This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Prováděcí nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (Text s významem pro EHP)
Prováděcí nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (Text s významem pro EHP)
Úř. věst. L 235, 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/7 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2015/1502
ze dne 8. září 2015,
kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 8 odst. 3 uvedeného nařízení,
vzhledem k těmto důvodům:
(1) |
Článek 8 nařízení (EU) č. 910/2014 stanoví, že systém elektronické identifikace oznámený podle čl. 9 odst. 1 musí uvádět nízkou, značnou nebo vysokou úroveň záruky pro prostředky pro elektronickou identifikaci vydávané v rámci tohoto systému. |
(2) |
Je nezbytné stanovit minimální technické specifikace, normy a postupy, aby bylo dosaženo obecné shody ohledně podrobností týkajících se úrovní záruky a byla zajištěna interoperabilita při mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace podle úrovní záruky uvedených v článku 8, jak stanoví čl. 12 odst. 4 písm. b) nařízení (EU) č. 910/2014. |
(3) |
Při stanovování specifikací a postupů v tomto prováděcím aktu byla jako základní mezinárodní norma dostupná v oblasti úrovní záruky prostředků pro elektronickou identifikaci zohledněna mezinárodní norma ISO/IEC 29115. Obsah nařízení (EU) č. 910/2014 se však od uvedené mezinárodní normy liší, zejména pokud jde o požadavky na prokazování a ověřování totožnosti a o způsob, jakým se zohledňují rozdíly mezi opatřeními členských států v oblasti totožnosti a stávajícími nástroji v Evropské unii v téže oblasti. Příloha by proto neměla odkazovat na žádný konkrétní obsah mezinárodní normy ISO/IEC 29115, přestože z této normy vychází. |
(4) |
Toto nařízení bylo vypracováno na základě přístupu orientovaného na výsledky, protože tento přístup byl nejvhodnější, což je rovněž patrné v definicích použitých k upřesnění pojmů a konceptů. Berou v úvahu cíl nařízení (EU) č. 910/2014, pokud jde o úrovně záruky prostředků pro elektronickou identifikaci. Proto by se při stanovování specifikací a postupů v tomto prováděcím aktu měl co nejvíce zohlednit rozsáhlý pilotní projekt STORK, včetně specifikací vypracovaných v jeho rámci, a definice a koncepty z ISO/IEC 29115. |
(5) |
V závislosti na kontextu, v němž je třeba ověřit nějaký aspekt prokázání totožnosti, mohou mít spolehlivé zdroje různou podobu, např. registrů, dokumentů, subjektů aj. Spolehlivé zdroje se mohou v různých členských státech navzdory podobnému kontextu lišit. |
(6) |
Požadavky na prokazování a ověřování totožnosti by měly zohlednit různé systémy a postupy a současně zajistit dostatečně vysokou úroveň záruky, aby byla vytvořena nezbytná důvěra. Postupy, které se předtím používaly pro jiné účely než vydávání prostředků pro elektronickou identifikaci, by proto měly být přijaty za podmínky, že tyto postupy splňují požadavky stanovené pro příslušnou úroveň záruky. |
(7) |
Obvykle se používají určité faktory autentizace, jako jsou sdílená tajemství, fyzické prostředky a fyzické vlastnosti. Za účelem zvýšení bezpečnosti procesu autentizace by se však mělo podpořit používání většího počtu faktorů autentizace, zejména z různých kategorií faktorů. |
(8) |
Tímto nařízením by neměla být dotčena práva právnických osob na zastoupení. V příloze by však měly být stanoveny požadavky na propojení mezi prostředky pro elektronickou identifikaci fyzických a právnických osob. |
(9) |
Měl by být uznán význam systémů řízení informační bezpečnosti a služeb, jakož i význam používání uznaných metod a uplatňování zásad obsažených v normách, jako je řada ISO/IEC 27000 a ISO/IEC 20000. |
(10) |
Dále by se měly zohlednit osvědčené postupy v členských státech týkající se úrovní záruky. |
(11) |
Důležitým nástrojem pro ověřování souladu produktů s bezpečnostními požadavky tohoto prováděcího aktu je certifikace bezpečnosti IT systémů založená na mezinárodních normách. |
(12) |
Výbor uvedený v článku 48 nařízení (EU) č. 910/2014 nezaujal stanovisko ve lhůtě stanovené předsedou, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
1. Nízká, značná a vysoká úroveň záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace se určí s ohledem na specifikace a postupy stanovené v příloze.
