This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių (Tekstas svarbus EEE)
2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių (Tekstas svarbus EEE)
OL L 235, 2015 9 9, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
LT |
Europos Sąjungos oficialusis leidinys |
L 235/7 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2015/1502
2015 m. rugsėjo 8 d.
kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių
(Tekstas svarbus EEE)
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (1), ypač į jo 8 straipsnio 3 dalį,
kadangi:
(1) |
Reglamento (ES) Nr. 910/2014 8 straipsnyje numatyta, kad elektroninės atpažinties schemoje, apie kurią pranešta pagal 9 straipsnio 1 dalį, turi būti apibrėžti elektroninės atpažinties priemonių, išduodamų pagal tą schemą, žemas, pakankamas ir (arba) aukštas saugumo užtikrinimo lygiai; |
(2) |
būtina nustatyti minimalias technines specifikacijas, standartus ir procedūras, siekiant užtikrinti saugumo užtikrinimo lygių informacijos bendrą aiškinimą ir užtikrinti sąveikumą derinant elektroninės atpažinties schemų, apie kurias pranešta, nacionalinius saugumo užtikrinimo lygius su 8 straipsnyje numatytais saugumo užtikrinimo lygiais, kaip numatyta Reglamento (ES) Nr. 910/2014 12 straipsnio 4 dalies b punkte; |
(3) |
nustatant šiame įgyvendinimo akte pateiktas specifikacijas ir procedūras buvo atsižvelgta į tarptautinį standartą ISO/IEC 29115 kaip į pagrindinį elektroninės atpažinties priemonių saugumo užtikrinimo lygiams taikomą tarptautinį standartą. Tačiau Reglamento (ES) Nr. 910/2014 turinys skiriasi nuo to tarptautinio standarto, visų pirma kiek tai susiję su tapatybės įrodymo ir tikrinimo reikalavimais, taip pat su tuo, kaip atsižvelgiama į valstybių narių tapatybės nustatymo tvarkos ir tapatybės nustatymo tvarkos esamose ES priemonėse skirtumus. Todėl nors priede ir remiamasi šiuo tarptautiniu standartu, jame neturėtų būti daroma nuoroda į jokį konkretų standarto ISO/IEC 29115 turinį; |
(4) |
šis reglamentas parengtas remiantis rezultatais pagrįstu metodu, kuris laikomas tinkamiausiu – tai taip pat matyti iš apibrėžčių, vartojamų terminams ir sąvokoms apibrėžti. Juose atsižvelgiama į Reglamento (ES) Nr. 910/2014 tikslą, susijusį su elektroninės atpažinties priemonių saugumo užtikrinimo lygiais. Todėl nustatant šiame įgyvendinimo akte nustatytas specifikacijas ir procedūras turėtų būti kuo labiau atsižvelgiama į didelio masto bandomąjį projektą STORK, įskaitant pagal jį parengtas specifikacijas, ir į standarto ISO/IEC 29115 apibrėžtis ir sąvokas; |
(5) |
priklausomai nuo aplinkybių, pagal kurias turi būti patikrintas tapatybės įrodymo aspektas, autoritetingų šaltinių forma gali būti įvairi, pavyzdžiui, be kita ko, registrai, dokumentai ar įstaigos. NET ir panašiomis aplinkybėmis autoritetingi šaltiniai skirtingose valstybėse narėse gali būti skirtingi; |
(6) |
reikalavimuose dėl tapatybės įrodymo ir tikrinimo turėtų būti atsižvelgiama į skirtingas sistemas ir praktiką, kartu užtikrinant pakankamai aukštą saugumo lygį, būtiną reikiamam pasitikėjimui garantuoti. Todėl priimti procedūras, anksčiau naudotas kitu nei elektroninės atpažinties priemonių išdavimo tikslu, turėtų būti galima tik patvirtinus, kad šios procedūros atitinka reikalavimus, numatytus atitinkamam užtikrinimo lygiui; |
