26.4.2016   

BG

Официален вестник на Европейския съюз

L 109/40

РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2016/650 НА КОМИСИЯТА

от 25 април 2016 година

за определяне на стандарти за оценка на сигурността на устройствата за създаване на квалифициран електронен подпис и печат съгласно член 30, параграф 3 и член 39, параграф 2 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (1), и по-специално член 30, параграф 3 и член 39, параграф 2 от него,

като има предвид, че:

(1)

В приложение II към Регламент (ЕС) № 910/2014 се определят изискванията към устройствата за създаване на квалифициран електронен подпис и устройствата за създаване на квалифициран електронен печат.

(2)

Задачата за изготвянето на техническите спецификации, необходими за производството и пускането на продукти на пазара при отчитане на сегашния етап на технологично развитие, се изпълнява от организации, компетентни в областта на стандартизацията.

(3)

ISO/IEC (Международната организация по стандартизация/Международната електротехническа комисия) установява общите концепции и принципи в областта на сигурността на информационните технологии и определя общия модел за оценка, въз основа на който да се оценяват свързаните със сигурността характеристики на продукти на информационните технологии.

(4)

Европейският комитет за стандартизация (CEN) е разработил по мандата за стандартизация M/460, даден от Комисията, стандарти за устройствата за създаване на квалифициран електронен подпис и печат, когато данните за създаване на електронен подпис или данните за създаване на електронен печат се намират в среда, която изцяло се управлява от потребителя, но не непременно изключително от него. Тези стандарти се считат подходящи за оценка на съответствието на тези устройства с приложимите изисквания, определени в приложение II към Регламент (ЕС) № 910/2014.

(5)

В приложение II към Регламент (ЕС) № 910/2014 се посочва, че само доставчик на квалифицирани удостоверителни услуги може да управлява данните за създаване на електронен подпис от името на титуляря на електронния подпис. Изискванията за сигурност и съответните спецификации за сертифицирането са различни, когато титулярят на електронния подпис физически притежава даден продукт и когато доставчик на квалифицирани удостоверителни услуги действа от името на титуляря на електронния подпис. За справяне с тези две ситуации, както и за да се насърчи разработването с течение на времето на подходящи за конкретните нужди продукти и стандарти за оценка, в приложението към настоящото решение следва да се даде списък на стандартите, които обхващат и двете ситуации.

(6)

Към момента на приемане на настоящото решение на Комисията няколко доставчици на удостоверителни услуги вече предлагат решения за управление на данните за създаване на електронен подпис от името на своите клиенти. Сертифицирането на продукти понастоящем е ограничено до модулите за сигурност на хардуера, които се сертифицират спрямо различни стандарти, но все още не се сертифицират специално по отношение на изискванията към устройствата за създаване на квалифициран електронен подпис и печат. Въпреки това все още не съществуват публикувани стандарти като EN 419 211 (приложим за електронен подпис, създаден в среда, която изцяло се управлява от потребителя, но не непременно изключително от него) за също толкова важния пазар за продукти, които се сертифицират от разстояние. Тъй като понастоящем се разработват стандарти, които може да са подходящи за тези цели, когато такива стандарти бъдат предоставени на разположение и оценени като отговарящи на изискванията, посочени в приложение II към Регламент (ЕС) № 910/2014, Комисията ще допълни настоящото решение. Докато бъде изготвен списъкът на такива стандарти, може да се използва алтернативен процес за оценяване на съответствието на такива продукти съгласно условията, предвидени в член 30, параграф 3, буква б) от Регламент (ЕС) № 910/2014.

(7)

В списъка в приложението е посочен EN 419 211, който се състои от различни части (от 1 до 6), обхващащи различни ситуации. В EN 419 211 част 5 и 419 211 част 6 се дават разширения, свързани със средата на устройствата за създаване на квалифициран електронен подпис, като например комуникация с надеждни приложения за създаване на електронен подпис. Производителите на продукти имат свободата да прилагат такива разширения. Съгласно съображение 56 от Регламент (ЕС) № 910/2014 обхватът на сертифициране по членове 30 и 39 от същия регламент се ограничава до защитата на данните за създаване на електронен подпис, а приложенията за създаване на електронен подпис се изключват от обхвата на сертифицирането.

