This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Text av betydelse för EES)
Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Text av betydelse för EES)
EUT L 235, 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
SV |
Europeiska unionens officiella tidning |
L 235/7 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/1502
av den 8 september 2015
om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 8.3, och
av följande skäl:
(1) |
Enligt artikel 8 i förordning (EU) nr 910/2014 behöver ett system för elektronisk identifiering som anmälts i enlighet med artikel 9.1 specificera tillitsnivåerna låg, väsentlig och/eller hög för medel för elektronisk identifiering som har utfärdats inom det systemet. |
(2) |
Det är väsentligt att fastställa tekniska minimispecifikationer, standarder och förfaranden så att en gemensam förståelse kan uppnås av tillitsnivåernas detaljuppgifter och att interoperabilitet säkras vid kartläggningen av de nationella tillitsnivåerna för anmälda system för elektronisk identifiering i förhållande till tillitsnivåerna enligt artikel 8, såsom föreskrivs genom artikel 12.4 b i förordning (EU) nr 910/2014. |
(3) |
Den internationella standarden ISO/IEC 29115 har beaktats för specifikationerna och förfarandena i denna genomförandeakt såsom varande den främsta internationella standard som är tillgänglig i fråga om tillitsnivåer för medel för elektronisk identifiering. Innehållet i förordning (EU) nr 910/2014 skiljer sig dock från internationell standard, i synnerhet i fråga om krav på styrkande och kontroll av identitet, liksom vad gäller det sätt på vilket hänsyn tas till skillnaderna mellan medlemsstaternas identitetsbestämmelser och befintliga verktyg i EU för samma syfte. Även om bilagan bygger på denna internationella standard bör den därför inte hänvisa till något specifikt innehåll i ISO/IEC 29115. |
(4) |
Denna förordning har utarbetats på ett resultatbaserat sätt såsom varande mest lämpliga metod, vilket också avspeglas i de definitioner som använts för att specificera termer och begrepp. De tar hänsyn till syftet med förordning (EU) nr 910/2014 i fråga om tillitsnivåerna för medel för elektronisk identifiering. Största möjliga hänsyn bör därför tas till det storskaliga pilotprojektet Stork, inklusive de specifikationer som utarbetats av detta projekt, samt definitioner och begrepp i ISO/IEC 29115 när specifikationer och förfaranden i denna genomförandeakt ska fastställas. |
(5) |
Tillförlitliga källor kan ta många former, exempelvis registreringskontor, handlingar eller organ, beroende på det sammanhang där en aspekt av identitetsbevis behöver verifieras. De tillförlitliga källorna kan skilja sig åt i olika medlemsstater, också om sammanhangen liknar varandra. |
(6) |
Krav på styrkande och kontroll av identitet bör beakta olika system och praxis och samtidigt säkerställa en tillräckligt hög tillitsnivå för att skapa nödvändigt förtroende. Ett godtagande av förfaranden som använts tidigare för andra syften än att utfärda medel för elektronisk identifiering bör därför villkoras med att bekräftelse erhålls om att dessa förfaranden uppfyller kraven för motsvarande tillitsnivå. |
(7) |
Vissa autentiseringsfaktorer, som exempelvis delade hemligheter, fysiska anordningar och fysiska attribut, används vanligtvis. Användningen av ett stort antal autentiseringsfaktorer, särskilt från olika faktorkategorier, bör dock uppmuntras för att höja säkerheten i autentiseringsprocessen. |
(8) |
Denna förordning bör inte påverka juridiska personers representationsrättigheter. Bilagan bör dock innehålla föreskrifter om krav på bindningen mellan fysiska och juridiska personers medel för elektronisk identifiering. |
(9) |
Betydelsen av informationssäkerhet och system för tjänstehantering bör uppmärksammas, vilket även gäller betydelsen av att använda erkända metoder och tillämpa principerna i standarder som exempelvis ISO/IEC 27000- och ISO/IEC 20000-serierna. |
(10) |
Bästa praxis i fråga om tillitsnivåer i medlemsstaterna bör också beaktas. |
(11) |
It-säkerhetscertifiering som baseras på internationella standarder är ett viktigt verktyg för verifiering av hur väl en produkts säkerhet motsvarar kraven i denna genomförandeakt. |
(12) |
Den kommitté som avses i artikel 48 i förordning (EU) nr 910/2014 har inte avgivit något yttrande inom den tidsfrist som beslutades av dess ordförande. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
1. Tillitsnivåerna låg, väsentlig och hög för medel för elektronisk identifiering utfärdade inom ett anmält system för elektronisk identifiering ska fastställas med hänvisning till specifikationerna och förfarandena i bilagan.
