26.4.2016   

CS

Úřední věstník Evropské unie

L 109/40


PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2016/650

ze dne 25. dubna 2016,

kterým se stanoví normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí podle čl. 30 odst. 3 a čl. 39 odst. 2 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu

(Text s významem pro EHP)

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 30 odst. 3 a čl. 39 odst. 2 uvedeného nařízení,

vzhledem k těmto důvodům:

(1)

Příloha II nařízení (EU) č. 910/2014 stanoví požadavky na kvalifikované prostředky pro vytváření elektronických podpisů a kvalifikované prostředky pro vytváření elektronických pečetí.

(2)

Vypracováním technických specifikací potřebných pro výrobu těchto produktů a jejich uvádění na trh podle současného stavu technologií jsou pověřeny organizace odpovědné za normalizaci.

(3)

ISO/IEC (Mezinárodní organizace pro normalizaci/Mezinárodní elektrotechnická komise) stanoví obecné koncepty a zásady bezpečnosti IT a stanoví obecný model hodnocení, který se použije jako základ pro hodnocení bezpečnostních vlastností produktů IT.

(4)

Evropský výbor pro normalizaci (CEN) na základě mandátu pro vypracování normy M/460 uděleného Komisí vypracoval normy pro kvalifikované prostředky pro vytváření elektronických podpisů a pečetí, pokud jsou data pro vytváření elektronických podpisů nebo data pro vytváření elektronických pečetí uchovávána v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem. Tyto normy jsou považovány za vhodné pro posuzování shody těchto prostředků s příslušnými požadavky stanovenými v příloze II nařízení (EU) č. 910/2014.

(5)

Příloha II nařízení (EU) č. 910/2014 stanoví, že data pro vytváření elektronických podpisů může jménem podepisující osoby spravovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru. Bezpečnostní požadavky a s nimi související certifikační specifikace se liší, pokud podepisující osoba má produkt fyzicky v držení, nebo pokud jménem podepisující osoby jedná kvalifikovaný poskytovatel služeb vytvářejících důvěru. Aby byly zohledněny obě situace a podpořil se postupný vývoj produktů a hodnotících norem vhodných pro konkrétní potřeby, měla by příloha tohoto rozhodnutí uvádět normy týkající se obou situací.

(6)

V době přijetí tohoto rozhodnutí Komise již několik poskytovatelů služeb vytvářejících důvěru nabízí řešení, pomocí nichž spravují data pro vytváření elektronických podpisů jménem svých zákazníků. Certifikace produktů se v současné době omezuje na hardwarové bezpečnostní moduly, které jsou certifikovány podle různých norem, avšak nejsou dosud certifikovány specificky s ohledem na požadavky na kvalifikované prostředky pro vytváření elektronických podpisů a pečetí. Zveřejněné normy, jako je například EN 419 211 (použitelná pro elektronický podpis vytvořený v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem), však zatím nepokrývají stejně důležitý trh certifikovaných produktů pracujících na dálku. Vzhledem k tomu, že normy, které by mohly být pro tyto účely vhodné, se v současné době vypracovávají, Komise toto rozhodnutí doplní, až budou takové normy k dispozici a budou posouzeny jako vyhovující požadavkům stanoveným v příloze II nařízení (EU) č. 910/2014. Až do vytvoření seznamu takových norem se může za podmínek stanovených v čl. 30 odst. 3 písm. b) nařízení (EU) č. 910/2014 k posuzování shody dotčených produktů používat alternativní postup.

(7)

Příloha uvádí normu EN 419 211, která sestává z různých částí (1 až 6), jež se týkají různých situací. Norma EN 419 211 část 5 a norma EN 419 211 část 6 uvádějí rozšíření související s prostředím kvalifikovaných prostředků pro vytváření podpisů, jako je komunikace s důvěryhodnými aplikacemi pro vytváření podpisů. Výrobci mohou tato rozšíření použít. Podle 56. bodu odůvodnění nařízení (EU) č. 910/2014 je rozsah certifikace podle článků 30 a 39 uvedeného nařízení omezen na ochranu dat pro vytváření podpisů a z rozsahu certifikace jsou vyloučeny aplikace pro vytváření podpisů.

(8)

Aby bylo zajištěno, že elektronické podpisy nebo pečetě generované kvalifikovaným prostředkem pro vytváření podpisů nebo pečetí jsou spolehlivě chráněny proti padělání, jak požaduje příloha II nařízení (EU) č. 910/2014, jsou nezbytným předpokladem bezpečnosti certifikovaného produktu vhodné kryptografické algoritmy, délky klíčů a hašovací funkce. Vzhledem k tomu, že tato problematika nebyla harmonizována na evropské úrovni, měly by se členské státy společně dohodnout na kryptografických algoritmech, délkách klíčů a hašovacích funkcích, které se v oblasti elektronických podpisů a pečetí mají používat.

(9)

Přijetím tohoto rozhodnutí se rozhodnutí Komise 2003/511/ES (2) stává zastaralým. Mělo by proto být zrušeno.

