This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Komisjoni rakendusmäärus (EL) 2015/1502, 8. september 2015, millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3 (EMPs kohaldatav tekst)
Komisjoni rakendusmäärus (EL) 2015/1502, 8. september 2015, millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3 (EMPs kohaldatav tekst)
ELT L 235, 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
ET |
Euroopa Liidu Teataja |
L 235/7 |
KOMISJONI RAKENDUSMÄÄRUS (EL) 2015/1502,
8. september 2015,
millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrust (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ), (1) eriti selle artikli 8 lõiget 3,
ning arvestades järgmist:
(1) |
Määruse (EL) nr 910/2014 artiklis 8 on sätestatud, et e-identimise süsteemis, millest on teavitatud artikli 9 lõike 1 kohaselt, määratakse süsteemi raames väljastatud e-identimise vahendite madal, märkimisväärne ja/või kõrge usaldusväärsuse tase. |
(2) |
Minimaalsete tehniliste kirjelduste, standardite ja menetluste kindlaksmääramine on hädavajalik, et tagada usaldusväärsuse tasemete üksikasjade ühene mõistmine ja kindlustada koostalitlusvõime teatatud e-identimise süsteemide riigisiseste usaldusväärsuse tasemete vastavusse viimisel artikli 8 kohaste usaldusväärsuse tasemetega, nagu on sätestatud määruse (EL) nr 910/2014 artikli 12 lõike 4 punktis b. |
(3) |
Käesolevas rakendusaktis sätestatud kirjeldustes ja menetlustes on lähtutud rahvusvahelisest standardist ISO/IEC 29115, mis on peamine rahvusvaheline standard e-identimise vahendite usaldusväärsuse tasemete valdkonnas. Määruse (EL) nr 910/2014 sisu erineb siiski nimetatud rahvusvahelisest standardist eeskätt identiteedi tõestamise ja kontrollimise nõuete osas, aga ka selles osas, kuidas võetakse arvesse erinevusi liikmesriikide identiteedisüsteemide ja ELis samal otstarbel kasutatavate vahendite vahel. Kuigi käesoleva dokumendi lisa toetub nimetatud rahvusvahelisele standardile, ei tuleks seal seetõttu konkreetselt viidata standardi ISO/IEC 29115 sisule. |
(4) |
Käesoleva määruse koostamisel kasutati kõige otstarbekamaks peetud tulemuspõhist lähenemisviisi ning seda on näha ka terminite ja mõistete määratlustest. Neis võetakse arvesse määruse (EL) nr 910/2014 eesmärki e-identimise vahendite usaldusväärsuse tasemete puhul. Seepärast tuleks käesolevas rakendusaktis sätestatud kirjelduste ja menetluste juurutamisel võtta täiel määral arvesse nii suurprojekti STORK ja selle raames välja töötatud kirjeldusi kui ka standardi ISO/IEC 29115 määratlusi ja mõisteid. |
(5) |
Olenevalt sellest, millises kontekstis tuleb identiteedi tõestamise mõnd aspekti kontrollida, võivad autoriteetsed allikad olla erinevad (nt registrid, dokumendid, organid jms). Eri liikmesriikides võivad autoriteetsed allikad olla erinevad isegi siis, kui kontekst on sarnane. |
(6) |
Identiteedi tõestamise ja kontrollimise nõuetes tuleks arvestada erinevate süsteemide ja tavadega ning tagada samas vajaliku usalduse loomiseks piisavalt kõrge usaldusväärsuse tase. Seetõttu peaks varem muul otstarbel kui e-identimise vahendite väljastamiseks kasutatud menetluste heakskiitmise eeltingimuseks olema kinnitus, et nende menetluste puhul on täidetud vastava usaldusväärsuse taseme jaoks ette nähtud nõuded. |
(7) |
Tavaliselt kasutatakse teatavaid autentimistegureid, milleks võib olla ühissaladus, füüsiline seade või füüsiline atribuut. Autentimisprotsessi turvalisuse suurendamiseks tuleks siiski soodustada rohkemate, eelistatavalt eri kategooriatesse kuuluvate autentimistegurite kasutamist. |
(8) |
Käesolev määrus ei tohiks mõjutada juriidiliste isikute esindamise õigust. Lisas tuleks siiski ette näha nõuded füüsiliste ja juriidiliste isikute e-identimise vahendite sidumiseks. |
(9) |
