This document is an excerpt from the EUR-Lex website
Document 02015R1502-20220711
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)Text with EEA relevance
Consolidated text: Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE)Testo rilevante ai fini del SEE
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE)Testo rilevante ai fini del SEE
ELI: http://data.europa.eu/eli/reg_impl/2015/1502/2022-07-11
02015R1502 — IT — 11.07.2022 — 001.001
Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento
|
REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE dell'8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE) (GU L 235 del 9.9.2015, pag. 7) |
Modificato da:
|
|
|
Gazzetta ufficiale |
||
|
n. |
pag. |
data |
||
|
REGOLAMENTO DI ESECUZIONE (UE) 2022/960 DELLA COMMISSIONE del 20 giugno 2022 |
L 165 |
40 |
21.6.2022 |
|
REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE
dell'8 settembre 2015
relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
(Testo rilevante ai fini del SEE)
Articolo 1
Le specifiche e le procedure fissate nell'allegato sono utilizzate per specificare il livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato determinando l'affidabilità e la qualità dei seguenti elementi:
la registrazione, di cui alla sezione 2.1 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera a), del regolamento (UE) n. 910/2014;
la gestione dei mezzi di identificazione elettronica, di cui alla sezione 2.2 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere b) e f), del regolamento (UE) n. 910/2014;
l'autenticazione, di cui alla sezione 2.3 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera c), del regolamento (UE) n. 910/2014;
la gestione e l'organizzazione, di cui alla sezione 2.4 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere d) ed e), del regolamento (UE) n. 910/2014.
Articolo 2
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
ALLEGATO
Specifiche e procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato
1. Definizioni applicabili
Ai fini del presente allegato si intende per:
«fonte autorevole», qualsiasi fonte, a prescindere dalla forma, sulla quale si possa fare affidamento per l'ottenimento di dati, informazioni e/o elementi di prova esatti da utilizzare per dimostrare l'identità;
«fattore di autenticazione», un fattore associato con certezza a una persona e rientrante in una delle seguenti categorie:
«fattore di autenticazione basato sul possesso», un fattore di autenticazione che il soggetto è tenuto a dimostrare di possedere;
«fattore di autenticazione basato sulla conoscenza», un fattore di autenticazione che il soggetto è tenuto a dimostrare di conoscere;
«fattore di autenticazione intrinseco», un fattore di autenticazione basato su una caratteristica fisica di una persona fisica, che il soggetto è tenuto a dimostrare di possedere;
«autenticazione dinamica», un processo elettronico che utilizza la crittografia o altre tecniche per fornire un mezzo che consente di creare su richiesta una prova elettronica che attesti il controllo o il possesso dei dati di identificazione da parte del soggetto e che cambia ad ogni interazione di autenticazione tra il soggetto e il sistema che ne verifica l'identità;
«sistema di gestione della sicurezza delle informazioni», un insieme di processi e procedure intesi a gestire a livelli accettabili i rischi connessi alla sicurezza delle informazioni.
2. Specifiche e procedure tecniche
Gli elementi delle procedure e delle specifiche tecniche descritti nel presente allegato sono utilizzati per determinare in che modo sono applicati i requisiti e i criteri di cui all'articolo 8 del regolamento (UE) n. 910/2014 per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica.
