26.4.2016   

LT

Europos Sąjungos oficialusis leidinys

L 109/40


KOMISIJOS ĮGYVENDINIMO SPRENDIMAS (ES) 2016/650

2016 m. balandžio 25 d.

kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 30 straipsnio 3 dalį ir 39 straipsnio 2 dalį nustatomi kvalifikuotų parašo ir spaudo kūrimo įtaisų saugumo vertinimo standartai

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (1), ypač į jo 30 straipsnio 3 dalį ir 39 straipsnio 2 dalį,

kadangi:

(1)

Reglamento (ES) Nr. 910/2014 II priede nustatomi kvalifikuotiems elektroninio parašo kūrimo įtaisams ir kvalifikuotiems elektroninio spaudo kūrimo įtaisams keliami reikalavimai;

(2)

technines specifikacijas, kurių reikia norint produktus pagaminti ir pateikti rinkai, atsižvelgdamos į esamą technologijų raidos etapą, nustato kompetentingos standartizacijos organizacijos;

(3)

ISO ir IEC (Tarptautinė standartizacijos organizacija ir Tarptautinė elektrotechnikos komisija) nustato bendrąsias IT saugumo sąvokas bei principus ir bendrąjį vertinimo modelį, kuriuo turi būti remiamasi vertinant IT produktų saugumo aspektus;

(4)

Europos standartizacijos komitetas (CEN) pagal Komisijos suteiktą standartizacijos įgaliojimą M/460 parengė standartus, taikytinus kvalifikuotiems elektroninio parašo ir elektroninio spaudo kūrimo įtaisams tais atvejais, kai elektroninio parašo ar elektroninio spaudo kūrimo duomenys saugomi aplinkoje, kurią visiškai, bet nebūtinai išimtinai valdo vartotojas. Šie standartai laikomi tinkamais siekiant įvertinti tokių įtaisų atitiktį atitinkamiems Reglamento (ES) Nr. 910/2014 II priede nustatytiems reikalavimams;

(5)

Reglamento (ES) Nr. 910/2014 II priede nustatyta, kad pasirašančio asmens vardu elektroninio parašo kūrimo duomenis gali tvarkyti tik kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas. Saugumo reikalavimai ir atitinkamos sertifikavimo specifikacijos, taikomi, kai produktą fiziškai turi pasirašantis asmuo, skiriasi nuo reikalavimų ir specifikacijų, taikomų, kai pasirašančio asmens vardu veikia kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas. Siekiant atsižvelgti į abu atvejus ir sudaryti palankias sąlygas bėgant laikui kurti konkrečius poreikius atitinkančius produktus ir vertinimo standartus, šio sprendimo priede turėtų būti pateiktas abiem atvejais taikytinų standartų sąrašas;

(6)

šio Komisijos sprendimo priėmimo metu keli patikimumo užtikrinimo paslaugų teikėjai jau siūlo elektroninio parašo kūrimo duomenų tvarkymo savo klientų vardu sprendimus. Sertifikuojant produktus šiuo metu sertifikuojama tik aparatinės įrangos saugumo modulių atitiktis įvairiems standartams, tačiau kol kas nėra sertifikuojama atitiktis reikalavimams, kurie keliami būtent kvalifikuotiems parašo ir spaudo kūrimo įtaisams. Nepaisant to, paskelbti standartai, kaip antai EN 419 211 (taikytinas tuo atveju, kai elektroninis parašas kuriamas aplinkoje, kurią visiškai, bet nebūtinai išimtinai valdo vartotojas), kol kas nėra pritaikyti ne mažiau svarbiai sertifikuotų nuotolinio veikimo produktų rinkai. Standartai, kurie galėtų būti taikomi tokiais tikslais, šiuo metu rengiami, todėl, kai jie bus parengti ir kai bus nustatyta, kad jie atitinka Reglamento (ES) Nr. 910/2014 II priede nustatytus reikalavimus, Komisija papildys šį sprendimą. Iki tol, kol bus sudarytas tokių standartų sąrašas, tokių produktų atitikčiai vertinti gali būti taikoma alternatyvi procedūra, laikantis Reglamento (ES) Nr. 910/2014 30 straipsnio 3 dalies b punkte numatytų sąlygų;

(7)

priede pateikiamame sąraše yra įrašytas standartas EN 419 211, kurį sudaro skirtingais atvejais taikytinos 1–6 dalys. Standarto EN 419 211 5 ir 6 dalyse numatomi papildomi reikalavimai, susiję su kvalifikuoto parašo kūrimo įtaiso aplinka, pavyzdžiui, ryšiu su patikimomis parašo kūrimo taikomosiomis programomis. Produktų gamintojai gali savo nuožiūra taikyti tokius papildomus reikalavimus. Remiantis Reglamento (ES) Nr. 910/2014 56 konstatuojamąja dalimi, sertifikavimo pagal to reglamento 30 ir 39 straipsnius procedūra taikoma tik parašo kūrimo duomenims apsaugoti ir netaikoma parašo kūrimo taikomosioms programoms;

