This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Komission täytäntöönpanoasetus (EU) 2015/1502, annettu 8 päivänä syyskuuta 2015, teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti)
Komission täytäntöönpanoasetus (EU) 2015/1502, annettu 8 päivänä syyskuuta 2015, teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti)
EUVL L 235, 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
FI |
Euroopan unionin virallinen lehti |
L 235/7 |
KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2015/1502,
annettu 8 päivänä syyskuuta 2015,
teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (1) ja erityisesti sen 8 artiklan 3 kohdan,
sekä katsoo seuraavaa:
(1) |
Asetuksen (EU) N:o 910/2014 8 artiklassa säädetään, että 9 artiklan 1 kohdan nojalla ilmoitetussa sähköisen tunnistamisen järjestelmässä on kyseisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien osalta määritettävä matala, korotettu ja korkea varmuustaso. |
(2) |
On olennaisen tärkeää määrittää tekniset vähimmäiseritelmät, -standardit ja -menettelyt, jotta voidaan varmistaa yhteisymmärrys varmuustasojen yksityiskohdista ja yhteentoimivuus ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisessa suhteessa 8 artiklan mukaisiin varmuustasoihin asetuksen (EU) N:o 910/2014 12 artiklan 4 kohdan b alakohdassa säädetyllä tavalla. |
(3) |
Kansainvälinen ISO/IEC 29115 -standardi on otettu huomioon tässä täytäntöönpanosäädöksessä vahvistettuja eritelmiä ja menettelyjä varten ensisijaisena kansainvälisenä standardina, joka on sovellettavissa sähköisen tunnistamisen menetelmien varmuustasojen alalla. Asetuksen (EU) N:o 910/2014 sisältö poikkeaa kuitenkin tästä kansainvälisestä standardista erityisesti henkilöllisyyden todistamista ja varmentamista koskevien vaatimusten osalta sekä siinä, miten jäsenvaltioissa käytettävien identiteetin hallintajärjestelmien ja EU:ssa samaan tarkoituksen käytössä olevien välineiden väliset erot otetaan huomioon. Tämän vuoksi liitteessä ei pitäisi viitata ISO/IEC 29115 -standardin konkreettiseen sisältöön, vaikka liite perustuu kyseiseen kansainväliseen standardiin. |
(4) |
Tämä asetus on laadittu käyttämällä tuloksiin perustuvaa tarkoituksenmukaisinta lähestymistapaa, mikä näkyy myös käytetyissä termien ja käsitteiden määritelmissä. Niissä otetaan huomioon asetuksen (EU) N:o 910/2014 tavoite liittyen sähköisen tunnistamisen menetelmien varmuustasoihin. Tämän vuoksi laajamittainen STORK-pilottihanke ja siinä laaditut eritelmät sekä ISO/IEC 29115 -standardin määritelmät ja käsitteet olisi otettava mahdollisimman pitkälti huomioon tässä täytäntöönpanosäädöksessä vahvistettavissa eritelmissä ja menettelyissä. |
(5) |
Riippuen asiayhteydestä, jossa henkilöllisyyden todistamiseen liittyvä näkökohta on varmennettava, luotettava lähde voi olla erityyppinen, esimerkiksi rekisteri, asiakirja tai elin. Luotettavat lähteet voivat olla erilaisia eri jäsenvaltioissa jopa samanlaisessa asiayhteydessä. |
(6) |
Henkilöllisyyden todistamista ja varmentamista koskevissa vaatimuksissa olisi otettava huomioon eri järjestelmät ja käytännöt ja samalla varmistettava riittävän suuri varmuus, jotta voidaan luoda tarvittava luottamus. Sen vuoksi menettelyjä, joita on käytetty aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen, olisi voitava hyväksyä ainoastaan varmistuttaessa siitä, että kyseiset menettelyt täyttävät vastaavaa varmuustasoa varten vahvistetut vaatimukset. |
(7) |
Yleensä käytetään tiettyjä todentamistekijöitä, kuten yhteisesti salattuja tietoja, fyysisiä laitteita ja fyysisiä ominaisuuksia. Todentamistekijöiden lisäämistä etenkin muista tekijöiden luokista olisi kannustettava, jotta voidaan parantaa todentamismenettelyn turvallisuutta. |
(8) |
Tämä asetus ei saisi vaikuttaa oikeushenkilöiden edustamisoikeuksiin. Liitteessä olisi kuitenkin vahvistettava vaatimukset luonnollisten ja oikeushenkilöiden sähköisen tunnistamisen menetelmien välisestä kytköksestä. |
(9) |
Olisi tunnustettava tietoturvallisuus- ja palvelunhallintajärjestelmien tärkeys sekä se, että on tärkeää käyttää hyväksyttyjä menetelmiä ja soveltaa standardien, kuten sarjojen ISO/IEC 27000 ja ISO/IEC 20000 standardien, periaatteita. |
(10) |
Varmuustasoihin liittyvät jäsenvaltioiden hyvät käytännöt olisi myös otettava huomioon. |
(11) |
Kansainvälisiin standardeihin perustuva tietotekninen tietoturvasertifiointi on tärkeä väline tarkastettaessa, vastaavatko tuotteet turvallisuudeltaan tämän täytäntöönpanosäädöksen vaatimuksia. |
(12) |
Asetuksen (EY) N:o 910/2014 48 artiklassa tarkoitettu komitea ei antanut lausuntoa puheenjohtajansa asettamassa määräajassa, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
1. Ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien matala, korotettu ja korkea varmuustaso on määritettävä käyttäen liitteessä esitettyjä eritelmiä ja menettelyjä.