2.1. Registrazione
2.1.1.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. Accertarsi che il richiedente conosca i termini e le condizioni per l'uso del mezzo di identificazione elettronica. 2. Accertarsi che il richiedente conosca le precauzioni di sicurezza raccomandate per l'uso del mezzo di identificazione elettronica. 3. Raccogliere i dati identificativi necessari per il controllo e la verifica dell'identità. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Come per il livello basso. |
2.1.2.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. La persona può essere ritenuta in possesso di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l'identità dichiarata. 2. La prova può essere ritenuta autentica o esistente in virtù di una fonte autorevole ed è all'apparenza valida. 3. L'esistenza dell'identità dichiarata è accertata mediante una fonte autorevole e si può presumere che la persona che sostiene di possederla sia la stessa e unica persona. |
|
Significativo |
Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 4: 1. è stato verificato il possesso da parte della persona di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l'identità dichiarata e la prova è verificata per stabilirne l'autenticità oppure, secondo una fonte autorevole, esiste ed è collegata a una persona reale e sono state adottate misure per ridurre al minimo il rischio che l'identità della persona non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza della prova o 2. è presentato un documento d'identità durante un processo di registrazione nello Stato membro in cui è stato rilasciato il documento e quest'ultimo all'apparenza si riferisce alla persona che lo presenta e sono state adottate misure per ridurre al minimo il rischio che l'identità della persona non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza dei documenti o 3. ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.2 per il livello di garanzia significativo, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (1) o da un organismo equivalente o 4. se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia significativo o elevato, e tenendo conto dei rischi di variazione dei dati di identificazione personale, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia significativo o elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente. |
|
Elevato |
Devono essere rispettati i requisiti di cui al punto 1 o 2. 1. Livello significativo, più una delle opzioni elencate di seguito alle lettere da a) a c): a) qualora sia stato verificato il possesso da parte della persona di una fotografia o di una prova di identificazione biometrica riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e qualora tale prova corrisponda all'identità dichiarata, la prova è verificata per stabilirne la validità in virtù di una fonte autorevole e il richiedente è identificato come corrispondente all'identità dichiarata tramite il confronto di una o più sue caratteristiche fisiche con una fonte autorevole o b) ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.2 per il livello di garanzia elevato, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente e sono intraprese azioni per dimostrare che i risultati delle procedure utilizzate in precedenza sono ancora validi o c) se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia elevato, e tenendo conto dei rischi di variazione dei dati di identificazione personale, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente. e sono intraprese azioni per dimostrare che i risultati della precedente procedura di rilascio di un mezzo di identificazione elettronica notificato sono ancora validi. OPPURE 2. Qualora il richiedente non presenti una fotografia o una prova di identificazione biometrica riconosciuta, sono applicate le stesse procedure utilizzate a livello nazionale nello Stato membro dell'entità responsabile della registrazione per l'ottenimento di tale fotografia o prova di identificazione biometrica riconosciuta. |
|
(1)
Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30). |
|
2.1.3.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. L'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica. 2. La prova è all'apparenza valida e può essere ritenuta autentica, o esistente in virtù di una fonte autorevole, laddove l'inclusione della persona giuridica nella fonte autorevole sia volontaria e regolamentata da un accordo tra la persona giuridica e la fonte autorevole. 3. A quanto risulta a una fonte autorevole, la persona giuridica non si trova in una condizione che le impedisce di agire in qualità di persona giuridica. |
|
Significativo |
Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 3: 1. l'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica, compresi il nome della persona giuridica, la forma giuridica e, se del caso, il numero di registrazione e la prova è verificata per stabilirne l'autenticità o è ritenuta esistente in virtù di una fonte autorevole, ove l'inclusione della persona giuridica nella fonte autorevole sia necessaria perché la persona giuridica possa operare nel suo settore e sono state adottate misure per ridurre al minimo il rischio che l'identità della persona giuridica non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza dei documenti o 2. ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.3 per il livello di garanzia significativo, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente o 3. se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia significativo o elevato, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia significativo o elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente. |
|
Elevato |
Livello significativo, più una delle opzioni elencate di seguito ai punti da 1 a 3: 1. l'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica, compresi il nome della persona giuridica, la forma giuridica e almeno un identificativo univoco che rappresenti la persona giuridica utilizzato in un contesto nazionale e la prova è verificata per stabilirne la validità in virtù di una fonte autorevole o 2. ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.3 per il livello di garanzia elevato, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente e sono intraprese azioni per dimostrare che i risultati di tale procedura utilizzata in precedenza sono ancora validi o 3. se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia elevato, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente. e sono intraprese azioni per dimostrare che i risultati della precedente procedura di rilascio di un mezzo di identificazione elettronica notificato sono ancora validi. |
2.1.4.
