9.9.2015 |
HU |
Az Európai Unió Hivatalos Lapja |
L 235/7 |
A BIZOTTSÁG (EU) 2015/1502 VÉGREHAJTÁSI RENDELETE
(2015. szeptember 8.)
az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó minimális technikai specifikációknak és eljárásoknak a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikkének (3) bekezdése szerint történő megállapításáról
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 8. cikke (3) bekezdésére,
mivel:
(1) |
A 910/2014/EU rendelet 8. cikke előírja, hogy a 9. cikk (1) bekezdése szerint bejelentett elektronikus azonosítási rendszereknek meg kell határozniuk a keretükben kibocsátott elektronikus azonosító eszközök „alacsony”, „jelentős” és „magas” biztonsági szintjeit. |
(2) |
A minimális technikai specifikációk, szabványok és eljárások meghatározása elengedhetetlen ahhoz, hogy egységesen legyenek értelmezve a biztonsági szintek részletei, valamint a bejelentett elektronikus azonosítási rendszerek nemzeti biztonsági szintjeinek a 8. cikk szerinti biztonsági szinteknek való megfeleltetésekor biztosítva legyen az átjárhatóság, ahogy azt a 910/2014/EU rendelet 12. cikke (4) bekezdésének b) pontja előírja. |
(3) |
Az ebben a végrehajtási aktusban megállapított specifikációkhoz és eljárásokhoz – az elektronikus azonosító eszközök biztonsági szintjeinek területén rendelkezésre álló legfontosabb nemzetközi szabványként – az ISO/IEC 29115 nemzetközi szabványt vettük figyelembe. A 910/2014/EU rendelet tartalma azonban eltér ettől a nemzetközi szabványtól, különösen a személyazonosítási és személyazonosság-ellenőrzési követelmények, valamint a tagállamok személyazonosságra vonatkozó előírásai és az ugyanilyen célú meglévő uniós eszközök közötti eltérések figyelembevétele tekintetében. Tehát a melléklet, bár ezen a nemzetközi szabványon alapul, nem hivatkozhat az ISO/IEC 29115 szabvány semmilyen konkrét elemére. |
(4) |
E rendelet a célra legmegfelelőbbnek bizonyuló, eredményalapú megközelítés alapján került kidolgozásra, ami a kifejezések és fogalmak meghatározásában is tükröződik. A fogalommeghatározások figyelembe veszik a 910/2014/EU rendeletnek az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó célkitűzését. Ezért az e végrehajtási aktusban megállapított specifikációk és eljárások kialakításakor a legmesszebbmenőkig figyelembe kell venni a nagyszabású STORK kísérleti projektet, és ezen belül a projekt keretében kidolgozott előírásokat, valamint az ISO/IEC 29115 definícióit és fogalmait. |
(5) |
Attól függően, hogy milyen kontextusban szükséges a személyazonosság bizonyítékának egy aspektusát ellenőrizni, a hiteles források többfélék lehetnek, így többek között nyilvántartások, dokumentumok, szervek. A hiteles források még hasonló kontextus esetén is eltérőek lehetnek az egyes tagállamokban. |
(6) |
A személyazonosítási és személyazonosság-ellenőrzési követelményeknek figyelembe kell venniük a különféle rendszereket és gyakorlatokat, eközben azonban kellően biztonságosnak kell lenniük ahhoz, hogy megteremtsék a szükséges bizalmat. Az elektronikus azonosító eszközök kibocsátásától eltérő célra korábban alkalmazott eljárások elfogadását tehát függővé kell tenni annak igazolásától, hogy az eljárások megfelelnek az adott biztonsági szintre előírt követelményeknek. |
(7) |
Általában alkalmazásra kerülnek bizonyos hitelesítési tényezők, így például megosztott titkok, fizikai eszközök és fizikai attribútumok. Ösztönözni kell azonban a nagyobb számú hitelesítési tényező – különösen különféle kategóriákba tartozó tényezők – alkalmazását a hitelesítési folyamat biztonságának növelése céljából. |
(8) |
E rendelet nem érintheti a jogi személyek képviseleti jogát. A mellékletnek azonban követelményeket kell megfogalmaznia a természetes és jogi személyek elektronikus azonosító eszközeinek összekapcsolására vonatkozólag. |
(9) |
Fel kell ismerni az információbiztonsági és szolgáltatásirányítási rendszerek, valamint az elismert módszerek használatának és a szabványokba – így például az ISO/IEC 27000 és az ISO/IEC 20000 sorozatba – beépített elvek alkalmazásának fontosságát. |
(10) |
A biztonsági szintekkel kapcsolatos helyes tagállami gyakorlatokat is figyelembe kell venni. |
(11) |
A nemzetközi szabványokon alapuló informatikai biztonsági tanúsítás fontos eszköz annak ellenőrzésére, hogy a termékek biztonsági szempontból megfelelnek-e e végrehajtási aktus követelményeinek. |
(12) |
A 910/2014/EU rendelet 48. cikkében említett bizottság az elnöke által kitűzött határidőn belül nem nyilvánított véleményt, |
ELFOGADTA EZT A RENDELETET:
1. cikk
(1) A valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközökre vonatkozó „alacsony”, „jelentős” és „magas” biztonsági szinteket a mellékletben megállapított specifikációkra és eljárásokra való hivatkozással kell meghatározni.