2. Liitteessä esitettyjä eritelmiä ja menettelyjä on käytettävä ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien varmuustason täsmentämiseksi määrittämällä seuraavien osatekijöiden luotettavuus ja laatu:
a) |
rekisteröinti, joka määritellään tämän asetuksen liitteessä olevassa 2.1 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan a alakohdan mukaisesti; |
b) |
sähköisen tunnistamisen menetelmien hallinta, joka määritellään tämän asetuksen liitteessä olevassa 2.2 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan b ja f alakohdan mukaisesti; |
c) |
todentaminen, joka määritellään tämän asetuksen liitteessä olevassa 2.3 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan c alakohdan mukaisesti; |
d) |
hallinnointi ja organisointi, jotka määritellään tämän asetuksen liitteessä olevassa 2.4 kohdassa asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan d ja e alakohdan mukaisesti. |
3. Jos ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttää vaatimuksen korkeammalla varmuustasolla, sen katsotaan täyttävän vastaavan vaatimuksen myös matalammalla varmuustasolla.
4. Jollei liitteen asianomaisessa osassa toisin mainita, kaikki osatekijät, jotka liitteessä luetellaan ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnetyn sähköisen tunnistamisen menetelmän tietyn varmuustason osalta, on täytettävä ilmoitetun varmuustason saavuttamiseksi.
2 artikla
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 8 päivänä syyskuuta 2015.
Komission puolesta
Puheenjohtaja
Jean-Claude JUNCKER
(1) EUVL L 257, 28.8.2014, s. 73.
LIITE
Tekniset eritelmät ja menettelyt ilmoitetun sähköisen tunnistamisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien matalaa, korotettua ja korkeaa varmuustasoa varten
1. Sovellettavat määritelmät
Tässä liitteessä sovelletaan seuraavia määritelmiä:
1) |
’luotettavalla lähteellä’ tarkoitetaan mitä tahansa sellaista lähdettä muodosta riippumatta, josta voidaan luotettavasti saada paikkansapitäviä tietoja ja/tai todisteita, joita voidaan käyttää henkilöllisyyden todistamiseen; |
2) |
’todentamistekijällä’ tarkoitetaan tekijää, joka on vahvistettu henkilöön kytkeytyväksi ja joka kuuluu johonkin seuraavista luokista:
|
3) |
’dynaamisella todentamisella’ tarkoitetaan sähköistä prosessia, jossa käytetään salausta tai muita tekniikoita, joiden avulla voidaan pyynnöstä luoda sähköinen todiste siitä, että henkilöllä on hallinnassaan tai hallussaan tunnistetiedot, sekä muuttaa sitä jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamisessa; |
4) |
’tietoturvallisuuden hallintajärjestelmällä’ tarkoitetaan prosesseja ja menettelyjä, joiden tarkoituksena on pitää tietoturvallisuuteen liittyvät riskit hyväksyttävällä tasolla. |
2. Tekniset eritelmät ja menettelyt
Tässä liitteessä esitettyjen teknisten eritelmien ja menettelyjen osatekijöitä käytetään määriteltäessä, miten asetuksen (EU) N:o 910/2014 8 artiklan vaatimuksia ja perusteita on sovellettava sähköisen tunnistamisen järjestelmän puitteissa myönnettyihin sähköisen tunnistamisen menetelmiin.
