Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2013.74.30

Decyzja EBC/2013/1 (2013/132/UE) ustanawiająca ramy infrastruktury klucza publicznego Europejskiego Systemu Banków Centralnych

DECYZJA EUROPEJSKIEGO BANKU CENTRALNEGO
z dnia 11 stycznia 2013 r.
ustanawiająca ramy infrastruktury klucza publicznego Europejskiego Systemu Banków Centralnych

(EBC/2013/1)

(2013/132/UE)

(Dz.U.UE L z dnia 16 marca 2013 r.)

RADA PREZESÓW EUROPEJSKIEGO BANKU CENTRALNEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności art. 127,

uwzględniając Statut Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego (zwany dalej "Statutem ESBC"), w szczególności jego art. 12 ust. 1 w związku z art. 3 ust. 1, art. 5, art. 12 ust. 3 oraz art. 16-24,

a także mając na uwadze, co następuje:

(1) Zgodnie z art. 12 ust. 1 Statutu ESBC Rada Prezesów uchwala wytyczne i podejmuje decyzje niezbędne do zapewnienia wykonania zadań powierzonych Europejskiemu Systemowi Banków Centralnych (ESBC) i Eurosystemowi na podstawie Traktatu i Statutu ESBC. Obejmuje to określanie sposobu organizacji działań dodatkowych, niezbędnych do wykonywania tych zadań, takich jak wydawanie i zarządzanie elektronicznymi certyfikatami służącymi do ochrony informacji przechowywanych i przetwarzanych w elektronicznych aplikacjach, systemach, platformach i usługach ESBC i Eurosystemu, oraz do przekazywania im danych i ich odbierania.

(2) Zgodnie z art. 12 ust. 3 Statutu ESBC Rada Prezesów ma również kompetencje do określania organizacji wewnętrznej Europejskiego Banku Centralnego (EBC) i jego organów decyzyjnych. Rada Prezesów jest zatem również władna zdecydować o korzystaniu przez EBC z certyfikatów elektronicznych wydawanych przez własną infrastrukturę klucza publicznego Eurosystemu.

(3) Zwiększa się liczba użytkowników korzystających z rosnącej liczby nieustannie zmieniających się elektronicznych aplikacji, systemów, platform i usług ESBC i Eurosystemu. Rada Prezesów stwierdziła zapotrzebowanie na zaawansowane usługi w zakresie bezpieczeństwie informacji, takie jak silne uwierzytelnianie, podpisy elektroniczne i szyfrowanie za pośrednictwem certyfikatów elektronicznych.

(4) Jedynie niektóre banki centralne ESBC posiadają własną infrastrukturę klucza publicznego, a wielu użytkowników z podmiotów trzecich współpracujących z bankami centralnymi ESBC ma utrudniony dostęp do organów certyfikacji zatwierdzonych przez ESBC zgodnie z zasadami akceptacji certyfikatów ESBC.

(5) Istnieje potrzeba, aby Eurosystem stworzył swoją własną infrastrukturę klucza publicznego, która będzie mogła wydawać wszystkie rodzaje certyfikatów elektronicznych, takie jak certyfikaty osobiste i certyfikaty techniczne dla użytkowników z ESBC i spoza ESBC i która będzie na tyle elastyczna, by dostosowywać się do zmian w elektronicznych aplikacjach, systemach, platformach i usługach ESBC i Eurosystemu. Wspomniana infrastruktura klucza publicznego (zwana dalej "PKI ESBC") powinna uzupełniać usługi świadczone przez inne organy certyfikacji zaakceptowane przez ESBC zgodnie z zasadami akceptacji certyfikatów ESBC lub przez organy certyfikacji zaakceptowane przez ESBC w odniesieniu do TARGET2 i TARGET2 Securities dla tych dwóch aplikacji.

(6) W dniu 29 września 2010 r. Rada Prezesów podjęła decyzję o rozpoczęciu projektu infrastruktury klucza publicznego ESBC w celu zbudowania i wdrożenia PKI ESBC oraz o przeznaczeniu na ten cel środków niezbędnych do jego pełnej realizacji. Rada Prezesów zdecydowała, że podmiotem odpowiedzialnym za stworzenie, hosting i obsługę PKI ESBC będzie Banco de España.

(7) PKI ESBC pośrednio wspiera wykonywanie zadań ESBC i Eurosystemu. Działanie PKI ESBC opera się na trzech poziomach zarządzania: na poziom 1 składa się Rada Prezesów i Zarząd, na poziom 2 - banki centralne Eurosystemu, na poziom 3 - dostarczający bank centralny.

(8) Na poziomie 1 Rada Prezesów jest odpowiedzialna za kierowanie i zarządzanie działaniami i świadczeniami niezbędnymi do opracowania i obsługi PKI ESBC, oraz ich kontrolowaniem. Radzie Prezesów przysługują także kompetencje decyzyjne w zakresie PKI ESBC oraz kompetencje do podejmowania decyzji o podziale zadań niezastrzeżonych wyraźnie do kompetencji poziomu 2 lub 3.

(9) Banki centralne Eurosystemu są odpowiedzialne za realizację zadań przypisanych poziomowi 2 w ramach ogólnych zasad określonych przez Radę Prezesów. Bankom centralnym Eurosystemu przysługują kompetencje w zakresie technicznych środków wdrożenia PKI ESBC.