Ove applicabile, per stabilire un collegamento tra il mezzo di identificazione elettronica di una persona fisica e il mezzo di identificazione elettronica di una persona giuridica («collegamento»), si applicano le seguenti condizioni.
Deve essere possibile sospendere e/o revocare un collegamento. Il ciclo di vita di un collegamento (ad esempio attivazione, sospensione, rinnovo, revoca) è gestito secondo procedure riconosciute a livello nazionale.
La persona fisica il cui mezzo di identificazione elettronica è collegato al mezzo di identificazione elettronica della persona giuridica può delegare l'esercizio del collegamento a un'altra persona fisica sulla base di procedure riconosciute a livello nazionale. Tuttavia la responsabilità continua a incombere alla persona fisica delegante.
Il collegamento è stabilito nel modo seguente:
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello basso o a un livello superiore. 2. Il collegamento è stabilito secondo procedure riconosciute a livello nazionale. 3. A quanto risulta a una fonte autorevole, la persona fisica non si trova in una condizione che le impedisce di agire per conto della persona giuridica. |
|
Significativo |
Punto 3 del livello basso, più i seguenti elementi: 1. È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello significativo o elevato. 2. Il collegamento è stabilito secondo procedure riconosciute a livello nazionale, sfociate nella sua registrazione in una fonte autorevole. 3. Il collegamento è verificato sulla base di informazioni provenienti da una fonte autorevole. |
|
Elevato |
Punto 3 del livello basso e punto 2 del livello significativo, più i seguenti elementi: 1. È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello elevato. 2. Il collegamento è verificato sulla base di un identificativo univoco che rappresenta la persona giuridica ed è utilizzato nel contesto nazionale, nonché sulla base di informazioni, provenienti da una fonte autorevole, che rappresentano in modo univoco la persona fisica. |
2.2. Gestione dei mezzi di identificazione elettronica
2.2.1.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. Il mezzo di identificazione elettronica utilizza almeno un fattore di autenticazione. 2. Il mezzo di identificazione elettronica è concepito in modo tale che l'entità che lo rilascia adotti ragionevoli misure per accertare che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo. |
|
Significativo |
1. Il mezzo di identificazione elettronica utilizza almeno due fattori di autenticazione appartenenti a categorie differenti. 2. Il mezzo di identificazione elettronica è concepito in modo che si possa presupporre che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo. |
|
Elevato |
Livello significativo, più: 1. Il mezzo di identificazione elettronica è protetto contro la duplicazione e la manomissione, nonché contro gli aggressori con un potenziale di attacco elevato (High). 2. Il mezzo di identificazione elettronica è concepito in modo da poter essere protetto in modo affidabile dalla persona a cui appartiene per evitare che venga utilizzato da altri utenti. |
2.2.2.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia ricevuto unicamente dal destinatario previsto. |
|
Significativo |
In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia consegnato unicamente alla persona a cui appartiene. |
|
Elevato |
Il processo di attivazione verifica che il mezzo di identificazione elettronica sia stato consegnato unicamente alla persona a cui appartiene. |
2.2.3.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. È possibile sospendere e/o revocare un mezzo di identificazione elettronica in modo tempestivo ed efficace. 2. Esistono misure che impediscono la sospensione, la revoca e/o la riattivazione non autorizzate. 3. La riattivazione è eseguita solo se continuano ad essere soddisfatti gli stessi requisiti di garanzia stabiliti prima della sospensione o della revoca. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Come per il livello basso. |
2.2.4.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
Tenendo conto dei rischi di variazione dei dati di identificazione personale, il rinnovo o la sostituzione deve soddisfare gli stessi requisiti di garanzia del controllo e della verifica dell'identità iniziali oppure si basa su un mezzo di identificazione elettronica valido che presenti lo stesso livello di garanzia o un livello superiore. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Livello basso, più: Se il rinnovo o la sostituzione si basa su un mezzo di identificazione elettronica valido, i dati identificativi sono verificati con una fonte autorevole. |
2.3. Autenticazione
La presente sezione verte sulle minacce associate all'uso del meccanismo di autenticazione ed elenca i requisiti per ciascun livello di garanzia. Ai fini della presente sezione i controlli si intendono proporzionati ai rischi che sussistono a un dato livello.