(10)

Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru uvedeného v článku 48 nařízení (EU) č. 910/2014,

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1

1.   Normy pro posuzování bezpečnosti produktů informačních technologií, které se použijí pro certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů nebo kvalifikovaných prostředků pro vytváření elektronických pečetí v souladu s čl. 30 odst. 3 písm. a) nebo čl. 39 odst. 2 nařízení (EU) č. 910/2014, pokud jsou data pro vytváření elektronických podpisů nebo data pro vytváření elektronických pečetí uchovávána v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem, jsou uvedeny v příloze tohoto rozhodnutí.

2.   Do doby, než Komise stanoví seznam norem pro posuzování bezpečnosti produktů informačních technologií, které se použijí pro certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů nebo kvalifikovaných prostředků pro vytváření elektronických pečetí, pokud data pro vytváření elektronických podpisů nebo data pro vytváření elektronických pečetí spravuje kvalifikovaný poskytovatel služeb vytvářejících důvěru jménem podepisující osoby nebo pečetící osoby, je certifikace takových produktů v souladu s čl. 30 odst. 3 písm. b) založena na postupu, který používá úrovně bezpečnosti srovnatelné s úrovněmi požadovanými v čl. 30 odst. 3 písm. a) a který byl Komisi oznámen veřejným nebo soukromým subjektem uvedeným v čl. 30 odst. 1 nařízení (EU) č. 910/2014.

Článek 2

Rozhodnutí 2003/511/ES se zrušuje.

Článek 3

Toto rozhodnutí vstupuje v platnost dvacátým dnem po zveřejnění v Úředním věstníku Evropské unie.

V Bruselu dne 25. dubna 2016.

Za Komisi

předseda

Jean-Claude JUNCKER


(1)  Úř. věst. L 257, 28.8.2014, s. 73.

(2)  Rozhodnutí Komise 2003/511/ES ze dne 14. července 2003 o zveřejnění referenčních čísel obecně uznávaných norem pro produkty pro elektronický podpis v souladu se směrnicí Evropského parlamentu a Rady 1999/93/ES (Úř. věst. L 175, 15.7.2003, p. 45).


PŘÍLOHA

SEZNAM NOREM UVEDENÝCH V ČL. 1 ODST. 1

ISO/IEC 15408 – Information technology – Security techniques – Evaluation criteria for IT security (Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT), části 1 až 3, jak je uvedeno níže:

ISO/IEC 15408-1:2009 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1 (Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT – Část 1). ISO, 2009,

ISO/IEC 15408-2:2008 – Information technology – Security techniques – Evaluation criteria for IT security – Part 2 (Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT – Část 2). ISO, 2008,

ISO/IEC 15408-3:2008 – Information technology – Security techniques – Evaluation criteria for IT security – Part 3 (Informační technologie – Bezpečnostní techniky – Kritéria pro hodnocení bezpečnosti IT – Část 3). ISO, 2008,

a

ISO/IEC 18045:2008: Information technology – Security techniques – Methodology for IT security evaluation (Informační technologie – Bezpečnostní techniky – Metodika pro hodnocení bezpečnosti IT),

a

EN 419 211 – Protection profiles for secure signature creation device (Profil ochrany pro zařízení vytvářející bezpečný podpis), části 1 až 6, v příslušných případech a jak je uvedeno níže:

EN 419211-1:2014 – Protection profiles for secure signature creation device – Part 1: Overview (Profil ochrany pro zařízení vytvářející bezpečný podpis – Část 1: Přehled),

EN 419211-2:2013 – Protection profiles for secure signature creation device – Part 2: Device with key generation (Profil ochrany pro zařízení vytvářející bezpečný podpis – Část 2: Přístroje na generování klíče),

EN 419211-3:2013 – Protection profiles for secure signature creation device – Part 3: Device with key import (Profil ochrany pro zařízení vytvářející bezpečný podpis – Část 3: Přístroje na přenos klíče),

EN 419211-4:2013 – Protection profiles for secure signature creation device – Part 4: Extension for device with key generation and trusted channel to certificate generation application (Profil ochrany pro zařízení vytvářející bezpečný podpis – Část 4: Rozšíření pro zařízení na generování klíče a spolehlivá komunikace s aplikací generování certifikátu),

EN 419211-5:2013 – Protection profiles for secure signature creation device – Part 5: Extension for device with key generation and trusted channel to signature creation application (Profil ochrany pro zařízení vytvářející bezpečný podpis – Část 5: Rozšíření pro zařízení na generování klíče a spolehlivá komunikace s aplikací vytvářející podpis),

EN 419211-6:2014 – Protection profiles for secure signature creation device – Part 6: Extension for device with key import and trusted channel to signature creation application (Profil ochrany pro zařízení vytvářející bezpečný podpis – Část 6: Rozšíření pro zařízení pro importování klíče a důvěryhodná komunikace s aplikací vytvářející podpis).