This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Komisijas Īstenošanas regula (ES) 2015/1502 (2015. gada 8. septembris), kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras (Dokuments attiecas uz EEZ)
Komisijas Īstenošanas regula (ES) 2015/1502 (2015. gada 8. septembris), kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras (Dokuments attiecas uz EEZ)
OV L 235, 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 235/7 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2015/1502
(2015. gada 8. septembris),
kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras
(Dokuments attiecas uz EEZ)
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes 2014. gada 23. jūlija Regulu (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (1), un jo īpaši tās 8. panta 3. punktu,
tā kā:
(1) |
Regulas (ES) Nr. 910/2014 8. pants nosaka, ka elektroniskās identifikācijas shēmai, par ko paziņots atbilstoši 9. panta 1. punktam, ir jāprecizē atbilstīgi minētajai shēmai izsniegto elektroniskās identifikācijas līdzekļu uzticamības līmenis (proti, zems, būtisks vai augsts). |
(2) |
Noteikt minimālās tehniskās specifikācijas, standartus un procedūras ir būtiski, lai panāktu vienotu izpratni par uzticamības līmeņu detaļām un nodrošinātu sadarbspēju, valstu noteiktos izziņoto elektroniskās identifikācijas shēmu uzticamības līmeņus attiecinot uz 8. pantā minētajiem uzticamības līmeņiem, kā noteikts Regulas (ES) Nr. 910/2014 12. panta 4. punkta b) apakšpunktā. |
(3) |
Šā īstenošanas akta specifikācijās un procedūrās ir ņemts vērā starptautiskais standarts ISO/IEC 29115, jo tas ir galvenais elektroniskās identifikācijas līdzekļu uzticamības līmeņa jomā pieejamais starptautiskais standarts. Tomēr Regulas (ES) Nr. 910/2014 saturs atšķiras no minētā starptautiskā standarta, it īpaši identitātes pārbaudes un verifikācijas prasību ziņā, kā arī pēc tā, kā tiek ņemtas vērā dalībvalstu identitātes noteikšanas kārtības un attiecīgo Eiropas Savienībā esošo instrumentu atšķirības. Tādēļ pielikumā, gan balstoties uz ISO/IEC 29115, nebūtu jāatsaucas uz specifisku minētā starptautiskā standarta saturu. |
(4) |
Šī regula ir izstrādāta kā uz iznākumu balstīta pieeja, kas ir vispiemērotākā, un tas atspoguļojas arī terminu un jēdzienu precizēšanai izmantotajās definīcijās. Tajās ir ņemts vērā Regulas (ES) Nr. 910/2014 mērķis, kas attiecas uz elektroniskās identifikācijas līdzekļu uzticamības līmeņiem. Tādēļ, nosakot specifikācijas un procedūras šajā īstenošanas aktā, vislielākajā mērā būtu jāņem vērā eksperimentālais lielapjoma projekts STORK, ieskaitot tajā izstrādātās specifikācijas, un ISO/IEC 29115 definīcijas un jēdzieni. |
(5) |
Atkarā no konteksta, kādā jāverificē identitātes pierādījumu aspekts, autoritatīvi avoti var būt daždažādi, piemēram, reģistri, dokumenti, apkopojumi. Dažādu dalībvalstu autoritatīvie avoti var atšķirties pat līdzīgos apstākļos. |
(6) |
Identitātes pierādīšanas un verifikācijas prasībās būtu jāņem vērā dažādas sistēmas un prakse, vienlaikus nodrošinot pietiekami lielu uzticamību, lai panāktu nepieciešamo uzticēšanos. Tādēļ, akceptējot procedūras, ko agrāk izmantoja citiem mērķiem, nevis elektroniskās identifikācijas līdzekļu izdošanai, ir jāizvirza nosacījums, ka apstiprināšanas brīdī šīs procedūras atbilst prasībām, kas paredzētas attiecīgajam uzticamības līmenim. |
(7) |
Parasti izmanto tādus autentifikācijas faktorus kā kopīgs noslēpums, fiziskas ierīces un fiziski atribūti. Tomēr, lai paaugstinātu autentifikācijas procesa drošību, ir jāmudina izmantot daudzveidīgākus autentifikācijas faktorus, it īpaši no dažādām faktoru kategorijām. |
(8) |
Šai regulai nebūtu jāietekmē juridisko personu pārstāvības tiesības. Tomēr pielikumā būtu jānosaka fizisko un juridisko personu elektroniskās identifikācijas līdzekļu saistījuma prasības. |
(9) |
Būtu jāatzīst, cik liela nozīme ir informācijas drošības un pakalpojumu vadības sistēmām, kā arī atzītas metodikas izmantošanai un standartos (piemēram, ISO/IEC 27000 un ISO/IEC 20000 sērija) iestrādāto principu piemērošanai. |
(10) |
Jāņem vērā arī dalībvalstu labas prakses piemēri darbā ar uzticamības līmeņiem. |
(11) |
Svarīgs instruments, ar ko pārbaudīt produktu atbilstību šā īstenošanas akta drošības prasībām, ir IT drošības sertifikācija uz starptautisku standartu pamata. |
(12) |
Regulas (ES) Nr. 910/2014 48. pantā minētā komiteja nav sniegusi atzinumu tās priekšsēdētāja noteiktajā termiņā, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
1. Izziņotas elektroniskās identifikācijas shēmas ietvaros izdoto elektroniskās identifikācijas līdzekļu zemo, būtisko un augsto uzticamības līmeni nosaka ar atsauci uz pielikumā izklāstītajām specifikācijām un procedūrām.
