9.9.2015 |
HR |
Službeni list Europske unije |
L 235/7 |
PROVEDBENA UREDBA KOMISIJE (EU) 2015/1502
оd 8. rujna 2015.
o utvrđivanju minimalnih tehničkih specifikacija i postupaka za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije u skladu s člankom 8. stavkom 3. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu
(Tekst značajan za EGP)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 8. stavak 3.,
budući da:
(1) |
Člankom 8. Uredbe (EU) br. 910/2014 predviđeno je da se sustavom elektroničke identifikacije koji je prijavljen na temelju članka 9. stavka 1. treba odrediti niska, značajna i visoka razina osiguranja identiteta koja se pripisuje sredstvima elektroničke identifikacije koja su izdana u okviru tog sustava. |
(2) |
Određivanje minimalnih tehničkih specifikacija, normi i postupaka ključno je kako bi se osiguralo jednako tumačenje pojedinosti o razinama osiguranja identiteta i kako bi se osigurala interoperabilnost pri raspoređivanju nacionalnih razina osiguranja identiteta prijavljenih sustava elektroničke identifikacije u odnosu na razine osiguranja identiteta na temelju članka 8. kako je predviđeno u članku 12. stavku 4. točki (b) Uredbe (EU) br. 910/2014. |
(3) |
Za specifikacije i postupke utvrđene ovim provedbenim aktom uzeta je u obzir međunarodna norma ISO/IEC 29115 kao najrelevantnija međunarodna norma u području razina osiguranja identiteta za sredstva elektroničke identifikacije. Međutim, sadržaj Uredbe (EU) br. 910/2014 razlikuje se od te međunarodne norme, posebno u pogledu zahtjeva za dokazivanje i provjeru identiteta te načina na koji su uzete u obzir razlike između aranžmana za dokazivanje identiteta država članica i postojećih alata u EU-u koji se upotrebljavanju u istu svrhu. Stoga se u Prilogu, premda se on temelji na toj međunarodnoj normi, ne bi smjelo upućivati na bilo koji određeni sadržaj norme ISO/IEC 29115. |
(4) |
Ova je Uredba izrađena na temelju pristupa usmjerenog na rezultate, kao najprikladnijeg pristupa, što se odražava i u definicijama za određivanje pojmova i koncepata. Njima se uzima u obzir cilj Uredbe (EU) br. 910/2014 s obzirom na razine osiguranja identiteta sredstava elektroničke identifikacije. Stoga bi pri određivanju specifikacija i postupaka iz ovog provedbenog akta u najvećoj mjeri trebalo uzeti u obzir opsežni pilot-projekt STORK, uključujući specifikacije razvijene u okviru tog projekta, te definicije i koncepte iz norme ISO/IEC 29115. |
(5) |
Ovisno o kontekstu u kojem je određeni aspekt dokaza o identitetu potrebno provjeriti, mjerodavni izvori mogu imati različite oblike kao što su, među ostalim, registri, dokumenti, tijela. Različite države članice mogu se, čak i u sličnom kontekstu, služiti različitim mjerodavnim izvorima. |
(6) |
Zahtjevima za dokazivanje i provjeru identiteta trebalo bi uzeti u obzir različite sustave i praksu uz dovoljno visoku razinu osiguranja identiteta kako bi se uspostavilo neophodno povjerenje. Stoga bi prihvaćanje postupaka koji su se prethodno upotrebljavali u svrhu različitu od izdavanja sredstava elektroničke identifikacije trebalo biti uvjetovano potvrdom da ti postupci ispunjavaju zahtjeve predviđene za odgovarajuću razinu osiguranja identiteta. |
(7) |
Obično se za to upotrebljavaju određeni čimbenici autentikacije, kao što su zajedničke tajne, fizički uređaji i fizička obilježja. Međutim, trebalo bi poticati uporabu većeg broja čimbenika autentikacije, posebno čimbenika različitih kategorija, kako bi se povećala sigurnost procesa autentikacije. |
(8) |
Ova Uredba ne bi trebala utjecati na prava zastupanja pravnih osoba. Međutim, Prilogom bi trebalo predvidjeti zahtjeve za povezivanje sredstava elektroničke identifikacije fizičkih i pravnih osoba. |
(9) |
Trebalo bi prepoznati važnost sigurnosti informacija i sustava upravljanja uslugama te važnost primjene priznatih metoda i načela ugrađenih u norme, kao što su serije normi ISO/IEC 27000 i ISO/IEC 20000. |
(10) |
Također bi trebalo uzeti u obzir dobru praksu u odnosu na razine osiguranja identiteta u državama članicama. |
(11) |
Certificiranje sigurnosti informacijske tehnologije na temelju međunarodnih normi važan je alat za provjeru ispunjavaju li proizvodi sigurnosne zahtjeve ovog provedbenog akta. |
(12) |
Odbor iz članka 48. Uredbe (EU) br. 910/2014 nije dostavio mišljenje u roku koji je utvrdio njegov predsjednik, |
DONIJELA JE OVU UREDBU:
Članak 1.