(10) Wiodącą rolę w opracowaniu PKI ESBC ma Komitet ESBC ds. Informatyki. Komitet ESBC ds. Informatyki doradza, ocenia, kontroluje i zatwierdza świadczenia dostarczane w ramach projektu w kontekście kryteriów akceptacji zgodnie z zasadami akceptacji certyfikatów ESBC, zakresem i harmonogramem zatwierdzonym przez Radę Prezesów.

(11) Na poziomie 3 Banco de España został wyznaczony na dostarczający bank centralny wypełniający zadania przydzielone mu w ramach ogólnych zasad określonych przez Radę Prezesów. Dostarczający bank centralny wprowadził infrastrukturę techniczną oraz bezpieczne urządzenia i usługi niezbędne od opracowania i używania infrastruktury klucza publicznego zgodnie z: a) przepisami prawa krajowego stanowiącymi transpozycję dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych 1 , w zakresie mającym do niego zastosowanie; b) przepisami prawa krajowego stanowiącymi transpozycję dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 2 , w zakresie mającym do niego zastosowanie; oraz c) rozporządzeniem (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych 3 .

(12) Jako że certyfikaty elektroniczne są niezbędnym elementem wykorzystywanym w aplikacjach elektronicznych, zarówno jako mechanizm uwierzytelniania przy składaniu podpisów elektronicznych, jak i dla celów szyfrowania opartego na kluczu publicznym, PKI ESBC będzie obejmować istniejące elektroniczne aplikacje, systemy, platformy i usługi ESBC i Eurosystemu oraz realizowane obecnie projekty ESBC, w celu uwzględnienia ich potrzeb.

(13) Krajowe banki centralne (KBC) spoza strefy euro mogą zdecydować się na korzystanie z certyfikatów i usług dostarczanych przez PKI ESBC,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Definicje

Dla celów niniejszej decyzji użyte w niej określenia oznaczają:

1)
"certyfikat" lub "certyfikat elektroniczny" - wydany przez organ certyfikacji elektroniczny plik łączący klucz publiczny z tożsamością subskrybenta certyfikatu, używany do wszystkich lub niektórych z następujących celów: a) weryfikowania, czy klucz publiczny należy do subskrybenta certyfikatu; b) uwierzytelniania subskrybenta certyfikatu; c) sprawdzania podpisu subskrybenta certyfikatu; d) szyfrowania komunikatu adresowanego do subskrybenta certyfikatu; e) weryfikowania praw dostępu subskrybenta certyfikatu do elektronicznych aplikacji, systemów, platform i usług ESBC i Eurosystemu. Zawarte w niniejszej decyzji odniesienia do certyfikatu lub certyfikatu elektronicznego obejmują odniesienia do nośników danych, na których taki certyfikat lub certyfikat elektroniczny jest przechowywany;
2)
"elektroniczne aplikacje, systemy, platformy i usługi ESBC i Eurosystemu" - elektroniczne aplikacje, systemy, platformy i usługi wykorzystywane przez Eurosystem lub ESBC do wykonywania zadań powierzonych im na mocy Traktatu i Statutu ESBC;
3)
"infrastruktura klucza publicznego" - zbiór osób, polityk, procedur i systemów komputerowych niezbędnych do świadczenia usług uwierzytelniania, szyfrowania, integralności i niezaprzeczalności za pośrednictwem kryptografii klucza publicznego i prywatnego i certyfikatów elektronicznych;
4)
"użytkownik" - subskrybenta certyfikatu, stronę ufającą lub obydwa te podmioty;
5)
"uwierzytelnianie" - proces weryfikacji tożsamości podmiotu wnioskującego o certyfikat lub subskrybenta certyfikatu;
6)
"bank centralny ESBC" - bank centralny Eurosystemu lub KBC spoza strefy euro;
7)
"bank centralny Eurosystemu" - KBC państwa członkowskiego, którego walutą jest euro, w tym dostarczający bank centralny, lub EBC;
8)
"dostarczający bank centralny" - KBC wyznaczony przez Radę Prezesów do opracowania PKI ESBC oraz do świadczenia usług PKI ESBC w imieniu i na rzecz banków centralnych Eurosystemu;
9)
"KBC spoza strefy euro" - KBC państwa członkowskiego, którego walutą nie jest euro;
10) 4
 "organ certyfikacji PKI ESBC" - podmiot, który jest zaufanym podmiotem użytkowników w zakresie wydawania, unieważniania i odnawiania certyfikatów PKI ESBC lub zarządza nimi zgodnie z zasadami akceptacji certyfikatów ESBC/SSM;
11)
"organ walidacji PKI ESBC" - podmiot, który jest zaufanym podmiotem użytkowników w zakresie dostarczania informacji o ważności certyfikatów wydawanych przez organ certyfikacji PKI ESBC;
12)
"subskrybent certyfikatu" - osobę, która jest podmiotem certyfikatu elektronicznego i której wydano certyfikat elektroniczny, lub menedżera elementu technicznego, który zaakceptował certyfikat elektroniczny wydany przez organ certyfikacji PKI ESBC dla elementu technicznego, lub obydwa te podmioty;
13)
"zasady akceptacji certyfikatów ESBC" - kryteria ustanowione przez Komitet ESBC ds. Informatyki dla potrzeb identyfikacji organów certyfikacji, zarówno wewnętrznych, jak i spoza ESBC, które są zaufanymi organami w odniesieniu do elektronicznych aplikacji, systemów, platform i usług ESBC i Eurosystemu;
14)
"organ rejestracji" - organ, który jest zaufanym organem użytkowników w zakresie weryfikowania tożsamości podmiotu wnioskującego o certyfikat przed wydaniem certyfikatu przez organ certyfikacji PKI ESBC;
15)
"strona ufająca" - osobę lub podmiot niebędący subskrybentem certyfikatu, akceptujący certyfikat i ufający mu;
16)
"polityka audytu" - politykę audytu ESBC ustanowioną przez Radę Prezesów dnia 7 października 1998 r. i opublikowaną na stronie internetowej EBC 5 ;
17)
"podmiot wnioskujący o certyfikat" - osobę, która wnioskuje o wydanie certyfikatu dla siebie lub dla elementu technicznego;
18)
"element techniczny" - oprogramowanie lub sprzęt, który może być zidentyfikowany przy użyciu certyfikatu elektronicznego;
19. 6
 "właściwy organ" - właściwy organ krajowy albo EBC;
20. 7
 "właściwy organ krajowy" - właściwy organ krajowy w rozumieniu art. 2 pkt 2 rozporządzenia Rady (UE) nr 1024/2013 8 , w tym również, do celów niniejszej decyzji, krajowe banki centralne, którym powierzono niektóre zadania nadzorcze na mocy prawa krajowego i które nie zostały wyznaczone jako właściwe organy krajowe - w odniesieniu do powierzonych im zadań nadzorczych;
21. 9
 "organ współpracujący" - organ publiczny, inny niż bank centralny w ramach ESBC lub właściwy organ, z którym ESBC lub Jednolity Mechanizm Nadzorczy (SSM) współpracuje przy wykonywaniu zadań ESBC lub EBC na mocy rozporządzenia (UE) nr 1024/2013;
22. 10
 "uczestniczący właściwy organ" - właściwy organ, który korzysta z usług ESBC do celów współpracy z ESBC i innymi właściwymi organami w celu wykonywania swoich zadań w ramach Jednolitego Mechanizmu Nadzorczego (SSM) ustanowionego na mocy rozporządzenia (UE) nr 1024/2013.
Artykuł  2