2. Specifikationerna och förfarandena i bilagan ska användas för att specificera tillitsnivå för medel för elektronisk identifiering som utfärdats inom ett system för elektronisk identifiering genom att tillförlitlighet och kvalitet fastställs för följande beståndsdelar:
a) |
Inskrivning, i enlighet med vad som fastställs i avsnitt 2.1 i bilagan till denna förordning i kraft av artikel 8.3 a i förordning (EU) nr 910/2014. |
b) |
Hantering av medel för elektronisk identifiering, i enlighet med avsnitt 2.2 i bilagan till denna förordning i kraft av artikel 8.3 b och f i förordning (EU) nr 910/2014. |
c) |
Autentisering i enlighet med avsnitt 2.3 i bilagan till denna förordning i kraft av artikel 8.3 c i förordning (EU) nr 910/2014. |
d) |
Hantering och organisering, i enlighet med avsnitt 2.4 i bilagan till denna förordning i kraft av artikel 8.3 d och e i förordning (EU) nr 910/2014. |
3. När medel för elektronisk identifiering, som utfärdats inom ett anmält system för elektronisk identifiering, uppfyller ett krav för en högre tillitsnivå ska det antas uppfylla likvärdiga krav på en lägre tillitsnivå.
4. Såvida inte något annat anges i relevant del av bilagan ska alla beståndsdelar i bilagan angående en viss tillitsnivå, gällande medel för elektronisk identifiering som utfärdats inom ett anmält system för elektroniskt identifiering, uppfyllas för att motsvara den hävdade tillitsnivån.
Artikel 2
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 8 september 2015.
På kommissionens vägnar
Jean-Claude JUNCKER
Ordförande
(1) EUT L 257, 28.8.2014, s. 73.
BILAGA
Tekniska specifikationer och förfaranden för tillitsnivåerna låg, väsentlig och hög avseende de medel för elektronisk identifiering som utfärdats inom ramen för ett anmält system för elektronisk identifiering
1. Tillämpliga definitioner
I denna bilaga gäller följande definitioner:
1. tillförlitlig källa : en källa oavsett form som är tillförlitlig när det gäller att tillhandahålla korrekta uppgifter, information och/eller bevis som kan användas för att styrka en identitet.
2. Autentiseringsfaktor : en faktor som bekräftas vara bunden till en person och som tillhör någon av följande kategorier:
a) innehavsbaserad autentiseringsfaktor : en autentiseringsfaktor som personen måste kunna visa att den innehar.
b) kunskapsbaserad autentiseringsfaktor : en autentiseringsfaktor som personen måste kunna visa att den har kunskap om.
c) egenskapsbaserad autentiseringsfaktor : en autentiseringsfaktor som utgår från en kroppslig egenskap hos en fysisk person, som denne måste kunna visa att den har.
3. dynamisk autentisering : en elektronisk process som använder kryptering eller andra metoder för att på begäran skapa ett elektroniskt bevis för att en person har kontroll över eller är i besittning av identifieringsinformationen, och som ändras vid varje autentisering mellan personen och det system som kontrollerar personens identitet.
4. ledningssystem för informationssäkerhet : en uppsättning processer och förfaranden avsedda att hantera godtagbara risknivåer förknippade med informationssäkerhet.
