This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (Text von Bedeutung für den EWR)
Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (Text von Bedeutung für den EWR)
ABl. L 235 vom 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Corrected by | 32015R1502R(01) | (DA, PL) | |||
Modified by | 32022R0960 | Ersetzung (CS) | Anhang Abschnitt 2.1.2 Nummer 1 Buchstabe (c) | 11/07/2022 |
9.9.2015 |
DE |
Amtsblatt der Europäischen Union |
L 235/7 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2015/1502 DER KOMMISSION
vom 8. September 2015
zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (1), insbesondere auf Artikel 8 Absatz 3,
in Erwägung nachstehender Gründe:
(1) |
Laut Artikel 8 der Verordnung (EU) Nr. 910/2014 muss ein gemäß Artikel 9 Absatz 1 notifiziertes elektronisches Identifizierungssystem die Sicherheitsniveaus „niedrig“, „substanziell“ und/oder „hoch“ angeben, die den nach diesem System ausgestellten elektronischen Identifizierungsmitteln zuerkannt wurden. |
(2) |
Die Festlegung von Mindestanforderungen an die technischen Spezifikationen, Normen und Verfahren ist entscheidend, wenn es darum geht, ein gemeinsames Verständnis der Einzelheiten der Sicherheitsniveaus herzustellen und, wie in Artikel 12 Absatz 4 Buchstabe b der Verordnung (EU) Nr. 910/2014 vorgesehen, die Interoperabilität bei der Zuordnung der Entsprechungen zwischen nationalen Sicherheitsniveaus notifizierter elektronischer Identifizierungsmittel und den Sicherheitsniveaus des Artikels 8 zu gewährleisten. |
(3) |
Bei der Ausarbeitung der in dieser Durchführungsverordnung festgelegten Spezifikationen und Verfahren wurde die internationale Norm ISO/IEC 29115 als die wichtigste internationale Norm auf dem Gebiet der Sicherheitsniveaus für elektronische Identifizierungsmittel berücksichtigt. Die Verordnung (EU) Nr. 910/2014 weist jedoch inhaltliche Unterschiede zu dieser internationalen Norm auf, insbesondere im Hinblick auf Anforderungen an Identitätsnachweis und -überprüfung, aber auch in Bezug darauf, wie die Unterschiede zwischen Identitätsvorschriften der Mitgliedstaaten und die diesbezüglich bestehenden EU-Instrumente berücksichtigt werden. Deshalb sollte der Anhang zwar auf dieser internationalen Norm beruhen, aber keine Verweise auf bestimmte Inhalte der Norm ISO/IEC 29115 enthalten. |
(4) |
Diese Verordnung wurde nach einem ergebnisorientierten Ansatz ausgearbeitet, da dieser sich am besten eignete; dies spiegelt sich auch in den in den Begriffsbestimmungen verwendeten Bezeichnungen und Begriffen wider. Diese tragen dem Ziel der Verordnung (EU) Nr. 910/2014 in Bezug auf die Sicherheitsniveaus elektronischer Identifizierungsmittel Rechnung. Daher sollten das Großpilotprojekt STORK und die dort entwickelten Spezifikationen wie auch die Begriffsbestimmungen und Konzepte der Norm ISO/IEC 29115 bei der Festlegung der in dieser Durchführungsverordnung vorgesehenen Spezifikationen und Verfahren weitestgehend berücksichtigt werden. |
(5) |
Je nach dem Zusammenhang, in dem ein bestimmter Aspekt eines Beweismittels für die Identität überprüft werden muss, können verlässliche Quellen viele verschiedene Formen haben, z. B. Register, Urkunden, Stellen usw. Selbst in einem ähnlichen Zusammenhang können solche verlässlichen Quellen in den verschiedenen Mitgliedstaaten sehr unterschiedlich sein. |
(6) |
