9.9.2015 |
SL |
Uradni list Evropske unije |
L 235/7 |
IZVEDBENA UREDBA KOMISIJE (EU) 2015/1502
z dne 8. septembra 2015
o določitvi minimalnih tehničnih specifikacij in postopkov za ravni zanesljivosti za sredstva elektronske identifikacije v skladu s členom 8(3) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (1) ter zlasti člena 8(3) Uredbe,
ob upoštevanju naslednjega:
(1) |
Člen 8 Uredbe (EU) št. 910/2014 določa, da mora shema elektronske identifikacije, priglašena v skladu s členom 9(1), določati nizko, srednjo in visoko raven zanesljivosti, dodeljeno sredstvom elektronske identifikacije, izdanim v okviru navedene sheme. |
(2) |
Določitev minimalnih tehničnih specifikacij, standardov in postopkov je bistvena, da se zagotovita skupno razumevanje podrobnih podatkov o ravneh zanesljivosti in interoperabilnost, kadar se določajo nacionalne ravni zanesljivosti priglašenih shem elektronske identifikacije glede na ravni zanesljivosti iz člena 8, kakor določa člen 12(4)(b) Uredbe (EU) št. 910/2014. |
(3) |
Mednarodni standard ISO/IEC 29115 je bil upoštevan kot glavni razpoložljivi mednarodni standard na področju ravni zanesljivosti za sredstva elektronske identifikacije za specifikacije in postopke iz tega izvedbenega akta. Vendar pa se vsebina Uredbe (EU) št. 910/2014 razlikuje od navedenega mednarodnega standarda, zlasti v zvezi z zahtevami glede dokazovanja in preverjanja identitete ter načina, kako se upoštevajo razlike med ureditvijo identitete v državah članicah in obstoječimi instrumenti EU za isti namen. Zato se Priloga kljub opiranju na ta mednarodni standard ne bi smela sklicevati na katero koli posebno vsebino ISO/IEC 29115. |
(4) |
Podlaga za pripravo te uredbe je bil na rezultatih temelječi pristop, ki se je izkazal za najprimernejši, kar se odraža tudi v opredelitvah, ki se uporabljajo za podrobno določanje terminov in pojmov. V njih se upošteva cilj Uredbe (EU) št. 910/2014 glede ravni zanesljivosti sredstev elektronske identifikacije. Zato bi bilo treba pri pripravi specifikacij in postopkov iz tega izvedbenega akta dosledno upoštevati obsežni pilotni projekt STORK, vključno s specifikacijami, ki so bile razvite v njegovem okviru, in opredelitve ter pojme iz ISO/IEC 29115. |
(5) |
Verodostojni viri so lahko glede na okoliščine, v katerih je treba preveriti vidik dokazila o identiteti, v številnih oblikah, kot so med drugim registri, dokumenti in organi. V različnih državah članicah se verodostojni viri lahko razlikujejo celo v podobnih okoliščinah. |
(6) |
Zahteve za dokazovanje in preverjanje identitete bi morale upoštevati različne sisteme in prakse ter hkrati zagotavljati dovolj visoko zanesljivost, da se vzpostavi potrebno zaupanje. Zato bi sprejetje postopkov, ki so se predhodno uporabljali za druge namene, kot je izdajanje sredstev elektronske identifikacije, moralo biti pogojeno s potrditvijo, da navedeni postopki izpolnjujejo zahteve, ki so določene za ustrezno raven zanesljivosti. |
(7) |
Navadno se uporabljajo določeni dejavniki avtentikacije, kot so deljene skrivnosti, fizične naprave in fizične značilnosti. Vendar bi bilo treba spodbujati uporabo večjega števila dejavnikov avtentikacije, zlasti iz različnih kategorij dejavnikov, da se poveča varnost postopka avtentikacije. |
(8) |
Ta uredba ne bi smela vplivati na pravice zastopanja pravnih oseb. Vendar bi morale biti v Prilogi določene zahteve za povezavo med sredstvi elektronske identifikacije fizičnih in pravnih oseb. |
(9) |
Priznati bi bilo treba pomen sistemov informacijske varnosti in upravljanja storitev ter pomen uporabe priznanih metodologij in uporabe načel, ki jih vsebujejo standardi serij ISO/IEC 27000 in ISO/IEC 20000. |
(10) |
Upoštevati bi bilo treba tudi dobre prakse glede ravni zanesljivosti v državah članicah. |
(11) |
Izdajanje varnostnih potrdil, kar zadeva informacijsko tehnologijo, na podlagi mednarodnih standardov je pomemben instrument za preverjanje varnostne skladnosti izdelkov z zahtevami iz tega izvedbenega akta. |
(12) |
Odbor iz člena 48 Uredbe (EU) št. 910/2014 ni dal mnenja v roku, ki ga je določil njegov predsednik – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
1. Nizka, srednja in visoka raven zanesljivosti sredstev elektronske identifikacije, izdanih v okviru priglašene sheme elektronske identifikacije, se določi s sklicevanjem na specifikacije in postopke, ki so določeni v Prilogi.
