9.9.2015 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 235/7 |
REGOLAMENT TA' IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2015/1502
tat-8 ta' Settembru 2015
li jistabbilixxi speċifikazzjonijiet tekniċi u proċeduri minimi għal-livelli ta' assigurazzjoni għall-mezzi ta' identifikazzjoni elettronika skont l-Artikolu 8(3) tar-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal tranżazzjonijiet elettroniċi fis-suq intern
(Test b'rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta' Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal tranżazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (1), u b'mod partikolari l-Artikolu 8(3) tiegħu,
Billi:
(1) |
L-Artikolu 8 tar-Regolament (UE) Nru 910/2014 jistipula li skema ta' identifikazzjoni elettronika nnotifikata skont l-Artikolu 9(1) jeħtiġilha tispeċifika l-livelli ta' assigurazzjoni baxx, sostanzjali u għoli għall-mezzi ta' identifikazzjoni elettronika maħruġa skont dik l-iskema. |
(2) |
Id-determinazzjoni tal-ispeċifikazzjonijiet tekniċi, l-istandards u l-proċeduri minimi hija essenzjali biex jiġi żgurat il-fehim komuni tad-dettalji tal-livelli ta' assigurazzjoni, u biex tiġi żgurata l-interoperabbiltà fl-immappjar tal-livelli nazzjonali ta' assigurazzjoni tal-iskemi ta' identifikazzjoni elettronika nnotifikati mal-livelli ta' assigurazzjoni skont l-Artikolu 8, kif stipulat mill-Artikolu 12(4)(b) tar-Regolament (UE) Nru 910/2014. |
(3) |
Għall-ispeċifikazzjonijiet u l-proċeduri stabbiliti f'dan l-att ta' implimentazzjoni tqies l-istandard internazzjonali ISO/IEC 29115 bħala l-istandard internazzjonali ewlieni disponibbli fil-qasam tal-livelli ta' assigurazzjoni għall-mezzi ta' identifikazzjoni elettronika. Madankollu, il-kontenut tar-Regolament (UE) Nru 910/2014 ivarja minn dak tal-istandard internazzjonali, partikularment b'rabta mar-rekwiżiti tal-għoti ta' provi tal-identità u mar-rekwiżiti tal-verifika, kif ukoll b'rabta mal-mod kif jitqiesu d-differenzi bejn l-arranġamenti tal-Istati Membri marbutin mal-identità u l-għodod eżistenti fl-UE għall-istess għan. Għaldaqstant, filwaqt li jibni fuq dan l-istandard internazzjonali, l-Anness ma għandu jirreferi għall-ebda kontenut speċifiku tal-istandard ISO/IEC 29115. |
(4) |
Dan ir-Regolament tfassal b'approċċ imsejjes fuq ir-riżultati, li huwa l-iktar approċċ xieraq, u dan huwa rifless ukoll fid-definizzjonijiet użati biex jiġu speċifikati t-termini u l-kunċetti. Dawn it-terminu u l-kunċetti jqisu l-mira tar-Regolament (UE) Nru 910/2014 b'rabta mal-livelli ta' assigurazzjoni tal-mezzi ta' identifikazzjoni elettronika. Għaldaqstant, meta jiġu stabbiliti l-ispeċifikazzjonijiet u l-proċeduri stipulati f'dan l-att ta' implimentazzjoni għandhom jitqiesu fil-fond il-Proġett Pilota fuq Skala Kbira STORK, inklużi l-ispeċifikazzjonijiet żviluppati permezz tiegħu, kif ukoll id-definizzjonijiet u l-kunċetti mogħtija fl-istandard ISO/IEC 29115. |
(5) |
Skont il-kuntest li fih aspett ta' evidenza tal-identità jkun jeħtieġ li jiġi vverifikat, is-sorsi awtorevoli jistgħu jieħdu diversi suriet, bħal reġistri, dokumenti jew entitajiet, fost l-oħrajn. Is-sorsi awtorevoli jistgħu jvarjaw fost l-Istati Membri, anki f'kuntest simili. |
(6) |