2.3.1.
Nella tabella riportata di seguito sono elencati i requisiti fissati per ciascun livello di garanzia in relazione al meccanismo di autenticazione, mediante il quale la persona fisica o giuridica utilizza il mezzo di identificazione elettronica per confermare la propria identità alla parte facente affidamento sulla certificazione.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. La divulgazione dei dati di identificazione personale è preceduta dalla verifica affidabile del mezzo di identificazione elettronica e della sua validità. 2. Qualora i dati di identificazione personale siano memorizzati nell'ambito del meccanismo di autenticazione, tali informazioni sono protette per evitarne la perdita o la compromissione, compresa l'analisi offline. 3. Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco di base avanzato (Enhanced-Basic). |
|
Significativo |
Livello basso, più: 1. La divulgazione dei dati di identificazione personale è preceduta dalla verifica affidabile del mezzo di identificazione elettronica e della sua validità tramite un'autenticazione dinamica. 2. Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco moderato (Moderate). |
|
Elevato |
Livello significativo, più: Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco elevato (High). |
2.4. Gestione e organizzazione
Tutti i partecipanti che forniscono un servizio correlato all'identificazione elettronica in un contesto transfrontaliero («fornitori») mettono in atto prassi documentate per la gestione della sicurezza delle informazioni, politiche, approcci alla gestione dei rischi e altri controlli riconosciuti in modo da dare agli opportuni organi di gestione responsabili dei regimi di identificazione elettronica nei rispettivi Stati membri la certezza dell'applicazione di prassi efficaci. Nell'intera sezione 2.4 tutti i requisiti/elementi si intendono come proporzionati ai rischi che sussistono a un dato livello.
2.4.1.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. I fornitori di qualsiasi servizio operativo disciplinato dal presente regolamento sono un'autorità pubblica o un'entità giuridica riconosciuta come tale dall'ordinamento giuridico di uno Stato membro, avente un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi. 2. I fornitori rispettano gli obblighi giuridici cui sono soggetti in relazione all'esercizio e alla prestazione del servizio, compresi i tipi di informazioni che possono essere richiesti, le modalità secondo le quali è eseguito il controllo dell'identità e quali informazioni possono essere conservate e per quanto tempo. 3. I fornitori sono in grado di dimostrare il possesso della capacità di assumere il rischio della responsabilità per danni, nonché di risorse finanziarie sufficienti per l'esercizio e la prestazione continuativi dei servizi. 4. I fornitori sono responsabili del rispetto di qualsiasi impegno affidato a un'entità esterna e della relativa conformità alla politica del regime, come se fossero essi stessi a svolgere le funzioni. 5. I regimi di identificazione elettronica non costituiti secondo il diritto nazionale prevedono un piano di cessazione efficace. Tale piano prevede l'interruzione regolata del servizio o la continuazione del servizio da parte di un altro fornitore, disciplina le modalità di comunicazione delle informazioni alle autorità competenti e agli utenti finali e contiene dettagli su come proteggere, conservare e distruggere i dati registrati conformemente alla politica del regime. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Come per il livello basso. |
2.4.2.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. Esiste una definizione del servizio pubblicata che comprende tutti i termini, le condizioni e le tariffe applicabili, incluse eventuali limitazioni d'uso. La definizione del servizio include un'informativa sulla privacy. 2. Devono essere messe in atto politiche e procedure adeguate al fine di garantire che gli utenti siano informati in modo tempestivo e affidabile delle eventuali modifiche alla definizione del servizio e ai termini, alle condizioni e all'informativa sulla privacy applicabili per il servizio in questione. 3. Devono essere messe in atto politiche e procedure adeguate affinché alle richieste di informazioni sia dato seguito con risposte complete ed esatte. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Come per il livello basso. |
