9.9.2015 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 235/7 |
REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2015/1502 AL COMISIEI
din 8 septembrie 2015
de stabilire a unor specificații și proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (1), în special articolul 8 alineatul (3),
întrucât:
(1) |
Articolul 8 din Regulamentul (UE) nr. 910/2014 prevede că un sistem de identificare electronică notificat în temeiul articolului 9 alineatul (1) trebuie să specifice nivelurile de asigurare scăzut, substanțial și/sau ridicat pentru mijloacele de identificare electronică emise în cadrul sistemului respectiv. |
(2) |
Stabilirea unor specificații, standarde și proceduri tehnice minime este esențială pentru a se asigura o înțelegere comună a detaliilor nivelurilor de asigurare a încrederii și interoperabilitatea în procesul de clasificare a nivelurilor naționale de asigurare aferente sistemelor de identificare electronică notificate în funcție de nivelurile de asigurare menționate la articolul 8, astfel cum se prevede la articolul 12 alineatul (4) litera (b) din Regulamentul (UE) nr. 910/2014. |
(3) |
La elaborarea specificațiilor și a procedurilor prevăzute în prezentul act de punere în aplicare s-a ținut cont de standardul internațional ISO/IEC 29115, acesta fiind principalul standard internațional în materie de niveluri de asigurare ale mijloacelor de identificare electronică. Cu toate acestea, conținutul Regulamentului (UE) nr. 910/2014 diferă de standardul internațional menționat, în special în ceea ce privește cerințele în materie de dovedire și verificare a identității, precum și în ceea ce privește modul în care sunt luate în considerare diferențele dintre mecanismele referitoare la identitate din statele membre și instrumentele cu același scop existente în UE. Prin urmare, anexa, deși se bazează pe acest standard internațional, nu ar trebui să facă trimitere la niciun element concret din standardul ISO/IEC 29115. |
(4) |
Prezentul regulament a fost elaborat sub forma unei abordări bazate pe rezultate, aceasta fiind considerată cea mai adecvată, ceea ce se reflectă și în definițiile utilizate pentru a explica termenii și conceptele. Acestea țin seama de obiectivul Regulamentului (UE) nr. 910/2014 în ceea ce privește nivelurile de asigurare ale mijloacelor de identificare electronică. Prin urmare, la stabilirea specificațiilor și a procedurilor prevăzute în prezentul act de punere în aplicare ar trebui să se țină seama cât mai mult posibil de proiectul-pilot pe scară largă STORK, incluzând specificațiile elaborate în cadrul acestuia, precum și de definițiile și de conceptele din standardul ISO/IEC 29115. |
(5) |
În funcție de contextul în care trebuie să fie verificat un element de dovedire a identității, sursele sigure pot avea diverse forme, cum ar fi, printre altele, registrele, documentele și organismele. Sursele sigure pot diferi de la un stat membru la altul, chiar și în contexte similare. |
(6) |
La elaborarea cerințelor în materie de dovedire și verificare a identității ar trebui să se țină seama de diferitele sisteme și practici, garantându-se, în același timp, un grad de asigurare suficient de ridicat încât să se formeze încrederea necesară. Prin urmare, acceptarea procedurilor utilizate anterior pentru un alt scop decât emiterea de mijloace de identificare electronică ar trebui să fie condiționată de confirmarea faptului că aceste proceduri îndeplinesc cerințele prevăzute pentru nivelul de asigurare corespunzător. |
(7) |
De obicei sunt utilizați anumiți factori de autentificare, cum ar fi secretele partajate, dispozitivele fizice și caracteristicile fizice. Cu toate acestea, ar trebui să fie încurajată utilizarea unui număr mai mare de factori de autentificare, în special proveniți din categorii diferite, pentru a spori securitatea procesului de autentificare. |
(8) |
Prezentul regulament nu ar trebui să afecteze drepturile de reprezentare ale persoanelor juridice. Cu toate acestea, anexa ar trebui să prevadă cerințe privind legăturile dintre mijloacele de identificare electronică ale persoanelor fizice și juridice. |
(9) |
Ar trebui recunoscută importanța sistemelor de asigurare a securității informațiilor și a sistemelor de gestionare a serviciilor, la fel ca și importanța utilizării metodologiilor recunoscute și a aplicării principiilor incluse în seriile de standarde ISO/IEC 27000 și ISO/IEC 20000. |
(10) |
Ar trebui, de asemenea, să fie luate în considerare bunele practici în ceea ce privește nivelurile de asigurare din statele membre. |
(11) |
Certificarea de securitate informatică bazată pe standarde internaționale este un instrument important de verificare a conformității produselor cu cerințele în materie de securitate prevăzute în prezentul act de punere în aplicare. |
(12) |
Comitetul menționat la articolul 48 din Regulamentul (UE) nr. 910/2014 nu a emis un aviz în termenul stabilit de președintele acestuia, |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
(1) Nivelurile de asigurare scăzut, substanțial și ridicat pentru mijloacele de identificare electronică emise în cadrul unui sistem de identificare electronică notificat se stabilesc prin raportare la specificațiile și procedurile prevăzute în anexă.