2. Specifikace a postupy stanovené v této příloze se použijí k upřesnění úrovně záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace určením spolehlivosti a kvality těchto prvků:
a) |
přihlášení, jak je stanoveno v oddíle 2.1 přílohy tohoto nařízení v souladu s čl. 8 odst. 3 písm. a) nařízení (EU) č. 910/2014; |
b) |
správy prostředků pro elektronickou identifikaci, jak je stanoveno v oddíle 2.2 přílohy tohoto nařízení podle čl. 8 odst. 3 písm. b) a f) nařízení (EU) č. 910/2014; |
c) |
autentizace, jak je stanoveno v oddíle 2.3 přílohy tohoto nařízení v souladu s čl. 8 odst. 3 písm. c) nařízení (EU) č. 910/2014; |
d) |
řízení a organizace, jak je stanoveno v oddíle 2.4 přílohy tohoto nařízení v souladu s čl. 8 odst. 3 písm. d) a e) nařízení (EU) č. 910/2014. |
3. Pokud prostředek pro elektronickou identifikaci vydaný v rámci oznámeného systému elektronické identifikace splňuje požadavek uvedený ve vyšší úrovni záruky, má se za to, že splňuje odpovídající požadavek nižší úrovně záruky.
4. Není-li v příslušné části přílohy uvedeno jinak, musí být k dosažení požadované úrovně záruky splněny všechny prvky uvedené v příloze pro konkrétní úroveň záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace.
Článek 2
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 8. září 2015.
Za Komisi
předseda
Jean-Claude JUNCKER
(1) Úř. věst. L 257, 28.8.2014, s. 73.
PŘÍLOHA
Technické specifikace a postupy pro nízkou, značnou a vysokou úroveň záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace
1. Použitelné definice
Pro účely této přílohy se použijí tyto definice:
1) |
„spolehlivým zdrojem“ se rozumí jakýkoli zdroj bez ohledu na svou formu, u něhož se lze spolehnout na to, že poskytuje přesné údaje, informace a/nebo důkazy, které lze použít k prokázání totožnosti; |
2) |
„faktorem autentizace“ se rozumí faktor, který je prokazatelně spojen s osobou a spadá do některé z těchto kategorií:
|
3) |
„dynamickou autentizací“ se rozumí elektronický proces, který s využitím kryptografie nebo jiných metod vytváří na požádání elektronický důkaz, že osoba disponuje identifikačními údaji nebo je má ve svém vlastnictví a který se mění při každé autentizaci mezi osobou a systémem ověřujícím její totožnost; |
4) |
„systémem řízení bezpečnosti informací“ se rozumí soubor procesů a postupů určených ke zmírňování rizik týkajících se bezpečnosti informací na přijatelné úrovně. |
2. Technické specifikace a postupy
Prvky technických specifikací a postupů uvedené v této příloze se použijí k určení způsobu, jak se požadavky a kritéria článku 8 nařízení (EU) č. 910/2014 uplatňují na prostředky pro elektronickou identifikaci vydané v rámci systému elektronické identifikace.
2.1. Přihlášení
2.1.1.
Úroveň záruky |
Potřebné prvky |
||||||
Nízká |
|
||||||
Značná |
Stejné jako při nízké úrovni. |
||||||
Vysoká |
Stejné jako při nízké úrovni. |
2.1.2.
Úroveň záruky |
Potřebné prvky |
||||||||||
Nízká |
|
||||||||||
Značná |
Nízká úroveň a navíc musí být splněna jedna z alternativ uvedených v bodech 1 až 4:
|
||||||||||
Vysoká |
Musí být splněny požadavky bodu 1, nebo bodu 2:
|
2.1.3.
Úroveň záruky |
Potřebné prvky |
||||||
Nízká |
|
||||||
Značná |
Nízká úroveň a navíc musí být splněna jedna z alternativ uvedených v bodech 1 až 3:
|
||||||
Vysoká |
Značná úroveň a navíc musí být splněna jedna z alternativ uvedených v bodech 1 až 3:
|
2.1.4.
V příslušných případech platí pro propojení mezi prostředky pro elektronickou identifikaci fyzické osoby a prostředky pro elektronickou identifikaci právnické osoby (dále jen „propojení“) tyto podmínky:
1) |
Propojení musí být možné pozastavit a/nebo zrušit. Životní cyklus propojení (např. aktivace, pozastavení, obnovení, zrušení) je spravován podle vnitrostátně uznávaných postupů. |
2) |
Fyzická osoba, jejíž prostředek pro elektronickou identifikaci je propojen s prostředkem pro elektronickou identifikaci právnické osoby, může pověřit vykonáváním propojení jinou fyzickou osobu na základě vnitrostátně uznávaných postupů. Odpovědnost však nadále nese pověřující fyzická osoba. |
3) |
Propojení se provádí následujícím způsobem:
|
2.2. Správa prostředků pro elektronickou identifikaci
2.2.1.
Úroveň záruky |
Potřebné prvky |
||||
Nízká |
|
||||
Značná |
|
||||
Vysoká |
Značná úroveň a navíc:
|
2.2.2.
Úroveň záruky |
Potřebné prvky |
Nízká |
Po vydání je prostředek pro elektronickou identifikaci doručen prostřednictvím mechanismu, na základě kterého lze předpokládat, že prostředek dostane pouze určená osoba. |
Značná |
Po vydání je prostředek pro elektronickou identifikaci doručen prostřednictvím mechanismu, na základě kterého lze předpokládat, že je prostředek předán pouze do vlastnictví osoby, které patří. |
Vysoká |
V procesu aktivace se ověří, že byl prostředek pro elektronickou identifikaci předán pouze do vlastnictví osoby, které patří. |
2.2.3.
