26.4.2016   

HR

Službeni list Europske unije

L 109/40


PROVEDBENA ODLUKA KOMISIJE (EU) 2016/650

оd 25. travnja 2016.

o utvrđivanju normi za ocjenu sigurnosti kvalificiranih sredstava za izradu potpisa i pečata u skladu s člankom 30. stavkom 3. i člankom 39. stavkom 2. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 30. stavak 3. i članak 39. stavak 2.,

budući da:

(1)

U Prilogu II. Uredbi (EU) br. 910/2014 utvrđuju se zahtjevi za kvalificirana sredstva za izradu elektroničkih potpisa i kvalificirana sredstva za izradu elektroničkih pečata.

(2)

Sastavljanje tehničkih specifikacija potrebnih za proizvodnju proizvoda i njihovo stavljanje na tržište u skladu s trenutačnim stanjem tehnologije, zadužene su organizacije nadležne za normizaciju.

(3)

ISO/IEC (Međunarodna organizacija za normizaciju/Međunarodna elektrotehnička komisija) utvrđuje opće pojmove i načela sigurnosti informacijske tehnologije te određuje opći model ocjene koji se treba upotrebljavati kao osnova za evaluaciju sigurnosnih značajki proizvoda informacijske tehnologije.

(4)

Europski odbor za normizaciju (CEN) razvio je, u okviru Komisijina zahtjeva za normizaciju M/460, norme za kvalificirana sredstva za izradu elektroničkih potpisa i izradu elektroničkih pečata kada se podaci za izradu elektroničkih potpisa ili izradu elektroničkih pečata drže u okruženju kojim u potpunosti, ali ne nužno isključivo, upravlja korisnik. Te se norme smatraju prikladnima za ocjenu usklađenosti takvih sredstava s odgovarajućim zahtjevima iz Priloga II. Uredbi (EU) br. 910/2014.

(5)

U Prilogu II. Uredbi (EU) br. 910/2014 utvrđuje se da samo kvalificirani pružatelj usluga povjerenja može upravljati podacima za izradu elektroničkih potpisa u ime potpisnika. Sigurnosni zahtjevi i njihove certifikacijske specifikacije razlikuju se ovisno o tome djeluje li kvalificirani pružatelj usluga povjerenja u ime potpisnika ili potpisnik fizički posjeduje proizvod. Kako bi se u obzir uzela oba slučaja i pružila potpora postupnom razvoju proizvoda i normama za ocjenjivanje koji odgovaraju određenim potrebama, u Prilogu ovoj Odluci trebale bi biti navedene norme za oba slučaja.

(6)

U trenutku donošenja ove Komisijine Odluke nekoliko pružatelja usluga povjerenja već nude rješenja za upravljanje podacima za izradu elektroničkih potpisa u ime svojih klijenata. Certificiranja proizvoda trenutačno su ograničena na hardverske sigurnosne module koji su certificirani prema različitim normama, ali još nisu specifično certificirani u skladu sa zahtjevima za kvalificirana sredstva za izradu potpisa i pečata. Međutim objavljene norme poput EN 419 211 (koje se primjenjuju na elektronički potpis izrađen u okruženju kojim u potpunosti, ali ne nužno isključivo, upravlja korisnik) još ne postoje za jednako važno tržište certificiranih daljinskih potpisa. Budući da su norme koje se mogu odnositi na takve namjene tek u razvoju, kada budu dostupne i kada se ocijeni da su u skladu sa zahtjevima iz Priloga II. Uredbi (EU) br. 910/2014, Komisija će nadopuniti ovu Odluku. Do uspostavljanja popisa tih normi, za ocjenu usklađenosti tih proizvoda može se upotrebljavati alternativni postupak u skladu s uvjetima iz članka 30. stavka 3. točke (b) Uredbe (EU) br. 910/2014.

(7)

U Prilogu je navedena norma EN 419 211 koja se sastoji od više dijelova (1. do 6.) koji se odnose na različite slučajeve. U dijelovima 5. i 6. norme EN 419 211 navedena su proširenja za okruženje kvalificiranih sredstava za izradu potpisa, kao što je komunikacija s pouzdanim aplikacijama za izradu potpisa. Proizvođači tih proizvoda mogu primjenjivati ta proširenja. U skladu s uvodnom izjavom 56. Uredbe (EU) br. 910/2014, opseg primjene certifikacije u skladu s člancima 30. i 39. te Uredbe ograničen je na zaštitu podataka za stvaranje potpisa, a aplikacije za izradu potpisa izuzete su iz opsega primjene certifikacije.

(8)

Kako bi se osiguralo da su elektronički potpisi ili pečati, koji se generiraju s pomoću kvalificiranih sredstava za izradu potpisa ili pečata, pouzdano zaštićeni od krivotvorenja, u skladu s Prilogom II. Uredbi (EU) br. 910/2014, preduvjet za sigurnost certificiranih proizvoda odgovarajući su kriptografski algoritmi, dužine ključeva i funkcije sažetaka. Budući da ovo pitanje nije usklađeno na europskoj razini, države članice trebale bi surađivati na dogovoru o kriptografskim algoritmima, dužinama ključeva i funkcijama sažetaka u području elektroničkih potpisa i pečata.