(2) Specificațiile și procedurile prevăzute în anexă se utilizează pentru a preciza nivelul de asigurare al mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică notificat, prin determinarea fiabilității și a calității următoarelor elemente:
(a) |
înscrierea, astfel cum se prevede în secțiunea 2.1 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) litera (a) din Regulamentul (UE) nr. 910/2014; |
(b) |
gestionarea mijloacelor de identificare electronică, astfel cum se prevede în secțiunea 2.2 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) literele (b) și (f) din Regulamentul (UE) nr. 910/2014; |
(c) |
autentificarea, astfel cum se prevede în secțiunea 2.3 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) litera (c) din Regulamentul (UE) nr. 910/2014; |
(d) |
gestionarea și organizarea, astfel cum se prevede în secțiunea 2.4 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) literele (d) și (e) din Regulamentul (UE) nr. 910/2014. |
(3) În cazul în care un mijloc de identificare electronică emis în cadrul unui sistem de identificare electronică notificat îndeplinește o cerință aferentă unui nivel de asigurare superior, se consideră că respectivul mijloc îndeplinește cerința echivalentă aferentă nivelului de asigurare inferior.
(4) Cu excepția cazului în care se prevede altfel în partea relevantă a anexei, pentru a corespunde nivelului de asigurare vizat trebuie îndeplinite toate elementele enumerate în anexă pentru un anumit nivel de asigurare a mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică notificat.
Articolul 2
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 8 septembrie 2015.
Pentru Comisie
Președintele
Jean-Claude JUNCKER
(1) JO L 257, 28.8.2014, p. 73.
ANEXĂ
Specificațiile tehnice și procedurile pentru nivelurile de asigurare scăzut, substanțial și ridicat ale mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică notificat
1. Definițiile aplicabile
În sensul prezentei anexe, se aplică următoarele definiții:
1. |
„sursă sigură” înseamnă orice sursă, indiferent de formă, în privința căreia se poate avea încredere că furnizează date, informații și/sau dovezi exacte care pot fi utilizate pentru dovedirea identității; |
2. |
„factor de autentificare” înseamnă un factor în privința căruia s-a confirmat că are legătură cu o persoană și care se încadrează în una dintre următoarele categorii:
|
3. |
„autentificare dinamică” înseamnă un proces electronic care utilizează criptografia sau alte tehnici pentru a oferi un mijloc de a crea, la cerere, o dovadă electronică a faptului că subiectul controlează datele de identificare sau se află în posesia acestora, dovadă care se modifică la fiecare autentificare a subiectului în sistemul care verifică identitatea subiectului; |
4. |
„sistem de management al securității informațiilor” înseamnă un set de procese și proceduri menite să gestioneze la niveluri acceptabile riscurile legate de securitatea informațiilor. |
2. Specificații și proceduri tehnice
Elementele specificațiilor și ale procedurilor tehnice prevăzute în prezenta anexă se utilizează pentru a determina modul în care se aplică cerințele și criteriile prevăzute la articolul 8 din Regulamentul (UE) nr. 910/2014 în cazul mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică.
2.1. Înscrierea
2.1.1.