1. Niska, značajna i visoka razina osiguranja identiteta za sredstva elektroničke identifikacije izdana u okviru prijavljenog sustava elektroničke identifikacije određuju se s obzirom na specifikacije i postupke utvrđene u Prilogu.
2. Specifikacije i postupci utvrđeni u Prilogu upotrebljavaju se za određivanje razine osiguranja identiteta sredstava elektroničke identifikacije izdanih u okviru prijavljenog sustava elektroničke identifikacije određivanjem pouzdanosti i kvalitete sljedećih elemenata:
(a) |
upis, kako je utvrđeno u odjeljku 2.1. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkom (a) Uredbe (EU) br. 910/2014; |
(b) |
upravljanje sredstvima elektroničke identifikacije, kako je utvrđeno u odjeljku 2.2. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkama (b) i (f) Uredbe (EU) br. 910/2014; |
(c) |
autentikacija, kako je utvrđeno u odjeljku 2.3. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkom (c) Uredbe (EU) br. 910/2014; |
(d) |
upravljanje i organizacija, kako je utvrđeno u odjeljku 2.4. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkama (d) i (e) Uredbe (EU) br. 910/2014. |
3. Kada sredstvo elektroničke identifikacije izdano u okviru prijavljenog sustava elektroničke identifikacije ispunjava zahtjev koji pripada višoj razini osiguranja identiteta, pretpostavlja se da ispunjava jednakovrijedan zahtjev niže razine osiguranja identiteta.
4. Osim ako je drukčije navedeno u odgovarajućem dijelu Priloga, svi elementi navedeni u Prilogu za određenu razinu osiguranja identiteta sredstava elektroničke identifikacije izdanih u okviru prijavljenog sustava elektroničke identifikacije ispunjeni su kako bi odgovarali određenoj razini osiguranja identiteta.
Članak 2.
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 8. rujna 2015.
Za Komisiju
Predsjednik
Jean-Claude JUNCKER
(1) SL L 257, 28.8.2014., str. 73.
PRILOG
Tehničke specifikacije i postupci za nisku, značajnu i visoku razinu osiguranja identiteta za sredstva elektroničke identifikacije izdana u okviru prijavljenog sustava elektroničke identifikacije
1. Primjenjive definicije
Za potrebe ovog Priloga primjenjuju se sljedeće definicije:
1. |
„mjerodavni izvor” znači svaki izvor bez obzira na njegov oblik, koji je pouzdan u pogledu pružanja točnih podataka, informacija i/ili dokaza koji se mogu upotrijebiti za dokazivanje identiteta; |
2. |
„čimbenik autentikacije” znači čimbenik za koji je potvrđeno da je povezan s osobom, a može pripadati jednoj od sljedećih kategorija:
|
3. |
„dinamička autentikacija” znači elektronički proces u kojem se upotrebljava kriptografija ili druge tehnike kako bi se na zahtjev stvorio elektronički dokaz da subjekt kontrolira ili posjeduje identifikacijske podatke i koji se mijenja sa svakom autentikacijom između subjekta i sustava koji provjerava identitet subjekta; |
4. |
„sustav upravljanja sigurnošću informacija” znači skup procesa i postupaka osmišljenih kako bi se rizicima koji se odnose na sigurnost informacija upravljalo na prihvatljivim razinama. |
2. Tehničke specifikacije i postupci
Elementi tehničkih specifikacija i postupaka opisanih u ovom Prilogu upotrebljavaju se za određivanje načina primjene zahtjeva i kriterija iz članka 8. Uredbe (EU) br. 910/2014 na sredstva elektroničke identifikacije izdana u okviru sustava elektroničke identifikacije.
