EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Vykonávacie nariadenie Komisie (EÚ) 2015/1502 z 8. septembra 2015, ktorým sa stanovujú minimálne technické špecifikácie a postupy pre úrovne zabezpečenia prostriedkov elektronickej identifikácie podľa článku 8 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (Text s významom pre EHP)
Vykonávacie nariadenie Komisie (EÚ) 2015/1502 z 8. septembra 2015, ktorým sa stanovujú minimálne technické špecifikácie a postupy pre úrovne zabezpečenia prostriedkov elektronickej identifikácie podľa článku 8 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (Text s významom pre EHP)
OJ L 235, 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
SK |
Úradný vestník Európskej únie |
L 235/7 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2015/1502
z 8. septembra 2015,
ktorým sa stanovujú minimálne technické špecifikácie a postupy pre úrovne zabezpečenia prostriedkov elektronickej identifikácie podľa článku 8 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (1), a najmä na jeho článok 8 ods. 3,
keďže:
(1) |
V článku 8 nariadenia (EÚ) č. 910/2014 sa stanovuje, že schéma elektronickej identifikácie oznámená podľa článku 9 ods. 1 musí obsahovať špecifikácie úrovní zabezpečenia „nízka“, „pokročilá“ a „vysoká“ pre prostriedky elektronickej identifikácie vydávané v rámci danej schémy. |
(2) |
Určenie minimálnych technických špecifikácií, noriem a postupov je nevyhnutné na zaistenie jednotného chápania podrobných vlastností úrovní zabezpečenia a na zaistenie interoperability pri mapovaní vnútroštátnych úrovní zabezpečenia oznámených schém elektronickej identifikácie na úrovne zabezpečenia podľa článku 8, ako sa uvádza v článku 12 ods. 4 písm. b) nariadenia (EÚ) č. 910/2014. |
(3) |
Pri príprave špecifikácií a postupov stanovených v tomto vykonávacom akte bola ako zásadná medzinárodná norma v oblasti úrovní zabezpečenia prostriedkov elektronickej identifikácie zohľadnená medzinárodná norma ISO/IEC 29115. Obsah nariadenia (EÚ) č. 910/2014 sa však od tejto medzinárodnej normy líši, a to najmä pokiaľ ide o požiadavky na preukazovanie a overovanie totožnosti, ako aj o spôsob, akým sa zohľadňujú rozdiely medzi dojednaniami v oblasti totožnosti v jednotlivých členských štátoch a existujúcimi nástrojmi na rovnaký účel v EÚ. Preto by sa v prílohe nemalo odkazovať na konkrétny obsah normy ISO/IEC 29115, hoci z tejto medzinárodnej normy vychádza. |
(4) |
Toto nariadenie bolo vypracované na základe prístupu založeného na výsledkoch, keďže bol najvhodnejší, čo sa odráža aj vo vymedzeniach použitých na špecifikovanie termínov a pojmov. Berie sa v nich do úvahy cieľ nariadenia (EÚ) č. 910/2014 v súvislosti s úrovňami zabezpečenia prostriedkov elektronickej identifikácie. Preto by sa pri stanovovaní špecifikácií a postupov stanovených v tomto vykonávacom akte mal v najvyššej možnej miere zohľadniť rozsiahly pilotný projekt STORK vrátane špecifikácií, ktoré boli v jeho rámci vyvinuté, ako aj vymedzenia a pojmy uvedené v norme ISO/IEC 29115. |
(5) |
Spoľahlivé zdroje môžu mať v závislosti od kontextu, v ktorom treba overiť nejaký aspekt dôkazu totožnosti, mnoho podôb, ako sú okrem iného registre, doklady a orgány. V rôznych členských štátoch sa môžu spoľahlivé zdroje líšiť, a to dokonca v podobnom kontexte. |
(6) |
V požiadavkách na preukazovanie a overovanie totožnosti by sa mali zohľadňovať rozdielne systémy a postupy a zároveň zaistiť dostatočne vysoký stupeň zabezpečenia s cieľom vytvoriť potrebnú dôveru. Preto by sa akceptovanie postupov, ktoré sa predtým používali na iné účely, než je vydávanie prostriedkov elektronickej identifikácie, malo podmieniť potvrdením toho, že tieto postupy spĺňajú požiadavky stanovené pre príslušnú úroveň zabezpečenia. |
(7) |
Obvykle sa využívajú určité faktory autentifikácie, ako napríklad spoločné tajomstvá, fyzické zariadenia a fyzické vlastnosti. Na zvýšenie bezpečnosti procesu autentifikácie by sa však malo podnecovať používanie väčšieho počtu faktorov autentifikácie, a najmä z rôznych kategórií faktorov. |
(8) |