Nivelul de asigurare |
Elementele necesare |
||||||
Scăzut |
|
||||||
Substanțial |
La fel ca pentru nivelul scăzut. |
||||||
Ridicat |
La fel ca pentru nivelul scăzut. |
2.1.2.
Nivelul de asigurare |
Elementele necesare |
||||||||||
Scăzut |
|
||||||||||
Substanțial |
Trebuie să fie îndeplinite cerințele aferente nivelului scăzut, plus una dintre alternativele enumerate la punctele 1-4:
|
||||||||||
Ridicat |
Trebuie să fie îndeplinite cerințele de la punctul 1 sau 2:
|
2.1.3.
Nivelul de asigurare |
Elementele necesare |
||||||
Scăzut |
|
||||||
Substanțial |
Trebuie să fie îndeplinite cerințele aferente nivelului scăzut, plus una dintre alternativele enumerate la punctele 1-3:
|
||||||
Ridicat |
Trebuie să fie îndeplinite cerințele aferente nivelului substanțial, plus una dintre alternativele enumerate la punctele 1-3:
|
2.1.4.
După caz, pentru legătura dintre mijloacele de identificare electronică ale unei persoane fizice și mijloacele de identificare electronică ale unei persoane juridice (denumită în continuare „legătura”), se aplică următoarele condiții:
1. |
Trebuie să fie posibilă suspendarea și/sau retragerea unei legături. Ciclul de viață al unei legături (de exemplu, activarea, suspendarea, reînnoirea, revocarea) este administrat în conformitate cu procedurile recunoscute la nivel național. |
2. |
Persoana fizică al cărei mijloc de identificare electronică este legat de mijlocul de identificare electronică al unei persoane juridice poate delega exercitarea legăturii către o altă persoană fizică, pe baza unor proceduri recunoscute la nivel național. Cu toate acestea, persoana fizică care deleagă rămâne responsabilă. |
3. |
Legătura se efectuează după cum urmează:
|
2.2. Gestionarea mijloacelor de identificare electronică
2.2.1.
Nivelul de asigurare |
Elementele necesare |
||||
Scăzut |
|
||||
Substanțial |
|
||||
Ridicat |
Nivelul substanțial, plus:
|
2.2.2.
Nivelul de asigurare |
Elementele necesare |
Scăzut |
După emitere, mijlocul de identificare electronică este livrat prin intermediul unui mecanism grație căruia să se poate presupune că acesta ajunge numai la persoana căreia îi este destinat. |
Substanțial |
După emitere, mijlocul de identificare electronică este livrat prin intermediul unui mecanism grație căruia să se poate presupune că acesta ajunge numai în posesia persoanei căreia îi aparține. |
Ridicat |
În cadrul procesului de activare se verifică dacă mijlocul de identificare electronică a ajuns numai în posesia persoanei căreia îi aparține. |
2.2.3.
Nivelul de asigurare |
Elementele necesare |
||||||
Scăzut |
|
||||||
Substanțial |
La fel ca pentru nivelul scăzut. |
||||||
Ridicat |
La fel ca pentru nivelul scăzut. |
2.2.4.
Nivelul de asigurare |
Elementele necesare |
Scăzut |
Având în vedere riscurile unei modificări ale datelor de identificare personală, reînnoirea sau înlocuirea trebuie să îndeplinească aceleași cerințe de asigurare ca dovedirea și verificarea identității inițiale sau să se bazeze pe un mijloc de identificare electronică valabil cu un nivel de asigurare identic sau superior. |
Substanțial |
La fel ca pentru nivelul scăzut. |
Ridicat |
Nivelul scăzut, plus: În cazul în care reînnoirea sau înlocuirea se bazează pe un mijloc de identificare electronică, datele de identitate sunt verificate prin raportare la o sursă sigură. |
2.3. Autentificarea
Această secțiune se concentrează pe amenințări asociate cu utilizarea mecanismului de autentificare și enumeră cerințele pentru fiecare nivel de asigurare. În această secțiune controalele trebuie să fie interpretate în așa fel încât să fie proporționale cu riscurile aferente nivelului în cauză.
2.3.1.