Zakres

1. 
Niniejsza decyzja ustanawia ramy PKI ESBC. PKI ESBC jest własną infrastrukturą klucza publicznego Eurosystemu stworzoną przez dostarczający bank centralny w imieniu i na rzecz banków centralnych Eurosystemu, która wydaje, unieważnia i odnawia certyfikaty oraz zarządza nimi zgodnie z zasadami akceptacji certyfikatów ESBC.
2. 
Jako że usługi PKI ESBC mogą mieć wpływ na strony ufające, niniejsza decyzja określa także warunki, na jakich takie strony mogą ufać certyfikatom wydawanym przez PKI ESBC.
Artykuł  3

Zakres i cele PKI ESBC

1. 
Dostęp do elektronicznych aplikacji, systemów, platform i usług ESBC i Eurosystemu o poziomie znaczenia średnim lub wyższym niż średni i korzystanie z nich jest możliwe tylko dla użytkowników, którzy zostali uwierzytelnieni przez certyfikat elektroniczny wydany i obsługiwany przez organ certyfikacji zaakceptowany przez ESBC zgodnie z zasadami akceptacji certyfikatów ESBC, w tym przez organ certyfikacji PKI ESBC, lub przez organy certyfikacji zaakceptowane przez ESBC w odniesieniu do TARGET2 i TARGET2 Securities dla tych dwóch aplikacji.
2. 
Organ certyfikacji PKI ESBC wydaje certyfikaty elektroniczne i świadczy inne usługi certyfikacji elektronicznej na rzecz subskrybentów certyfikatu banków centralnych ESBC i podmiotów trzecich z nimi współpracujących w celu umożliwienia im bezpiecznego dostępu i wykorzystania elektronicznych aplikacji, systemów, platform i usług ESBC i Eurosystemu.
3. 
PKI ESBC świadczy następujące usługi certyfikacyjne:
a)
wydawanie, odnawianie i unieważnianie certyfikatów oraz potwierdzanie ważności certyfikatu w odniesieniu do różnych typów certyfikatów;
b)
wydawanie certyfikatów do uwierzytelniania, podpisów elektronicznych i szyfrowania, w odniesieniu do użytkowników z ESBC i spoza ESBC, oraz certyfikatów technicznych;
c)
odtwarzanie klucza prywatnego w celu odtworzenia zaszyfrowanych informacji opartych na kluczu publicznym w przypadku utraty certyfikatu;
d)
w razie potrzeby - dostarczanie tokenów kryptograficznych subskrybentom certyfikatu i zarządzanie tymi tokenami;
e)
przekazywanie informacji dotyczących procedur zarządzania certyfikatami PKI ESBC oraz wsparcie techniczne dla menedżerów projektu ESBC w zakresie zintegrowania certyfikatów PKI ESBC z ich aplikacjami.

W przyszłości możliwe jest dodanie innych usług wymaganych przez elektroniczne aplikacje, systemy, platformy i usługi ESBC i Eurosystemu.