2. Pielikumā izklāstītās specifikācijas un procedūras izmanto, lai izraudzītos elektroniskās identifikācijas shēmas ietvaros izdoto elektroniskās identifikācijas līdzekļu uzticamības līmeni, nosakot šādu elementu drošu izmantojamību un kvalitāti:
a) |
uzņemšana – kā izklāstīts šīs regulas pielikuma 2.1. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta a) apakšpunktu; |
b) |
elektroniskās identifikācijas līdzekļu pārvaldība – kā izklāstīts šīs regulas pielikuma 2.2. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta b) un f) apakšpunktu; |
c) |
autentifikācija – kā izklāstīts šīs regulas pielikuma 2.3. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta c) apakšpunktu; |
d) |
pārvaldība un organizācija – kā izklāstīts šīs regulas pielikuma 2.4. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta d) un e) apakšpunktu. |
3. Ja izziņotas elektroniskās identifikācijas shēmas ietvaros izdotais elektroniskās identifikācijas līdzeklis atbilst prasībai, kas minēta pie augstāka uzticamības līmeņa, uzskatāms, ka tas apmierina līdzvērtīgu zemāka uzticamības līmeņa prasību.
4. Ja attiecīgajā pielikuma daļā nav noteikts citādi, tad, lai panāktu pieprasīto uzticamības līmeni, ir jāapmierina visi elementi, kas pielikumā norādīti pie elektroniskās identifikācijas shēmas ietvaros izdota elektroniskās identifikācijas līdzekļa konkrēta uzticamības līmeņa.
2. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2015. gada 8. septembrī
Komisijas vārdā –
priekšsēdētājs
Jean-Claude JUNCKER
(1) OV L 257, 28.8.2014., 73. lpp.
PIELIKUMS
Izziņotas elektroniskās identifikācijas shēmas ietvaros izdoto elektroniskās identifikācijas līdzekļu zema, būtiska un augsta uzticamības līmeņa tehniskās specifikācijas un procedūras
1. Piemērojamās definīcijas
Šajā pielikumā piemēro šādas definīcijas:
1) “autoritatīvs avots”– jebkura veida avots, uz kuru var paļauties, ka tas sniedz precīzus datus, informāciju un/vai pierādījumu, ko var izmantot identitātes pierādīšanai;
2) “autentifikācijas faktors”– faktors, kas apstiprināts par saistītu ar personu un ietilpst kādā no šīm kategorijām:
a) “turējumā balstīts autentifikācijas faktors”– autentifikācijas faktors, kurā subjektam ir jāpierāda, ka tas ir viņa turējumā;
b) “zināšanā balstīts autentifikācijas faktors”– autentifikācijas faktors, kurā subjektam ir jāpierāda, ka viņš to zina;
c) “piemitīgs autentifikācijas faktors”– autentifikācijas faktors, kas balstās uz fiziskas personas fizisku īpašību un par kuru subjektam ir jāpierāda, ka viņam piemīt šī fiziskā īpašība;
3) “dinamiskā autentifikācija”– elektronisks process, kurā izmanto kriptogrāfiju vai citas metodes, kas dod iespēju pēc pieprasījuma izveidot elektronisku pierādījumu tam, ka subjekta pārziņā vai turējumā ir identifikācijas dati, un kas mainās līdzi katrai autentifikācijai starp subjektu un sistēmu, kura verificē subjekta identitāti;
4) “informācijas drošības pārvaldības sistēma”– procesu un procedūru kopums, kura uzdevums ir informācijas drošības apdraudējumu noturēt pieņemamā līmenī.