2. Specifikacije in postopki iz Priloge se uporabljajo za podrobno določitev ravni zanesljivosti sredstev elektronske identifikacije, izdanih v okviru priglašene sheme elektronske identifikacije, tako da se določi zanesljivost in kakovost naslednjih elementov:
(a) |
prijava, kakor je določena v oddelku 2.1 Priloge k tej uredbi v skladu s členom 8(3)(a) Uredbe (EU) št. 910/2014; |
(b) |
upravljanje sredstva elektronske identifikacije, kakor je določeno v oddelku 2.2 Priloge k tej uredbi v skladu s členom 8(3)(b) in (f) Uredbe (EU) št. 910/2014; |
(c) |
avtentikacija, kakor je določena v oddelku 2.3 Priloge k tej uredbi v skladu s členom 8(3)(c) Uredbe (EU) št. 910/2014; |
(d) |
upravljanje in organizacija, kakor sta določena v oddelku 2.4 Priloge k tej uredbi v skladu s členom 8(3)(d) in (e) Uredbe (EU) št. 910/2014. |
3. Kadar sredstvo elektronske identifikacije, izdano na podlagi priglašene sheme elektronske identifikacije, izpolnjuje zahtevo, navedeno za višjo raven zanesljivosti, se šteje, da izpolnjuje enakovredno zahtevo nižje ravni zanesljivosti.
4. Če ni določeno drugače v ustreznem delu Priloge, morajo biti za doseganje navedene ravni zanesljivosti sredstva elektronske identifikacije, izdanega na podlagi priglašene sheme elektronske identifikacije, izpolnjeni vsi elementi iz Priloge za določeno raven zanesljivosti.
Člen 2
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 8. septembra 2015
Za Komisijo
Predsednik
Jean-Claude JUNCKER
(1) UL L 257, 28.8.2014, str. 73.
PRILOGA
Tehnične specifikacije in postopki za nizko, srednjo in visoko raven zanesljivosti sredstev elektronske identifikacije, izdanih na podlagi priglašene sheme elektronske identifikacije
1. Opredelitev uporabljenih pojmov
V tej prilogi se uporabljajo naslednje opredelitve pojmov:
1. |
„verodostojni vir“ pomeni kateri koli vir v poljubni obliki, ki na zanesljiv način zagotavlja natančne podatke, informacije in/ali dokaze, ki se lahko uporabljajo za dokazovanje identitete; |
2. |
„dejavnik avtentikacije“ pomeni dejavnik, ki je dokazljivo povezan z osebo, in spada v (najmanj) eno izmed naslednjih kategorij:
|
3. |
„dinamična avtentikacija“ pomeni elektronski postopek, ki z uporabo kriptografskih ali drugih metod na zahtevo ustvari elektronski dokaz, da ima oseba pod nadzorom ali v posesti identifikacijske podatke, in ki se spremeni z vsako avtentikacijo med osebo in sistemom, ki preverja identiteto osebe; |
4. |
„sistem za upravljanje informacijske varnosti“ pomeni niz procesov in postopkov za upravljanje tveganj v zvezi z informacijsko varnostjo na sprejemljivih ravneh. |
2. Tehnične specifikacije in postopki
Elementi tehničnih specifikacij in postopkov iz te priloge se uporabljajo za določanje, kako se zahteve in merila iz člena 8 Uredbe (EU) št. 910/2014 uporabljajo za sredstva elektronske identifikacije, izdana na podlagi sheme elektronske identifikacije.
