9.9.2015 |
BG |
Официален вестник на Европейския съюз |
L 235/7 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2015/1502 НА КОМИСИЯТА
от 8 септември 2015 година
за определяне на минимални технически спецификации и процедури за нивата на осигуреност за средствата за електронна идентификация съгласно член 8, параграф 3 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (1), и по-специално член 8, параграф 3 от него,
като има предвид, че:
(1) |
Съгласно член 8 от Регламент (ЕС) № 910/2014 за всяка схема за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1, (наричана по-долу „нотифицирана схема“), трябва да се определят нива на осигуреност „ниско“, „значително“ и „високо“ за средствата за електронна идентификация, издадени по тази схема. |
(2) |
Определянето на минималните технически спецификации, стандарти и процедури е от съществено значение, за да се гарантира общоприето разбиране на данните за нивата на осигуреност, както и да се гарантира оперативната съвместимост при категоризирането на националните нива на осигуреност на нотифицираните схеми за електронна идентификация спрямо нивата на осигуреност съгласно член 8, както е предвидено в член 12, параграф 4, буква б) от Регламент (ЕС) № 910/2014. |
(3) |
Спецификациите и процедурите, посочени в настоящия акт за изпълнение, са съобразени с международния стандарт ISO/IEC 29115, тъй като той е основният международен стандарт в областта на нивата на осигуреност за средствата за електронна идентификация. Съдържанието на Регламент (ЕС) № 910/2014 обаче се различава от този международен стандарт, по-специално по отношение на изискванията за доказване и проверка на самоличността, както и в начина, по който са взети под внимание различията между разпоредбите на държавите членки за самоличността и съществуващите инструменти в ЕС за същата цел. Поради това приложението следва да се основава на този международен стандарт, но без позоваване към конкретно съдържание на ISO/IEC 29115. |
(4) |
Настоящият регламент беше разработен по основан на резултатите подход като най-подходящ за целта, което се отразява и в определенията за термини и понятия. Те са съобразени с целта на Регламент (ЕС) № 910/2014 по отношение на нивата на осигуреност на средствата за електронна идентификация. Поради това широкомащабният пилотен проект STORK, включително разработените по него спецификации, както и определенията и понятията в ISO/IEC 29115, следва да бъдат взети под особено внимание при установяването на спецификациите и процедурите, посочени в настоящия акт за изпълнение. |
(5) |
В зависимост от контекста, в който трябва да бъде проверен даден аспект на доказателството за самоличността, достоверните източници могат да са в множество различни форми, включително регистри, документи и органи. Достоверните източници могат да се различават в зависимост от държавата членка дори в сходен контекст. |
(6) |
Изискванията за доказване и проверка на самоличността следва да са съобразени с различните системи и практики, като същевременно се гарантира достатъчно висока осигуреност, за да се установи необходимото доверие. Поради това приемането на процедури, използвани преди за цел, различна от издаването на средства за електронна идентификация, следва да бъде обвързано с условия за потвърждение, че тези процедури отговарят на изискванията, предвидени за съответното ниво на осигуреност. |
(7) |
Обикновено за удостоверяване на автентичността се използват някои фактори като споделени тайни, физически устройства и физически характеристики. Следва да се насърчава обаче използването на по-голям брой фактори за удостоверяване на автентичността — особено на фактори от различни категории, за да да се повиши сигурността на процеса на удостоверяване на автентичността. |
(8) |
Настоящият регламент не следва да засяга правата за представителство на юридически лица. Въпреки това в приложението следва да са предвидени изисквания за обвързването между средствата за електронна идентификация на физически и юридически лица. |
(9) |
Следва да се отчете значението на системите за информационна сигурност и за управление на услуги, както и важността на използването на общоприети методики и на прилагането на принципите, заложени в стандарти като ISO/IEC 27000 и тези от серията ISO/IEC 20000. |
(10) |
Добрите практики във връзка с нивата на осигуреност в държавите членки също следва да бъдат взети предвид. |
(11) |
Сертифицирането на сигурността на информационните технологии (ИТ) на базата на международни стандарти е важен инструмент за проверка на това дали по отношение на сигурността продуктите отговарят на изискванията на настоящия акт за изпълнение. |
(12) |
Комитетът, посочен в член 48 от Регламент (ЕС) № 910/2014, не е представил становище в срока, определен от неговия председател, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
1. Нивата на осигуреност „ниско“, „значително“ и „високо“ за средствата за електронна идентификация, издадени по нотифицирана схема за електронна идентификация, се определят с позоваване на спецификациите и процедурите, посочени в приложението.