Artykuł  4

Ramy PKI ESBC

1. 
Z zastrzeżeniem postanowień niniejszej decyzji obowiązki i funkcje dostarczającego banku centralnego i innych banków centralnych Eurosystemu w odniesieniu do wdrożenia, obsługi i wykorzystania PKI ESBC określa umowa pomiędzy poziomami 2 i 3, której uszczegółowieniem są polityki certyfikacji PKI ESBC oraz kodeks postępowania certyfikacyjnego PKI ESBC.
2. 
Umowa pomiędzy poziomami 2 i 3, która obejmuje umowę o gwarantowanym poziomie usług, zawiera porozumienia wynegocjowane pomiędzy dostarczającym bankiem centralnym a bankami centralnymi Eurosystemu w odniesieniu do obowiązków i funkcji dostarczającego banku centralnego i banków centralnych Eurosystemu. Umowę pomiędzy poziomami 2 i 3 przedstawia się do zatwierdzenia Radzie Prezesów, a następnie przekazuje do podpisania przez dostarczający bank centralny i banki centralne Eurosystemu.
3. 
Umowa o gwarantowanym poziomie usług jest zarówno umową określającą poziom usług świadczonych przez dostarczający bank centralny na rzecz Eurosystemu, jak i umową określającą poziom usług świadczonych przez Eurosystem na rzecz KBC spoza strefy euro i podmiotów trzecich, w odniesieniu do PKI ESBC.
4.  11
 Kodeks postępowania certyfikacyjnego PKI ESBC jest zbiorem zasad dotyczących okresu stosowania certyfikatów elektronicznych od początkowego wniosku do zakończenia lub unieważnienia subskrypcji, jak również stosunków pomiędzy podmiotem wnioskującym o certyfikat lub subskrybentem certyfikatu, organem certyfikacji PKI ESBC oraz stronami ufającymi. Kodeks postępowania certyfikacyjnego PKI ESBC dotyczy zarówno certyfikatów objętych zakresem dyrektywy 1999/93/WE i rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 12 , jak i certyfikatów elektronicznych nieobjętych zakresem tych aktów. Kodeks postępowania certyfikacyjnego PKI ESBC określa również role i obowiązki wszystkich stron i ustanawia procedury dotyczące wydawania certyfikatów i zarządzania nimi. Kodeks postępowania certyfikacyjnego PKI ESBC stanowi załącznik do umowy pomiędzy poziomami 2 i 3.
5. 
Polityki certyfikacji PKI ESBC są zbiorami zasad mających zastosowanie do każdego z typów wydawanych certyfikatów. Każdy z tych zbiorów określa szczegóły wdrożenia dotyczące kodeksu postępowania certyfikacyjnego PKI ESBC dla poszczególnych typów wydawanych certyfikatów. Polityki certyfikacji PKI ESBC stanowią załącznik do umowy pomiędzy poziomami 2 i 3.
6. 
Polityki certyfikacji PKI ESBC i kodeks postępowania certyfikacyjnego PKI ESBC publikuje się na stronie internetowej PKI ESBC 13 .
7. 
Informacje dotyczące organu certyfikacji PKI ESBC, w tym jego tożsamości oraz elementów technicznych, są zawarte w załączniku do niniejszej decyzji.
Artykuł  5

Obowiązki i role dostarczającego banku centralnego

1. 
Dostarczający bank centralny jest odpowiedzialny za obsługę i utrzymanie PKI ESBC na rzecz banków centralnych Eurosystemu, w tym hosting, obsługę i zarządzanie wykonywane zgodnie z umową pomiędzy poziomami 2 i 3. W szczególności dostarczający bank centralny dostarcza certyfikaty i świadczy usługi PKI ESBC w sposób zgodny z wymaganiami biznesowymi i specyfikacjami technicznymi, takimi jak zasady akceptacji certyfikatów ESBC oraz wymogi i specyfikacje określone w umowie pomiędzy poziomami 2 i 3.
2. 
Dostarczający bank centralny dostarcza wszelką infrastrukturę organizacyjną niezbędną do tworzenia i wydawania certyfikatów oraz zarządzania nimi oraz zapewnia utrzymywanie tej infrastruktury. W tym celu, w porozumieniu z Komitetem ESBC ds. Informatyki, dostarczający bank centralny może przyjmować regulaminy dotyczące swojej organizacji i administracji wewnętrznej.
3. 
Dostarczający bank centralny pełni funkcje organu certyfikacji PKI ESBC i organu walidacji PKI ESBC.
4. 
Zasady ponoszenia odpowiedzialności przez dostarczający bank centralny określa umowa pomiędzy poziomami 2 i 3.
Artykuł  6

Obowiązki i role banków centralnych Eurosystemu

1. 
Każdy z banków centralnych Eurosystemu jest odpowiedzialny za identyfikację swoich subskrybentów certyfikatów. Każdy z banków centralnych Eurosystemu tworzy stanowisko specjalisty ds. rejestracji odpowiedzialnego za realizację tego zadania, który dysponuje uprawnieniami do rejestrowania użytkowników będących osobami trzecimi.
2. 
Każdy z banków centralnych Eurosystemu jest stroną ufającą w odniesieniu do certyfikatów szyfrowania i podpisów elektronicznych wydanych przez PKI ESBC na rzecz innych banków centralnych Eurosystemu lub subskrybentów certyfikatów użytkowników będących osobami trzecimi.
3. 
Każdy z banków centralnych Eurosystemu korzystających z usług PKI ESBC jest organem rejestracji dla swoich podmiotów wnioskujących o certyfikat i zapewnia akceptację i stosowanie przez te podmioty warunków użytkownika zawartych we wniosku o udostępnienie usług organu certyfikacji PKI ESBC.
Artykuł  7

Stosunki pomiędzy bankami centralnymi Eurosystemu, osobami trzecimi i subskrybentami certyfikatów

Każdy z banków centralnych Eurosystemu zawiera porozumienia dotyczące bezpiecznego dostępu osób trzecich i stosowania elektronicznych aplikacji, systemów, platform i usług ESBC i Eurosystemu za pośrednictwem certyfikatów PKI ESBC. Porozumienia te regulują wyłącznie stosunki pomiędzy danym bankiem centralnym Eurosystemu a osobami trzecimi korzystającymi z certyfikatów PKI ESBC. Osoby trzecie są zobowiązane do przestrzegania polityk certyfikacji PKI ESBC, kodeksu postępowania certyfikacyjnego PKI ESBC oraz warunków użytkownika zawartych we wniosku o udostępnienie usług organu certyfikacji PKI ESBC.