2.1. Upis
2.1.1.
Razina osiguranja identiteta |
Potrebni elementi |
||||||
Niska |
|
||||||
Značajna |
Isto kao za nisku razinu. |
||||||
Visoka |
Isto kao za nisku razinu. |
2.1.2.
Razina osiguranja identiteta |
Potrebni elementi |
||||||||||
Niska |
|
||||||||||
Značajna |
Niska razina, uz jednu od sljedećih mogućnosti navedenih u točkama 1. do 4.:
|
||||||||||
Visoka |
Moraju biti ispunjeni zahtjevi iz točke 1. ili 2.:
|
2.1.3.
Razina osiguranja identiteta |
Potrebni elementi |
||||||
Niska |
|
||||||
Značajna |
Niska razina, uz jednu od sljedećih mogućnosti navedenih u točkama 1. do 3.:
|
||||||
Visoka |
Značajna razina, uz jednu od sljedećih mogućnosti navedenih u točkama 1. do 3.:
|
2.1.4.
Prema potrebi, na povezivanje sredstava elektroničke identifikacije fizičkih osoba sa sredstvima elektroničke identifikacije pravnih osoba („povezivanje”) primjenjuju se sljedeći uvjeti:
1. |
Povezivanje se može suspendirati ili opozvati. Životnim ciklusom povezivanja (npr. aktivacija, suspenzija, obnova, opoziv) upravlja se u skladu s priznatim postupcima na nacionalnoj razini. |
2. |
Fizička osoba čija su sredstva elektroničke identifikacije povezana sa sredstvima elektroničke identifikacije pravne osobe može delegirati izvršavanje povezivanja drugoj fizičkoj osobi na temelju priznatih postupaka na nacionalnoj razini. Međutim, odgovornost i dalje snosi fizička osoba koja delegira. |
3. |
Povezivanje se obavlja na sljedeći način:
|
2.2. Upravljanje sredstvima elektroničke identifikacije
2.2.1.
Razina osiguranja identiteta |
Potrebni elementi |
||||
Niska |
|
||||
Značajna |
|
||||
Visoka |
Značajna razina, uz sljedeće elemente:
|
2.2.2.
Razina osiguranja identiteta |
Potrebni elementi |
Niska |
Nakon izdavanja, sredstvo elektroničke identifikacije isporučuje se s pomoću mehanizma za koji se pretpostavlja da osigurava isporuku samo osobi kojoj je sredstvo namijenjeno. |
Značajna |
Nakon izdavanja, sredstvo elektroničke identifikacije isporučuje se s pomoću mehanizma za koji se pretpostavlja da osigurava isporuku samo u vlasništvo osobe koja je vlasnik. |
Visoka |
Procesom aktiviranja provjerava se da je sredstvo elektroničke identifikacije isporučeno samo u vlasništvo osobe koja je vlasnik. |
2.2.3.
Razina osiguranja identiteta |
Potrebni elementi |
||||||
Niska |
|
||||||
Značajna |
Isto kao za nisku razinu. |
||||||
Visoka |
Isto kao za nisku razinu. |
2.2.4.
Razina osiguranja identiteta |
Potrebni elementi |
Niska |
Uzimajući u obzir rizike od promjene osobnih identifikacijskih podataka, obnova ili zamjena mora ispunjavati iste zahtjeve kao i prvotno dokazivanje i provjera identiteta ili se temelji na valjanom sredstvu elektroničke identifikacije iste ili više razine osiguranja identiteta. |
Značajna |
Isto kao za nisku razinu. |
Visoka |
Niska razina, uz sljedeće elemente: Ako se obnova ili zamjena temelje na valjanom sredstvu elektroničke identifikacije, podaci o identitetu provjeravaju se s mjerodavnim izvorom. |
2.3. Autentikacija
Ovaj odjeljak usredotočuje se na opasnosti povezane s uporabom mehanizma autentikacije i u njemu se navode zahtjevi za svaku razinu osiguranja identiteta. Za potrebe ovog odjeljka smatra se da kontrole odgovaraju rizicima na određenoj razini.
2.3.1.