Toto nariadenie by nemalo mať vplyv na práva právnických osôb na zastúpenie. V prílohe by sa však mali stanovovať požiadavky na prepojenie medzi prostriedkami elektronickej identifikácie fyzických a právnických osôb. |
(9) |
Mal by sa uznať význam systémov riadenia informačnej bezpečnosti a služieb, ako aj význam používania uznávaných metodík a uplatňovania zásad zakotvených v normách, ako sú normy súboru ISO/IEC 27000 a súboru ISO/IEC 20000. |
(10) |
Do úvahy by sa mali brať aj osvedčené postupy týkajúce sa úrovní zabezpečenia v jednotlivých členských štátoch. |
(11) |
Dôležitým nástrojom na overovanie súladu produktov s bezpečnostnými požiadavkami tohto vykonávacieho aktu je bezpečnostná certifikácia IT založená na medzinárodných normách. |
(12) |
Výbor uvedený v článku 48 nariadenia (EÚ) č. 910/2014 nevydal stanovisko v termíne stanovenom jeho predsedom, |
PRIJALA TOTO NARIADENIE:
Článok 1
1. Úrovne zabezpečenia „nízka“, „pokročilá“ a „vysoká“ pre prostriedky elektronickej identifikácie vydané v rámci oznámenej schémy elektronickej identifikácie sa určujú vzhľadom na špecifikácie a postupy stanovené v prílohe.
2. Na špecifikovanie úrovne zabezpečenia prostriedkov elektronickej identifikácie vydaných v rámci oznámenej schémy elektronickej identifikácie sa použijú špecifikácie a postupy stanovené v prílohe tak, že sa určí spoľahlivosť a kvalita týchto prvkov:
a) |
prihlásenie, ako sa stanovuje v oddiele 2.1 prílohy k tomuto nariadeniu podľa článku 8 ods. 3 písm. a) nariadenia (EÚ) č. 910/2014; |
b) |
riadenie prostriedkov elektronickej identifikácie, ako sa stanovuje v oddiele 2.2 prílohy k tomuto nariadeniu podľa článku 8 ods. 3 písm. b) a f) nariadenia (EÚ) č. 910/2014; |
c) |
autentifikácia, ako sa stanovuje v oddiele 2.3 prílohy k tomuto nariadeniu podľa článku 8 ods. 3 písm. c) nariadenia (EÚ) č. 910/2014; |
d) |
riadenie a organizácia, ako sa stanovuje v oddiele 2.4 prílohy k tomuto nariadeniu podľa článku 8 ods. 3 písm. d) a e) nariadenia (EÚ) č. 910/2014. |
3. Ak prostriedky elektronickej identifikácie vydané v rámci oznámenej schémy elektronickej identifikácie spĺňajú nejakú požiadavku uvedenú pre vyššiu úroveň zabezpečenia, potom sa predpokladá, že spĺňajú aj zodpovedajúcu požiadavku nižšej úrovne zabezpečenia.
4. Pokiaľ nie je v príslušnej časti prílohy uvedené inak, musia byť na dosiahnutie údajnej úrovne zabezpečenia splnené všetky prvky uvedené v prílohe pre konkrétnu úroveň zabezpečenia prostriedkov elektronickej identifikácie vydaných v rámci oznámenej schémy elektronickej identifikácie.
Článok 2
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 8. septembra 2015
Za Komisiu
predseda
Jean-Claude JUNCKER
(1) Ú. v. EÚ L 257, 28.8.2014, s. 73.
PRÍLOHA
Technické špecifikácie a postupy pre úrovne zabezpečenia „nízka“, „pokročilá“ a „vysoká“ pre prostriedky elektronickej identifikácie vydané v rámci oznámenej schémy elektronickej identifikácie
1. Platné vymedzenie pojmov
Na účely tejto prílohy sa uplatňuje toto vymedzenie pojmov:
1. |
„spoľahlivý zdroj“ je akýkoľvek zdroj bez ohľadu na svoju podobu, pri ktorom sa dá spoľahnúť na to, že poskytuje presné údaje, informácie a/alebo dôkazy, ktoré sa môžu použiť na preukázanie totožnosti; |
2. |
„faktor autentifikácie“ je faktor, pri ktorom sa potvrdilo, že je spojený s osobou, a ktorý patrí do niektorej z týchto kategórií:
|
3. |
„dynamická autentifikácia“ je elektronický proces využívajúci kryptografiu alebo iné techniky na poskytnutie prostriedkov, ktoré na požiadanie vytvoria elektronický dôkaz o tom, že osoba má kontrolu nad identifikačnými údajmi alebo ich má v držbe, pričom tento proces sa pri každej autentifikácii medzi osobou a systémom, ktorý overuje jej totožnosť, mení; |
4. |
„systém riadenia informačnej bezpečnosti“ je súbor procesov a postupov určených na zmiernenie rizík súvisiacich s informačnou bezpečnosťou na prijateľné úrovne. |
2. Technické špecifikácie a postupy
Prvky technických špecifikácií a postupov uvedené v tejto prílohe sa používajú na stanovenie spôsobu, akým sa požiadavky a kritériá uvedené v článku 8 nariadenia (EÚ) č. 910/2014 uplatňujú na prostriedky elektronickej identifikácie vydané v rámci schémy elektronickej identifikácie.