2. Tehniskās specifikācijas un procedūras
Šajā pielikumā izklāstīto tehnisko specifikāciju un procedūru elementus izmanto, lai noteiktu, kā Regulas (ES) Nr. 910/2014 8. panta prasības un kritērijus piemērot elektroniskās identifikācijas shēmas ietvaros izsniegtiem elektroniskās identifikācijas līdzekļiem.
2.1. Uzņemšana
2.1.1.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||
Zems |
|
||||||
Būtisks |
Tāpat kā zemajā līmenī. |
||||||
Augsts |
Tāpat kā zemajā līmenī. |
2.1.2.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||||||
Zems |
|
||||||||||
Būtisks |
Jāizpilda zemais līmenis plus viena no alternatīvām 1.–4. punktā:
|
||||||||||
Augsts |
Jāizpilda 1. vai 2. punkta prasības:
|
2.1.3.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||
Zems |
|
||||||
Būtisks |
Jāizpilda zemais līmenis plus viena no alternatīvām 1.–3. punktā:
|
||||||
Augsts |
Jāizpilda būtiskais līmenis plus viena no alternatīvām 1.–3. punktā:
|
2.1.4.
Attiecīgos gadījumos uz starp fiziskas personas elektroniskās identifikācijas līdzekļa un juridiskas personas elektroniskās identifikācijas līdzekļa saistījumu (“saistījumu”) attiecas šādi nosacījumi:
1. |
Jābūt iespējai saistījumu apturēt un/vai anulēt. Saistījuma darbības ciklu (piemēram, aktivizēšanu, apturēšanu, atjaunošanu, anulēšanu) pārvalda saskaņā ar valsts atzītām procedūrām. |
2. |
Fiziska persona, kuras elektroniskās identifikācijas līdzeklis ir saistīts ar juridiskās personas elektroniskās identifikācijas līdzekli, var deleģēt saistījuma īstenošanu citai fiziskai personai, pamatojoties uz valsts atzītām procedūrām. Tomēr atbildība paliek deleģējošajai fiziskajai personai. |
3. |
Saistījums veidojams šādi:
|
2.2. Elektroniskās identifikācijas līdzekļu pārvaldība
2.2.1.
Uzticamības līmenis |
Nepieciešamie elementi |
||||
Zems |
|
||||
Būtisks |
|
||||
Augsts |
Būtiskais līmenis plus:
|
2.2.2.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Pēc izdošanas elektroniskās identifikācijas līdzekli piegādā ar mehānismu, kura izmantošana ļauj pieņemt, ka tas nonāk tikai pie personas, kam tas paredzēts. |
Būtisks |
Pēc izdošanas elektroniskās identifikācijas līdzekli piegādā ar mehānismu, kura izmantošana ļauj pieņemt, ka tas nonāk tikai tās personas turējumā, kam tas pieder. |
Augsts |
Aktivizēšanas process verificē, vai elektroniskās identifikācijas līdzeklis ir nonācis tikai tās personas turējumā, kurai tas pieder. |
2.2.3.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||
Zems |
|
||||||
Būtisks |
Tāpat kā zemajā līmenī. |
||||||
Augsts |
Tāpat kā zemajā līmenī. |
2.2.4.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Ņemot vērā risku, ka var mainīties personas identifikācijas dati, atjaunošanai vai aizstāšanai jāizpilda tādas pašas uzticamības prasības kā sākotnējā identitātes pierādīšanā un verifikācijā vai ir jābūt balstītai uz derīgu tāda paša vai augstāka uzticamības līmeņa elektroniskās identifikācijas līdzekli. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Zemais līmenis plus: ja atjaunošana vai aizstāšana ir balstīta uz elektroniskās identifikācijas līdzekli, identitātes datus verificē pēc autoritatīva avota. |
2.3. Autentifikācija
Šajā punktā uzmanība veltīta briesmām, kas saistās ar autentifikācijas mehānisma lietošanu, un uzskaitītas prasības katrā uzticamības līmenī. Šajā punktā tiek uzskatīts, ka kontrole ir samērīga ar riskiem dotajā līmenī.
2.3.1.