2. Спецификациите и процедурите, посочени в приложението, се използват за установяване на нивото на осигуреност на средствата за електронна идентификация, издадени по нотифицирана схема за електронна идентификация, като се определят надеждността и качеството на следните елементи:
а) |
вписването, както е посочено в раздел 2.1 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, буква а) от Регламент (ЕС) № 910/2014; |
б) |
управлението на средствата за електронна идентификация, както е посочено в раздел 2.2 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, букви б) и е) от Регламент (ЕС) № 910/2014; |
в) |
удостоверяването на автентичността, както е посочено в раздел 2.3 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, буква в) от Регламент (ЕС) № 910/2014; |
г) |
управлението и организацията, както е посочено в раздел 2.4 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, букви г) и д) от Регламент (ЕС) № 910/2014. |
3. Когато средството за електронна идентификация, издадено по нотифицирана схема за електронна идентификация, отговаря на изискване, посочено за по-високо ниво на осигуреност, тогава се счита, че средството изпълнява равностойното изискване за по-ниско ниво на осигуреност.
4. Освен ако е указано друго в съответната част на приложението, за съответствие със заявеното ниво на осигуреност трябва да са налице всички елементи, изброени в приложението за определено ниво на осигуреност на средствата за електронна идентификация, издадени по нотифицирана схема за електронна идентификация.
Член 2
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 8 септември 2015 година.
За Комисията
Председател
Jean-Claude JUNCKER
(1) ОВ L 257, 28.8.2014 г., стр. 73.
ПРИЛОЖЕНИЕ
Технически спецификации и процедури за нивата на осигуреност „ниско“, „значително“ и „високо“ за средства за електронна идентификация, издадени по нотифицирана схема за електронна идентификация
1. Приложими определения
За целите на наiстоящото приложение се прилагат следните определения:
1) |
„достоверен източник“ означава който и да е източник, независимо от неговата форма, на който може да се разчита за получаването на точни данни, информация и/или факти, които могат да бъдат използвани, за да се докаже самоличността; |
2) |
„фактор за удостоверяване на автентичността“ означава фактор, потвърден като свързан с дадено лице, който попада в една от следните категории:
|
3) |
„динамично удостоверяване на автентичността“ означава електронен процес, при който се използва криптография или друга техника, която осигурява начин за създаване по заявка на електронно потвърждение, че субектът контролира или притежава данните за идентификация, и който се променя с всяко удостоверяване на автентичността между субекта и системата, проверяваща самоличността на субекта; |
4) |
„система за управление на информационната сигурност“ означава набор от процеси и процедури, предназначени за управление до приемливи нива на рисковете, свързани с информационната сигурност. |
2. Технически спецификации и процедури
Елементите на техническите спецификации и процедури, описани в настоящото приложение, се използват, за да се определи по какъв начин изискванията и критериите съгласно член 8 от Регламент (ЕС) № 910/2014 да се прилагат за средствата за електронна идентификация, издадени по схема за електронна идентификация.
2.1. Вписване
2.1.1.
Ниво на осигуреност |
Необходими елементи |
||||||
Ниско |
|
||||||
Значително |
Същите, както за нивото „ниско“. |
||||||
Високо |
Същите, както за нивото „ниско“. |
2.1.2.
Ниво на осигуреност |
Необходими елементи |
||||||||||
Ниско |
|
||||||||||
Значително |
Трябва да бъдат изпълнени изискванията за нивото „ниско“, плюс една от алтернативите, изброени в точки 1—4:
|
||||||||||
Високо |
Трябва да бъдат изпълнени изискванията или на точка 1, или на точка 2:
|
2.1.3.
Ниво на осигуреност |
Необходими елементи |
||||||
Ниско |
|
||||||
Значително |
Трябва да бъдат изпълнени изискванията за нивото „ниско“, плюс една от алтернативите, изброени в точки 1—3:
|
||||||
Високо |
Трябва да бъдат изпълнени изискванията за нивото „значително“, плюс една от алтернативите, изброени в точки 1—3:
|
2.1.4.
Когато е приложимо, за свързването между средствата за електронна идентификация на физическо лице и средствата за електронна идентификация на юридическо лице (наричано по-долу „свързването“) са в сила следните условия:
1) |
Трябва да е възможно да се прекрати временно и/или отмени свързването. Жизненият цикъл на свързването (например активиране, временно спиране, подновяване, отмяна) се управлява съгласно национално признати процедури. |
2) |
Физическото лице, чието средство за електронна идентификация е свързано със средство за електронна идентификация на юридическото лице, може да делегира упражняването на свързването с друго физическо лице въз основа на национално признати процедури. Делегиращото физическо лице обаче продължава да носи отговорността. |
3) |
Свързването се извършва по следния начин:
|
2.2. Управление на средствата за електронна идентификация
2.2.1.
Ниво на осигуреност |
Необходими елементи |
||||
Ниско |
|
||||
Значително |
|
||||
Високо |
Както за ниво „значително“, плюс:
|
2.2.2.
Ниво на осигуреност |
Необходими елементи |
Ниско |
След издаването му средството за електронна идентификация се предоставя по начин, за който може да се приеме, че гарантира получаване единствено от лицето, за което е предназначено. |
Значително |
След издаването на средството за електронна идентификация то се предоставя по начин, за който може да се приеме, че гарантира получаване единствено от лицето, на което принадлежи. |
Високо |
В процеса на активиране се проверява дали средството за електронна идентификация е било получено единствено от лицето, на което принадлежи. |
2.2.3.
