26.4.2016   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 109/40


KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2016/650

(2016. gada 25. aprīlis),

ar ko nosaka standartus kvalificētu paraksta un zīmoga radīšanas ierīču drošības novērtēšanai saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 30. panta 3. punktu un 39. panta 2. punktu

(Dokuments attiecas uz EEZ)

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes 2014. gada 23. jūlija Regulu (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (1), un jo īpaši tās 30. panta 3. punktu un 39. panta 2. punktu,

tā kā:

(1)

Regulas (ES) Nr. 910/2014 II pielikumā noteiktas prasības kvalificētām elektroniskā paraksta radīšanas ierīcēm un kvalificētām elektroniskā zīmoga radīšanas ierīcēm.

(2)

Uzdevumu izstrādāt tehniskās specifikācijas, kas vajadzīgas produktu ražošanai un laišanai tirgū, ņemot vērā pašreizējo tehnoloģijas līmeni, veic standartizācijas jomā kompetentas organizācijas.

(3)

ISO/IEC (Starptautiskā Standartizācijas organizācija / Starptautiskā Elektrotehnikas komisija) ievieš vispārējo IT drošības koncepciju un principus un nosaka vispārējo novērtēšanas modeli, kas jāizmanto par pamatu IT produktu drošības īpašību novērtēšanā.

(4)

Eiropas Standartizācijas komiteja (CEN) saskaņā ar Komisijas izdoto standartizācijas pilnvarojumu M/460 ir izstrādājusi kvalificētu elektroniskā paraksta un zīmogu radīšanas ierīču standartus gadījumiem, kad elektroniskā paraksta radīšanas dati vai elektroniskā zīmoga radīšanas dati tiek glabāti lietotāja pilnīgi pārvaldītā, bet ne obligāti vienīgi lietotāja pārvaldītā vidē. Šie standarti tiek uzskatīti par piemērotiem, lai novērtētu šādu ierīču atbilstību attiecīgajām Regulas (ES) Nr. 910/2014 II pielikumā noteiktajām prasībām.

(5)

Regulas (ES) Nr. 910/2014 II pielikumā noteikts, ka tikai kvalificēts uzticamības pakalpojumu sniedzējs var parakstītāja vārdā pārvaldīt elektroniskā paraksta radīšanas datus. Ja produkts ir parakstītāja fiziskā rīcībā, spēkā esošās drošības prasības un attiecīgās to sertifikācijas specifikācijas ir citādas nekā tad, ja kvalificēts uzticamības pakalpojumu sniedzējs darbojas parakstītāja vārdā. Lai ņemtu vērā abus gadījumus, kā arī veicinātu konkrētām vajadzībām piemērotu produktu un novērtēšanas standartu attīstīšanu laika gaitā, lēmuma pielikumā būtu jāuzskaita standarti, kas attiecas uz abiem gadījumiem.

(6)

Šā Komisijas lēmuma pieņemšanas laikā vairāki uzticamības pakalpojumu sniedzēji jau piedāvā risinājumus elektroniskā paraksta radīšanas datu pārvaldībai savu klientu vārdā. Šobrīd produktu sertificēšana attiecas tikai uz aparatūras drošības moduļiem, kurus sertificē pēc dažādiem standartiem, bet vēl ne saskaņā ar prasībām kvalificētām paraksta un zīmoga radīšanas ierīcēm. Tomēr vēl nav tādu publicēto standartu, kāds ir, piemēram, EN 419 211 (piemēro elektroniskiem parakstiem, kas radīti pilnīgi, bet ne obligāti vienīgi lietotāja pārvaldītā vidē), kuri attiektos uz tikpat svarīgu tirgu – sertificētiem attālinātiem produktiem. Standarti, kas varētu būt piemēroti šādam mērķim, šobrīd vēl tiek izstrādāti, tāpēc tad, kad šādi standarti būs pieejami un būs atzīti par atbilstīgiem Regulas (ES) Nr. 910/2014 II pielikumā noteiktajām prasībām, Komisija papildinās šo lēmumu. Līdz brīdim, kad būs izveidots šādu standartu saraksts, šādu produktu atbilstības novērtēšanai var izmantot alternatīvu procesu, ievērojot nosacījumus, kas paredzēti Regulas (ES) Nr. 910/2014 30. panta 3. punkta b) apakšpunktā.

(7)

Pielikumā ir norādīts EN 419 211 standarts, kas sastāv no dažādām daļām (1.–6.), kuras attiecas uz dažādām situācijām. EN 419 211 5. un 6. daļā ietverti paplašinājumi, kas attiecas uz kvalificētas paraksta radīšanas ierīces vidi, piemēram, sakariem ar uzticamu paraksta radīšanas lietojumprogrammatūru. Produktu ražotāji šādus paplašinājums var piemērot. Saskaņā ar Regulas (ES) Nr. 910/2014 56. apsvērumu sertifikācijas joma atbilstoši minētās regulas 30. un 39. pantam ietver tikai paraksta radīšanas datus, bet neietver paraksta radīšanas lietojumprogrammatūras.