Anforderungen an Identitätsnachweis und -überprüfung sollten unterschiedliche Systeme und Verfahrensweisen berücksichtigen, gleichzeitig aber eine hinreichend hohe Sicherheit bieten, um das erforderliche Vertrauen zu schaffen. Daher sollte die Anerkennung von Verfahren, die zuvor für andere Zwecke als die Ausstellung elektronischer Identifizierungsmittel verwendet wurden, vom Nachweis abhängig gemacht werden, dass diese Verfahren die für das betreffende Sicherheitsniveau vorgesehenen Anforderungen erfüllen. |
(7) |
Üblicherweise werden gewisse Authentifizierungsfaktoren wie Geheimnisse, die allen Beteiligten bekannt sind, physische Mittel oder körperliche Merkmale verwendet. Um die Sicherheit des Authentifizierungsprozesses zu erhöhen, sollte jedoch die Verwendung einer größeren Zahl von Authentifizierungsfaktoren, insbesondere auch aus verschiedenen Kategorien, gefördert werden. |
(8) |
Diese Verordnung sollte Vertretungsbefugnisse juristischer Personen unberührt lassen. Der Anhang sollte aber Anforderungen an die Verknüpfung von elektronischen Identifizierungsmitteln natürlicher und juristischer Personen enthalten. |
(9) |
Die Bedeutung von Informationssicherheits- und Dienstemanagementsystemen sollte genauso anerkannt werden wie die Bedeutung der Verwendung bewährter Methoden und der Anwendung der in Normenreihen wie ISO/IEC 27000 und ISO/IEC 20000 verankerten Grundsätze. |
(10) |
In den Mitgliedstaaten angewandte bewährte Verfahren in Bezug auf Sicherheitsniveaus sollten ebenfalls berücksichtigt werden. |
(11) |
Die IT-Sicherheitszertifizierung auf der Grundlage internationaler Normen ist ein wichtiges Instrument, mit dem überprüft werden kann, ob die Sicherheitsmerkmale der Produkte den Anforderungen dieser Durchführungsverordnung entsprechen. |
(12) |
Der in Artikel 48 der Verordnung (EU) Nr. 910/2014 genannte Ausschuss hat innerhalb der von seinem Vorsitz festgelegten Frist keine Stellungnahme abgegeben — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
(1) Die Sicherheitsniveaus „niedrig“, „substanziell“ und „hoch“ für elektronische Identifizierungsmittel, die nach einem notifizierten elektronischen Identifizierungssystem ausgestellt werden, werden unter Bezugnahme auf die Spezifikationen und Verfahren im Anhang bestimmt.
(2) Die im Anhang festgelegten Spezifikationen und Verfahren werden angewandt, um das Sicherheitsniveau der nach einem notifizierten elektronischen Identifizierungssystem ausgestellten elektronischen Identifizierungsmittel anhand der Zuverlässigkeit und Qualität folgender Elemente zu bestimmen:
a) |
Anmeldung nach Abschnitt 2.1 des Anhangs dieser Verordnung gemäß Artikel 8 Absatz 3 Buchstabe a der Verordnung (EU) Nr. 910/2014; |
b) |
Verwaltung der elektronischen Identifizierungsmittel nach Abschnitt 2.2 des Anhangs dieser Verordnung gemäß Artikel 8 Absatz 3 Buchstaben b und f der Verordnung (EU) Nr. 910/2014; |
c) |
Authentifizierung nach Abschnitt 2.3 des Anhangs dieser Verordnung gemäß Artikel 8 Absatz 3 Buchstabe c der Verordnung (EU) Nr. 910/2014; |
d) |
Management und Organisation nach Abschnitt 2.4 des Anhangs dieser Verordnung gemäß Artikel 8 Absatz 3 Buchstaben d und e der Verordnung (EU) Nr. 910/2014. |
(3) Erfüllt ein elektronisches Identifizierungsmittel, das nach einem notifizierten elektronischen Identifizierungssystem ausgestellt wird, eine Anforderung eines höheren Sicherheitsniveaus, so wird davon ausgegangen, dass es die entsprechende Anforderung eines niedrigeren Sicherheitsniveaus ebenfalls erfüllt.
