26.4.2016   

NL

Publicatieblad van de Europese Unie

L 109/40

UITVOERINGSBESLUIT (EU) 2016/650 VAN DE COMMISSIE

van 25 april 2016

tot vaststelling van normen inzake de veiligheidsbeoordeling van gekwalificeerde middelen voor het aanmaken van handtekeningen en zegels overeenkomstig artikel 30, lid 3, en artikel 39, lid 2, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (1), en met name artikel 30, lid 3, en artikel 39, lid 2,

Overwegende hetgeen volgt:

(1)

In bijlage II bij Verordening (EU) nr. 910/2014 zijn de eisen voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en gekwalificeerde middelen voor het aanmaken van elektronische zegels vastgesteld.

(2)

Organisaties met bevoegdheid op het gebied van normalisatie stellen de technische specificaties op die noodzakelijk zijn voor de productie en het in de handel brengen van producten, waarbij rekening wordt gehouden met de huidige technologische stand van zaken.

(3)

De ISO (Internationale Organisatie voor normalisatie) en de IEC (Internationale Elektrotechnische Commissie) stellen de algemene concepten en beginselen met betrekking tot de IT-veiligheid vast en specificeren het algemene beoordelingsmodel dat wordt gebruikt als basis voor de evaluatie van de veiligheidseigenschappen van IT-producten.

(4)

Het Europees Comité voor Normalisatie (CEN) heeft in het kader van het door de Commissie verstrekte normalisatiemandaat M/460 normen ontwikkeld inzake gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en zegels, waarbij de gegevens voor het aanmaken van elektronische handtekeningen of de gegevens voor het aanmaken van elektronische zegels worden bewaard in een volledig, maar niet noodzakelijkerwijze exclusief door de gebruiker beheerde omgeving. Deze normen worden geacht geschikt te zijn voor de beoordeling van de overeenstemming van dergelijke middelen met de relevante, in bijlage II bij Verordening (EU) nr. 910/2014 vastgestelde eisen.

(5)

In bijlage II bij Verordening (EU) nr. 910/2014 is bepaald dat alleen een gekwalificeerde verlener van vertrouwensdiensten namens de ondertekenaar gegevens voor het aanmaken van elektronische handtekeningen mag beheren. Er gelden andere veiligheidseisen en bijbehorende specificaties met betrekking tot certificering wanneer de ondertekenaar in fysiek opzicht over een product beschikt en wanneer een gekwalificeerde verlener van vertrouwensdiensten namens de ondertekenaar te werk gaat. Om rekening te houden met beide situaties en om te stimuleren dat in de loop van de tijd producten en beoordelingsnormen worden ontwikkeld die aansluiten bij specifieke behoeften, moeten in de bijlage bij dit besluit normen met betrekking tot beide situaties worden opgenomen.

(6)

Ten tijde van de vaststelling van dit besluit van de Commissie bieden meerdere verleners van vertrouwensdiensten reeds oplossingen waarmee zij gegevens voor het aanmaken van elektronische handtekeningen namens hun klanten beheren. Bij de certificering van producten wordt momenteel uitsluitend gebruikgemaakt van hardware-veiligheidsmodules die zijn gecertificeerd op basis van uiteenlopende normen, maar die nog niet specifiek zijn gecertificeerd op basis van de eisen voor gekwalificeerde middelen voor het aanmaken van handtekeningen en zegels. Gepubliceerde normen, zoals EN 419 211 (van toepassing op elektronische handtekeningen die zijn aangemaakt in een volledig, maar niet noodzakelijkerwijze exclusief door de gebruiker beheerde omgeving), bestaan echter nog niet voor de net zo belangrijke markt van gecertificeerde producten op afstand. Aangezien de normen die voor dergelijke doeleinden wellicht passend zijn momenteel nog worden ontwikkeld, zal de Commissie dit besluit aanvullen wanneer dergelijke normen beschikbaar zijn en uit een beoordeling ervan is gebleken dat deze voldoen aan de eisen van bijlage II bij Verordening (EU) nr. 910/2014. Tot het moment waarop de lijst met dergelijke normen is vastgesteld, kan voor de beoordeling van de overeenstemming van dergelijke producten onder de voorwaarden van artikel 30, lid 3, onder b), van Verordening (EU) nr. 910/2014 een alternatief proces worden gebruikt.

(7)

In de bijlage is de norm EN 419 211 opgenomen, bestaande uit meerdere delen (1 t/m 6) die verschillende situaties bestrijken. Deel 5 van EN 419 211 en deel 6 van EN 419 211 omvatten uitbreidingen in verband met de omgeving voor gekwalificeerde middelen voor het aanmaken van handtekeningen, zoals communicatie met vertrouwde toepassingen voor het aanmaken van handtekeningen. Fabrikanten van producten kunnen dergelijke uitbreidingen vrijelijk toepassen. Volgens overweging 56 van Verordening (EU) nr. 910/2014 is de werkingssfeer van de in de artikelen 30 en 39 van die verordening bedoelde certificering beperkt tot de bescherming van gegevens voor het aanmaken van handtekeningen en vallen toepassingen voor het aanmaken van handtekeningen buiten de werkingssfeer van de certificering.

(8)

Om te waarborgen dat de elektronische handtekeningen of zegels die door middel van een gekwalificeerd middel voor het aanmaken van handtekeningen of zegels zijn gegenereerd op betrouwbare wijze tegen vervalsing worden beschermd zoals vereist op grond van bijlage II bij Verordening (EU) nr. 910/2014, zijn geschikte cryptografische algoritmen, sleutellengten en hashfuncties een noodzakelijke voorwaarde voor de beveiliging van het gecertificeerde product. Aangezien wat dat betreft op Europees geen harmonisatie heeft plaatsgevonden, moeten de lidstaten samenwerken en overeenstemming bereiken over cryptografische algoritmen, sleutellengten en hashfuncties die voor elektronische handtekeningen en zegels kunnen worden gebruikt.