(8)

Lai nodrošinātu to, ka kvalificētas paraksta vai zīmoga radīšanas ierīces radīti elektroniskie paraksti vai zīmogi ir uzticami aizsargāti pret viltošanu, kā tas prasīts Regulas (ES) Nr. 910/2014 II pielikumā, sertificētā produkta drošības priekšnoteikums ir atbilstoši kriptogrāfijas algoritmi, atslēgu garumi un jaucējfunkcijas. Tā kā šis jautājums Eiropas līmenī nav saskaņots, dalībvalstīm būtu jāsadarbojas, lai vienotos par kriptogrāfijas algoritmiem, atslēgu garumiem un jaucējfunkcijām, kas jāizmanto elektronisko parakstu un zīmogu jomā.

(9)

Ar šā lēmuma pieņemšanu Komisijas Lēmums 2003/511/EK (2) noveco. Tādēļ tas būtu jāatceļ.

(10)

Šajā lēmumā paredzētie pasākumi atbilst Regulas (ES) Nr. 910/2014 48. pantā minētās komitejas atzinumam,

IR PIEŅĒMUSI ŠO LĒMUMU.

1. pants

1.   Informācijas tehnoloģiju produktu drošības novērtēšanas standarti, kurus piemēro, sertificējot kvalificētas elektroniskā paraksta radīšanas ierīces vai kvalificētas elektroniskā zīmoga radīšanas ierīces saskaņā ar Regulas (ES) Nr. 910/2014 30. panta 3. punktu a) apakšpunktu vai 39. panta 2. punktu, ja elektroniskā paraksta radīšanas dati vai elektroniskā zīmoga radīšanas dati tiek glabāti lietotāja pilnīgi pārvaldītā, bet ne obligāti vienīgi lietotāja pārvaldītā vidē, ir uzskaitīti lēmuma pielikumā.

2.   Līdz brīdim, kad Komisija ir izveidojusi sarakstu ar informācijas tehnoloģiju produktu drošības novērtēšanas standartiem, ko piemēro, sertificējot kvalificētas elektroniskā paraksta radīšanas ierīces vai kvalificētas elektroniskā zīmoga radīšanas ierīces, ja uzticamības pakalpojumu sniedzējs parakstītāja vai zīmoga radītāja vārdā pārvalda elektroniskā paraksta radīšanas datus vai elektroniskā zīmoga radīšanas datus, šādu produktu sertificēšanu balsta uz procesu, kurā saskaņā ar 30. panta 3. punkta b) apakšpunktu izmanto drošības līmeņus, kuri ir salīdzināmi ar 30. panta 3. punkta a) apakšpunktā prasītajiem un par kuriem Komisijai paziņojusi publiskā vai privātā iestāde, kas minēta Regulas (ES) Nr. 910/2014 30. panta 1. punktā.

2. pants

Ar šo atceļ Lēmumu 2003/511/EK.

3. pants

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

Briselē, 2016. gada 25. aprīlī

Komisijas vārdā –

priekšsēdētājs

Jean-Claude JUNCKER


(1)  OV L 257, 28.8.2014., 73. lpp.

(2)  Komisijas 2003. gada 14. jūlija Lēmums 2003/511/EK par elektroniskā paraksta produktu vispārēji atzīto standartu atsauces numuru publicēšanu atbilstoši Eiropas Parlamenta un Padomes Direktīvai 1999/93/EK (OV L 175, 15.7.2003., 45. lpp.).


PIELIKUMS

LĒMUMA 1. PANTA 1. PUNKTĀ MINĒTO STANDARTU SARAKSTS

ISO/IEC 15408. Informācijas tehnoloģija. Drošības paņēmieni. IT drošības izvērtēšanas kritēriji. 1.–3. daļa:

ISO/IEC 15408-1:2009. Informācijas tehnoloģija. Drošības paņēmieni. IT drošības izvērtēšanas kritēriji. 1. daļa. ISO, 2009,

ISO/IEC 15408-2:2008. Informācijas tehnoloģija. Drošības paņēmieni. IT drošības izvērtēšanas kritēriji. 2. daļa. ISO, 2008,

ISO/IEC 15408-3:2008. Informācijas tehnoloģija. Drošības paņēmieni. IT drošības izvērtēšanas kritēriji. 3. daļa. ISO, 2008,

un

ISO/IEC 18045:2008. Informācijas tehnoloģija. Drošības paņēmieni. IT drošības izvērtēšanas metodoloģija,

un

EN 419 211. Aizsardzības profili drošām paraksta radīšanas ierīcēm. Attiecīgi 1.–6. daļa:

EN 419211-1:2014. Aizsardzības profili drošām paraksta radīšanas ierīcēm. 1. daļa: Pārskats,

EN 419211-2:2013. Aizsardzības profili drošām paraksta radīšanas ierīcēm. 2. daļa: Atslēgu ģenerēšanas ierīce,

EN 419211-3:2013. Aizsardzības profili drošām paraksta radīšanas ierīcēm. 3. daļa: Ierīce ar atslēgas importu,

EN 419211-4:2013. Aizsardzības profili drošām paraksta radīšanas ierīcēm. 4. daļa: Paplašinājums atslēgu ģenerēšanas ierīcei un uzticams kanāls sertifikāta ģenerēšanas lietotnei,

EN 419211-5:2013. Aizsardzības profili drošām paraksta radīšanas ierīcēm. 5. daļa: Paplašinājums atslēgu ģenerēšanas ierīcei un uzticams kanāls paraksta radīšanas lietotnei,

EN 419211-6:2014. Aizsardzības profili drošām paraksta radīšanas ierīcēm. 6. daļa: Paplašinājums atslēgu importēšanas ierīcei un uzticams kanāls paraksta radīšanas lietotnei.