2.4.3.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
Esiste un efficace sistema di gestione della sicurezza delle informazioni per la gestione e il controllo dei rischi per la sicurezza delle informazioni. |
|
Significativo |
Livello basso, più: Il sistema di gestione della sicurezza delle informazioni si attiene a norme o principi comprovati per la gestione o il controllo dei rischi per la sicurezza delle informazioni. |
|
Elevato |
Come per il livello significativo. |
2.4.4.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. Registrare e conservare le informazioni pertinenti mediante un sistema di gestione delle registrazioni efficace, tenendo conto della normativa vigente e delle buone prassi in materia di protezione e conservazione dei dati. 2. Conservare, nella misura consentita dalla legislazione nazionale o da altre disposizioni amministrative nazionali, e proteggere i dati registrati per il tempo necessario al fine di effettuare verifiche e indagini sulle violazioni della sicurezza e ai fini della conservazione dei dati, quindi distruggere i dati registrati in modo sicuro. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Come per il livello basso. |
2.4.5.
Nella tabella riportata di seguito sono elencati i requisiti relativi alle strutture, al personale e ai subcontraenti, se del caso, che svolgono le funzioni disciplinate dal presente regolamento. La conformità a ciascuno dei requisiti è proporzionata al livello di rischio associato al livello di garanzia fornito.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. Esistono procedure volte a garantire che il personale e i subcontraenti dispongano di una formazione, di qualifiche e di un'esperienza adeguate in relazione alle competenze richieste dal ruolo che occupano. 2. Il personale e i subcontraenti sono in numero sufficiente a consentire un funzionamento e una fornitura adeguati del servizio nel rispetto delle politiche e delle procedure vigenti. 3. Le strutture utilizzate per la fornitura del servizio sono costantemente monitorate e protette dai danni causati da eventi ambientali, accesso non autorizzato e altri fattori che possono incidere sulla sicurezza del servizio. 4. Le strutture utilizzate per la fornitura del servizio garantiscono che l'accesso alle aree in cui sono conservate o trattate le informazioni personali, crittografiche o altre informazioni sensibili sia limitato al personale o ai subcontraenti autorizzati. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Come per il livello basso. |
2.4.6.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
1. Esistono controlli tecnici proporzionati per la gestione dei rischi per la sicurezza dei servizi; tali controlli proteggono la riservatezza, l'integrità e la disponibilità delle informazioni trattate. 2. I canali di comunicazione elettronici utilizzati per lo scambio delle informazioni personali o sensibili sono protetti dalle intercettazioni, dalla manipolazione e dagli attacchi di tipo replay. 3. L'accesso al materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica è limitato ai ruoli e alle applicazioni per i quali è categoricamente richiesto. È fornita la garanzia che tale materiale non è mai conservato stabilmente come testo in chiaro. 4. Esistono procedure a garanzia del mantenimento della sicurezza nel tempo e della capacità di reagire alla variazione dei livelli di rischio, agli incidenti e alle violazioni della sicurezza. 5. Tutti i supporti contenenti informazioni personali, crittografiche o altre informazioni sensibili sono conservati, trasportati e smaltiti in modo sicuro e protetto. |
|
Significativo |
Come per il livello basso, più: Il materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica e per fornire l'autenticazione è protetto dalla manomissione. |
|
Elevato |
Come per il livello significativo. |
2.4.7.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
Sono eseguite verifiche interne periodiche calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. |
|
Significativo |
Sono eseguite periodicamente verifiche indipendenti interne o esterne calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. |
|
Elevato |
1. Sono eseguite periodicamente verifiche esterne indipendenti calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. 2. Qualora sia gestito direttamente da un organismo pubblico, il regime è sottoposto a verifica in conformità con la legislazione nazionale. |