2.1. Registrácia
2.1.1.
Úroveň zabezpečenia |
Potrebné prvky |
||||||
Nízka |
|
||||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
||||||
Vysoká |
Rovnaké ako pri úrovni „nízka“. |
2.1.2.
Úroveň zabezpečenia |
Potrebné prvky |
||||||||||
Nízka |
|
||||||||||
Pokročilá |
Úroveň „nízka“ a zároveň musí byť splnená jedna z alternatív uvedených v bodoch 1 až 4:
|
||||||||||
Vysoká |
Musia byť splnené požiadavky uvedené v bode 1 alebo v bode 2:
|
2.1.3.
Úroveň zabezpečenia |
Potrebné prvky |
||||||
Nízka |
|
||||||
Pokročilá |
Úroveň „nízka“ a zároveň musí byť splnená jedna z alternatív uvedených v bodoch 1 až 3:
|
||||||
Vysoká |
Úroveň „pokročilá“ a zároveň musí byť splnená jedna z alternatív uvedených v bodoch 1 až 3:
|
2.1.4.
V príslušných prípadoch platia pre prepojenie medzi prostriedkom elektronickej identifikácie fyzickej osoby a prostriedkom elektronickej identifikácie právnickej osoby (ďalej len „prepojenie“) tieto podmienky:
1. |
Musí byť možné pozastaviť a/alebo zrušiť prepojenie. Životný cyklus prepojenia (napr. aktivácia, pozastavenie, obnovenie, zrušenie) sa spravuje podľa postupov uznaných na vnútroštátnej úrovni. |
2. |
Fyzická osoba, ktorej prostriedok elektronickej identifikácie je prepojený s prostriedkom elektronickej identifikácie právnickej osoby, môže poveriť uplatňovaním tohto prepojenia inú fyzickú osobu na základe postupov uznaných na vnútroštátnej úrovni. Zodpovednosť však naďalej nesie poverujúca fyzická osoba. |
3. |
Prepojenie sa realizuje takto:
|
2.2. Riadenie prostriedkov elektronickej identifikácie
2.2.1.
Úroveň zabezpečenia |
Potrebné prvky |
||||
Nízka |
|
||||
Pokročilá |
|
||||
Vysoká |
Úroveň „pokročilá“ a zároveň:
|
2.2.2.
Úroveň zabezpečenia |
Potrebné prvky |
Nízka |
Po vydaní sa prostriedok elektronickej identifikácie doručí prostredníctvom mechanizmu, na základe ktorého sa dá predpokladať, že ho dostane iba určená osoba. |
Pokročilá |
Po vydaní sa prostriedok elektronickej identifikácie doručí prostredníctvom mechanizmu, na základe ktorého sa dá predpokladať, že bude doručený iba do držby osoby, ktorej patrí. |
Vysoká |
V procese aktivácie sa overí, že prostriedok elektronickej identifikácie bol doručený iba do držby osoby, ktorej patrí. |
2.2.3.
Úroveň zabezpečenia |
Potrebné prvky |
||||||
Nízka |
|
||||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
||||||
Vysoká |
Rovnaké ako pri úrovni „nízka“. |
2.2.4.
Úroveň zabezpečenia |
Potrebné prvky |
Nízka |
Ak sa vezmú do úvahy riziká zmeny osobných identifikačných údajov, obnovenie alebo výmena musia spĺňať rovnaké požiadavky na zabezpečenie ako pôvodné preukázanie a overenie identity alebo sa zakladajú na platnom prostriedku elektronickej identifikácie rovnakej alebo vyššej úrovne zabezpečenia. |
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
Vysoká |
Úroveň „nízka“ a zároveň: Ak sa obnovenie alebo výmena zakladajú na platnom prostriedku elektronickej identifikácie, identifikačné údaje sa overujú podľa spoľahlivého zdroja. |
2.3. Autentifikácia
Tento oddiel sa zameriava na hrozby spojené s používaním mechanizmu autentifikácie a uvádzajú sa v ňom požiadavky na každú úroveň zabezpečenia. Kontroly sa v tomto oddiele chápu ako kontroly úmerné rizikám na danej úrovni.