(4) Soweit im betreffenden Teil des Anhangs nichts anderes festgelegt ist, müssen alle Elemente, die im Anhang zu einem bestimmten Sicherheitsniveau der nach einem notifizierten elektronischen Identifizierungssystem ausgestellten elektronischen Identifizierungsmittel aufgeführt sind, erfüllt sein, damit sie dem beanspruchten Sicherheitsniveau entsprechen.
Artikel 2
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 8. September 2015
Für die Kommission
Der Präsident
Jean-Claude JUNCKER
(1) ABl. L 257 vom 28.8.2014, S. 73.
ANHANG
Technische Spezifikationen und Verfahren für die Sicherheitsniveaus „niedrig“, „substanziell“ und „hoch“ für elektronische Identifizierungsmittel, die nach einem notifizierten elektronischen Identifizierungssystem ausgestellt werden
1. Begriffsbestimmungen
Für die Zwecke dieses Anhangs gelten folgende Begriffsbestimmungen:
1. |
„Verlässliche Quelle“ ist eine beliebige Informationsquelle, die auf verlässliche Weise präzise Daten, Informationen und/oder Beweismittel bereitstellt, die zum Identitätsnachweis verwendet werden können; |
2. |
„Authentifizierungsfaktor“ ist ein Element, das nachweislich mit einer Person verknüpft ist und (mindestens) einer der folgenden Kategorien angehört:
|
3. |
„dynamische Authentifizierung“ ist ein elektronischer Prozess, der unter Einsatz kryptografischer oder anderer Methoden auf Abruf einen elektronischen Nachweis dafür erzeugt, dass der Benutzer bzw. das Subjekt die Identifizierungsdaten unter seiner Kontrolle hat oder besitzt; der Nachweis ändert sich dabei mit jedem Authentifizierungsvorgang zwischen dem Benutzer/Subjekt und dem System, das die Identität des Subjekts überprüft; |
4. |
„Informationssicherheitsmanagementsystem“ ist eine Reihe von Prozessen und Verfahren für das Management annehmbarer Risikostufen in Bezug auf die Informationssicherheit. |
2. Technische Spezifikationen und Verfahren
Die Elemente technischer Spezifikationen und Verfahren in diesem Anhang werden verwendet um festzulegen, wie die Anforderungen und Kriterien des Artikels 8 der Verordnung (EU) Nr. 910/2014 auf elektronische Identifizierungsmittel, die nach einem notifizierten elektronischen Identifizierungssystem ausgestellt werden, anzuwenden sind.
2.1. Anmeldung
2.1.1.
Sicherheitsniveau |
Erforderliche Elemente |
||||||
Niedrig |
|
||||||
Substanziell |
Wie für das Niveau „Niedrig“. |
||||||
Hoch |
Wie für das Niveau „Niedrig“. |
2.1.2.
Sicherheitsniveau |
Erforderliche Elemente |
||||||||||
Niedrig |
|
||||||||||
Substanziell |
Zusätzlich zum Niveau „Niedrig“ muss eine der Alternativen der Nummern 1 bis 4 erfüllt sein:
|
||||||||||
Hoch |
Es müssen entweder die Anforderungen der Nummer 1 oder der Nummer 2 erfüllt sein:
|
2.1.3.
Sicherheitsniveau |
Erforderliche Elemente |
||||||
Niedrig |
|
||||||
Substanziell |
Zusätzlich zum Niveau „Niedrig“ muss eine der Alternativen der Nummern 1 bis 3 erfüllt sein:
|
||||||
Hoch |
Zusätzlich zum Niveau „Substanziell“ muss eine der Alternativen in den Nummern 1 bis 3 erfüllt sein:
|
2.1.4.