(8)

siekiant užtikrinti, kad kvalifikuoto parašo ar spaudo kūrimo įtaiso sugeneruoti elektroniniai parašai ar spaudai būtų patikimai apsaugoti nuo klastotės, kaip reikalaujama Reglamento (ES) Nr. 910/2014 II priede, sertifikuoto produkto saugumui užtikrinti būtini tinkami kriptografiniai algoritmai, raktų ilgiai ir maišos funkcijos. Šis aspektas nėra suderintas Europos lygmeniu, todėl valstybės narės turėtų bendradarbiaudamos sutarti dėl kriptografinių algoritmų, raktų ilgių ir maišos funkcijų, naudotinų elektroninių parašų ir spaudų srityje;

(9)

priėmus šį sprendimą Komisijos sprendimas 2003/511/EB (2) tampa nebeaktualus. Todėl jis turėtų būti panaikintas;

(10)

šiame sprendime numatytos priemonės atitinka Reglamento (ES) Nr. 910/2014 48 straipsnyje nurodyto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

1.   Šio sprendimo priede išvardijami informacinių technologijų produktų saugumo vertinimo standartai, taikytini pagal Reglamento (ES) Nr. 910/2014 30 straipsnio 3 dalies a punktą arba 39 straipsnio 2 dalį sertifikuojant kvalifikuotus elektroninio parašo kūrimo įtaisus arba kvalifikuotus elektroninio spaudo kūrimo įtaisus tais atvejais, kai elektroninio parašo ar elektroninio spaudo kūrimo duomenys saugomi aplinkoje, kurią visiškai, bet nebūtinai išimtinai valdo vartotojas.

2.   Iki tol, kol Komisija sudarys sąrašą, kuriame bus išvardyti informacinių technologijų produktų saugumo vertinimo standartai, taikytini sertifikuojant kvalifikuotus elektroninio parašo kūrimo įtaisus arba kvalifikuotus elektroninio spaudo kūrimo įtaisus tais atvejais, kai elektroninio parašo ar elektroninio spaudo kūrimo duomenis pasirašančio asmens arba spaudo kūrėjo vardu tvarko kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, tokie produktai sertifikuojami laikantis procedūros, kurioje pagal 30 straipsnio 3 dalies b punktą taikomi į 30 straipsnio 3 dalies a punkte reikalaujamus saugumo lygius panašūs saugumo lygiai, o Reglamento (ES) Nr. 910/2014 30 straipsnio 1 dalyje nurodyta viešoji ar privačioji įstaiga apie tą procedūrą praneša Komisijai.

2 straipsnis

Sprendimas 2003/511/EB panaikinamas.

3 straipsnis

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Briuselyje 2016 m. balandžio 25 d.

Komisijos vardu

Pirmininkas

Jean-Claude JUNCKER


(1)  OL L 257, 2014 8 28, p. 73.

(2)  2003 m. liepos 14 d. Komisijos sprendimas 2003/511/EB dėl elektroninio parašo produktų visuotinai pripažįstamų standartų nuorodų numerių paskelbimo pagal Europos Parlamento ir Tarybos direktyvą 1999/93/EB (OL L 175, 2003 7 15, p. 45).


PRIEDAS

1 STRAIPSNIO 1 DALYJE NURODYTŲ STANDARTŲ SĄRAŠAS

Standarto ISO/IEC 15408 „Informacinės technologijos. Saugumo metodai. Informacinių technologijų saugumo įvertinimo kriterijai“ 1–3 dalys:

ISO/IEC 15408-1:2009 „Informacinės technologijos. Saugumo metodai. Informacinių technologijų saugumo įvertinimo kriterijai. 1 dalis“, ISO, 2009 m.,

ISO/IEC 15408-2:2008 „Informacinės technologijos. Saugumo metodai. Informacinių technologijų saugumo įvertinimo kriterijai. 2 dalis“, ISO, 2008 m.,

ISO/IEC 15408-3:2008 „Informacinės technologijos. Saugumo metodai. Informacinių technologijų saugumo įvertinimo kriterijai. 3 dalis“, ISO, 2008 m.,

taip pat

ISO/IEC 18045:2008 „Informacinės technologijos. Saugumo metodai. Informacinių technologijų saugumo įvertinimo metodika“,

taip pat

atitinkamai standarto EN 419 211 „Saugaus parašo kūrimo įtaiso apsaugos profiliai“ 1–6 dalys:

EN 419211-1:2014 „Saugaus parašo kūrimo įtaiso apsaugos profiliai. 1 dalis. Apžvalga“,

EN 419211-2:2013 „Saugaus parašo kūrimo įtaiso apsaugos profiliai. 2 dalis. Įtaisas su rakto generatoriumi“,

EN 419211-3:2013 „Saugaus parašo kūrimo įtaiso apsaugos profiliai. 3 dalis. Įtaisas su rakto importu“,

EN 419211-4:2013 „Saugaus parašo kūrimo įtaiso apsaugos profiliai. 4 dalis. Plėtinys, taikomas įtaisui, generuojančiam raktą ir užtikrinančiam patikimą ryšį su sertifikato generavimo taikomąja programa“,

EN 419211-5:2013 „Saugaus parašo kūrimo įtaiso apsaugos profiliai. 5 dalis. Plėtinys, taikomas įtaisui, generuojančiam raktą ir užtikrinančiam patikimą ryšį su parašo kūrimo taikomąja programa“,

EN 419211-6:2014 „Saugaus parašo kūrimo įtaiso apsaugos profiliai. 6 dalis. Plėtinys, taikomas įtaisui, atliekančiam rakto importą ir užtikrinančiam patikimą ryšį su parašo kūrimo taikomąja programa“.