Artykuł  8

Stosunki ze stronami ufającymi

Certyfikat elektroniczny wydany na podstawie niniejszej decyzji może być zaufanym certyfikatem, jeżeli strona ufająca:

a)
zweryfikuje ważność, zawieszenie lub unieważnienie certyfikatu korzystając z aktualnych informacji o statusie unieważnienia certyfikatu;
b)
uwzględni wszelkie ograniczenia używania określone w certyfikacie; oraz
c)
zaakceptuje kodeks postępowania certyfikacyjnego PKI ESBC oraz mające zastosowanie polityki certyfikacji PKI ESBC.
Artykuł  9

Prawa do PKI ESBC

1. 
PKI ESBC stanowi w pełni własność banków centralnych Eurosystemu.
2. 
W związku z powyższym dostarczający bank centralny udzieli bankom centralnym Eurosystemu, w zakresie możliwym zgodnie z mającymi zastosowanie przepisami prawa, wszelkich licencji obejmujących prawa własności intelektualnej, niezbędnych do umożliwienia korzystania przez banki centralne Eurosystemu z PKI ESBC i jego elementów oraz pełnego zakresu usług PKI ESBC, a także świadczenia usług PKI ESBC na rzecz osób trzecich zgodnie z kodeksem postępowania certyfikacyjnego PKI ESBC i politykami certyfikacji PKI ESBC. Dostarczający bank centralny pokryje bankom centralnym Eurosystemu wszelkie roszczenia podnoszone przez osoby trzecie z tytułu naruszenia wspomnianych praw własności intelektualnej.
3. 
Szczegółowe ustalenia dotyczące praw banków centralnych Eurosystemu do PKI ESBC zostaną uzgodnione pomiędzy poziomem 2 a poziomem 3 w umowie pomiędzy poziomami 2 i 3.
Artykuł  9a  14

Korzystanie z usług PKI ESBC przez organy współpracujące

1. 
Za zgodą Rady Prezesów organ współpracujący może korzystać z usług PKI ESBC w celu uzyskania dostępu do elektronicznych aplikacji, systemów, platform, baz danych i usług ESBC i Eurosystemu oraz korzystania z nich w celu współpracy z ESBC lub z SSM i może w tym celu działać jako organ rejestracji dla swoich użytkowników wewnętrznych.
2. 
Organy współpracujące, które zdecydują się na korzystanie z usług PKI ESBC, przedkładają Radzie Prezesów oświadczenie, w którym potwierdzają korzystanie z tych usług i akceptują wywiązywanie się ze związanych z takim korzystaniem obowiązków.
3. 
Organy współpracujące, które zdecydują się na korzystanie z usług PKI ESBC, przestrzegają obowiązujących ram prawnych, w tym umowy między poziomami 2 i 3.
Artykuł  10

Odpowiedzialność banków centralnych Eurosystemu względem użytkowników

1.  15
 Bank centralny Eurosystemu, o ile nie wykaże braku niedbalstwa, ponosi odpowiedzialność w ramach swoich funkcji i obowiązków w PKI ESBC za szkody poniesione przez użytkownika, który w uzasadniony sposób zaufał certyfikatowi kwalifikowanemu w rozumieniu dyrektywy 1999/93/WE i rozporządzenia (UE) nr 910/2014, w odniesieniu do:
a)
dokładności - w momencie wydania certyfikatu - wszelkich informacji zawartych w kwalifikowanym certyfikacie, oraz kwestii zawarcia w certyfikacie wszystkich szczegółów, jakie powinien zawierać certyfikat kwalifikowany zgodnie z dyrektywą 1999/93/WE i rozporządzeniem (UE) nr 910/2014;
b)
zagwarantowania, że w momencie wydania certyfikatu kwalifikowanego subskrybent certyfikatu w nim wskazany posiadał dane utworzenia podpisu odpowiadające danym weryfikacji podpisu podanym lub wskazanym w certyfikacie;
c)
zagwarantowania, że urządzenie do składania podpisu i urządzenie do weryfikacji podpisu funkcjonują wspólnie w sposób komplementarny, w przypadku gdy PKI ESBC generuje obydwa te składniki;
d)
nieudanego unieważnienia kwalifikowanego certyfikatu.
2. 
Poza przypadkami w sposób wyraźny wskazanymi w niniejszej decyzji oraz kodeksie postępowania certyfikacyjnego PKI ESBC banki centralne Eurosystemu nie podejmują wobec użytkowników zobowiązań, nie udzielają im gwarancji i nie ponoszą wobec nich odpowiedzialności.
Artykuł  11