Tabelul de mai jos indică cerințele pentru fiecare nivel de asigurare cu privire la mecanismul de autentificare prin care persoana fizică sau juridică utilizează un mijloc de identificare electronică pentru a-și confirma identitatea unui beneficiar.
Nivelul de asigurare |
Elementele necesare |
||||||
Scăzut |
|
||||||
Substanțial |
Nivelul scăzut, plus:
|
||||||
Ridicat |
Nivelul substanțial, plus: În cadrul mecanismului de autentificare se pun în aplicare controale de securitate pentru verificarea mijloacelor de identificare electronică, astfel încât să fie foarte puțin probabil ca activități cum ar fi ghicirea, interceptarea, reproducerea sau manipularea comunicațiilor de către un atacator cu potențial de atac ridicat să poată submina mecanismele de autentificare. |
2.4. Gestionarea și organizarea
Toți participanții care prestează un serviciu legat de identificarea electronică în context transfrontalier (denumiți în continuare „prestatori”) trebuie să dispună de practici și politici de management al securității informațiilor, de abordări în materie de gestionare a riscurilor și de alte controale recunoscute, astfel încât organismelor de guvernanță pentru sistemele de identificare electronică din statele membre respective să li se ofere asigurarea că există și se utilizează practici eficace. În întreaga secțiune 2.4, toate cerințele/elemente trebuie înțelese ca fiind proporționale cu riscurile aferente nivelului în cauză.
2.4.1.
Nivelul de asigurare |
Elementele necesare |
||||||||||
Scăzut |
|
||||||||||
Substanțial |
La fel ca pentru nivelul scăzut. |
||||||||||
Ridicat |
La fel ca pentru nivelul scăzut. |
2.4.2.
Nivelul de asigurare |
Elementele necesare |
||||||
Scăzut |
|
||||||
Substanțial |
La fel ca pentru nivelul scăzut. |
||||||
Ridicat |
La fel ca pentru nivelul scăzut. |
2.4.3.
Nivelul de asigurare |
Elementele necesare |
Scăzut |
Există un sistem eficace de management al securității informațiilor, pentru gestionarea și controlul riscurilor la adresa securității informației. |
Substanțial |
Nivelul scăzut, plus: Sistemul de management al securității informațiilor respectă standarde sau principii dovedite de gestionare și control al riscurilor la adresa securității informației. |
Ridicat |
La fel ca pentru nivelul substanțial. |
2.4.4.
Nivelul de asigurare |
Elementele necesare |
||||
Scăzut |
|
||||
Substanțial |
La fel ca pentru nivelul scăzut. |
||||
Ridicat |
La fel ca pentru nivelul scăzut. |
2.4.5.
Tabelul de mai jos prezintă cerințele în materie de infrastructură și personal și, după caz, în materie de subcontractanți care îndeplinesc sarcini care intră sub incidența prezentului regulament. Conformitatea cu fiecare cerință trebuie să fie proporțională cu nivelul de risc aferent nivelului de asigurare oferit.
Nivelul de asigurare |
Elementele necesare |
||||||||
Scăzut |
|
||||||||
Substanțial |
La fel ca pentru nivelul scăzut. |
||||||||
Ridicat |
La fel ca pentru nivelul scăzut. |
2.4.6.
Nivelul de asigurare |
Elementele necesare |
||||||||||
Scăzut |
|
||||||||||
Substanțial |
La fel ca pentru nivelul scăzut, plus: Materialele criptografice sensibile, dacă sunt utilizate pentru emiterea mijloacelor de identificare electronică și de autentificare, sunt protejate împotriva manipulărilor frauduloase |
||||||||||
Ridicat |
La fel ca pentru nivelul substanțial. |
2.4.7.
Nivelul de asigurare |
Elementele necesare |
||||
Scăzut |
Existența unor audituri interne periodice, al căror domeniu de aplicare include toate aspectele relevante pentru prestarea serviciilor furnizate, pentru a se asigura respectarea politicii relevante. |
||||
Substanțial |
Existența unor audituri interne sau externe periodice independente, al căror domeniu de aplicare include toate aspectele relevante pentru prestarea serviciilor furnizate, pentru a se asigura respectarea politicii relevante. |
||||
Ridicat |
|
(1) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).