w Unii Europejskiej. Reguluje identyfikację elektroniczną, kwalifikowane podpisy, pieczęcie i znaczniki czasu — usługi, bez których cyfrowa wymiana dokumentów nie miałaby waloru prawnego transgranicznego. W kwietniu 2024 r. weszła w życie eIDAS 2.0 (Rozp. UE 2024/1183), wprowadzająca europejski portfel tożsamości cyfrowej (EUDI Wallet) i rozszerzająca katalog usług zaufania.

Czym różni się eIDAS 2.0 od pierwotnego rozporządzenia

Oryginalny eIDAS skupiał się na trzech filarach: identyfikacji elektronicznej, podpisach kwalifikowanych, walidacji. eIDAS 2.0 zachowuje te elementy, ale dodaje nową warstwę aplikacyjną — EUDI Wallet — i rozszerza katalog usług zaufania.

WymiareIDAS (910/2014)eIDAS 2.0 (UE 2024/1183)
Data publikacji23 lipca 201411 kwietnia 2024
Identyfikacja elektronicznaNotyfikowane krajowe schematy eID+ EUDI Wallet (obowiązkowo do XI 2026)
Usługi zaufaniaPodpisy, pieczęcie, znaczniki czasu, walidacja, e-doręczenia+ e-archiwizacja, e-rejestry, e-atestacja atrybutów
Certyfikaty witrynQWAC opcjonalnieQWAC + obowiązkowa rozpoznawalność w przeglądarkach
InteroperacyjnośćWymagana, ale słabo egzekwowanaWzmocnione wymogi techniczne (normy ETSI)
Cyberbezpieczeństwo TSPOgólne wymaganiaPowiązane z NIS2 (TSP = podmioty kluczowe)

Kluczowa nowość — EUDI Wallet — to bezpłatna aplikacja mobilna wydawana przez każde państwo członkowskie. Daje obywatelowi pełną kontrolę nad swoją tożsamością cyfrową: jaką informację udostępnia, komu, na jak długo. Wallet ma być interoperacyjny w całej UE — Polak we Włoszech otwiera konto bankowe pokazując polski Wallet, włoski bank odczytuje dane bez kontaktu z polskim urzędem.

Co to jest dostawca usług zaufania (TSP)

Dostawca usług zaufania (Trust Service Provider) to organizacja świadcząca usługi zaufania zgodne z eIDAS. Najczęściej spotykane:

  1. Kwalifikowany podpis elektroniczny — równoważny prawnie podpisowi własnoręcznemu w całej UE
  2. Kwalifikowana pieczęć elektroniczna — zapewnia integralność i pochodzenie dokumentu od osoby prawnej
  3. Kwalifikowany znacznik czasu — dowód, że dokument istniał w określonym momencie
  4. Walidacja kwalifikowanych podpisów — usługa weryfikująca ważność podpisu
  5. Kwalifikowana usługa doręczenia elektronicznego — odpowiednik listu poleconego
  6. QWAC (Qualified Web Authentication Certificate) — certyfikat SSL/TLS dla witryn

Polskie TSP nadzoruje NCCert (Narodowe Centrum Certyfikacji w NASK). Pełną listę kwalifikowanych dostawców UE prowadzi Komisja Europejska na EU Trusted List.

Ocena zgodności — jak zostać QTSP

Status QTSP wymaga audytu wg norm ETSI EN 319 401 (wymagania ogólne), ETSI EN 319 411-1/-2 (certyfikaty kwalifikowane), ETSI EN 319 421 (znaczniki czasu) plus innych specyficznych dla typu usługi. Audytor — jednostka oceniająca zgodność (Conformity Assessment Body, CAB) — sprawdza:

  1. Polityki i praktyki — polityka certyfikacji (CP), kodeks postępowania certyfikacyjnego (CPS), zarządzanie kluczami
  2. Bezpieczeństwo informacji — wdrożone ISO/IEC 27001 (wymóg ETSI EN 319 401 sekcja 7)
  3. Kryptografia — algorytmy zgodne z ETSI TS 119 312, HSM certyfikowane CC EAL4+ lub FIPS 140-2/3 Level 3+
  4. Walidacja tożsamości — procedury LoA (poziom wiarygodności: średni/wysoki) wg art. 24 eIDAS
  5. Procedury operacyjne — generowanie kluczy, rejestracja, rewokacja, archiwizacja

Wynik audytu — raport z oceny zgodności (Conformity Assessment Report) — jest dołączany do wniosku do NCCert. Po akceptacji TSP otrzymuje status kwalifikowany i wpis na EU Trusted List.

ISO 27001 jako fundament eIDAS

ETSI EN 319 401 — norma referencyjna eIDAS dla wszystkich TSP — w sekcji 7 wymaga, by dostawca usług zaufania miał wdrożony system zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001. To absolutny fundament — bez ISO 27001 audyt eIDAS nie ma sensu, bo audytor nie ma punktu odniesienia.

W praktyce typowa kolejność dla TSP wchodzącego w eIDAS to:

  1. Wdrożenie ISO 27001 (6–9 miesięcy)
  2. Audyt certyfikacyjny ISO 27001 — uzyskanie certyfikatu
  3. Wdrożenie wymagań ETSI EN 319 401/411/421 (3–4 miesiące)
  4. Ocena zgodności eIDAS (6–10 tygodni)
  5. Wniosek do NCCert + wpis na EU Trusted List

Powiązane artykuły

Najczęstsze pytania

Co to jest eIDAS? +
Rozporządzenie (UE) 910/2014 regulujące identyfikację elektroniczną i usługi zaufania w UE — kwalifikowane podpisy, pieczęcie, znaczniki czasu.
Czym różni się eIDAS 2.0? +
Rozp. UE 2024/1183 wprowadza EUDI Wallet (europejski portfel tożsamości cyfrowej), nowe usługi zaufania (e-archiwizacja, e-rejestry), wymogi interoperacyjności.
Co to jest EUDI Wallet? +
Bezpłatna aplikacja mobilna wydawana przez państwa UE — pozwala udostępniać tożsamość, dyplomy, recepty, podpisywać dokumenty. Wymóg do listopada 2026.
Czy moja firma musi mieć eIDAS? +
Bezpośrednio dotyczy dostawców usług zaufania (TSP). Firmy korzystające z usług TSP (banki, kancelarie, handel elektroniczny) nie podlegają audytowi eIDAS.
Co to jest QTSP? +
Qualified Trust Service Provider — TSP po audycie zgodności, wpisany na EU Trusted List, świadczący usługi z najwyższym walorem prawnym.
Jak długo trwa audyt eIDAS? +
6–10 tygodni: 2-3 dni etapu 1 (zdalnie), 3-5 dni etapu 2 (na miejscu), 4-6 tyg raport końcowy + wniosek do NCCert.

Autor artykułu

Portret: Małgorzata Nowakowska

Małgorzata Nowakowska

Doradca klienta · Wyroby CE i bezpieczeństwo informacji

10+ lat w branży certyfikacji. Ekspert od wyrobów CE/UKCA, dyrektyw MDR/PPE/Machinery i systemu zarządzania bezpieczeństwem informacji ISO 27001.

← Wszystkie artykuły 8 maja 2026
Zadzwoń Bezpłatna wycena