26.4.2016   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 109/40


ΕΚΤΕΛΕΣΤΙΚΉ ΑΠΌΦΑΣΗ (ΕΕ) 2016/650 ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 25ης Απριλίου 2016

σχετικά με τον καθορισμό προτύπων για την αξιολόγηση της ασφάλειας των εγκεκριμένων διατάξεων δημιουργίας υπογραφής και σφραγίδας σύμφωνα με το άρθρο 30 παράγραφος 3 και το άρθρο 39 παράγραφος 2 του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (1), και ιδίως το άρθρο 30 παράγραφος 3 και το άρθρο 39 παράγραφος 2,

Εκτιμώντας τα ακόλουθα:

(1)

Το παράρτημα II του κανονισμού (ΕΕ) αριθ. 910/2014 καθορίζει τις απαιτήσεις για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής και τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής σφραγίδας.

(2)

Ο καθορισμός των τεχνικών προδιαγραφών που είναι αναγκαίες για την παραγωγή και τη διάθεση στην αγορά των προϊόντων, λαμβανομένων υπόψη του εκάστοτε επιπέδου της τεχνολογίας, διενεργείται από οργανισμούς που είναι αρμόδιοι στον τομέα της τυποποίησης.

(3)

Ο ISO/IEC (Διεθνής Οργανισμός Τυποποίησης/Διεθνής Ηλεκτροτεχνική Επιτροπή) καθορίζει τις γενικές έννοιες και αρχές της ασφάλειας και το γενικό μοντέλο αξιολόγησης που πρέπει να χρησιμοποιείται ως βάση για την αξιολόγηση των χαρακτηριστικών ασφάλειας των προϊόντων πληροφορικής.

(4)

Η Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN) έχει εκπονήσει, σύμφωνα με την εντολή τυποποίησης M/460 που εξέδωσε η Επιτροπή πρότυπα για αναγνωρισμένες διατάξεις δημιουργίας ηλεκτρονικών υπογραφών και σφραγίδων, εφόσον τα δεδομένα δημιουργίας ηλεκτρονικής υπογραφής ή ηλεκτρονικής σφραγίδας κατέχονται σε περιβάλλον εξ ολοκλήρου, αλλά όχι κατ' ανάγκην αποκλειστικώς, διαχειριζόμενο από τον χρήστη. Τα πρότυπα αυτά θεωρούνται κατάλληλα για την αξιολόγηση της συμμόρφωσης των εν λόγω ιατροτεχνολογικών προϊόντων με τις σχετικές απαιτήσεις που ορίζονται στο παράρτημα II του κανονισμού (ΕΕ) αριθ. 910/2014.

(5)

Το παράρτημα II του κανονισμού (ΕΕ) αριθ. 910/2014 ορίζει ότι μόνον αναγνωρισμένοι πάροχοι υπηρεσιών εμπιστοσύνης μπορούν να διαχειρίζονται δεδομένα δημιουργίας ηλεκτρονικής υπογραφής για λογαριασμό του υπογράφοντος. Οι απαιτήσεις ασφάλειας και οι αντίστοιχες προδιαγραφές πιστοποίησης είναι διαφορετικές όταν ο υπογράφων διαθέτει υλικά ένα προϊόν και όταν ένας αναγνωρισμένος πάροχος υπηρεσιών εμπιστοσύνης λειτουργεί για λογαριασμό του υπογράφοντος. Για την αντιμετώπιση αμφότερων των καταστάσεων, καθώς και για την ενθάρρυνση της διαχρονικής ανάπτυξης προϊόντων και της αξιολόγησης προτύπων κατάλληλων για ειδικές ανάγκες, το παράρτημα της παρούσας απόφασης πρέπει να περιλαμβάνει πρότυπα που καλύπτουν και τις δύο περιπτώσεις.

(6)