(7) |
paprastai naudojami tam tikri tapatumo nustatymo veiksniai, tokie kaip bendros paslaptys, fiziniai įtaisai ir fizinės savybės. Vis dėlto siekiant padidinti tapatumo nustatymo proceso saugumą reikėtų skatinti naudoti daugiau tapatumo nustatymo veiksnių, ypač priklausančių įvairioms veiksnių kategorijoms; |
(8) |
šiuo reglamentu neturėtų būti daromas poveikis juridinių asmenų atstovavimo teisėms. Vis dėlto priede turėtų būti numatyti reikalavimai dėl fizinių ir juridinių asmenų elektroninės atpažinties priemonių susiejimo; |
(9) |
turėtų būti pripažįstama informacijos saugumo ir paslaugų valdymo sistemų svarba, taip pat pripažintos metodikos naudojimo bei principų, nustatytų standartuose, tokiuose kaip ISO/IEC 27000 ir EN ISO/IEC 20000 serijos, taikymo svarba; |
(10) |
taip pat turėtų būti atsižvelgiama į gerąją praktiką, susijusią su saugumo užtikrinimo lygiais valstybėse narėse; |
(11) |
tarptautiniais standartais grindžiamas IT saugumo sertifikavimas yra svarbi priemonė siekiant patikrinti, ar produktai atitinka šiame įgyvendinimo akte nustatytus saugumo reikalavimus; |
(12) |
Reglamento (ES) Nr. 910/2014 48 straipsnyje nurodytas komitetas nepareiškė nuomonės per jo pirmininko nustatytą laikotarpį, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
1 straipsnis
1. Elektroninės atpažinties priemonių, išduotų pagal elektroninės atpažinties schemą, apie kurią pranešta, žemas, pakankamas ir aukštas saugumo užtikrinimo lygiai nustatomi remiantis priede pateiktomis specifikacijomis ir procedūromis.
2. Elektroninės atpažinties priemonių, išduotų pagal elektroninės atpažinties schemą, apie kurią pranešta, saugumo užtikrinimo lygiui apibrėžti naudojamos priede pateiktos specifikacijos ir procedūros, nustatant šių elementų patikimumą ir kokybę:
a) |
registracijos, kaip nustatyta šio reglamento priedo 2.1 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies a punktą; |
b) |
elektroninės atpažinties priemonių valdymo, kaip nustatyta šio reglamento priedo 2.2 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies b ir f punktus; |
c) |
tapatumo nustatymo, kaip nustatyta šio reglamento priedo 2.3 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies c punktą; |
d) |
valdymo ir organizavimo, kaip nustatyta šio reglamento priedo 2.4 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies d ir e punktus. |
3. Jeigu elektroninės atpažinties priemonė, išduota pagal elektroninės atpažinties schemą, apie kurią pranešta, atitinka aukštesnio saugumo užtikrinimo lygio reikalavimą, laikoma, kad ji atitinka lygiavertį žemesnio saugumo užtikrinimo lygio reikalavimą.
4. Jeigu atitinkamoje priedo dalyje nenurodyta kitaip, elektroninės atpažinties priemonė, išduota pagal elektroninės atpažinties schemą, apie kurią pranešta, turi atitikti visus priede išvardytus tam tikro saugumo užtikrinimo lygio elementus, kad atitiktų tą lygį.
2 straipsnis
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2015 m. rugsėjo 8 d.
Komisijos vardu
Pirmininkas
Jean-Claude JUNCKER
(1) OL L 257, 2014 8 28, p. 73.
