26.4.2016   

RO

Jurnalul Oficial al Uniunii Europene

L 109/40

DECIZIA DE PUNERE ÎN APLICARE (UE) 2016/650 A COMISIEI

din 25 aprilie 2016

de stabilire a standardelor pentru evaluarea securității dispozitivelor de creare a semnăturilor și a sigiliilor calificate în temeiul articolului 30 alineatul (3) și al articolului 39 alineatul (2) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (1), în special articolul 30 alineatul (3) și articolul 39 alineatul (2),

întrucât:

(1)

Anexa II la Regulamentul (UE) nr. 910/2014 stabilește cerințele pentru dispozitivele de creare a semnăturilor electronice calificate și dispozitivele de creare a sigiliilor electronice calificate.

(2)

Sarcina elaborării specificațiilor tehnice necesare pentru producția și plasarea pe piață a produselor, luând în considerare stadiul actual de dezvoltare a tehnologiei, le revine organizațiilor competente din domeniul standardizării.

(3)

ISO/IEC (Organizația Internațională de Standardizare/Comisia Electrotehnică Internațională) stabilește conceptele și principiile generale ale securității informatice și specifică modelul general care trebuie să stea la baza evaluării proprietăților de securitate ale produselor IT.

(4)

Comitetul European de Standardizare (CEN) a elaborat, în cadrul mandatului de standardizare M/460 acordat de Comisie, standarde pentru dispozitivele de creare a semnăturilor și a sigiliilor electronice calificate, în cazurile în care datele de creare a semnăturilor electronice sau datele de creare a sigiliilor electronice se află într-un mediu în totalitate, dar nu neapărat exclusiv, gestionat de utilizator. Aceste standarde sunt considerate adecvate în vederea evaluării conformității unor astfel de dispozitive cu cerințele relevante stabilite în anexa II la Regulamentul (UE) nr. 910/2014.

(5)

Anexa II la Regulamentul (UE) nr. 910/2014 stabilește că numai un prestator de servicii de încredere calificat poate gestiona datele de creare a semnăturilor electronice în numele unui semnatar. Cerințele de securitate și specificațiile de certificare ale acestora sunt diferite în cazul în care semnatarul deține fizic un produs, față de cazul în care un prestator de servicii de încredere calificat acționează în numele semnatarului. Pentru a acoperi ambele situații, precum și pentru a favoriza dezvoltarea în timp a unor produse și standarde de evaluare adaptate necesităților specifice, anexa la prezenta decizie ar trebui să cuprindă standarde care reglementează ambele situații.

(6)

La momentul adoptării prezentei decizii, diferiți prestatori de servicii de încredere ofereau deja soluții de gestionare a datelor de creare a semnăturilor electronice în numele clienților lor. Certificările produselor sunt în prezent limitate la modulele de securitate hardware care sunt certificate conform diferitor standarde, dar nu sunt încă certificate în mod specific conform cerințelor privind dispozitivele de creare a semnăturilor și a sigiliilor calificate. Cu toate acestea, nu există încă standarde publicate, precum EN 419 211 (aplicabil semnăturilor electronice create într-un mediu în totalitate, dar nu neapărat exclusiv, gestionat de utilizator) pentru piața, la fel de importantă, a produselor la distanță certificate. Dat fiind că în prezent sunt în curs de elaborare standarde care ar putea fi adecvate pentru aceste scopuri, în momentul în care acestea vor deveni disponibile și vor fi evaluate ca fiind conforme cu cerințele prevăzute în anexa II la Regulamentul (UE) nr. 910/2014, Comisia va completa prezenta decizie. Până când va fi stabilită lista acestor standarde, se poate utiliza un proces alternativ pentru evaluarea conformității unor astfel de produse în condițiile prevăzute la articolul 30 alineatul (3) litera (b) din Regulamentul (UE) nr. 910/2014.

(7)

Anexa menționează EN 419 211, care cuprinde mai multe părți (de la 1 la 6) aplicabile unor situații diferite. EN 419 211 părțile 5 și 6 prevăd extinderi referitoare la mediul dispozitivelor de creare a semnăturilor calificate, precum comunicarea cu cererile sigure de creare a semnăturilor. Creatorii produselor sunt liberi să aplice aceste extinderi. Conform considerentului 56 din Regulamentul (UE) nr. 910/2014, domeniul de aplicare al certificării efectuate în temeiul articolelor 30 și 39 din respectivul regulament este limitat la protejarea datelor de creare a semnăturilor, în timp ce cererile de creare a semnăturilor sunt excluse din domeniul de aplicare al certificării.