Ir-rekwiżiti għall-għoti ta' provi tal-identità u għall-verifika għandhom iqisu sistemi u prattiki differenti, filwaqt li jiżguraw assigurazzjoni għolja biżżejjed sabiex jiksbu l-fiduċja meħtieġa. Għaldaqstant, l-aċċettazzjoni ta' proċeduri użati qabel għal għanijiet oħra minbarra l-ħruġ ta' mezzi ta' identifikazzjoni elettronika għandha tkun tiddependi fuq il-fatt li tingħata konferma li dawk il-proċeduri jissodisfaw ir-rekwiżiti previsti għal-livell ta' assigurazzjoni korrispondenti. |
(7) |
Is-soltu jintużaw ċerti fatturi ta' awtentikazzjoni, fosthom sigrieti maqsuma, tagħmir fiżiku u attributi fiżiċi. Madankollu, għandu jitħeġġeġ l-użu ta' għadd ikbar ta' fatturi ta' awtentikazzjoni, speċjalment minn kategoriji ta' fatturi differenti, sabiex tiżdied is-sigurtà tal-proċess ta' awtentikazzjoni. |
(8) |
Dan ir-Regolament ma għandux jolqot id-drittijiet ta' rappreżentanza tal-persuni ġuridiċi. Madankollu, l-Anness għandu jistipula rekwiżiti għar-rabta bejn il-mezzi ta' identifikazzjoni elettronika tal-persuni fiżiċi u ġuridiċi. |
(9) |
L-importanza tas-sistemi tas-sigurtà tal-informazzjoni u tal-ġestjoni tas-servizzi għandha tiġi rrikonoxxuta, bħalma għandha tiġi rrikonoxxuta wkoll l-importanza li jintużaw metodoloġiji rrikonoxxuti u li jiġu applikati l-prinċipji minquxa fi standards bħall-ISO/IEC 27000 u s-sensiela tal-ISO/IEC 20000. |
(10) |
Għandhom jitqiesu wkoll prattiki tajbin marbutin mal-livelli ta' assigurazzjoni fl-Istati Membri. |
(11) |
Iċ-ċertifikazzjoni tas-sigurtà tal-informatika abbażi ta' standards internazzjonali hija għodda importanti biex tiġi vverifikata l-konformità tas-sigurtà tal-prodotti mar-rekwiżiti ta' dan l-att ta' implimentazzjoni. |
(12) |
Il-Kumitat imsemmi fl-Artikolu 48 tar-Regolament (UE) Nru 910/2014 ma tax l-opinjoni tiegħu fil-limitu taż-żmien stabbilit mill-President tiegħu, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
1. Il-livelli ta' assigurazzjoni baxx, sostanzjali u għoli għall-mezzi ta' identifikazzjoni elettronika maħruġa fil-qafas ta' skema ta' identifikazzjoni elettronika nnotifikata għandhom jiġu stabbiliti b'referenza għall-ispeċifikazzjonijiet u l-proċeduri stipulati fl-Anness.
2. L-ispeċifikazzjonijiet u l-proċeduri stipulati fl-Anness għandhom jintużaw biex jispeċifikaw il-livell ta' assigurazzjoni tal-mezzi ta' identifikazzjoni elettronika maħruġa fil-qafas ta' skema ta' identifikazzjoni elettronika nnotifikata billi jiġu stabbiliti l-elementi li ġejjin tal-affidabbiltà u tal-kwalità:
(a) |
ir-reġistrazzjoni, kif stipulat fit-taqsima 2.1 tal-Anness ta' dan ir-Regolament skont l-Artikolu 8(3)(a) tar-Regolament (UE) Nru 910/2014; |
(b) |
il-ġestjoni tal-mezzi ta' identifikazzjoni elettronika, kif stipulat fit-taqsima 2.2 tal-Anness ta' dan ir-Regolament skont l-Artikolu 8(3)(b) u (f) tar-Regolament (UE) Nru 910/2014; |
(c) |
l-awtentikazzjoni, kif stipulat fit-taqsima 2.3 tal-Anness ta' dan ir-Regolament skont l-Artikolu 8(3)(c) tar-Regolament (UE) Nru 910/2014; |
(d) |
il-ġestjoni u l-organizzazzjoni, kif stipulat fit-taqsima 2.4 tal-Anness ta' dan ir-Regolament skont l-Artikolu 8(3)(d) u (e) tar-Regolament (UE) Nru 910/2014. |
3. Fejn il-mezzi ta' identifikazzjoni elettronika maħruġa fil-qafas ta' skema ta' identifikazzjoni elettronika nnotifikata jissodisfaw rekwiżit elenkat f'livell ta' assigurazzjoni għoli, għandu jiġi preżunt li dawn jissodisfaw ir-rekwiżit ekwivalenti ta' livell ta' assigurazzjoni iktar baxx.