PRIEDAS
Techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių, išduotų pagal elektroninės atpažinties schemą, apie kurią pranešta, žemo, pakankamo ir aukšto saugumo užtikrinimo lygių
1. Terminų apibrėžtys
Šiame priede vartojamų terminų apibrėžtys:
1) autoritetingas šaltinis– bet kokios formos šaltinis, kurio tikslūs duomenys, informacija ir (arba) įrodymai yra patikimi ir jus galima naudoti tapatybei įrodyti;
2) tapatumo nustatymo veiksnys– veiksnys, patvirtintas kaip esantis susijęs su asmeniu ir priklausantis prie vienos iš šių kategorijų:
a) turėjimu grindžiamas tapatumo nustatymo veiksnys– tapatumo nustatymo veiksnys, kai subjektas turi įrodyti jį turįs;
b) žiniomis grindžiamas tapatumo nustatymo veiksnys– tapatumo nustatymo veiksnys, kai subjektas turi įrodyti apie jį žinąs;
c) būdingasis tapatumo nustatymo veiksnys– tapatumo nustatymo veiksnys, kuris grindžiamas fizinio asmens fizinėmis savybėmis ir subjektas turi įrodyti turįs tas fizines savybes;
3) dinaminis tapatumo nustatymas– elektroninis procesas, kuriuo naudojant kriptografijos ar kitus metodus suteikiama priemonė sukurti reikalaujamam elektroniniam įrodymui, kad subjektas kontroliuoja arba turi identifikavimo duomenis, ir kuris, priklausomai nuo subjekto ir subjekto tapatybę tikrinančios sistemos, kinta kiekvieną kartą nustatant tapatybę;
4) informacijos saugumo valdymo sistema– visuma procesų ir procedūrų, skirtų priimtinu lygiu valdyti rizikai, susijusiai su informacijos saugumu.
2. Techninės specifikacijos ir procedūros
Šiame priede nurodyti techninių specifikacijų ir procedūrų elementai naudotini siekiant nustatyti, kaip Reglamento (ES) Nr. 910/2014 8 straipsnyje pateikti reikalavimai ir kriterijai turi būti taikomi elektroninėms atpažinties priemonėms, išduotoms pagal elektroninės atpažinties schemą.
2.1. Registracija
2.1.1.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||
Žemas |
|
||||||
Pakankamas |
Tokie patys, kaip žemo lygio. |
||||||
Aukštas |
Tokie patys, kaip žemo lygio. |
2.1.2.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||||||
Žemas |
|
||||||||||
Pakankamas |
Be žemo lygio elementų, turi būti atitinkama viena iš 1–4 punktuose nurodytų sąlygų:
|
||||||||||
Aukštas |
Turi būti laikomasi 1 arba 2 punkto reikalavimų:
|
2.1.3.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||
Žemas |
|
||||||
Pakankamas |
Be žemo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų:
|
||||||
Aukštas |
Be pakankamo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų:
|
2.1.4.
Atitinkamais atvejais fizinio asmens elektroninės atpažinties priemonių ir juridinio asmens elektroninės atpažinties priemonių susiejimui (toliau – susiejimas) taikomos šios sąlygos:
1) |
turi būti įmanoma sustabdyti ir (arba) atšaukti susiejimą. Susiejimo gyvavimo ciklas (pvz., aktyvavimas, sustabdymas, atnaujinimas, atšaukimas) tvarkomas laikantis nacionaliniu lygiu pripažintų procedūrų. |
2) |
Fizinis asmuo, kurio elektroninės atpažinties priemonės yra susietos su juridinio asmens elektroninės atpažinties priemonėmis, pagal nacionaliniu lygiu pripažintas procedūras susiejimą gali įgalioti kitam fiziniam asmeniui. Vis dėlto atsakomybė išlieka įgaliojančiojo fizinio asmens. |
3) |
Susiejimas atliekamas taip:
|
2.2. Elektroninės atpažinties priemonių valdymas
2.2.1.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||
Žemas |
|
||||
Pakankamas |
|
||||
Aukštas |
Pakankamo lygio, be to:
|
2.2.2.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pasiekė tik tą asmenį, kuriam ji numatyta. |
Pakankamas |
Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pristatyta tik tam asmeniui, kuriam ji priklauso. |
Aukštas |
Aktyvavimo procesu patvirtinama, kad elektroninės atpažinties priemonė buvo pristatyta tik tam asmeniui, kuriam ji priklauso. |
2.2.3.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||
Žemas |
|
||||||
Pakankamas |
Tokie patys, kaip žemo lygio. |
||||||
Aukštas |
Tokie patys, kaip žemo lygio. |
2.2.4.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, atnaujinimui arba pakeitimui turi būti keliami tokie patys saugumo užtikrinimo reikalavimai kaip pradiniam tapatybės įrodymo nustatymui ir tikrinimui, arba atnaujinimas ar pakeitimas turi būti pagrįstas tokio paties arba aukštesnio patikimumo lygio galiojančiomis elektroninės atpažinties priemonėmis. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Žemo lygio, be to: kai atnaujinimas ar pakeitimas pagrįstas galiojančiomis elektroninės atpažinties priemonėmis, tapatybės duomenys tikrinami su autoritetingu šaltiniu. |
2.3. Tapatumo nustatymas
Šiame skirsnyje daugiausia dėmesio skiriama grėsmėms, susijusioms su tapatumo nustatymo mechanizmu, ir išvardijami kiekvieno saugumo užtikrinimo lygio reikalavimai. Šiame skirsnyje laikoma, kad kontrolės priemonės atitinka tam tikro lygio riziką.