2.1 Rekisteröinti
2.1.1
Varmuustaso |
Tarvittavat osatekijät |
||||||
Matala |
|
||||||
Korotettu |
Sama kuin tasolla ”matala”. |
||||||
Korkea |
Sama kuin tasolla ”matala”. |
2.1.2
Varmuustaso |
Tarvittavat osatekijät |
||||||||||
Matala |
|
||||||||||
Korotettu |
Sama kuin tasolla ”matala”, minkä lisäksi yhden kohdissa 1–4 mainituista vaihtoehdoista on täytyttävä:
|
||||||||||
Korkea |
Joko kohdan 1 tai 2 vaatimusten on täytyttävä:
|
2.1.3
Varmuustaso |
Tarvittavat osatekijät |
||||||
Matala |
|
||||||
Korotettu |
Sama kuin tasolla ”matala”, minkä lisäksi yhden kohdissa 1–3 mainituista vaihtoehdoista on täytyttävä:
|
||||||
Korkea |
Sama kuin tasolla ”korotettu”, minkä lisäksi yhden kohdissa 1–3 mainituista vaihtoehdoista on täytyttävä:
|
2.1.4
Luonnollisen henkilön sähköisen tunnistamisen menetelmän ja oikeushenkilön sähköisen tunnistamisen menetelmän väliseen kytkökseen (jäljempänä tässä liitteessä ”kytkös”) sovelletaan soveltuvin osin seuraavia ehtoja:
1) |
Kytköksen voimassaolo on voitava keskeyttää ja/tai peruuttaa. Kytköksen elinkaarta (esim. aktivointi, voimassaolon keskeyttäminen, uusiminen tai peruuttaminen) hallinnoidaan kansallisesti hyväksyttyjen menettelyjen mukaisesti. |
2) |
Luonnollinen henkilö, jonka sähköisen tunnistamisen menetelmä kytketään oikeushenkilön sähköisen tunnistamisen menetelmään, voi siirtää kytköksen toteuttamisen toiselle luonnolliselle henkilölle kansallisesti hyväksyttyjen menettelyjen mukaisesti. Vastuu säilyy kuitenkin siirtävällä luonnollisella henkilöllä. |
3) |
Kytkös on tehtävä seuraavalla tavalla:
|
2.2 Sähköisen tunnistamisen menetelmien hallinta
2.2.1
Varmuustaso |
Tarvittavat osatekijät |
||||
Matala |
|
||||
Korotettu |
|
||||
Korkea |
Taso ”korotettu” lisättynä seuraavalla:
|
2.2.2
Varmuustaso |
Tarvittavat osatekijät |
Matala |
Sähköisen tunnistamisen menetelmän myöntämisen jälkeen se toimitetaan käyttäen mekanismia, jonka kautta sen voidaan olettaa saavuttavan vain aiotun henkilön. |
Korotettu |
Sähköisen tunnistamisen menetelmän myöntämisen jälkeen se toimitetaan käyttäen mekanismia, jonka kautta se voidaan olettaa toimitettavan vain sen henkilön haltuun, jolle se kuuluu. |
Korkea |
Aktivointiprosessi varmistaa, että sähköisen tunnistamisen menetelmä on toimitettu vain sen henkilön haltuun, jolle se kuuluu. |
2.2.3
Varmuustaso |
Tarvittavat osatekijät |
||||||
Matala |
|
||||||
Korotettu |
Sama kuin tasolla ”matala”. |
||||||
Korkea |
Sama kuin tasolla ”matala”. |
2.2.4
Varmuustaso |
Tarvittavat osatekijät |
Matala |
Ottaen huomioon riskit henkilön tunnistetiedoissa tapahtuvista muutoksista uusimisen tai korvaamisen on täytettävä samat varmuusvaatimukset kuin henkilöllisyyden alkuperäisen todistamisen ja varmentamisen yhteydessä tai sen on perustuttava saman tai korkeamman varmuustason voimassa olevaan sähköisen tunnistamisen menetelmään. |
Korotettu |
Sama kuin tasolla ”matala”. |
Korkea |
Taso ”matala” lisättynä seuraavalla: Jos uusiminen tai korvaaminen perustuu voimassa olevaan sähköisen tunnistamisen menetelmään, tunnistetiedot varmennetaan luotettavasta lähteestä. |
2.3 Todentaminen
Tässä jaksossa käsitellään todentamismekanismin käyttöön liittyviä uhkia ja luetellaan vaatimukset kullekin varmuustasolle. Tässä jaksossa turvatoimenpiteet on ymmärrettävä suhteutettuina riskeihin kulloisellakin tasolla.