2.1 Prijava
2.1.1
Raven zanesljivosti |
Zahtevani elementi |
||||||
Nizka |
|
||||||
Srednja |
Enako kot za raven „Nizka“. |
||||||
Visoka |
Enako kot za raven „Nizka“. |
2.1.2
Raven zanesljivosti |
Zahtevani elementi |
||||||||||
Nizka |
|
||||||||||
Srednja |
Poleg ravni „Nizka“ mora biti izpolnjena še ena izmed možnosti iz točk 1 do 4:
|
||||||||||
Visoka |
Izpolnjene morajo biti zahteve iz točke 1 ali 2:
|
2.1.3
Raven zanesljivosti |
Zahtevani elementi |
||||||
Nizka |
|
||||||
Srednja |
Poleg ravni „Nizka“ mora biti izpolnjena še ena izmed možnosti iz točk 1 do 3:
|
||||||
Visoka |
Poleg ravni „Srednja“ mora biti izpolnjena še ena izmed možnosti iz točk 1 do 3:
|
2.1.4
Za povezavo med sredstvi elektronske identifikacije fizične osebe in sredstvi elektronske identifikacije pravne osebe (v nadaljnjem besedilu: povezava) se, kadar je to primerno, uporabljajo naslednji pogoji:
1. |
Povezavo je mogoče začasno razveljaviti in/ali preklicati. Življenjski cikel povezave (npr. aktiviranje, začasna razveljavitev, podaljšanje, preklic) se upravlja v skladu s priznanimi postopki na nacionalni ravni. |
2. |
Fizična oseba, katere sredstvo elektronske identifikacije je povezano s sredstvom elektronske identifikacije pravne osebe, lahko izvajanje povezave prenese na drugo fizično osebo na podlagi priznanih postopkov na nacionalni ravni. Vendar pa je odgovornost še vedno na strani fizične osebe. |
3. |
Povezava se izvede na naslednji način:
|
2.2 Upravljanje sredstev elektronske identifikacije
2.2.1
Raven zanesljivosti |
Zahtevani elementi |
||||
Nizka |
|
||||
Srednja |
|
||||
Visoka |
Poleg ravni „Srednja“ še:
|
2.2.2
Raven zanesljivosti |
Zahtevani elementi |
Nizka |
Po izdaji se sredstvo elektronske identifikacije dostavi na način, pri katerem je mogoče domnevati, da je doseglo le osebo, ki ji je namenjeno. |
Srednja |
Po izdaji se sredstvo elektronske identifikacije dostavi na način, pri katerem je mogoče domnevati, da je bilo dostavljeno v posest le osebi, ki ji pripada. |
Visoka |
V postopku aktiviranja se preverja, da je bilo sredstvo elektronske identifikacije dostavljeno v posest le osebi, ki ji pripada. |
2.2.3
Raven zanesljivosti |
Zahtevani elementi |
||||||
Nizka |
|
||||||
Srednja |
Enako kot za raven „Nizka“. |
||||||
Visoka |
Enako kot za raven „Nizka“. |
2.2.4
Raven zanesljivosti |
Zahtevani elementi |
Nizka |
Ob upoštevanju tveganj za spremembo identifikacijskih podatkov osebe morajo biti za podaljšanje ali zamenjavo izpolnjene enake zahteve glede zanesljivosti kot pri prvotnem dokazovanju in preverjanju identitete oz. morata temeljiti na veljavnem sredstvu elektronske identifikacije z enako ali višjo ravnjo zanesljivosti. |
Srednja |
Enako kot za raven „Nizka“. |
Visoka |
Poleg ravni „Nizka“ še: kadar podaljšanje ali zamenjava temelji na veljavnem sredstvu elektronske identifikacije, se podatki o identiteti preverjajo na podlagi verodostojnega vira. |
2.3 Avtentikacija
Ta oddelek se osredotoča na grožnje, ki so povezane z uporabo mehanizma avtentikacije in navaja zahteve za vsako raven zanesljivosti. V tem oddelku se šteje, da so nadzorni ukrepi sorazmerni tveganjem za dano raven zanesljivosti.