U sljedećoj tablici utvrđeni su zahtjevi prema razini osiguranja identiteta u odnosu na mehanizam autentikacije s pomoću kojeg fizička ili pravna osoba upotrebljava sredstva elektroničke identifikacije za potvrđivanje svojeg identiteta pouzdajućoj strani.
Razina osiguranja identiteta |
Potrebni elementi |
||||||
Niska |
|
||||||
Značajna |
Niska razina, uz sljedeće elemente:
|
||||||
Visoka |
Značajna razina, uz sljedeće elemente: Mehanizmom autentikacije provode se zaštitne kontrole za provjeru sredstava elektroničke identifikacije, tako da je malo vjerojatno da bi aktivnosti napadača, kao što je pogađanje zaporki, prisluškivanje, ponovno slanje ili manipuliranje komunikacijom, mogle ugroziti mehanizam autentikacije. |
2.4. Upravljanje i organizacija
Svi sudionici koji pružaju usluge povezane s elektroničkom identifikacijom u prekograničnom kontekstu („pružatelji usluga”) uspostavljaju praksu upravljanja sigurnošću dokumentiranih informacija, politike, pristupe upravljanju rizikom i druge priznate kontrole kako bi zajamčili tijelima za upravljanje sustavima elektroničke identifikacije u predmetnim državama članicama da postoji učinkovita praksa. Za potrebe cijelog odjeljka 2.4. smatra se da svi zahtjevi/elementi odgovaraju rizicima na određenoj razini.
2.4.1.
Razina osiguranja identiteta |
Potrebni elementi |
||||||||||
Niska |
|
||||||||||
Značajna |
Isto kao za nisku razinu. |
||||||||||
Visoka |
Isto kao za nisku razinu. |
2.4.2.
Razina osiguranja identiteta |
Potrebni elementi |
||||||
Niska |
|
||||||
Značajna |
Isto kao za nisku razinu. |
||||||
Visoka |
Isto kao za nisku razinu. |
2.4.3.
Razina osiguranja identiteta |
Potrebni elementi |
Niska |
Postoji učinkovit sustav upravljanja sigurnošću informacija za kontrolu rizika povezanih sa sigurnošću informacija i upravljanje njima. |
Značajna |
Niska razina, uz sljedeće elemente: Sustav upravljanja sigurnošću informacija u skladu je s dokazanim normama ili načelima za kontrolu rizika povezanih sa sigurnošću informacija i upravljanje njima. |
Visoka |
Isto kao za značajnu razinu. |
2.4.4.
Razina osiguranja identiteta |
Potrebni elementi |
||||
Niska |
|
||||
Značajna |
Isto kao za nisku razinu. |
||||
Visoka |
Isto kao za nisku razinu. |
2.4.5.
Sljedeća tablica prikazuje zahtjeve povezane s objektima, osobljem i podizvođačima, ako je primjenjivo, koji obavljaju dužnosti obuhvaćene ovom Uredbom. Usklađenost sa zahtjevima razmjerna je razini rizika povezanoj s pruženom razinom osiguranja identiteta.
Razina osiguranja identiteta |
Potrebni elementi |
||||||||
Niska |
|
||||||||
Značajna |
Isto kao za nisku razinu. |
||||||||
Visoka |
Isto kao za nisku razinu. |
2.4.6.
Razina osiguranja identiteta |
Potrebni elementi |
||||||||||
Niska |
|
||||||||||
Značajna |
Isto kao za nisku razinu, uz sljedeće elemente: Osjetljivi kriptografski materijal, ako se upotrebljava za izdavanje sredstava elektroničke identifikacije i autentikaciju, zaštićen je od neovlaštene izmjene. |
||||||||||
Visoka |
Isto kao za značajnu razinu. |
2.4.7.
Razina osiguranja identiteta |
Potrebni elementi |
||||
Niska |
Postoje periodične unutarnje revizije kojima su obuhvaćeni svi dijelovi koji se odnose na isporuku usluga koje se pružaju kako bi se osigurala usklađenost s relevantnom politikom. |
||||
Značajna |
Postoje periodične neovisne unutarnje ili vanjske revizije kojima su obuhvaćeni svi dijelovi koji se odnose na isporuku usluga koje se pružaju kako bi se osigurala usklađenost s relevantnom politikom. |
||||
Visoka |
|
(1) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).