Tuleks tunnustada infoturbe ja teenuste juhtimise süsteemide olulisust ning tunnustatud metoodikate kasutamise ja standardites (nt ISO/IEC 27000 ja standardisari ISO/IEC 20000) esitatud põhimõtete rakendamise olulisust. |
(10) |
Samuti tuleks arvesse võtta liikmesriikide häid tavasid usaldusväärsuse tasemete vallas. |
(11) |
Rahvusvahelistel standarditel põhinev IT-turbe sertifitseerimine on oluline vahend, et kontrollida toote turvalisuse vastavust käesolevas rakendusaktis sätestatud nõuetele. |
(12) |
Määruse (EL) nr 910/2014 artiklis 48 osutatud komitee ei esitanud arvamust oma esimehe kehtestatud tähtaja jooksul, |
ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:
Artikkel 1
1. Teatatud e-identimise süsteemi alusel väljastatud e-identimise vahendite madal, märkimisväärne või kõrge usaldusväärsuse tase määratakse kindlaks lisas sätestatud kirjelduste ja menetluste põhjal.
2. Lisas esitatud kirjeldusi ja menetlusi kasutatakse teatatud e-identimise süsteemi alusel väljastatud e-identimise vahendite usaldusväärsuse taseme täpsustamiseks, määrates selleks kindlaks järgmiste komponentide usaldatavuse ja kvaliteedi:
a) |
väljastamine käesoleva määruse lisa punktis 2.1 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktile a; |
b) |
e-identimise vahendite haldamine käesoleva määruse lisa punktis 2.2 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktidele b ja f; |
c) |
autentimine käesoleva määruse lisa punktis 2.3 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktile c; |
d) |
haldamine ja korraldamine käesoleva määruse lisa punktis 2.4 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktidele d ja e. |
3. Kui teatatud e-identimise süsteemi alusel väljastatud e-identimise vahendid vastavad usaldusväärsuse kõrgema taseme nõudele, eeldatakse, et nad vastavad samale nõudele ka usaldusväärsuse madalama taseme puhul.
4. Kui lisa asjaomases osas ei ole sätestatud teisiti, peavad konkreetse usaldusväärsuse taseme saavutamiseks olema nõuded täidetud kõigi komponentide puhul, mis on lisas loetletud seoses e-identimise süsteemi alusel väljastatud e-identimise vahendi selle usaldusväärsuse tasemega.
Artikkel 2
Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Brüssel, 8. september 2015
Komisjoni nimel
president
Jean-Claude JUNCKER
(1) ELT L 257, 28.8.2014, lk 73.
LISA
Teatatud e-identimise süsteemi alusel väljastatud e-identimise vahendite usaldusväärsuse madala, märkimisväärse ja kõrge taseme minimaalsed tehnilised kirjeldused ja menetlused
1. Kasutatud mõisted
Käesolevas lisas kasutatakse järgmisi mõisteid:
1) „autoriteetne allikas”– mis tahes allikas, ükskõik millises vormis, mille puhul võib kindel olla, et sealt saadavad andmed, teave ja/või tõendid on täpsed ja neid saab kasutada identiteedi tõendamiseks;
2) „autentimistegur”– tegur, mille puhul on kinnitatud tema seotus konkreetse isikuga ja mis kuulub ühte järgmistest kategooriatest:
a) „millegi omamisel põhinev autentimistegur”– autentimistegur, mille puhul peab subjekt tõendama, et tal on see olemas;
b) „teabel põhinev autentimistegur”– autentimistegur, mille puhul peab subjekt tõendama, et ta teab seda;
c) „olemuslik autentimistegur”– autentimistegur, mis põhineb füüsilise isiku füüsilisel omadusel ja mille puhul peab subjekt tõendama, et tal on see füüsiline omadus;
3) „dünaamiline autentimine”– elektrooniline protsess, mille käigus kasutatakse krüpteerimist või muid meetodeid, mis võimaldavad nõudluspõhiselt luua elektroonilise tõendi, et subjekt valdab või omab identimisandmeid, ning mis muutub iga kord, kui subjekt autenditakse subjekti identiteeti kontrollivas süsteemis;
4) „infoturbe haldamise süsteem”– protsesside ja menetluste kogum, mille eesmärk on viia infoturbega seotud riskid vastuvõetavale tasemele.