(8)

С оглед да се гарантира, че електронните подписи или печати, генерирани от устройство за създаване на квалифициран електронен подпис или печат, са надеждно защитени срещу подправяне, както се изисква съгласно приложение II към Регламент (ЕС) № 910/2014, необходима предпоставка за сигурността на сертифицирания продукт е наличието на подходящи криптографски алгоритми, дължини на ключовете и хеш функции. Тъй като по този въпрос липсва хармонизиране на европейско равнище, държавите членки следва да си сътрудничат за съгласуване на криптографските алгоритми, дължините на ключовете и хеш функциите, които да се използват в областта на електронните подписи и печати.

(9)

С приемането на настоящото решение Решение 2003/511/ЕО на Комисията (2) вече не е актуално. Поради това то следва да бъде отменено.

(10)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, посочен в член 48 от Регламент (ЕС) № 910/2014,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

1.   В приложението към решението се дава списък на стандартите за оценка на сигурността на продукти на информационните технологии, които се прилагат към сертифицирането на устройства за създаване на квалифициран електронен подпис или устройства за създаване на квалифициран електронен печат съгласно член 30, параграф 3, буква а) или член 39, параграф 2 от Регламент (ЕС) № 910/2014, когато данните за създаване на електронен подпис или данните за създаване на електронен печат се намират в среда, която изцяло се управлява от потребителя, но не непременно изключително от него.

2.   Докато Комисията изготви списък на стандартите за оценка на сигурността на продукти на информационните технологии, които се прилагат към сертифицирането на устройства за създаване на квалифициран електронен подпис или устройства за създаване на квалифициран електронен печат, когато доставчик на квалифицирани удостоверителни услуги управлява данните за създаване на електронен подпис или данните за създаване на електронен печат от името на титуляря на електронния подпис или на създателя на печата, сертифицирането на такива продукти се основава на процес, при който в съответствие с член 30, параграф 3, буква б) се използват равнища на сигурност, сравними с изискваните по член 30, параграф 3, буква а), за който Комисията е уведомена от публичноправната или частната организация, посочена в член 30, параграф 1 от Регламент (ЕС) № 910/2014.

Член 2

Решение 2003/511/ЕО се отменя.

Член 3

Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Съставено в Брюксел на 25 април 2016 година.

За Комисията

Председател

Jean-Claude JUNCKER

(1)  ОВ L 257, 28.8.2014 г., стр. 73.

(2)  Решение 2003/511/ЕО на Комисията от 14 юли 2003 г. относно публикуване на номерата на общоприетите стандарти за продукти за електронен подпис в съответствие с Директива 1999/93/ЕО на Европейския парламент и на Съвета (ОВ L 175, 15.7.2003 г., стр. 45).

ПРИЛОЖЕНИЕ

СПИСЪК НА СТАНДАРТИТЕ, ЗА КОИТО СЕ ОТНАСЯ ЧЛЕН 1, ПАРАГРАФ 1

ISO/IEC 15408 Информационни технологии. Техники за сигурност. Критерии за оценяване на сигурността на информационните технологии, части 1—3, изброени по-долу:

ISO/IEC 15408-1:2009 Информационни технологии. Техники за сигурност. Критерии за оценяване на сигурността на информационните технологии. Част 1. ISO, 2009 г.

ISO/IEC 15408-2:2008 Информационни технологии. Техники за сигурност. Критерии за оценяване на сигурността на информационните технологии. Част 2. ISO, 2008 г.

ISO/IEC 15408-3:2008 Информационни технологии. Техники за сигурност. Критерии за оценяване на сигурността на информационните технологии. Част 3. ISO, 2008 г.

и

ISO/IEC 18045:2008: Информационни технологии. Техники за сигурност. Методология за оценяване на сигурността на ИТ,

и

EN 419 211 Защитни профили за устройство за защитено създаване на подписи, части 1—6, според случая, както са изброени по-долу:

EN 419211-1:2014 Защитни профили за устройство за защитено създаване на подписи. Част 1: Общ преглед

EN 419211-2:2013 Защитни профили за устройство за защитено създаване на подписи. Част 2: Устройство с генериране на ключове

EN 419211-3:2013 Защитни профили за устройство за защитено създаване на подписи. Част 3: Устройство с внасяне на ключове

EN 419211-4:2013 Защитни профили за устройство за защитено създаване на подписи. Част 4: Разширение за устройство с генериране на ключове и надежден канал към приложение за генериране на сертификати

EN 419211-5:2013 Защитни профили за устройство за защитено създаване на подписи. Част 5: Разширение за устройство с генериране на ключове и надежден канал към приложение за създаване на подписи

EN 419211-6:2014 Защитни профили за устройство за защитено създаване на подписи. Част 6: Разширение за устройство с внасяне на ключове и надежден канал към приложение за създаване на подписи