2. Tekniska specifikationer och förfaranden
De tekniska specifikationer och förfaranden som beskrivs i denna bilaga ska användas för att fastställa hur de krav och kriterier som avses i artikel 8 i förordning (EU) nr 910/2014 ska tillämpas för medel för elektronisk identifiering som utfärdats inom ramen för ett system för elektronisk identifiering.
2.1 Inskrivning
2.1.1
Tillitsnivå |
Erforderliga beståndsdelar |
||||||
Låg |
|
||||||
Väsentlig |
Samma som nivån låg. |
||||||
Hög |
Samma som nivån låg. |
2.1.2
Tillitsnivå |
Erforderliga beståndsdelar |
||||||||||
Låg |
|
||||||||||
Väsentlig |
Nivå låg, samt ett av de alternativ som anges i punkterna 1–4 måste vara uppfyllt:
|
||||||||||
Hög |
Kraven i punkt 1 eller 2 ska uppfyllas:
|
2.1.3
Tillitsnivå |
Erforderliga beståndsdelar |
||||||
Låg |
|
||||||
Väsentlig |
Nivå låg, samt ett av alternativen i punkterna 1–3 måste vara uppfyllt:
|
||||||
Hög |
Nivå låg, samt ett av de alternativ som anges i punkterna 1–3 måste vara uppfyllt:
|
2.1.4
För en bindning mellan en fysisk persons medel för elektronisk identifiering och en juridisk persons medel för elektronisk identifiering (nedan kallad bindning) gäller följande villkor:
1. |
En bindning ska vara möjlig att upphäva och/eller återkalla. En bindnings livscykel (t.ex. aktivering, upphävande, förnyelse, återkallelse) ska förvaltas enligt nationellt erkända förfaranden. |
2. |
Den fysiska person vars medel för elektronisk identifiering är bundet till den juridiska personens medel för elektronisk identifiering får delegera nyttjandet av bindningen till en annan fysisk person på grundval av nationellt erkända förfaranden. Emellertid förblir den delegerande fysiska personen ansvarig. |
3. |
Bindningen ska göras på följande sätt:
|
2.2 Hantering av medel för elektronisk identifiering
2.2.1
Tillitsnivå |
Erforderliga beståndsdelar |
||||
Låg |
|
||||
Väsentlig |
|
||||
Hög |
Nivå väsentlig, samt
|
2.2.2
Tillitsnivå |
Erforderliga beståndsdelar |
Låg |
Efter utfärdandet levereras medlet för elektronisk identifiering via en mekanism genom vilken medlet kan antas nå endast den avsedda personen. |
Väsentlig |
Efter utfärdandet levereras medlet för elektronisk identifiering via en mekanism genom vilken det kan antas att medlet levereras endast till ägaren. |
Hög |
Aktiveringsprocessen kontrollerar att medlet för elektronisk identifiering endast levererades till ägaren. |
2.2.3
Tillitsnivå |
Erforderliga beståndsdelar |
||||||
Låg |
|
||||||
Väsentlig |
Samma som nivån låg. |
||||||
Hög |
Samma som nivån låg. |
2.2.4
Tillitsnivå |
Erforderliga beståndsdelar |
Låg |
Med beaktande av riskerna för ändring i personidentifieringsuppgifterna måste förnyelse eller ersättning uppfylla samma tillitskrav som det ursprungliga styrkandet och kontrollen av identiteten eller grundas på ett giltigt medel för elektronisk identifiering med samma eller högre tillitsnivå. |
Väsentlig |
Samma som nivån låg. |
Hög |
Nivå låg, samt om förnyelse eller ersättning grundas på ett giltigt medel för elektronisk identifiering, kontrolleras identitetsuppgifterna mot en tillförlitlig källa. |
2.3 Autentisering
Detta avsnitt handlar om hot vid användning av autentiseringsmekanismen och förtecknar de krav som gäller för varje tillitsnivå. I detta avsnitt ska kontroller antas stå i proportion till riskerna på en viss nivå.