Κατά τον χρόνο υποβολής της παρούσας απόφασης της Επιτροπής, διάφορες λύσεις προσφέρουν ήδη πάροχοι υπηρεσιών εμπιστοσύνης που διαχειρίζονται δεδομένα δημιουργίας ηλεκτρονικής υπογραφής για λογαριασμό των πελατών τους. Οι πιστοποιήσεις προϊόντων περιορίζονται σήμερα σε ενότητες ασφάλειας υλισμικού με βάση διαφορετικά κριτήρια, δεν έχουν όμως ακόμη πιστοποιηθεί έναντι συγκεκριμένων απαιτήσεων για αναγνωρισμένες διατάξεις δημιουργίας υπογραφής και σφραγίδας. Ωστόσο, δεν υπάρχουν ακόμη δημοσιευμένα πρότυπα, όπως το EN 419 211 (εφαρμόζεται για ηλεκτρονική υπογραφή που έχει δημιουργηθεί σε περιβάλλον εξ ολοκλήρου, αλλά όχι κατ' ανάγκην αποκλειστικώς, διαχειριζόμενο από τον χρήστη), για την εξίσου σημαντική αγορά πιστοποιημένων προϊόντων εξ αποστάσεως. Εφόσον τα πρότυπα τα οποία θα μπορούσαν να είναι κατάλληλα για τους σκοπούς αυτούς βρίσκονται επί του παρόντος υπό εκπόνηση, όταν καταστούν διαθέσιμα τα εν λόγω πρότυπα και έχουν κριθεί σύμμορφα με τις απαιτήσεις που ορίζονται στο παράρτημα II του κανονισμού (ΕΕ) αριθ. 910/2014, η Επιτροπή θα συμπληρώσει την παρούσα απόφαση. Έως ότου καθιερωθεί ο κατάλογος των προτύπων αυτών, μπορεί να χρησιμοποιείται εναλλακτική διαδικασία για την αξιολόγηση της συμμόρφωσης των εν λόγω προϊόντων υπό τους όρους που προβλέπονται στο στοιχείο β) του άρθρου 30 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 910/2014.

(7)

Το παράρτημα περιλαμβάνει το EN 419 211, που αποτελείται από διάφορα στοιχεία (1 έως 6) στο πλαίσιο εκάστοτε καταστάσεων. Το EN 419 211 μέρος 5 και το 419 211 μέρος 6 παρέχουν επεκτάσεις που αναφέρονται στο περιβάλλον ειδικής συσκευής δημιουργίας υπογραφής, όπως η επικοινωνία με αξιόπιστες εφαρμογές δημιουργίας υπογραφής. Οι παραγωγοί είναι ελεύθεροι να εφαρμόσουν τις εν λόγω επεκτάσεις. Σύμφωνα με την αιτιολογική σκέψη 56 του κανονισμού (ΕΕ) αριθ. 910/2014, το πεδίο εφαρμογής της πιστοποίησης σύμφωνα με τα άρθρα 30 και 39 του εν λόγω κανονισμού περιορίζεται στην προστασία των δεδομένων δημιουργίας υπογραφής, ενώ οι εφαρμογές δημιουργίας υπογραφής εξαιρούνται από το πεδίο εφαρμογής της πιστοποίησης.

(8)

Για να εξασφαλιστεί ότι οι ηλεκτρονικές υπογραφές ή σφραγίδες που παράγονται από διάταξη δημιουργίας αναγνωρισμένης υπογραφής ή σφραγίδας προστατεύονται αξιόπιστα κατά της πλαστογραφίας, όπως απαιτείται από το παράρτημα II του κανονισμού (ΕΕ) αριθ. 910/2014, χρησιμοποιούνται κρυπτογραφικοί αλγόριθμοι, μεγέθη κρυπτογραφικού κλειδιού και συναρτήσεις κατακερματισμού ως προϋπόθεση για την ασφάλεια του πιστοποιημένου προϊόντος. Δεδομένου ότι το αντικείμενο αυτό δεν έχει εναρμονιστεί σε ευρωπαϊκό επίπεδο, τα κράτη μέλη οφείλουν να συνεργαστούν για να συμφωνήσουν σε κρυπτογραφικούς αλγόριθμους, μεγέθη κρυπτογραφικού κλειδιού και συναρτήσεις κατακερματισμού προς χρήση στο πεδίο των ηλεκτρονικών υπογραφών και σφραγίδων.

(9)

Με την έκδοση της παρούσας απόφασης καθίσταται άνευ αντικειμένου η απόφαση 2003/511/ΕΚ της Επιτροπής (2). Κατά συνέπεια, πρέπει να καταργηθεί.

(10)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που αναφέρεται στο άρθρο 48 του κανονισμού (ΕΕ) αριθ. 910/2014,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

1.   Σε παράρτημα της απόφασης απαριθμούνται τα πρότυπα για την αξιολόγηση της ασφάλειας των προϊόντων πληροφορικής που εφαρμόζονται στην πιστοποίηση των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής ή εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής σφραγίδας σύμφωνα με το στοιχείο α) του άρθρου 30 παράγραφος 3 και του άρθρου 39 παράγραφος 2 του κανονισμού (ΕΕ) αριθ. 910/2014, εφόσον τα δεδομένα δημιουργίας ηλεκτρονικής υπογραφής ή ηλεκτρονικής σφραγίδας κατέχονται εξ ολοκλήρου, αλλά όχι κατ' ανάγκην αποκλειστικώς, σε περιβάλλον διαχειριζόμενο από τον χρήστη.