(2) A valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközök biztonsági szintjének meghatározásához a mellékletben megállapított specifikációkat és eljárásokat kell alkalmazni, az alábbi elemek megbízhatóságának és minőségének meghatározása útján:
a) |
nyilvántartásba vétel, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének a) pontja értelmében e rendelet mellékletének 2.1. pontjában szerepel; |
b) |
az elektronikus azonosító eszközök irányítása, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének b) és f) pontja értelmében e rendelet mellékletének 2.2. pontjában szerepel; |
c) |
hitelesítés, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének c) pontja értelmében e rendelet mellékletének 2.3. pontjában szerepel; |
d) |
irányítás és szervezés, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének d) és e) pontja értelmében e rendelet mellékletének 2.4. pontjában szerepel. |
(3) Amennyiben a valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszköz megfelel egy magasabb biztonsági szintnél felsorolt követelménynek, azt kell feltételezni, hogy egy alacsonyabb biztonsági szint ezzel egyenértékű követelményének is megfelel.
(4) Hacsak a melléklet vonatkozó részében másképp nem szerepel, a valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszköznek az adott biztonsági szintre vonatkozóan a mellékletben felsorolt összes elemet teljesítenie kell ahhoz, hogy megfeleljen az igényelt biztonsági szintnek.
2. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2015. szeptember 8-án.
a Bizottság részéről
az elnök
Jean-Claude JUNCKER
(1) HL L 257., 2014.8.28., 73. o.
MELLÉKLET
Technikai specifikációk és eljárások a bejelentett elektronikus azonosítási rendszerek keretében kibocsátott elektronikus azonosító eszközök „alacsony”, „jelentős” és „magas” biztonsági szintjeihez
1. Alkalmazandó fogalommeghatározások
E melléklet alkalmazásában:
1. „hiteles forrás”: formájától függetlenül bármely megbízható forrás, amely a személyazonosság igazolásához felhasználható pontos adatokat, információkat és/vagy bizonyítékokat szolgáltat;
2. „hitelesítési tényező”: olyan tényező, amely bizonyítottan egy személyhez kapcsolódik, és amely az alábbi kategóriák valamelyikébe tartozik:
a) „birtoklásalapú hitelesítési tényező”: olyan hitelesítési tényező, amelynél az alanynak igazolnia kell, hogy a birtokában van;
b) „ismeretalapú hitelesítési tényező”: olyan hitelesítési tényező, amelynél az alanynak igazolnia kell, hogy ismeri;
c) „inherens hitelesítési tényező”: olyan hitelesítési tényező, amelynek alapja egy természetes személy valamely fizikai attribútuma, és amelynél az alanynak igazolnia kell, hogy rendelkezik az adott fizikai attribútummal;
3. „dinamikus hitelesítés”: olyan elektronikus folyamat, amely kriptográfia vagy egyéb technikák alkalmazásával kérésre elektronikus igazolást készít arról, hogy az azonosító adatok az alany ellenőrzése alatt állnak vagy birtokában vannak, és amely az alany és az alany személyazonosságát igazoló rendszer közötti minden egyes hitelesítéskor változik;
4. „információbiztonsági irányítórendszer”: olyan folyamatok és eljárások összessége, amelyek kialakításának célja, hogy az információbiztonsági kockázatokat elfogadható szinten tartsa;
2. Technikai specifikációk és eljárások
Az e mellékletben megállapított technikai specifikációk és eljárások elemeit kell használni annak meghatározására, hogy hogyan kell alkalmazni a 910/2014/EU rendelet 8. cikkének követelményeit és kritériumait a bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközökre.