2.3.1.
Šioje lentelėje pateikti tapatumo nustatymo mechanizmo, pagal kurį fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų savo tapatybę pasikliaujančiajai šaliai, kiekvieno saugumo užtikrinimo lygio reikalavimai.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||
Žemas |
|
||||||
Pakankamas |
Žemo lygio, be to:
|
||||||
Aukštas |
Pakankamo lygio, be to: tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su dideliu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
2.4. Valdymas ir organizavimas
Visi dalyviai, teikiantys paslaugą, susijusią su tarpvalstybinio lygmens elektronine atpažintimi (toliau – teikėjai), turi būti nustatę dokumentais patvirtintą informacijos saugumo valdymo praktiką, politikos priemones, rizikos valdymo metodus ir kitas pripažintas kontrolės priemones, kad atitinkamų valstybių narių elektroninės atpažinties schemų valdymo organams galėtų garantuoti, jog įdiegta veiksminga praktika. 2.4 skirsnyje laikoma, kad visi reikalavimai/elementai atitinka tam tikro lygio riziką.
2.4.1.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||||||
Žemas |
|
||||||||||
Pakankamas |
Tokie patys, kaip žemo lygio. |
||||||||||
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.2.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||
Žemas |
|
||||||
Pakankamas |
Tokie patys, kaip žemo lygio. |
||||||
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.3.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Veikia veiksminga informacijos saugumo valdymo sistema, skirta informacijos saugumo rizikai valdyti ir kontroliuoti. |
Pakankamas |
Žemo lygio, be to: informacijos saugumo valdymo sistemoje laikomasi pasiteisinusių standartų arba principų, skirtų informacijos saugumo rizikai valdyti ir kontroliuoti. |
Aukštas |
Tokie patys, kaip pakankamo lygio. |
2.4.4.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||
Žemas |
|
||||
Pakankamas |
Tokie patys, kaip žemo lygio. |
||||
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.5.
Šioje lentelėje pateikiami reikalavimai įrenginiams, darbuotojams ir (jei taikytina) subrangovams, kurie vykdo pareigas pagal šį reglamentą. Atitiktis kiekvienam reikalavimui turi būti proporcinga rizikos laipsniui, susijusiam su nustatytu saugumo užtikrinimo lygiu.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||||
Žemas |
|
||||||||
Pakankamas |
Tokie patys, kaip žemo lygio. |
||||||||
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.6.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||||||||
Žemas |
|
||||||||||
Pakankamas |
Tokie patys, kaip žemo lygio, be to: neskelbtina kriptografinė medžiaga, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, yra apsaugota nuo klastojimo. |
||||||||||
Aukštas |
Tokie patys, kaip pakankamo lygio. |
2.4.7.
Saugumo užtikrinimo lygis |
Būtini elementai |
||||
Žemas |
Periodiškai vykdomas vidaus auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
||||
Pakankamas |
Periodiškai vykdomas nepriklausomas vidaus arba išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
||||
Aukštas |
|
(1) 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008, nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30).