Ниво на осигуреност |
Необходими елементи |
||||||
Ниско |
|
||||||
Значително |
Същите, както за нивото „ниско“. |
||||||
Високо |
Същите, както за нивото „ниско“. |
2.2.4.
Ниво на осигуреност |
Необходими елементи |
Ниско |
Като се вземат предвид рисковете от промяна в данните за идентификация на лицето, подновяването или замяната трябва да отговарят на същите изисквания за осигуреност, както първоначалното доказване и проверка на самоличността, или да се основава на валидно средство за електронна идентификация със същото или по-високо ниво на осигуреност. |
Значително |
Същите, както за нивото „ниско“. |
Високо |
Както за ниво „ниско“, плюс: Когато подновяването или замяната се основава на валидно средство за електронна идентификация, данните за самоличността се проверяват чрез достоверен източник. |
2.3. Удостоверяване на автентичността
Настоящият раздел е посветен на заплахите, свързани с използването на механизма за удостоверяване на автентичността, и се изброяват изискванията за всяко ниво на осигуреност. За контролните мерки по настоящия раздел се подразбира, че те трябва да бъдат съизмерими с рисковете за даденото ниво.
2.3.1.
В таблицата по-долу са посочени изискванията за отделните нива на осигуреност по отношение на механизма за удостоверяване на автентичността, чрез който физическото или юридическото лице използва средството за електронна идентификация, за да потвърди своята самоличност пред доверяваща се страна.
Ниво на осигуреност |
Необходими елементи |
||||||
Ниско |
|
||||||
Значително |
Както за ниво „ниско“, плюс:
|
||||||
Високо |
Както за ниво „значително“, плюс: Механизмът за удостоверяване на автентичността осъществява контролни мерки за сигурност за проверката на средството за електронна идентификация, така че е много малко вероятно нападател с голям потенциал за атака да може чрез дейности като налучкване, подслушване, възпроизвеждане или манипулиране на комуникацията да злоупотреби с механизма за удостоверяване на автентичността. |
2.4. Управление и организация
Всички участници, предоставящи услуга, свързани с електронната идентификация в трансграничен контекст (наричани по-долу „доставчици“), трябва да разполагат с документирани практики и политики за управление на информационната сигурност, подходи за управление на риска и други признати контролни мерки, така че да предоставят гаранции пред компетентните органи по управление за схеми за електронна идентификация в съответните държави членки, че са налице ефективни практики. За всички изисквания/елементи в целия раздел 2.4 се подразбира, че те трябва да бъдат съизмерими с рисковете за даденото ниво.
2.4.1.
Ниво на осигуреност |
Необходими елементи |
||||||||||
Ниско |
|
||||||||||
Значително |
Същите, както за нивото „ниско“. |
||||||||||
Високо |
Същите, както за нивото „ниско“. |
2.4.2.
Ниво на осигуреност |
Необходими елементи |
||||||
Ниско |
|
||||||
Значително |
Същите, както за нивото „ниско“. |
||||||
Високо |
Същите, както за нивото „ниско“. |
2.4.3.
Ниво на осигуреност |
Необходими елементи |
Ниско |
За управлението и контрола на рисковете, свързани със сигурността на информацията, съществува ефективна система за управление на информационната сигурност. |
Значително |
Както за ниво „ниско“, плюс: Системата за управление на информационната сигурност е съобразена с изпитани стандарти или принципи за управление и контрол на рисковете, свързани със сигурността на информацията. |
Високо |
Същите, както за нивото „значително“. |
2.4.4.
Ниво на осигуреност |
Необходими елементи |
||||
Ниско |
|
||||
Значително |
Същите, както за нивото „ниско“. |
||||
Високо |
Същите, както за нивото „ниско“. |
2.4.5.
В следващата таблица са посочени изискванията по отношение на съоръженията и персонала и, ако е приложимо, подизпълнителите, които поемат задължения, обхванати от настоящия регламент. Спазването на всяко от изискванията трябва да е пропорционално на степента на рисковете, свързани с предоставяното ниво на осигуреност.
Ниво на осигуреност |
Необходими елементи |
||||||||
Ниско |
|
||||||||
Значително |
Същите, както за нивото „ниско“. |
||||||||
Високо |
Същите, както за нивото „ниско“. |
2.4.6.
Ниво на осигуреност |
Необходими елементи |
||||||||||
Ниско |
|
||||||||||
Значително |
Същите, както за нивото „ниско“, плюс: Ако за издаване на средства за електронна идентификация и за удостоверяване на автентичност се използва чувствителен криптографски материал, той е защитен срещу подправяне. |
||||||||||
Високо |
Същите, както за нивото „значително“. |
2.4.7.
Ниво на осигуреност |
Необходими елементи |
||||
Ниско |
Наличие на периодични вътрешни одити, обхващащи всички части, които са от значение за предоставянето на услугите, за да се гарантира спазването на съответната политика. |
||||
Значително |
Наличие на периодични независими вътрешни или външни одити, обхващащи всички части, които са от значение за предоставянето на услугите, за да се гарантира спазването на съответната политика. |
||||
Високо |
|
(1) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).