2. Tehnilised kirjeldused ja menetlused
Käesolevas lisas kirjeldatud tehniliste kirjelduste ja menetluste komponente kasutatakse selleks, et teha kindlaks, kuidas kohaldatakse e-identimise süsteemi alusel väljastatud e-identimise vahendite suhtes määruse (EL) nr 910/2014 artikli 8 nõudeid ja kriteeriume.
2.1. Väljastamine
2.1.1.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||
Madal |
|
||||||
Märkimisväärne |
Sama kui madala taseme puhul. |
||||||
Kõrge |
Sama kui madala taseme puhul. |
2.1.2.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||||||
Madal |
|
||||||||||
Märkimisväärne |
Lisaks madala taseme nõuetele peab olema täidetud üks punktides 1–4 loetletud tingimus:
|
||||||||||
Kõrge |
Täidetud peavad olema kas punkti 1 või 2 nõuded.
|
2.1.3.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||
Madal |
|
||||||
Märkimisväärne |
Lisaks madala taseme nõuetele peab olema täidetud üks punktides 1–3 loetletud tingimus.
|
||||||
Kõrge |
Lisaks märkimisväärse taseme nõuetele peab olema täidetud üks punktides 1–3 loetletud tingimus.
|
2.1.4.
Vajaduse korral kehtivad füüsilise isiku e-identimise vahendi ja juriidilise isiku e-identimise vahendi omavahelise seostamise (edaspidi „seostamine”) suhtes järgmised tingimused.
1) |
Seostamist peab olema võimalik peatada ja/või kehtetuks tunnistada. Seostamistsüklit (st aktiveerimist, peatamist, uuendamist, kehtetuks tunnistamist) hallatakse riiklikult tunnustatud menetluste kohaselt. |
2) |
Füüsiline isik, kelle e-identimise vahend on seostatud juriidilise isiku e-identimise vahendiga, võib delegeerida seostamisest tulenevad toimingud riiklikult tunnustatud menetluse kohaselt teisele füüsilisele isikule. Vastutavaks jääb siiski füüsiline isik, kes toimingud delegeeris. |
3) |
Seostamine toimub järgmiselt.
|
2.2. E-identimise vahendite haldamine
2.2.1.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||
Madal |
|
||||
Märkimisväärne |
|
||||
Kõrge |
Lisaks märkimisväärsele tasemele peavad olema täidetud järgmised tingimused.
|
2.2.2.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Pärast väljastamist antakse e-identimise vahend üle sellise mehhanismi kaudu, mille puhul võib eeldada, et vahend jõuab vaid selle isikuni, kellele see on mõeldud. |
Märkimisväärne |
Pärast väljastamist antakse e-identimise vahend üle sellise mehhanismi kaudu, mille puhul võib eeldada, et vahend antakse üle vaid selle isiku kätte, kellele see kuulub. |
Kõrge |
Aktiveerimisprotsessi käigus kontrollitakse, et e-identimise vahend anti üle vaid selle isiku kätte, kellele ta kuulub. |
2.2.3.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||
Madal |
|
||||||
Märkimisväärne |
Sama kui madala taseme puhul. |
||||||
Kõrge |
Sama kui madala taseme puhul. |
2.2.4.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Võttes arvesse isiku identiteediandmete muutumise riske, peavad uuendamine ja asendamine vastama samadele usaldusväärsuse nõuetele kui esialgne identiteedi tõestamine ja kontrollimine või põhinema sama või kõrgema usaldusväärsuse tasemega kehtival e-identimise vahendil. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. Kui uuendamine või asendamine põhineb kehtival e-identimise vahendil, kontrollitakse identiteediandmeid autoriteetsest allikast. |
2.3. Autentimine
Selles punktis keskendutakse autentimismehhanismi kasutamisega seotud ohtudele ning loetletakse iga usaldusväärsuse taseme nõuded. Käesoleva punkti tähenduses loetakse turvameetmed konkreetse taseme riskidega vastavuses olevaiks.