4. Sakemm ma jkunx indikat mod ieħor fil-parti rilevanti tal-Anness, l-elementi kollha elenkati fl-Anness għal livell ta' assigurazzjoni partikulari tal-mezzi ta' identifikazzjoni elettronika maħruġa fil-qafas ta' skema ta' identifikazzjoni elettronika nnotifikata għandhom jiġu ssodisfati sabiex jintlaħaq il-livell ta' assigurazzjoni mitlub.
Artikolu 2
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara l-pubblikazzjoni tiegħu f'Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, it-8 ta' Settembru 2015.
Għall-Kummissjoni
Il-President
Jean-Claude JUNCKER
(1) ĠU L 257, 28.8.2014, p. 73.
ANNESS
Speċifikazzjonijiet tekniċi u proċeduri għal-livelli ta' assigurazzjoni baxx, sostanzjali u għoli għall-mezzi ta' identifikazzjoni elettronika maħruġa fil-qafas ta' skema ta' identifikazzjoni elettronika nnotifikata
1. Definizzjonijiet applikabbli
Għall-finijiet ta' dan l-Anness, japplikaw id-definizzjonijiet li ġejjin:
(1) |
“sors awtorevoli” tfisser kull sors li wieħed jista' joqgħod fuqu biex jipprovdi dejta, informazzjoni u/jew evidenza preċiża li tista' tintuża biex tagħti prova ta' identità, irrispettivament mill-forma tiegħu; |
(2) |
“fattur ta' awtentikazzjoni” tfisser fattur ikkonfermat li huwa marbut ma' persuna, li jaqa' f'waħda mill-kategoriji li ġejjin:
|
(3) |
“awtentikazzjoni dinamika” tfisser proċess elettroniku li juża l-kriptografija jew tekniki oħra biex jipprovdi mezz biex, fuq talba, tinħoloq prova elettronika li s-suġġett għandu fil-kontroll jew fil-pussess tiegħu d-dejta ta' identifikazzjoni, u li tinbidel ma' kull awtentikazzjoni bejn is-suġġett u s-sistema li tkun qed tivverifika l-identità tas-suġġett; |
(4) |
“sistema ta' ġestjoni tas-sigurtà tal-informazzjoni” tfisser sett ta' proċessi u proċeduri ddisinjati biex jamministraw, sa livelli aċċettabbli, ir-riskji marbutin mas-sigurtà tal-informazzjoni. |
2. Speċifikazzjonijiet tekniċi u proċeduri
L-elementi tal-ispeċifikazzjonijiet tekniċi u tal-proċeduri mfassla f'dan l-Anness għandhom jintużaw biex jiġi stabbilit kif ir-rekwiżiti u l-kriterji tal-Artikolu 8 tar-Regolament (UE) Nru 910/2014 għandhom jiġu applikati għall-mezzi ta' identifikazzjoni elettronika maħruġa skont skema ta' identifikazzjoni elettronika.
2.1. Reġistrazzjoni
2.1.1.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||
Baxx |
|
||||||
Sostanzjali |
L-istess bħal-livell baxx. |
||||||
Għoli |
L-istess bħal-livell baxx. |
2.1.2.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||||||
Baxx |
|
||||||||||
Sostanzjali |
Għandhom jintlaħqu r-rekwiżiti tal-livell baxx u waħda mill-alternattivi elenkati fil-punti 1 sa 4:
|
||||||||||
Għoli |
Għandhom jintlaħqu r-rekwiżiti tal-punt 1 jew tal-punt 2:
|
2.1.3.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||
Baxx |
|
||||||
Sostanzjali |
Għandhom jintlaħqu r-rekwiżiti tal-livell baxx u waħda mill-alternattivi elenkati fil-punti 1 sa 3:
|
||||||
Għoli |
Għandhom jintlaħqu r-rekwiżiti tal-livell sostanzjali, u waħda mill-alternattivi elenkati fil-punti 1 sa 3:
|
2.1.4.