Tabulā ir izklāstītas prasības katrā uzticamības līmenī attiecībā uz autentifikācijas mehānismu, kurā fiziskā vai juridiskā persona izmanto elektroniskās identifikācijas līdzekli, lai apstiprinātu savu identitāti pārbaudītājam.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||
Zems |
|
||||||
Būtisks |
Zemais līmenis plus:
|
||||||
Augsts |
Būtiskais līmenis plus: autentifikācijas mehānisms īsteno drošības kontroli elektroniskās identifikācijas līdzekļu verifikācijai tā, ka ir maz ticams, ka tādas uzbrucēja ar augstu uzbrukuma potenciālu darbības kā paziņojuma uzminēšana, pārtveršana, pārspēlēšana vai manipulācijas ar to spētu vājināt autentifikācijas mehānismus. |
2.4. Pārvaldība un organizācija
Visiem dalībniekiem, kas ar elektronisko identifikāciju saistītu pakalpojumu sniedz pārrobežu kontekstā (“pakalpojuma sniedzēji”), ir jābūt dokumentētai informācijas drošības pārvaldības praksei, rīcības politikai, riska pārvaldības pieejām un citiem atzītiem kontroles līdzekļiem, lai attiecīgām elektroniskās identifikācijas shēmu vadības struktūrām attiecīgajās dalībvalstīs sniegtu pārliecību, ka pastāv efektīva prakse. Visā 2.4. punktā visas prasības/elementus uzskata par samērīgiem ar dotā līmeņa riskiem.
2.4.1.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||||||
Zems |
|
||||||||||
Būtisks |
Tāpat kā zemajā līmenī. |
||||||||||
Augsts |
Tāpat kā zemajā līmenī. |
2.4.2.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||
Zems |
|
||||||
Būtisks |
Tāpat kā zemajā līmenī. |
||||||
Augsts |
Tāpat kā zemajā līmenī. |
2.4.3.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Pastāv efektīva informācijas drošības pārvaldības sistēma informācijas drošības risku pārvaldībai un kontrolei. |
Būtisks |
Zemais līmenis plus: informācijas drošības pārvaldības sistēma ievēro pārbaudītus informācijas drošības risku pārvaldības un kontroles standartus vai principus. |
Augsts |
Tāpat kā būtiskajā līmenī. |
2.4.4.
Uzticamības līmenis |
Nepieciešamie elementi |
||||
Zems |
|
||||
Būtisks |
Tāpat kā zemajā līmenī. |
||||
Augsts |
Tāpat kā zemajā līmenī. |
2.4.5.
Tabulā ir norādītas prasības iekārtām un darbiniekiem un – attiecīgā gadījumā – apakšuzņēmējiem, kas uzņemas pienākumus, uz kuriem attiecas šī regula. Katras prasības izpilde ir proporcionāla riskam, kas saistās ar uzticamības līmeni.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||||
Zems |
|
||||||||
Būtisks |
Tāpat kā zemajā līmenī. |
||||||||
Augsts |
Tāpat kā zemajā līmenī. |
2.4.6.
Uzticamības līmenis |
Nepieciešamie elementi |
||||||||||
Zems |
|
||||||||||
Būtisks |
Tāpat kā zemajā līmenī plus: sensitīvi kriptogrāfiskie materiāli, ko izmanto elektroniskās identifikācijas līdzekļu izdošanai un autentifikācijai, ir aizsargāti no viltošanas. |
||||||||||
Augsts |
Tāpat kā būtiskajā līmenī. |
2.4.7.
Uzticamības līmenis |
Nepieciešamie elementi |
||||
Zems |
Pastāv regulāra iekšējā revīzija, kas aptver visas daļas, kuras attiecas uz sniegto pakalpojumu piegādi, nodrošinot atbilstību attiecīgajai politikai. |
||||
Būtisks |
Pastāv regulāra neatkarīga iekšējā revīzija vai ārējā revīzija, kas aptver visas daļas, kuras attiecas uz sniegto pakalpojumu piegādi, nodrošinot atbilstību attiecīgajai politikai. |
||||
Augsts |
|
(1) Eiropas Parlamenta un Padomes 2008. gada 9. jūlija Regula (EK) Nr. 765/2008, ar ko nosaka akreditācijas un tirgus uzraudzības prasības attiecībā uz produktu tirdzniecību un atceļ Regulu (EEK) Nr. 339/93 (OV L 218, 13.8.2008., 30. lpp.).