Für die Verknüpfung von elektronischen Identifizierungsmitteln natürlicher Personen und elektronischen Identifizierungsmitteln juristischer Personen („Verknüpfung“) gelten, soweit zutreffend, folgende Bedingungen:
1. |
Es ist möglich, eine Verknüpfung auszusetzen und/oder zu widerrufen. Der Lebenszyklus einer Verknüpfung (z. B. Aktivierung, Aussetzung, Erneuerung, Widerruf) wird nach auf nationaler Ebene anerkannten Verfahren verwaltet. |
2. |
Die natürliche Person, deren elektronisches Identifizierungsmittel mit dem elektronischen Identifizierungsmittel der juristischen Person verknüpft ist, kann die Ausübung der Verknüpfung nach auf nationaler Ebene anerkannten Verfahren an eine andere natürliche Person delegieren. Die delegierende natürliche Person bleibt jedoch verantwortlich. |
3. |
Die Verknüpfung erfolgt auf folgende Weise:
|
2.2. Verwaltung elektronischer Identifizierungsmittel
2.2.1.
Sicherheitsniveau |
Erforderliche Elemente |
||||
Niedrig |
|
||||
Substanziell |
|
||||
Hoch |
Zusätzlich zum Niveau „Substanziell“:
|
2.2.2.
Sicherheitsniveau |
Erforderliche Elemente |
Niedrig |
Nach der Ausstellung wird das elektronische Identifizierungsmittel auf eine Weise ausgeliefert, bei der davon ausgegangen werden kann, dass es nur die beabsichtigte Person erreicht. |
Substanziell |
Nach der Ausstellung wird das elektronische Identifizierungsmittel auf eine Weise ausgeliefert, bei der davon ausgegangen werden kann, dass es nur in den Besitz der Person gelangt, der es gehört. |
Hoch |
Im Aktivierungsprozess wird geprüft, dass das elektronische Identifizierungsmittel nur in den Besitz der Person gelangt ist, der es gehört. |
2.2.3.
Sicherheitsniveau |
Erforderliche Elemente |
||||||
Niedrig |
|
||||||
Substanziell |
Wie für das Niveau „Niedrig“. |
||||||
Hoch |
Wie für das Niveau „Niedrig“. |
2.2.4.
Sicherheitsniveau |
Erforderliche Elemente |
Niedrig |
Unter Berücksichtigung des Risikos einer Änderung der Personenidentifizierungsdaten müssen für die Verlängerung oder Ersetzung dieselben Sicherheitsanforderungen wie beim ursprünglichen Identitätsnachweis- und -überprüfungsprozess erfüllt sein bzw. muss ein gültiges elektronisches Identifizierungsmittel desselben oder eines höheren Sicherheitsniveaus zugrunde gelegt werden. |
Substanziell |
Wie für das Niveau „Niedrig“. |
Hoch |
Zusätzlich zum Niveau „Niedrig“: Erfolgt die Verlängerung oder Ersetzung aufgrund eines gültigen elektronischen Identifizierungsmittels, so werden die Identitätsdaten anhand einer verlässlichen Quelle überprüft. |
2.3. Authentifizierung
Dieser Abschnitt betrifft die Bedrohungen im Zusammenhang mit der Verwendung der Authentifizierungsmechanismen und enthält Anforderungen an jedes Sicherheitsniveau. In diesem Abschnitt wird davon ausgegangen, dass die Kontrollmaßnahmen den Risiken des jeweiligen Sicherheitsniveaus angemessen sein müssen.
2.3.1.
Die folgende Tabelle enthält für jedes Sicherheitsniveau die jeweiligen Anforderungen an den Authentifizierungsmechanismus, mit dem die natürliche oder juristische Person das elektronische Identifizierungsmittel verwendet, um einem vertrauenden Beteiligten ihre Identität zu bestätigen.