Úroveň záruky |
Potřebné prvky |
||||||
Nízká |
|
||||||
Značná |
Stejné jako při nízké úrovni. |
||||||
Vysoká |
Stejné jako při nízké úrovni. |
2.2.4.
Úroveň záruky |
Potřebné prvky |
Nízká |
S přihlédnutím k rizikům změny osobních identifikačních údajů musí obnova nebo výměna splňovat stejné požadavky na záruku jako původní prokazování a ověřování totožnosti nebo vycházet z platného prostředku pro elektronickou identifikaci se stejnou nebo vyšší úrovní záruky. |
Značná |
Stejné jako při nízké úrovni. |
Vysoká |
Nízká úroveň a navíc: Pokud obnovení nebo výměna probíhá na základě platného prostředku pro elektronickou identifikaci, ověří se údaje o totožnosti podle spolehlivého zdroje. |
2.3. Autentizace
Tento oddíl se zaměřuje na hrozby související s používáním mechanismu autentizace a obsahuje požadavky pro každou úroveň záruky. Kontroly se v tomto oddíle považují za přiměřené rizikům na dané úrovni.
2.3.1.
V následující tabulce jsou pro každou úroveň záruky stanoveny požadavky na mechanismus autentizace, jehož prostřednictvím fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k potvrzení své totožnosti spoléhající se straně.
Úroveň záruky |
Potřebné prvky |
||||||
Nízká |
|
||||||
Značná |
Nízká úroveň a navíc:
|
||||||
Vysoká |
Značná úroveň a navíc: Mechanismus autentizace provádí bezpečnostní kontroly k ověření prostředku pro elektronickou identifikaci, takže je velmi nepravděpodobné, že by činnosti jako hádání, odposlech, opakování nebo manipulace komunikace ze strany útočníka s vysokým potenciálem útoku mohly mechanismy autentizace narušit. |
2.4. Řízení a organizace
Všichni účastníci, kteří poskytují služby související s elektronickou identifikací v přeshraničním kontextu (dále jen „poskytovatelé“), musí mít zavedeny dokumentované postupy řízení bezpečnosti informací, politiky, přístupy k řízení rizik a další uznané kontroly, aby správním orgánům příslušným pro systémy elektronické identifikace v jednotlivých členských státech poskytli záruku, že se používají účinné postupy. Všechny požadavky/prvky v oddíle 2.4 se považují za přiměřené rizikům na dané úrovni.
2.4.1.
Úroveň záruky |
Potřebné prvky |
||||||||||
Nízká |
|
||||||||||
Značná |
Stejné jako při nízké úrovni. |
||||||||||
Vysoká |
Stejné jako při nízké úrovni. |
2.4.2.
Úroveň záruky |
Potřebné prvky |
||||||
Nízká |
|
||||||
Značná |
Stejné jako při nízké úrovni. |
||||||
Vysoká |
Stejné jako při nízké úrovni. |
2.4.3.
Úroveň záruky |
Potřebné prvky |
Nízká |
Existuje účinný systém řízení bezpečnosti informací pro řízení a kontrolu rizik v oblasti bezpečnosti informací. |
Značná |
Nízká úroveň a navíc: Systém řízení bezpečnosti informací dodržuje osvědčené normy nebo zásady řízení a kontroly rizik v oblasti bezpečnosti informací. |
Vysoká |
Stejné jako při značné úrovni. |
2.4.4.
Úroveň záruky |
Potřebné prvky |
||||
Nízká |
|
||||
Značná |
Stejné jako při nízké úrovni. |
||||
Vysoká |
Stejné jako při nízké úrovni. |
2.4.5.
V následující tabulce jsou uvedeny požadavky týkající se zařízení a personálu a případně subdodavatelů, kteří vykonávají úkoly v oblasti působnosti tohoto nařízení. Shoda s každým z požadavků musí být úměrná úrovni rizika spojeného s poskytovanou úrovní záruky.
Úroveň záruky |
Potřebné prvky |
||||||||
Nízká |
|
||||||||
Značná |
Stejné jako při nízké úrovni. |
||||||||
Vysoká |
Stejné jako při nízké úrovni. |
2.4.6.
Úroveň záruky |
Potřebné prvky |
||||||||||
Nízká |
|
||||||||||
Značná |
Stejné jako při nízké úrovni a navíc: Citlivý kryptografický materiál, který se používá pro vydávání prostředků pro elektronickou identifikaci a autentizaci, je chráněn před neoprávněnou manipulací. |
||||||||||
Vysoká |
Stejné jako při značné úrovni. |
2.4.7.
Úroveň záruky |
Potřebné prvky |
||||
Nízká |
Existují pravidelné interní audity, jejichž rozsah zahrnuje všechny úseky týkající se poskytování služeb, aby se zajistilo dodržování příslušné politiky. |
||||
Značná |
Existují pravidelné nezávislé interní nebo externí audity, jejichž rozsah zahrnuje všechny úseky týkající se poskytování služeb, aby se zajistilo dodržování příslušné politiky. |
||||
Vysoká |
|
(1) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).