2.3.1
Naslednja preglednica za vsako raven zanesljivosti določa zahteve glede na mehanizem avtentikacije, prek katerega fizična ali pravna oseba uporablja sredstvo elektronske identifikacije za potrjevanje identitete zanašajoči se stranki.
Raven zanesljivosti |
Zahtevani elementi |
||||||
Nizka |
|
||||||
Srednja |
Poleg ravni „Nizka“ še:
|
||||||
Visoka |
Poleg ravni „Srednja“ še: v mehanizmu avtentikacije se izvajajo varnostni nadzori za preverjanje sredstva elektronske identifikacije, zato je zelo malo verjetno, da bi napadalci z visokim potencialom za napad lahko z dejavnostmi, kot so ugibanje, prisluškovanje, ponovno predvajanje ali manipulacija s sporočilom, ogrozili mehanizme avtentikacije. |
2.4 Upravljanje in organizacija
Vsi udeleženci, ki zagotavljajo čezmejne storitve v zvezi z elektronsko identifikacijo (v nadaljnjem besedilu: ponudniki) imajo dokumentirane postopke za upravljanje informacijske varnosti, politike, pristope za upravljanje tveganj in druge priznane nadzorne ukrepe, s katerimi se ustreznim organom upravljanja shem elektronske identifikacije v zadevnih državah članicah zagotavlja, da so vzpostavljeni učinkoviti postopki. V oddelku 2.4. se šteje, da so vse zahteve/elementi sorazmerni tveganjem za dano raven zanesljivosti.
2.4.1
Raven zanesljivosti |
Zahtevani elementi |
||||||||||
Nizka |
|
||||||||||
Srednja |
Enako kot za raven „Nizka“. |
||||||||||
Visoka |
Enako kot za raven „Nizka“. |
2.4.2
Raven zanesljivosti |
Zahtevani elementi |
||||||
Nizka |
|
||||||
Srednja |
Enako kot za raven „Nizka“. |
||||||
Visoka |
Enako kot za raven „Nizka“. |
2.4.3
Raven zanesljivosti |
Zahtevani elementi |
Nizka |
Obstaja učinkovit sistem upravljanja informacijske varnosti za upravljanje in nadzor tveganj v zvezi z informacijsko varnostjo. |
Srednja |
Poleg ravni „Nizka“ še: sistem za upravljanje informacijske varnosti upošteva dokazane standarde ali načela za upravljanje in nadzor tveganj v zvezi z informacijsko varnostjo. |
Visoka |
Enako kot za raven „Srednja“. |
2.4.4
Raven zanesljivosti |
Zahtevani elementi |
||||
Nizka |
|
||||
Srednja |
Enako kot za raven „Nizka“. |
||||
Visoka |
Enako kot za raven „Nizka“. |
2.4.5
Naslednja preglednica vsebuje zahteve v zvezi s prostori, osebjem in, kadar je to primerno, podizvajalci, ki izvajajo naloge iz te uredbe. Skladnost z vsako od zahtev je sorazmerna tveganju, ki je povezano z zagotovljeno ravnjo zanesljivosti.
Raven zanesljivosti |
Zahtevani elementi |
||||||||
Nizka |
|
||||||||
Srednja |
Enako kot za raven „Nizka“. |
||||||||
Visoka |
Enako kot za raven „Nizka“. |
2.4.6
Raven zanesljivosti |
Zahtevani elementi |
||||||||||
Nizka |
|
||||||||||
Srednja |
Poleg ravni „Nizka“ še: če se občutljiv kriptografski material uporablja za izdajo sredstev elektronske identifikacije in avtentikacijo, je zavarovan pred nedovoljenim posegom. |
||||||||||
Visoka |
Enako kot za raven „Srednja“. |
2.4.7
Raven zanesljivosti |
Zahtevani elementi |
||||
Nizka |
Obstajajo redne notranje revizije, ki zajamejo vse ustrezne dele za izvajanje zagotovljenih storitev, da se zagotovi skladnost z zadevno politiko. |
||||
Srednja |
Obstajajo redne neodvisne notranje ali zunanje revizije, ki zajamejo vse ustrezne dele za izvajanje zagotovljenih storitev, da se zagotovi skladnost z zadevno politiko. |
||||
Visoka |
|
(1) Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).