Sicherheitsniveau |
Erforderliche Elemente |
||||||
Niedrig |
|
||||||
Substanziell |
Zusätzlich zum Niveau „Niedrig“:
|
||||||
Hoch |
Zusätzlich zum Niveau „Substanziell“: Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des elektronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich ist, dass ein Angreifer mit hohem Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln kann. |
2.4. Management und Organisation
Alle Beteiligten, die im Zusammenhang mit der elektronischen Identifizierung im grenzüberschreitenden Umfeld einen Dienst betreiben („Betreiber“) müssen dokumentierte Verfahrensweisen und Vorgaben für das Informationssicherheitsmanagement, Risikomanagementkonzepte und andere anerkannte Kontrollmaßnahmen haben, damit sich die geeigneten Leitungsgremien der elektronischen Identifizierungssysteme in den jeweiligen Mitgliedstaaten vergewissern können, dass wirksame Verfahren bestehen. Im gesamten Abschnitt 2.4 wird davon ausgegangen, dass alle Anforderungen bzw. Elemente den Risiken des jeweiligen Sicherheitsniveaus angemessen sein müssen.
2.4.1.
Sicherheitsniveau |
Erforderliche Elemente |
||||||||||
Niedrig |
|
||||||||||
Substanziell |
Wie für das Niveau „Niedrig“. |
||||||||||
Hoch |
Wie für das Niveau „Niedrig“. |
2.4.2.
Sicherheitsniveau |
Erforderliche Elemente |
||||||
Niedrig |
|
||||||
Substanziell |
Wie für das Niveau „Niedrig“. |
||||||
Hoch |
Wie für das Niveau „Niedrig“. |
2.4.3.
Sicherheitsniveau |
Erforderliche Elemente |
Niedrig |
Es besteht ein wirksames Informationssicherheitsmanagementsystem für das Management und die Beherrschung von Informationssicherheitsrisiken. |
Substanziell |
Zusätzlich zum Niveau „Niedrig“: Das Informationssicherheitsmanagementsystem folgt bewährten Normen oder Grundsätzen für das Management und die Beherrschung von Informationssicherheitsrisiken. |
Hoch |
Wie für das Niveau „Substanziell“. |
2.4.4.
Sicherheitsniveau |
Erforderliche Elemente |
||||
Niedrig |
|
||||
Substanziell |
Wie für das Niveau „Niedrig“. |
||||
Hoch |
Wie für das Niveau „Niedrig“. |
2.4.5.
Die folgende Tabelle enthält die Anforderungen an Einrichtungen und Personal sowie an etwaige Unterauftragnehmer, die Aufgaben wahrnehmen, die unter diese Verordnung fallen. Die Einhaltung jeder dieser Anforderungen soll im Hinblick auf die Risiken des jeweiligen Sicherheitsniveaus verhältnismäßig sein.
Sicherheitsniveau |
Erforderliche Elemente |
||||||||
Niedrig |
|
||||||||
Substanziell |
Wie für das Niveau „Niedrig“. |
||||||||
Hoch |
Wie für das Niveau „Niedrig“. |
2.4.6.
Sicherheitsniveau |
Erforderliche Elemente |
||||||||||
Niedrig |
|
||||||||||
Substanziell |
Zusätzlich zum Niveau „Niedrig“: Sensibles kryptografisches Material, das für die Ausstellung elektronischer Identifizierungsmittel und für die Authentifizierung verwendet wird, ist vor Fälschung geschützt. |
||||||||||
Hoch |
Wie für das Niveau „Substanziell“. |
2.4.7.
Sicherheitsniveau |
Erforderliche Elemente |
||||
Niedrig |
Es gibt regelmäßige interne Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden Vorgaben zu gewährleisten. |
||||
Substanziell |
Es gibt regelmäßige unabhängige interne oder externe Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden Vorgaben zu gewährleisten. |
||||
Hoch |
|
(1) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).