(9)

Donošenjem ove Odluke, Odluka Komisije 2003/511/EZ (2) postaje zastarjela. Trebalo bi je stoga staviti izvan snage.

(10)

Mjere predviđene ovom Odlukom u skladu su s mišljenjem odbora iz članka 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU ODLUKU:

Članak 1.

1.   Norme za ocjenu sigurnosti proizvoda informacijske tehnologije koje se primjenjuju na certificiranje kvalificiranih sredstava za izradu elektroničkih potpisa ili kvalificiranih sredstava za izradu elektroničkih pečata u skladu s člankom 30. stavkom 3. točkom (a) ili člankom 39. stavkom 2. Uredbe (EU) br. 910/2014 ako se podaci za izradu elektroničkih potpisa ili podaci za izradu elektroničkih pečata drže u okruženju kojim u potpunosti, ali ne nužno isključivo, upravlja korisnik, navedene su u Prilogu ovoj Odluci.

2.   Dok Komisija ne utvrdi popis normi za ocjenu sigurnosti proizvoda informacijske tehnologije koje se primjenjuju na certificiranje kvalificiranih sredstava za izradu elektroničkih potpisa ili kvalificiranih sredstava za izradu elektroničkih pečata ako kvalificirani pružatelj usluga povjerenja upravlja podacima za izradu elektroničkih potpisa u ime potpisnika ili autora pečata, certificiranje takvog proizvoda temelji se na postupku u okviru kojeg se, u skladu s člankom 30. stavkom 3. točkom (b) upotrebljavaju razine sigurnosti usporedive s onima iz članka 30. stavka 3. točke (a), a koji je Komisiji priopćilo javno ili privatno tijelo iz članka 30. stavka 1. Uredbe (EU) br. 910/2014.

Članak 2.

Odluka 2003/511/EZ stavlja se izvan snage.

Članak 3.

Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Bruxellesu 25. travnja 2016.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER


(1)  SL L 257, 28.8.2014., str. 73.

(2)  Odluka Komisije 2003/511/EZ od 14. srpnja 2003. o objavi referentnih brojeva općepriznatih standarda za proizvode za izradu elektroničkog potpisa u skladu s Direktivom 1999/93/EZ Europskog parlamenta i Vijeća (SL L 175, 15.7.2003., str. 45.).


PRILOG

POPIS NORMI IZ ČLANKA 1. STAVKA 1.

ISO/IEC 15408 – Informacijska tehnologija – Sigurnosne tehnike – Kriteriji za ocjenjivanje sigurnosti informacijske tehnologije, dijelovi 1. do 3. kako je navedeno u nastavku:

ISO/IEC 15408 – 1:2009 – Informacijska tehnologija – Sigurnosne tehnike – Kriteriji za ocjenjivanje sigurnosti informacijske tehnologije – Dio 1. ISO 2009,

ISO/IEC 15408 – 2:2008 – Informacijska tehnologija – Sigurnosne tehnike – Kriteriji za ocjenjivanje sigurnosti informacijske tehnologije – Dio 2. ISO 2008,

ISO/IEC 15408 – 3:2008 – Informacijska tehnologija – Sigurnosne tehnike – Kriteriji za ocjenjivanje sigurnosti informacijske tehnologije – Dio 3. ISO 2008,

i

ISO/IEC 18045:2008: Informacijska tehnologija – Sigurnosne tehnike – Metodologija za evaluaciju sigurnosti informacijske tehnologije,

i

EN 419 211 – Profili zaštite sredstava za sigurnu izradu potpisa, dijelovi 1. do 6. – po potrebi – kako je navedeno u nastavku:

EN 419211 – 1:2014 – Profili zaštite sredstava za sigurnu izradu potpisa – Dio 1.: Pregled,

EN 419211 – 2:2013 – Profili zaštite sredstava za sigurnu izradu potpisa – Dio 2.: Sredstvo s generiranjem ključa,

EN 419211 – 3:2013 – Profili zaštite sredstava za sigurnu izradu potpisa – Dio 3.: Sredstvo s unosom ključa,

EN 419211 – 4:2013 – Profili zaštite sredstava za sigurnu izradu potpisa – Dio 4.: Proširenje za sredstvo s generiranjem ključa pouzdanim kanalom za certificiranje aplikacije za generiranje,

EN 419211 – 5:2013 – Profili zaštite sredstava za sigurnu izradu potpisa – Dio 5.: Proširenje za sredstvo s generiranjem ključa pouzdanim kanalom za komunikaciju s aplikacijom za izradu potpisa,

EN 419211 – 6:2014 – Profili zaštite sredstava za sigurnu izradu potpisa – Dio 6.: Proširenje za sredstvo s unosom ključa pouzdanim kanalom za komunikaciju s aplikacijom za izradu potpisa.