Fejn applikabbli, għar-rabta bejn il-mezz ta' identifikazzjoni elettronika ta' persuna fiżika u l-mezz ta' identifikazzjoni elettronika ta' persuna ġuridika (minn hawn 'il quddiem “ir-rabta”), japplikaw il-kundizzjonijiet li ġejjin:
(1) |
Għandu jkun possibbli li rabta tiġi sospiża u/jew li din titħassar. Iċ-ċiklu tal-ħajja ta' rabta (pereżempju l-attivazzjoni, is-sospensjoni, it-tiġdid, ir-revoka) għandu jiġi amministrat skont proċeduri rrikonoxxuti fil-livell nazzjonali. |
(2) |
Il-persuna fiżika li l-mezz ta' identifikazzjoni elettronika tagħha huwa marbut mal-mezz ta' identifikazzjoni elettronika tal-persuna ġuridika tista' tiddelega l-eżerċizzju tar-rabta lil persuna fiżika oħra abbażi ta' proċeduri rrikonoxxuti fil-livell nazzjonali. Madankollu, il-persuna fiżika li tiddelega għandha tibqa' responsabbli għal din ir-rabta. |
(3) |
Ir-rabta għandha ssir kif ġej:
|
2.2. Il-ġestjoni tal-mezzi ta' identifikazzjoni elettronika
2.2.1.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||
Baxx |
|
||||
Sostanzjali |
|
||||
Għoli |
Il-livell sostanzjali, kif ukoll:
|
2.2.2.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
Baxx |
Wara li jinħareġ, il-mezz ta' identifikazzjoni elettronika jitwassal b'mekkaniżmu li bis-saħħa tiegħu wieħed jista' jassumi li l-mezz jasal biss għand il-persuna li għalih huwa maħsub. |
Sostanzjali |
Wara li jinħareġ, il-mezz ta' identifikazzjoni elettronika jitwassal b'mekkaniżmu li bis-saħħa tiegħu wieħed jista' jassumi li l-mezz jasal biss fil-pussess tal-persuna detentriċi tiegħu. |
Għoli |
Il-proċess ta' attivazzjoni jivverifika li l-mezz ta' identifikazzjoni elettronika twassal biss fil-pussess tal-persuna detentriċi tiegħu. |
2.2.3.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||
Baxx |
|
||||||
Sostanzjali |
L-istess bħal-livell baxx. |
||||||
Għoli |
L-istess bħal-livell baxx. |
2.2.4.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
Baxx |
Fid-dawl tar-riskji ta' bidla fid-dejta tal-identifikazzjoni ta' persuna, it-tiġdid jew is-sostituzzjoni tal-mezz għandhom jilħqu l-istess rekwiżiti tal-assigurazzjoni bħall-għoti ta' prova tal-identità u l-verifika inizjali, jew jissejsu fuq mezz ta' identifikazzjoni elettronika validu tal-istess livell ta' assigurazzjoni jew ta' livell ogħla. |
Sostanzjali |
L-istess bħal-livell baxx. |
Għoli |
Il-livell baxx, kif ukoll: Fejn it-tiġdid jew is-sostituzzjoni jissejsu fuq mezz ta' identifikazzjoni elettronika validu, id-dejta tal-identità tiġi vverifikata minn sors awtorevoli. |
2.3. Awtentikazzjoni
Din it-taqsima tiffoka fuq it-theddid marbut mal-użu tal-mekkaniżmu ta' awtentikazzjoni, u telenka r-rekwiżiti għal kull livell ta' assigurazzjoni. F'din it-taqsima, il-kontrolli għandhom jinftehmu li huma proporzjonati mar-riskji li hemm fil-livell speċifiku.
2.3.1.