(8)

Pentru a garanta că semnăturile sau sigiliile electronice generate de un dispozitiv de creare a semnăturilor sau a sigiliilor calificat sunt protejate în mod fiabil împotriva falsificării, astfel cum se prevede în anexa II la Regulamentul (UE) nr. 910/2014, utilizarea unor algoritmi criptografici, a unor lungimi ale cheilor și a unor funcții hash adecvate este indispensabilă pentru securitatea produsului certificat. Având în vedere că această chestiune nu a fost armonizată la nivel european, statele membre ar trebui să coopereze pentru a ajunge la un acord asupra algoritmilor de criptare, a lungimilor cheilor și a funcțiilor hash utilizate pentru semnăturile și sigiliile electronice.

(9)

Adoptarea prezentei decizii face ca Decizia 2003/511/CE a Comisiei (2) să devină caducă. Prin urmare, aceasta din urmă ar trebui abrogată.

(10)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului menționat la articolul 48 din Regulamentul (UE) nr. 910/2014,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

(1)   Anexa la prezenta decizie cuprinde standardele pentru evaluarea securității produselor din domeniul tehnologiei informației aplicabile pentru certificarea dispozitivelor de creare a semnăturilor electronice calificate și a dispozitivelor de creare a sigiliilor electronice calificate în conformitate cu articolul 30 alineatul (3) litera (a) și cu articolul 39 alineatul (2) din Regulamentul (UE) nr. 910/2014, în cazurile în care datele de creare a semnăturilor electronice sau datele de creare a sigiliilor electronice se află într-un mediu în totalitate, dar nu neapărat exclusiv, gestionat de utilizator.

(2)   Până la stabilirea de către Comisie a unei liste de standarde pentru evaluarea securității produselor din domeniul tehnologiei informației aplicabile pentru certificarea dispozitivelor de creare a semnăturilor electronice calificate și a dispozitivelor de creare a sigiliilor electronice calificate, în cazurile în care un prestator de servicii de încredere calificat gestionează datele de creare a semnăturilor electronice sau datele de creare a sigiliilor electronice în numele unui semnatar sau al creatorului unui sigiliu, certificarea acestor produse se realizează pe baza unui proces care, în conformitate cu articolul 30 alineatul (3) litera (b), utilizează niveluri de securitate comparabile cu cele impuse de articolul 30 alineatul (3) litera (a) și care este notificat Comisiei de către organismul public sau privat menționat la articolul 30 alineatul (1) din Regulamentul (UE) nr. 910/2014.

Articolul 2

Decizia 2003/511/CE se abrogă.

Articolul 3

Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Adoptată la Bruxelles, 25 aprilie 2016.

Pentru Comisie

Președintele

Jean-Claude JUNCKER

(1)  JO L 257, 28.8.2014, p. 73.

(2)  Decizia 2003/511/CE a Comisiei din 14 iulie 2003 privind publicarea numerelor de referință ale standardelor general recunoscute pentru produsele de semnătură electronică în conformitate cu Directiva 1999/93/CE a Parlamentului European și a Consiliului (JO L 175, 15.7.2003, p. 45).

ANEXĂ

LISTA STANDARDELOR MENȚIONATE LA ARTICOLUL 1 ALINEATUL (1)

ISO/IEC 15408 – Information technology – Security techniques – Evaluation criteria for IT security, părțile de la 1 la 3, indicate în continuare:

ISO/IEC 15408-1:2009 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1. ISO, 2009;

ISO/IEC 15408-2:2008 – Information technology – Security techniques – Evaluation criteria for IT security – Part 2. ISO, 2008;

ISO/IEC 15408-3:2008 Information technology – Security techniques – Evaluation criteria for IT security – Part 3. ISO, 2008;

și

ISO/IEC 18045:2008: Information technology – Security techniques – Methodology for IT security evaluation;

și

EN 419 211 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii, părțile de la 1 la 6 – după caz – indicate în continuare:

EN 419211-1:2014 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii – Partea 1: Prezentare generală;

EN 419211-2:2013 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii – Partea 2: Dispozitiv cu generare de cheie;

EN 419211-3:2013 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii – Partea 3: Dispozitiv cu import de cheie;

EN 419211-4:2013 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii – Partea 4: Extensie pentru dispozitiv cu generare de cheie și comunicație securizată cu aplicația de generare de certificate;

EN 419211-5:2013 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii – Partea 5: Extensie pentru dispozitiv cu generare de cheie și comunicație sigură cu aplicația de creare a semnăturii;

EN 419211-6:2014 – Profiluri de protecție pentru dispozitive securizate de creare a semnăturii – Partea 6: Extensie pentru dispozitiv cu import de cheie și comunicație sigură cu aplicația de creare a semnăturii.