2.3.1.
Järgmises tabelis on esitatud nõuded igale sellise autentimismehhanismi usaldusväärsuse tasemele, mille kaudu füüsiline või juriidiline isik kasutab e-identimise vahendit selleks, et kinnitada oma isikusamasust tuginevale isikule.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||
Madal |
|
||||||
Märkimisväärne |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused.
|
||||||
Kõrge |
Lisaks märkimisväärsele tasemele peavad olema täidetud järgmised tingimused. Autentimismehhanism rakendab e-identimise vahendi kontrollimiseks turvameetmeid, et oleks väga ebatõenäoline, et suure ründepotentsiaaliga ründaja suudaks näiteks mõistatamise, pealtkuulamise, taasesituse või side manipuleerimise abil autentimismehhanismi häirida. |
2.4. Haldamine ja korraldamine
Kõik osalised, kes osutavad piiriüleselt e-identimisega seotud teenust (edaspidi „teenuseosutajad”), peavad kasutama dokumenteeritud infoturbe haldamise tavasid, põhimõtteid, lähenemisviise riskihaldusele ja muid tunnustatud turvameetmeid, et asjaomaste liikmesriikide e-identimise süsteemide juhtimisega tegelevad asutused saaksid olla kindlad, et kasutatakse tõhusaid tegutsemisviise. Punktis 2.4 loetakse kõik nõuded/komponendid konkreetse taseme riskidega vastavuses olevaiks.
2.4.1.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||||||
Madal |
|
||||||||||
Märkimisväärne |
Sama kui madala taseme puhul. |
||||||||||
Kõrge |
Sama kui madala taseme puhul. |
2.4.2.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||
Madal |
|
||||||
Märkimisväärne |
Sama kui madala taseme puhul. |
||||||
Kõrge |
Sama kui madala taseme puhul. |
2.4.3.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Infoturvariskide haldamiseks ja juhtimiseks on olemas tõhus infoturbe halduse süsteem. |
Märkimisväärne |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. Infoturbe halduse süsteem järgib infoturvariskide haldamise ja juhtimise juurdunud standardeid ja põhimõtteid. |
Kõrge |
Sama kui märkimisväärse taseme puhul. |
2.4.4.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||
Madal |
|
||||
Märkimisväärne |
Sama kui madala taseme puhul. |
||||
Kõrge |
Sama kui madala taseme puhul. |
2.4.5.
Järgmises tabelis on esitatud nõuded, millele peavad vastama ruumid ja personal ning vajaduse korral allhankijad, kes täidavad käesolevas määruses kirjeldatud ülesandeid. Iga nõude täitmine on proportsionaalne pakutava usaldusväärsuse tasemega seotud riski tasemega.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||||
Madal |
|
||||||||
Märkimisväärne |
Sama kui madala taseme puhul. |
||||||||
Kõrge |
Sama kui madala taseme puhul. |
2.4.6.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||||||||
Madal |
|
||||||||||
Märkimisväärne |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. Kui e-identimise vahendite väljastamiseks ja autentimiseks kasutatakse krüptograafiat, on delikaatsed krüptomaterjalid manipuleerimise vastu kaitstud. |
||||||||||
Kõrge |
Sama kui märkimisväärse taseme puhul. |
2.4.7.
Usaldusväärsuse tase |
Vajalikud komponendid |
||||
Madal |
Toimuvad korrapärased siseauditid, mis hõlmavad kõiki pakutavate teenuste osutamise seisukohast olulisi osi, et tagada asjakohaste põhimõtete järgimine. |
||||
Märkimisväärne |
Toimuvad korrapärased sõltumatud sise- või välisauditid, mis hõlmavad kõiki pakutavate teenuste osutamise seisukohast olulisi osi, et tagada asjakohaste põhimõtete järgimine. |
||||
Kõrge |
|
(1) Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 765/2008, 9. juuli 2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30).