It-tabella li ġejja tistipula r-rekwiżiti għal kull livell ta' assigurazzjoni fir-rigward tal-mekkaniżmu ta' awtentikazzjoni, li permezz tiegħu l-persuna fiżika jew ġuridika tuża l-mezz ta' identifikazzjoni elettronika biex tikkonferma l-identità tagħha lil parti dipendenti.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||
Baxx |
|
||||||
Sostanzjali |
Il-livell baxx, kif ukoll:
|
||||||
Għoli |
Il-livell sostanzjali, kif ukoll: Il-mekkaniżmu ta' awtentikazzjoni jimplimenta kontrolli tas-sigurtà għall-verifika tal-mezz ta' identifikazzjoni elettronika, u għalhekk huwa tassew improbabbli li attivitajiet bħall-indovnar, it-tismigħ, ir-riproduzzjoni jew il-manipulazzjoni tal-komunikazzjoni minn attakkant b'potenzjal għoli ta' attakk jistgħu jqarrqu bih. |
2.4. Ġestjoni u organizzazzjoni
Il-parteċipanti kollha li jipprovdu servizz marbut mal-identifikazzjoni elettronika f'kuntest transfruntier (“il-fornituri”) għandu jkollhom implimentati prattiki ta' ġestjoni tas-sigurtà tal-informazzjoni u politiki u approċċi tal-ġestjoni tar-riskji marbutin ma' dan li jkunu ddokumentati, kif ukoll kontrolli rrikonoxxuti oħrajn sabiex jiżguraw lill-entitajiet governattivi responsabbli għall-iskemi ta' identifikazzjoni elettronika fl-Istati Membri rispettivi li hemm fis-seħħ prattiki effettivi. Tul it-taqsima 2.4, kull rekwiżit u element għandu jinftiehem li huwa proporzjonat mar-riskji li hemm fil-livell speċifiku.
2.4.1.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||||||
Baxx |
|
||||||||||
Sostanzjali |
L-istess bħal-livell baxx. |
||||||||||
Għoli |
L-istess bħal-livell baxx. |
2.4.2.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||
Baxx |
|
||||||
Sostanzjali |
L-istess bħal-livell baxx. |
||||||
Għoli |
L-istess bħal-livell baxx. |
2.4.3.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
Baxx |
Hemm sistema effettiva ta' ġestjoni tas-sigurtà tal-informazzjoni għall-ġestjoni u l-kontroll tar-riskji għas-sigurtà tal-informazzjoni. |
Sostanzjali |
Il-livell baxx, kif ukoll: Is-sistema ta' ġestjoni tas-sigurtà tal-informazzjoni tikkonforma ma' standards jew ma' prinċipji ppruvati għall-ġestjoni u l-kontroll tar-riskji għas-sigurtà tal-informazzjoni. |
Għoli |
L-istess bħal-livell sostanzjali. |
2.4.4.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||
Baxx |
|
||||
Sostanzjali |
L-istess bħal-livell baxx. |
||||
Għoli |
L-istess bħal-livell baxx. |
2.4.5.
It-tabella li ġejja tirrappreżenta r-rekwiżiti marbutin mal-faċilitajiet u l-persunal u s-sottokuntratturi, fejn applikabbli, li jwettqu kompiti koperti minn dan ir-Regolament. Il-konformità ma' kull wieħed minn dawn ir-rekwiżiti għandha tkun proporzjonata mal-livell tar-riskju marbut mal-livell ta' assigurazzjoni mogħti.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||||
Baxx |
|
||||||||
Sostanzjali |
L-istess bħal-livell baxx. |
||||||||
Għoli |
L-istess bħal-livell baxx. |
2.4.6.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||||||||
Baxx |
|
||||||||||
Sostanzjali |
L-istess bħal-livell baxx, kif ukoll: Il-materjal kriptografiku sensittiv, jekk jintuża għall-ħruġ ta' mezzi ta' identifikazzjoni elettroniku u għall-awtentikazzjoni, huwa protett mit-tbagħbis. |
||||||||||
Għoli |
L-istess bħal-livell sostanzjali. |
2.4.7.
Livell ta' assigurazzjoni |
Elementi meħtieġa |
||||
Baxx |
L-eżistenza ta' awditjar perjodiku intern, mifrux biex jinkludi l-partijiet kollha rilevanti għall-provvista tas-servizzi mogħtija sabiex tiġi żgurata l-konformità mal-politika rilevanti. |
||||
Sostanzjali |
L-eżistenza ta' awditjar perjodiku indipendenti intern jew estern, mifrux biex jinkludi l-partijiet kollha rilevanti għall-provvista tas-servizzi mogħtija sabiex tiġi żgurata l-konformità mal-politika rilevanti. |
||||
Għoli |
|
(1) Ir-Regolament (KE) Nru 765/2008 tal-Parlament Ewropew u tal-Kunsill tad-9 ta' Lulju 2008 li jistabbilixxi r-rekwiżiti għall-akkreditament u għas-sorveljanza tas-suq relatati mal-kummerċjalizzazzjoni ta' prodotti, u li jħassar ir-Regolament tal-Kunsill (KEE) Nru 339/93 (ĠU L 218, 13.8.2008, p. 30).