2.1. Nyilvántartásba vétel
2.1.1.
Biztonsági szint |
Szükséges elemek |
||||||
Alacsony |
|
||||||
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
||||||
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.1.2.
Biztonsági szint |
Szükséges elemek |
||||||||||
Alacsony |
|
||||||||||
Jelentős |
Az alacsony szint, továbbá teljesíteni kell az 1–4. pontban felsorolt alternatívák egyikét:
|
||||||||||
Magas |
Vagy az 1., vagy a 2. pont szerinti követelményeket kell teljesíteni:
|
2.1.3.
Biztonsági szint |
Szükséges elemek |
||||||
Alacsony |
|
||||||
Jelentős |
Az alacsony szint, továbbá teljesíteni kell az 1–3. pontban felsorolt alternatívák egyikét:
|
||||||
Magas |
A jelentős szint, továbbá teljesíteni kell az 1–3. pontban felsorolt alternatívák egyikét:
|
2.1.4.
Egy természetes személy elektronikus azonosító eszközének és egy jogi személy elektronikus azonosító eszközének egymáshoz rendelésére megfelelő esetben az alábbi feltételek vonatkoznak:
1. |
Meg kell lennie a lehetőségnek az egymáshoz rendelés felfüggesztésére és/vagy visszavonására. Az egymáshoz rendelés életciklusának (pl. aktiválás, felfüggesztés, megújítás, visszavonás) kezelése nemzeti szinten elismert eljárások szerint történik. |
2. |
Az a természetes személy, akinek elektronikus azonosító eszköze hozzá van rendelve a jogi személy elektronikus azonosító eszközéhez, nemzeti szinten elismert eljárások alapján más természetes személyre ruházhatja át az egymáshoz rendelés gyakorlását. Az átruházó természetes személy azonban felelősségre vonható marad. |
3. |
Az egymáshoz rendelés az alábbi módon történik:
|
2.2. Az elektronikus azonosító eszközök irányítása
2.2.1.
Biztonsági szint |
Szükséges elemek |
||||
Alacsony |
|
||||
Jelentős |
|
||||
Magas |
A jelentős szint, továbbá:
|
2.2.2.
Biztonsági szint |
Szükséges elemek |
Alacsony |
A kibocsátást követően az elektronikus azonosító eszköz átadása egy olyan mechanizmus révén történik, amellyel feltételezhetően csak a célszemélyt érik el. |
Jelentős |
A kibocsátást követően az elektronikus azonosító eszköz átadása egy olyan mechanizmus révén történik, amellyel az átadás feltételezhetően csak annak a személynek a birtokába történik, akihez az eszköz tartozik. |
Magas |
Az aktiválási folyamat ellenőrzi, hogy az elektronikus azonosító eszköz átadása csak annak a személynek a birtokába történt, akihez az tartozik. |
2.2.3.
Biztonsági szint |
Szükséges elemek |
||||||
Alacsony |
|
||||||
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
||||||
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.2.4.
Biztonsági szint |
Szükséges elemek |
Alacsony |
A személyazonosító adatok esetleges megváltozásában rejlő kockázatokat figyelembe véve a megújításnak vagy cserének ugyanazoknak a biztonsági követelményeknek kell megfelelnie, mint a kiindulási személyazonosításnak és személyazonosság-ellenőrzésnek, vagy egy azonos vagy magasabb biztonsági szintű, érvényes elektronikus azonosító eszközön kell alapulnia. |
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
Magas |
Az alacsony szint, továbbá: Ha a megújítás vagy csere érvényes elektronikus azonosító eszköz alapján történik, a személyazonossági adatokat egy hiteles forrásban ellenőrizni kell. |
2.3. Hitelesítés
E pontban a hitelesítési mechanizmus alkalmazásához kapcsolódó veszélyekre összpontosítunk, és felsoroljuk az egyes biztonsági szintek követelményeit. E pont alkalmazásában úgy kell értelmezni, hogy az ellenőrzéseknek arányban kell állniuk az adott szinthez tartozó kockázatokkal.