Udział KBC spoza strefy euro w PKI ESBC

1. 
KBC spoza strefy euro może być organem rejestracji dla swoich użytkowników wewnętrznych oraz użytkowników będących osobami trzecimi, jak również może stworzyć stanowisko specjalisty ds. rejestracji odpowiedzialnego za realizację tego zadania.
2. 
Po uzyskaniu zgody Rady Prezesów KBC spoza strefy euro może także zdecydować się na korzystanie z usług PKI ESBC na tych samych warunkach, jakie mają zastosowanie do banków centralnych Eurosystemu. W tym celu KBC spoza strefy euro składa Radzie Prezesów deklarację, w której potwierdza, że będzie wypełniał obowiązki określone w niniejszej decyzji oraz umowie pomiędzy poziomami 2 i 3. KBC spoza strefy euro nie staje się współwłaścicielem PKI ESBC i nie jest zobowiązany do wnoszenia wkładu do ram finansowych PKI ESBC.
Artykuł  12

Ochrona danych

Banki centralne Eurosystemu są zobowiązane do przestrzegania przepisów w zakresie ochrony danych mających zastosowanie do przetwarzania przez nie danych osobowych w ramach wykonywania funkcji dotyczących PKI ESBC.

Artykuł  13

Audyt

Audyty PKI ESBC przeprowadza się zgodnie z zasadami i ustaleniami zawartymi w polityce audytu. Nie narusza to wewnętrznych kontroli i zasad audytu mających zastosowanie do banków centralnych Eurosystemu lub przez te banki ustanowionych.

Artykuł  14  16

Ustalenia finansowe

Uczestniczące banki centralne i uczestniczące właściwe organy ponoszą koszty opracowania i obsługi usług PKI ESBC zgodnie z określonymi zasadami dotyczącymi zwrotu kosztów, opartymi na kluczu alokacji kosztów, szczegółowo określonymi w kopertach finansowych PKI ESBC opartymi na mających zastosowanie regułach dotyczących zwrotu kosztów. Organy współpracujące partycypują w kosztach zgodnie ze szczególnymi zasadami zwrotu kosztów.

Artykuł  15

Rola Zarządu

1. 
Zgodnie z art. 17 ust. 3 decyzji ECB/2004/2 z dnia 19 lutego 2004 r. przyjmującej Regulamin Europejskiego Banku Centralnego 17  Rada Prezesów przekazuje Zarządowi swoje kompetencje regulacyjne do podejmowania środków mających na celu wykonanie niniejszej decyzji, niezbędnych do zapewnienia efektywności i bezpieczeństwa PKI ESBC, oraz do przyjmowania zmian dotyczących technicznych aspektów PKI ESBC i usług PKI ESBC, o których mowa w załącznikach do umowy pomiędzy poziomami 2 i 3, po uwzględnieniu opinii Komitetu ESBC ds. Informatyki oraz, w odpowiednich przypadkach, Komitetu Sterującego Eurosystemu ds. Informatyki.
2. 
Zarząd niezwłocznie zawiadamia Radę Prezesów o wszelkich środkach podejmowanych zgodnie z ust. 1 i stosuje się do wszelkich decyzji wydanych w tym zakresie przez Radę Prezesów.
Sporządzono we Frankfurcie nad Menem dnia 11 stycznia 2013 r.
Mario DRAGHI
Prezes EBC

ZAŁĄCZNIK 18  

Informacje dotyczące organu certyfikacji PKI ESBC, w tym jego tożsamości, oraz jego elementów technicznych

Organ certyfikacji PKI ESBC jest określony w swoim certyfikacie jako wydawca a jego prywatny klucz jest używany do podpisywania certyfikatów. Organ certyfikacji PKI ESBC jest właściwy w sprawach:
(i)
wydawania certyfikatów klucza publicznego i prywatnego;
(ii)
wydawania list unieważnionych certyfikatów;
(iii)
generowania par kluczy powiązanych z określonymi certyfikatami, np. tymi, które wymagają odtworzenia klucza;
(iv)
ponoszenia ogólnej odpowiedzialności za PKI ESBC i zapewnienia spełniania wszelkich wymogów niezbędnych do jego działania.

Organ certyfikacji PKI ESBC obejmuje wszystkie osoby, polityki, procedury i systemy komputerowe, którym powierzono wydawanie certyfikatów elektronicznych i przypisywanie ich subskrybentom certyfikatów.

Organ certyfikacji PKI ESBC obejmuje trzy elementy techniczne:

1.
Główny organ certyfikacji PKI ESBC (Root ESCB-PKI certification authority): ten organ certyfikacji, funkcjonujący na poziomie pierwszym, wydaje certyfikaty dla siebie oraz podlegających mu organów certyfikacji. Działa jedynie podczas wykonywania swoich wąsko zdefiniowanych zadań. Oto jego najważniejsze dane:
Distinguished name (identyfikator wyróżniający) CN = ESCB-PKI ROOT CA, O = EUROPEAN SYSTEM OF CENTRAL BANKS, C = EU
Serial numer (numer seryjny) 4431 9C5F 91E8 162F 4E00 73F6 6AB8 71D8
Distinguished name of issuer (identyfikator wyróżniający wydawcy) CN = ESCB-PKI ROOT CA, O = EUROPEAN SYSTEM OF CENTRAL BANKS, C = EU
Validity period (okres ważności) From 21-06-2011 12:35:34 to 21-06-2041 12:35:34
Message digest (SHA-1) (streszczenie wiadomości) 3663 2FBA FB19 BDBC A202 3994 1926 ED48 4D72 DD4B
Message digest (SHA-256) (streszczenie wiadomości) 7963 2A97 1D12 A889 9724 BB35 C37B 51D2 3E21 4DF9 20C3 2450 093E 0EA7 49FB AAEB
Algorytmy kryptograficzne SHA-256/RSA 4096
2.
Organ certyfikacji PKI ESBC online (Online ESCB-PKI certification authority): ten organ certyfikacji, funkcjonujący na poziomie drugim, podlega głównemu organowi certyfikacji PKI ESBC. Odpowiada on za wydawanie certyfikatów PKI ESBC użytkownikom. Organ ten wygasa w dniu 22 lipca 2026 r. Oto jego najważniejsze dane:
Distinguished name (identyfikator wyróżniający) CN = ESCB-PKI ONLINE CA, O = EUROPEAN SYSTEM OF CENTRAL BANKS, C = EU
Serial numer (numer seryjny) 660C 9B12 9A0 A 6C21 5509 38DD 54A0 ED2D
Distinguished name of issuer (identyfikator wyróżniający wydawcy) CN = ESCB-PKI ROOT CA, O = EUROPEAN SYSTEM OF CENTRAL BANKS, C = EU
Validity period (okres ważności) From 22-07-2011 12:46:35 to 22-07-2026 12:46:35
Message digest (SHA-1) (streszczenie wiadomości) E976 D216 4A5F 62DA C058 6BE0 EC10 EF24 36B8 12AC
Message digest (SHA-256) (streszczenie wiadomości) 1335 26DC 99E9 CC36 62F8 F5FA 2006 3005 BA90 E663 2BF3 4F18 A84B A39B

5FAA 5700
Algorytmy kryptograficzne SHA-256/RSA 4096
3.
Organ certyfikacji PKI ESBC online V1.2 (Online ESCB-PKI certification authority V1.2): ten organ certyfikacji, funkcjonujący na poziomie drugim, podlega głównemu organowi certyfikacji PKI ESBC. Odpowiada on za wydawanie certyfikatów PKI ESBC użytkownikom. Po 22 lipca 2026 r. - i aż do wygaśnięcia jego certyfikatu - jest on jedynym organem certyfikacji PKI ESBC online. Oto jego najważniejsze dane:
Distinguished name (identyfikator wyróżniający) CN = ESCB-PKI ONLINE CA V1.2, O = EUROPEAN SYSTEM OF CENTRAL BANKS, C = EU
Serial numer (numer seryjny) 1121 4958 04E1 E706 695D D1D1 2997 FAEF 6653
Distinguished name of issuer (identyfikator wyróżniający wydawcy) CN = ESCB-PKI ROOT CA, O = EUROPEAN SYSTEM OF CENTRAL BANKS, C = EU
Validity period (okres ważności) From 08-06-2023 17:07:00 to 08-06-2038 17:07:00
Message digest (SHA-1) (streszczenie wiadomości) DC92 042E 6316 CB60 F8F6 109B 8C43 F3C6 AF2F B2F3
Message digest (SHA-256) (streszczenie wiadomości) 96B7 8E9C F914 ED4D 072D 93C8 C531 DEEF D102 7571 7218 A202 0924

3216 99D8 1C48
Algorytmy kryptograficzne SHA-256/RSA 4096
1 Dz.U. L 13 z 19.1.2000, s. 12.
2 Dz.U. L 281 z 23.11.1995, s. 31.
3 Dz.U. L 8 z 12.1.2001, s. 1.
4 Art. 1 pkt 10 zmieniony przez art. 1 pkt 1 decyzji nr EBC/2015/46 ((UE) 2016/187) z dnia 11 grudnia 2015 r. (Dz.U.UE.L.2016.37.100) zmieniającej nin. decyzję z dniem 15 lutego 2016 r.
6 Art. 1 pkt 19 dodany przez art. 5 pkt 1 decyzji nr EBC/2022/34 (2022/1982) z dnia 10 października 2022 r. (Dz.U.UE.L.2022.272.29) zmieniającej nin. decyzję z dniem 9 listopada 2022 r.
7 Art. 1 pkt 20 dodany przez art. 5 pkt 1 decyzji nr EBC/2022/34 (2022/1982) z dnia 10 października 2022 r. (Dz.U.UE.L.2022.272.29) zmieniającej nin. decyzję z dniem 9 listopada 2022 r.
8 Rozporządzenie Rady (UE) nr 1024/2013 z dnia 15 października 2013 r. powierzające Europejskiemu Bankowi Centralnemu szczególne zadania w odniesieniu do polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi (Dz.U. L 287 z 29.10.2013, s. 63).
9 Art. 1 pkt 21 dodany przez art. 5 pkt 1 decyzji nr EBC/2022/34 (2022/1982) z dnia 10 października 2022 r. (Dz.U.UE.L.2022.272.29) zmieniającej nin. decyzję z dniem 9 listopada 2022 r.
10 Art. 1 pkt 22 dodany przez art. 5 pkt 1 decyzji nr EBC/2022/34 (2022/1982) z dnia 10 października 2022 r. (Dz.U.UE.L.2022.272.29) zmieniającej nin. decyzję z dniem 9 listopada 2022 r.
11 Art. 4 ust. 4 zmieniony przez art. 1 pkt 2 decyzji nr EBC/2015/46 ((UE) 2016/187) z dnia 11 grudnia 2015 r. (Dz.U.UE.L.2016.37.100) zmieniającej nin. decyzję z dniem 15 lutego 2016 r.
12 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73).
14 Art. 9a dodany przez art. 5 pkt 2 decyzji nr EBC/2022/34 (2022/1982) z dnia 10 października 2022 r. (Dz.U.UE.L.2022.272.29) zmieniającej nin. decyzję z dniem 9 listopada 2022 r.
15 Art. 10 ust. 1 zmieniony przez art. 1 pkt 3 decyzji nr EBC/2015/46 ((UE) 2016/187) z dnia 11 grudnia 2015 r. (Dz.U.UE.L.2016.37.100) zmieniającej nin. decyzję z dniem 15 lutego 2016 r.
16 Art. 14 zmieniony przez art. 5 pkt 3 decyzji nr EBC/2022/34 (2022/1982) z dnia 10 października 2022 r. (Dz.U.UE.L.2022.272.29) zmieniającej nin. decyzję z dniem 9 listopada 2022 r.
17 Dz.U. L 80 z 18.3.2004, s. 33.
18 Załącznik:

- zmieniony przez art. 1 pkt 4 decyzji nr EBC/2015/46 ((UE) 2016/187) z dnia 11 grudnia 2015 r. (Dz.U.UE.L.2016.37.100) zmieniającej nin. decyzję z dniem 15 lutego 2016 r.

- zmieniony przez art. 1 decyzji nr EBC/2024/26 (2024/2683) z dnia 8 października 2024 r. (Dz.U.UE.L.2024.2683) zmieniającej nin. decyzję z dniem 20 października 2024 r.

Zmiany w prawie

Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw
Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw

W ciągu pierwszych 5 miesięcy obowiązywania mechanizmu konsultacji społecznych projektów ustaw udział w nich wzięły 24 323 osoby. Najpopularniejszym projektem w konsultacjach była nowelizacja ustawy o broni i amunicji. W jego konsultacjach głos zabrało 8298 osób. Podczas pierwszych 14 miesięcy X kadencji Sejmu RP (2023–2024) jedynie 17 proc. uchwalonych ustaw zainicjowali posłowie. Aż 4 uchwalone ustawy miały źródła w projektach obywatelskich w ciągu 14 miesięcy Sejmu X kadencji – to najważniejsze skutki reformy Regulaminu Sejmu z 26 lipca 2024 r.

Grażyna J. Leśniak 24.04.2025
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą

Senat bez poprawek przyjął w środę ustawę, która obniża składkę zdrowotną dla przedsiębiorców. Zmiana, która wejdzie w życie 1 stycznia 2026 roku, ma kosztować budżet państwa 4,6 mld zł. Według szacunków Ministerstwo Finansów na reformie ma skorzystać około 2,5 mln przedsiębiorców. Teraz ustawa trafi do prezydenta Andrzaja Dudy.

Grażyna J. Leśniak 23.04.2025
Rząd organizuje monitoring metanu
Rząd organizuje monitoring metanu

Rada Ministrów przyjęła we wtorek, 22 kwietnia, projekt ustawy o zmianie ustawy – Prawo geologiczne i górnicze, przedłożony przez minister przemysłu. Chodzi o wyznaczenie podmiotu, który będzie odpowiedzialny za monitorowanie i egzekwowanie przepisów w tej sprawie. Nowe regulacje dotyczą m.in. dokładności pomiarów, monitorowania oraz raportowania emisji metanu.

Krzysztof Koślicki 22.04.2025
Rząd zaktualizował wykaz zakazanej kukurydzy
Rząd zaktualizował wykaz zakazanej kukurydzy

Na wtorkowym posiedzeniu rząd przyjął przepisy zmieniające rozporządzenie w sprawie zakazu stosowania materiału siewnego odmian kukurydzy MON 810, przedłożone przez ministra rolnictwa i rozwoju wsi. Celem nowelizacji jest aktualizacja listy odmian genetycznie zmodyfikowanej kukurydzy, tak aby zakazać stosowania w Polsce upraw, które znajdują się w swobodnym obrocie na terytorium 10 państw Unii Europejskiej.

Krzysztof Koślicki 22.04.2025
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem

Od 18 kwietnia policja oraz żandarmeria wojskowa będą mogły karać tych, którzy bez zezwolenia m.in. fotografują i filmują szczególnie ważne dla bezpieczeństwa lub obronności państwa obiekty resortu obrony narodowej, obiekty infrastruktury krytycznej oraz ruchomości. Obiekty te zostaną specjalnie oznaczone.

Robert Horbaczewski 17.04.2025
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia

Kompleksową modernizację instytucji polskiego rynku pracy poprzez udoskonalenie funkcjonowania publicznych służb zatrudnienia oraz form aktywizacji zawodowej i podnoszenia umiejętności kadr gospodarki przewiduje podpisana w czwartek przez prezydenta Andrzeja Dudę ustawa z dnia 20 marca 2025 r. o rynku pracy i służbach zatrudnienia. Ustawa, co do zasady, wejdzie w życie pierwszego dnia miesiąca następującego po upływie 14 dni od dnia ogłoszenia.

Grażyna J. Leśniak 11.04.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2013.74.30
Rodzaj: Decyzja
Tytuł: Decyzja EBC/2013/1 (2013/132/UE) ustanawiająca ramy infrastruktury klucza publicznego Europejskiego Systemu Banków Centralnych
Data aktu: 11/01/2013
Data ogłoszenia: 16/03/2013
Data wejścia w życie: 16/03/2013