2.3.1.
V nasledujúcej tabuľke sa uvádzajú požiadavky podľa jednotlivých úrovní zabezpečenia, pokiaľ ide o mechanizmus autentifikácie, prostredníctvom ktorého fyzická alebo právnická osoba používa prostriedok elektronickej identifikácie na potvrdenie svojej totožnosti spoliehajúcej sa strane.
Úroveň zabezpečenia |
Potrebné prvky |
||||||
Nízka |
|
||||||
Pokročilá |
Úroveň „nízka“ a zároveň:
|
||||||
Vysoká |
Úroveň „pokročilá“ a zároveň: V mechanizme autentifikácie sú implementované bezpečnostné kontroly na overenie prostriedku elektronickej identifikácie, takže je veľmi nepravdepodobné, že by činnosti, ako je hádanie, odpočúvanie, reprodukcia alebo manipulácia komunikácie útočníkom s vysokým útočným potenciálom, mohli rozvrátiť mechanizmus autentifikácie. |
2.4. Riadenie a organizácia
Všetci účastníci, ktorí poskytujú služby súvisiace s elektronickou identifikáciou v cezhraničnom kontexte (ďalej len „poskytovatelia“), musia mať zavedené zdokumentované postupy a politiky riadenia informačnej bezpečnosti, prístupy k riadeniu rizík a iné uznané kontroly, aby príslušným riadiacim orgánom pre schémy elektronickej identifikácie v jednotlivých členských štátoch poskytli záruku, že sa zaviedli účinné postupy. V celom oddiele 2.4 sa všetky požiadavky/prvky chápu ako úmerné rizikám na danej úrovni.
2.4.1.
Úroveň zabezpečenia |
Potrebné prvky |
||||||||||
Nízka |
|
||||||||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
||||||||||
Vysoká |
Rovnaké ako pri úrovni „nízka“. |
2.4.2.
Úroveň zabezpečenia |
Potrebné prvky |
||||||
Nízka |
|
||||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
||||||
Vysoká |
Rovnaké ako pri úrovni „nízka“. |
2.4.3.
Úroveň zabezpečenia |
Potrebné prvky |
Nízka |
Existuje účinný systém riadenia informačnej bezpečnosti na riadenie a kontrolu rizík v oblasti informačnej bezpečnosti. |
Pokročilá |
Úroveň „nízka“ a zároveň: Systém riadenia informačnej bezpečnosti dodržiava osvedčené normy alebo zásady riadenia a kontroly rizík v oblasti informačnej bezpečnosti. |
Vysoká |
Rovnaké ako pri úrovni „pokročilá“. |
2.4.4.
Úroveň zabezpečenia |
Potrebné prvky |
||||
Nízka |
|
||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
||||
Vysoká |
Rovnaké ako pri úrovni „nízka“. |
2.4.5.
V nasledujúcej tabuľke sa uvádzajú požiadavky na zariadenia a personál a prípadne na subdodávateľov, ktorí vykonávajú úlohy, na ktoré sa vzťahuje toto nariadenie. Súlad s každou z požiadaviek musí byť úmerný úrovni rizika spojeného s poskytovanou úrovňou zabezpečenia.
Úroveň zabezpečenia |
Potrebné prvky |
||||||||
Nízka |
|
||||||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“. |
||||||||
Vysoká |
Rovnaké ako pri úrovni „nízka“. |
2.4.6.
Úroveň zabezpečenia |
Potrebné prvky |
||||||||||
Nízka |
|
||||||||||
Pokročilá |
Rovnaké ako pri úrovni „nízka“ a zároveň: Ak sa na vydávanie prostriedkov elektronickej identifikácie a na autentifikáciu používa citlivý kryptografický materiál, je chránený pred manipuláciou. |
||||||||||
Vysoká |
Rovnaké ako pri úrovni „pokročilá“. |
2.4.7.
Úroveň zabezpečenia |
Potrebné prvky |
||||
Nízka |
Existencia pravidelných vnútorných auditov zameraných na pokrytie všetkých úsekov týkajúcich sa dodávania poskytovaných služieb na zabezpečenie súladu s príslušnou politikou. |
||||
Pokročilá |
Existencia pravidelných nezávislých vnútorných alebo vonkajších auditov zameraných na pokrytie všetkých úsekov týkajúcich sa dodávania poskytovaných služieb na zabezpečenie súladu s príslušnou politikou. |
||||
Vysoká |
|
(1) Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).