2.3.1.
Az alábbi táblázatban biztonsági szintenként adjuk meg az azon hitelesítési mechanizmusra vonatkozó követelményeket, amelynek keretében a természetes vagy jogi személy az elektronikus azonosító eszközzel személyazonosságát igazolja az igénybe vevő fél számára.
Biztonsági szint |
Szükséges elemek |
||||||
Alacsony |
|
||||||
Jelentős |
Az alacsony szint, továbbá:
|
||||||
Magas |
A jelentős szint, valamint: A hitelesítési mechanizmus biztonsági ellenőrzéseket végez az elektronikus azonosító eszközök ellenőrzéséhez azért, hogy ily módon minimálisra csökkentse annak valószínűségét, hogy olyan módszerekkel, mint a találgatás, a lehallgatás, vagy a kommunikáció visszajátszása, illetve manipulálása egy magas támadási potenciálú támadó meghiúsítja a hitelesítési mechanizmust. |
2.4. Irányítás és szervezés
A határokon átnyúló elektronikus azonosításhoz kapcsolódó szolgáltatásokat nyújtó összes résztvevőnek („szolgáltató”) dokumentált információbiztonság-irányítási gyakorlatokat, politikákat, kockázatkezelési módszereket és egyéb elismert ellenőrzéseket kell alkalmaznia, hogy biztosítékkal szolgáljanak az adott tagállamban az elektronikus azonosítási rendszerekért felelős megfelelő irányító szervek számára arról, hogy hatékony gyakorlatokat alkalmaznak. A 2.4. pontban úgy kell értelmezni, hogy az összes követelménynek/elemnek arányban kell állnia az adott szinthez tartozó kockázatokkal.
2.4.1.
Biztonsági szint |
Szükséges elemek |
||||||||||
Alacsony |
|
||||||||||
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
||||||||||
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.2.
Biztonsági szint |
Szükséges elemek |
||||||
Alacsony |
|
||||||
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
||||||
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.3.
Biztonsági szint |
Szükséges elemek |
Alacsony |
Az információbiztonsági kockázatok kezelésére és ellenőrzésére hatékony információbiztonsági irányítórendszer áll rendelkezésre. |
Jelentős |
Az alacsony szint, továbbá: Az információbiztonsági irányítórendszer az információbiztonsági kockázatok kezelése és ellenőrzése során bevált normákhoz vagy elvekhez igazodik. |
Magas |
Ugyanaz, mint a jelentős szintnél. |
2.4.4.
Biztonsági szint |
Szükséges elemek |
||||
Alacsony |
|
||||
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
||||
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.5.
Az alábbi táblázat az esetleges olyan alvállalkozók létesítményeire és személyzetére vonatkozó követelményeket ismerteti, akik e rendelet hatálya alá tartozó feladatokat végeznek. Az egyes követelmények betartásának arányosnak kell lennie a nyújtott biztonsági szinthez kapcsolódó kockázatok szintjével.
Biztonsági szint |
Szükséges elemek |
||||||||
Alacsony |
|
||||||||
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
||||||||
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.6.
Biztonsági szint |
Szükséges elemek |
||||||||||
Alacsony |
|
||||||||||
Jelentős |
Ugyanaz, mint az alacsony szintnél, valamint: Bizalmas kriptográfiai anyagok, amennyiben azokat elektronikus azonosító eszközök kibocsátásához és hitelesítéshez használják, a manipuláció ellen védettek. |
||||||||||
Magas |
Ugyanaz, mint a jelentős szintnél. |
2.4.7.
Biztonsági szint |
Szükséges elemek |
||||
Alacsony |
Olyan rendszeres belső auditok elvégzése, amelyek a szolgáltatás nyújtásával kapcsolatos összes részre kiterjednek és biztosítják a vonatkozó előírások betartását. |
||||
Jelentős |
Olyan rendszeres független belső vagy külső auditok elvégzése, amelyek a szolgáltatás nyújtásával kapcsolatos összes részre kiterjednek és biztosítják a vonatkozó előírások betartását. |
||||
Magas |
|
(1) Az Európai Parlament és a Tanács 2008. július 9-i 765/2008/EK rendelete a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).