2.   Έως την κατάρτιση από την Επιτροπή καταλόγου προτύπων για την εκτίμηση της ασφάλειας των προϊόντων πληροφορικής που εφαρμόζονται στην πιστοποίηση εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής ή εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής σφραγίδας, εφόσον αναγνωρισμένος πάροχος υπηρεσιών εμπιστοσύνης ο οποίος διαχειρίζεται τα δεδομένα δημιουργίας ηλεκτρονικής υπογραφής ή ηλεκτρονικής σφραγίδας για λογαριασμό του υπογράφοντος ή του δημιουργού σφραγίδας, η πιστοποίηση των εν λόγω προϊόντων βασίζεται σε διαδικασία που, σύμφωνα με το άρθρο 30 παράγραφος 3 στοιχείο β), χρησιμοποιεί επίπεδα ασφάλειας ανάλογα με τα απαιτούμενα από το άρθρο 30 παράγραφος 3 στοιχείο α) και κοινοποιούμενα στην Επιτροπή από τον δημόσιο ή ιδιωτικό φορέα που αναφέρεται στην παράγραφο 1 του άρθρου 30 του κανονισμού (ΕΕ) αριθ. 910/2014.

Άρθρο 2

Με την παρούσα καταργείται η απόφαση 2003/511/ΕΚ.

Άρθρο 3

Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Βρυξέλλες, 25 Απριλίου 2016.

Για την Επιτροπή

Ο Πρόεδρος

Jean-Claude JUNCKER


(1)  ΕΕ L 257 της 28.8.2014, σ. 73.

(2)  Απόφαση της Επιτροπής, της 14ης Ιουλίου 2003, σχετικά με τη δημοσίευση αριθμών αναφοράς γενικά αναγνωρισμένων προτύπων για προϊόντα ηλεκτρονικής υπογραφής, σύμφωνα με την οδηγία 1999/93/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 175 της 15.7.2003, σ. 45).


ΠΑΡΑΡΤΗΜΑ

ΚΑΤΑΛΟΓΟΣ ΤΩΝ ΠΡΟΤΥΠΩΝ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΣΤΟ ΑΡΘΡΟ 1 ΠΑΡΑΓΡΑΦΟΣ 1

ISO/IEC 15408 — Τεχνολογία πληροφοριών — τεχνικές ασφάλειας — κριτήρια αξιολόγησης για την ασφάλεια ΤΠ, μέρη 1 έως 3 όπως απαριθμούνται παρακάτω:

ISO/IEC 15408-1:2009 — Τεχνολογία πληροφοριών — τεχνικές ασφάλειας — κριτήρια αξιολόγησης για την ασφάλεια ΤΠ, μέρος 1. ISO, 2009

ISO/IEC 15408-2:2008 — Τεχνολογία πληροφοριών — τεχνικές ασφάλειας — κριτήρια αξιολόγησης για την ασφάλεια ΤΠ, μέρος 2. ISO, 2008

ISO/IEC 15408-3:2008 — Τεχνολογία πληροφοριών — τεχνικές ασφάλειας — κριτήρια αξιολόγησης για την ασφάλεια ΤΠ, μέρος 3. ISO, 2008

και

ISO/IEC 18045:2008: Τεχνολογία πληροφοριών — τεχνικές ασφάλειας — μεθοδολογία για την αξιολόγηση της ασφάλειας ΤΠ

και

EN 419 211 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής, μέρη 1 έως 6 — κατά περίπτωση — όπως απαριθμούνται παρακάτω:

EN 419211-1:2014 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 1: Επισκόπηση

EN 419211-2:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 2: Διάταξη με δημιουργία κλειδιού

EN 419211-3:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 3: Διάταξη με εισαγωγή κλειδιού

EN 419211-4:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 4: Επέκταση για διάταξη με δημιουργία κλειδιού και αξιόπιστο δίαυλο για την εφαρμογή δημιουργίας πιστοποιητικού

EN 419211-5:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 5: Επέκταση για διάταξη με δημιουργία κλειδιού και αξιόπιστο δίαυλο για την εφαρμογή δημιουργίας υπογραφής

EN 419211-6:2014 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 6: Επέκταση για διάταξη με εισαγωγή κλειδιού και αξιόπιστο δίαυλο για την εφαρμογή δημιουργίας υπογραφής