(9)

Door de vaststelling van het onderhavige besluit wordt Beschikking 2003/511/EG van de Commissie (2) overbodig. Dientengevolge moet die beschikking worden ingetrokken.

(10)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het in artikel 48 van Verordening (EU) nr. 910/2014 bedoelde comité,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

1.   De normen voor de veiligheidsbeoordeling van informatietechnologieproducten, die van toepassing zijn op de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of gekwalificeerde middelen voor het aanmaken van elektronische zegels overeenkomstig artikel 30, lid 3, onder a), of artikel 39, lid 2, van Verordening (EU) nr. 910/2014, waarbij de gegevens voor het aanmaken van elektronische handtekeningen of de gegevens voor het aanmaken van elektronische zegels worden bewaard in een volledig, maar niet noodzakelijkerwijze exclusief door de gebruiker beheerde omgeving, zijn opgenomen in de bijlage bij dit besluit.

2.   Totdat de Commissie een lijst heeft vastgesteld met normen voor de veiligheidsbeoordeling van informatietechnologieproducten, die van toepassing zijn op de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of gekwalificeerde middelen voor het aanmaken van elektronische zegels waarbij een gekwalificeerde verlener van vertrouwensdiensten namens een ondertekenaar of aanmaker van een zegel de gegevens voor het aanmaken van elektronische handtekeningen of de gegevens voor het aanmaken van elektronische zegels beheert, is de certificering van dergelijke producten gebaseerd op een proces dat overeenkomstig artikel 30, lid 3, onder b), van Verordening (EU) nr. 910/2014 beveiligingsniveaus hanteert die vergelijkbaar zijn met de op grond van artikel 30, lid 3, onder a), vereiste niveaus en waarvan het in artikel 30, lid 1, bedoelde openbare of private orgaan de Commissie in kennis heeft gesteld.

Artikel 2

Beschikking 2003/511/EG wordt ingetrokken.

Artikel 3

Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 25 april 2016.

Voor de Commissie

De voorzitter

Jean-Claude JUNCKER

(1)  PB L 257 van 28.8.2014, blz. 73.

(2)  Beschikking 2003/511/EG van de Commissie van 14 juli 2003 inzake de bekendmaking van referentienummers van algemeen erkende normen voor producten voor elektronische handtekeningen overeenkomstig Richtlijn 1999/93/EG van het Europees Parlement en de Raad (PB L 175 van 15.7.2003, blz. 45).

BIJLAGE

LIJST VAN DE IN ARTIKEL 1, LID 1, BEDOELDE NORMEN

ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Informatietechnologie — Veiligheidstechnieken — Evaluatiecriteria voor IT-veiligheid), delen 1 tot en met 3, zoals hieronder vermeld:

ISO/IEC 15408-1:2009 — Information technology — Security techniques — Evaluation criteria for IT security (Informatietechnologie — Veiligheidstechnieken — Evaluatiecriteria voor IT-veiligheid) — deel 1. ISO, 2009;

ISO/IEC 15408-2:2008 — Information technology — Security techniques — Evaluation criteria for IT security (Informatietechnologie — Veiligheidstechnieken — Evaluatiecriteria voor IT-veiligheid) — deel 2. ISO, 2008;

ISO/IEC 15408-3:2008 Information technology — Security techniques — Evaluation criteria for IT security (Informatietechnologie — Veiligheidstechnieken — Evaluatiecriteria voor IT-veiligheid) — deel 3. ISO, 2008;

en

ISO/IEC 18045:2008: Information technology — Security techniques — Methodology for IT security evaluation (Informatietechnologie — Veiligheidstechnieken — Methodologie voor de evaluatie van IT-veiligheid);

en

EN 419 211 — Protection profiles for secure signature creation device (Beveiligingsprofielen voor beveiligde handtekeningapparatuur), delen 1 tot en met 6 — indien van toepassing — zoals hieronder vermeld:

EN 419211-1:2014 — Protection profiles for secure signature creation device — Part 1: Overview (Beveiligingsprofielen voor beveiligde handtekeningapparatuur — Deel 1: Overzicht);

EN 419211-2:2013 — Protection profiles for secure signature creation device — Part 2: Device with key generation (Beschermingsprofiel voor veilig aanmaken van handtekeningen — Deel 2: Apparaat met sleutelgenerering);

EN 419211-3:2013 — Protection profiles for secure signature creation device — Part 3: Device with key import (Beschermingsprofiel voor een veilig middel voor het aanmaken van een digitale handtekening — Deel 3: Apparaat met sleutelinvoer);

EN 419211-4:2013 — Protection profiles for secure signature creation device — Part 4: Extension for device with key generation and trusted channel to certificate generation application (Beschermingsprofielen voor een veilig middel voor het aanmaken van een digitale handtekening — Deel 4: Uitbreiding voor een middel dat sleutels genereert en voor veilige communicatie met een certificaat genererende applicatie);

EN 419211-5:2013 — Protection profiles for secure signature creation device — Part 5: Extension for device with key generation and trusted channel to signature creation application (Beschermingsprofiel voor een veilig middel voor het aanmaken van een digitale handtekening — Deel 5: Uitbreiding voor een middel dat sleutels genereert en met veilige communicatie met een applicatie voor het aanmaken van een digitale handtekening);

EN 419211-6:2014 — Protection profiles for secure signature creation device — Part 6: Extension for device with key import and trusted channel to signature creation application (Beschermingsprofiel voor veilig aanmaken van handtekeningen — Deel 6: Apparaat met sleutelinvoer en vertrouwde communicatie met een toepassing voor het aanmaken