2.3.1
Seuraavassa taulukossa esitetään vaatimukset varmuustasoittain todentamismekanismista, jolla luonnollinen tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle.
Varmuustaso |
Tarvittavat osatekijät |
||||||
Matala |
|
||||||
Korotettu |
Taso ”matala” lisättynä seuraavalla:
|
||||||
Korkea |
Taso ”korotettu” lisättynä seuraavalla: Todentamismekanismissa toteutetaan turvatoimenpiteitä sähköisen tunnistamisen menetelmän varmentamiseksi siten, että on erittäin epätodennäköistä, että viestin arvaaminen, salakuuntelu, toisto tai manipulointi hyökkäyksessä, jonka vakavuusaste on korkea (”high”), voi heikentää todentamismekanismeja. |
2.4 Hallinto ja organisointi
Kaikilla osallistujilla, jotka tarjoavat sähköiseen tunnistamiseen liittyvää rajat ylittävää palvelua (jäljempänä tässä liitteessä ”palveluntarjoajat”), on oltava käytössä dokumentoidut tietoturvallisuuden hallintakäytännöt, toimintaperiaatteet, lähestymistavat riskien hallintaan ja muut hyväksytyt turvatoimenpiteet siten, että asiaankuuluvilla sähköisen tunnistamisen järjestelmien hallintoelimillä on kyseeseen tulevissa jäsenvaltioissa varmuus siitä, että tehokkaat menettelyt ovat käytössä. Kaikki 2.4 jakson vaatimukset/osatekijät on ymmärrettävä suhteutettuina riskeihin kulloisellakin tasolla.
2.4.1
Varmuustaso |
Tarvittavat osatekijät |
||||||||||
Matala |
|
||||||||||
Korotettu |
Sama kuin tasolla ”matala”. |
||||||||||
Korkea |
Sama kuin tasolla ”matala”. |
2.4.2
Varmuustaso |
Tarvittavat osatekijät |
||||||
Matala |
|
||||||
Korotettu |
Sama kuin tasolla ”matala”. |
||||||
Korkea |
Sama kuin tasolla ”matala”. |
2.4.3
Varmuustaso |
Tarvittavat osatekijät |
Matala |
Käytössä on tehokas tietoturvallisuuden hallintajärjestelmä tietoturvaan liittyviä riskien hallintaa ja valvontaa varten. |
Korotettu |
Taso ”matala” lisättynä seuraavalla: Tietoturvallisuuden hallintajärjestelmässä noudatetaan vakiintuneita standardeja tietoturvaan liittyviä riskien hallintaa ja valvontaa varten. |
Korkea |
Sama kuin tasolla ”korotettu”. |
2.4.4
Varmuustaso |
Tarvittavat osatekijät |
||||
Matala |
|
||||
Korotettu |
Sama kuin tasolla ”matala”. |
||||
Korkea |
Sama kuin tasolla ”matala”. |
2.4.5
Seuraavassa taulukossa esitetään vaatimukset, jotka koskevat tiloja ja henkilöstöä sekä tarvittaessa alihankkijoita, jotka suorittavat tämän asetuksen soveltamisalaan kuuluvia tehtäviä. Kunkin vaatimuksen noudattaminen on suhteutettava siihen, minkä tasoinen riski tarjottavaan varmuustasoon liittyy.
Varmuustaso |
Tarvittavat osatekijät |
||||||||
Matala |
|
||||||||
Korotettu |
Sama kuin tasolla ”matala”. |
||||||||
Korkea |
Sama kuin tasolla ”matala”. |
2.4.6
Varmuustaso |
Tarvittavat osatekijät |
||||||||||
Matala |
|
||||||||||
Korotettu |
Sama kuin tasolla ”matala” lisättynä seuraavalla: Arkaluonteinen salaustekninen aineisto, jota käytetään sähköisen tunnistamisen menetelmien myöntämiseen sekä todentamiseen, on suojattu luvattomalta käsittelyltä. |
||||||||||
Korkea |
Sama kuin tasolla ”korotettu”. |
2.4.7
Varmuustaso |
Tarvittavat osatekijät |
||||
Matala |
Määräajoin tehdään sisäisiä tarkastuksia, jotka kattavat kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen. |
||||
Korotettu |
Määräajoin tehdään riippumattomia sisäisiä tai ulkoisia tarkastuksia, jotka kattavat kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen. |
||||
Korkea |
|
(1) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).