2.3.1
Av följande tabell framgår kraven per tillitsnivå för den autentiseringsmekanism där den fysiska eller juridiska personen använder medlet för elektronisk identifiering för att bekräfta sin identitet för en förlitande part.
Tillitsnivå |
Erforderliga beståndsdelar |
||||||
Låg |
|
||||||
Väsentlig |
Nivå låg, samt
|
||||||
Hög |
Nivå väsentlig, samt autentiseringsmekanismen genomför säkerhetskontroller för att verifiera medlet för elektronisk identifiering, varför det är högst osannolikt att exempelvis gissningar, tjuvlyssning, omspelning eller manipulation av kommunikation som görs av en angripare med stor angreppspotential kan underminera autentiseringsmekanismerna. |
2.4 Hantering och organisation
Alla deltagare som tillhandahåller en tjänst för elektronisk identifiering i ett gränsöverskridande sammanhang (nedan kallad en tillhandahållare av tjänster) ska i dokumenterad form ha praxis, policyer och strategier för ledning av informationssäkerhet vad avser risker samt andra erkända kontroller som ger styrningsorganen för system för elektronisk identifiering i respektive medlemsstat garantier att effektiva förfaranden föreligger. Alla krav/beståndsdelar i hela avsnitt 2.4 ska antas stå i proportion till riskerna på en viss nivå.
2.4.1
Tillitsnivå |
Erforderliga beståndsdelar |
||||||||||
Låg |
|
||||||||||
Väsentlig |
Samma som nivån låg. |
||||||||||
Hög |
Samma som nivån låg. |
2.4.2
Tillitsnivå |
Erforderliga beståndsdelar |
||||||
Låg |
|
||||||
Väsentlig |
Samma som nivån låg. |
||||||
Hög |
Samma som nivån låg. |
2.4.3
Tillitsnivå |
Erforderliga beståndsdelar |
Låg |
Det finns ett effektivt ledningssystem för informationssäkerhet för hantering och kontroll av informationssäkerhetsrisker. |
Väsentlig |
Nivå låg, samt ledningssystemet för informationssäkerhet följer utprovade standarder eller principer för hantering och kontroll av informationssäkerhetsrisker. |
Hög |
Samma som nivån väsentlig. |
2.4.4
Tillitsnivå |
Erforderliga beståndsdelar |
||||
Låg |
|
||||
Väsentlig |
Samma som nivån låg. |
||||
Hög |
Samma som nivån låg. |
2.4.5
Av följande tabell framgår kraven i fråga om anläggningar och personal och underleverantörer, om tillämpligt, som åtar sig uppgifter som omfattas av denna förordning. Uppfyllandet av vart och ett av kraven ska stå i proportion till den risknivå som är knuten till den tillitsnivå som tillhandahålls.
Tillitsnivå |
Erforderliga beståndsdelar |
||||||||
Låg |
|
||||||||
Väsentlig |
Samma som nivån låg. |
||||||||
Hög |
Samma som nivån låg. |
2.4.6
Tillitsnivå |
Erforderliga beståndsdelar |
||||||||||
Låg |
|
||||||||||
Väsentlig |
Samma som nivån låg, samt känsligt kryptografiskt material, om sådant används för utfärdande av medel för elektronisk identifiering och autentisering, ska skyddas från manipulation |
||||||||||
Hög |
Samma som nivån väsentlig. |
2.4.7
Tillitsnivå |
Erforderliga beståndsdelar |
||||
Låg |
Regelbundna interna revisioner, som är utformade så att de omfattar alla delar som är relevanta för tillhandahållandet av tjänster, för att garantera efterlevnaden av relevant policy. |
||||
Väsentlig |
Förekomst av regelbundna oberoende interna eller externa revisioner, som är utformade så att de omfattar alla delar som är relevanta för tillhandahållandet av tjänster, för att garantera efterlevnaden av relevant policy. |
||||
Hög |
|
(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).