32015R1502[1]
A Bizottság (EU) 2015/1502 végrehajtási rendelete (2015. szeptember 8.) az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó minimális technikai specifikációknak és eljárásoknak a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikkének (3) bekezdése szerint történő megállapításáról (EGT-vonatkozású szöveg)
A BIZOTTSÁG (EU) 2015/1502 VÉGREHAJTÁSI RENDELETE
(2015. szeptember 8.)
az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó minimális technikai specifikációknak és eljárásoknak a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikkének (3) bekezdése szerint történő megállapításáról
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 8. cikke (3) bekezdésére,
mivel:
(1) A 910/2014/EU rendelet 8. cikke előírja, hogy a 9. cikk (1) bekezdése szerint bejelentett elektronikus azonosítási rendszereknek meg kell határozniuk a keretükben kibocsátott elektronikus azonosító eszközök "alacsony", "jelentős" és "magas" biztonsági szintjeit.
(2) A minimális technikai specifikációk, szabványok és eljárások meghatározása elengedhetetlen ahhoz, hogy egységesen legyenek értelmezve a biztonsági szintek részletei, valamint a bejelentett elektronikus azonosítási rendszerek nemzeti biztonsági szintjeinek a 8. cikk szerinti biztonsági szinteknek való megfeleltetésekor biztosítva legyen az átjárhatóság, ahogy azt a 910/2014/EU rendelet 12. cikke (4) bekezdésének b) pontja előírja.
(3) Az ebben a végrehajtási aktusban megállapított specifikációkhoz és eljárásokhoz - az elektronikus azonosító eszközök biztonsági szintjeinek területén rendelkezésre álló legfontosabb nemzetközi szabványként - az ISO/IEC 29115 nemzetközi szabványt vettük figyelembe. A 910/2014/EU rendelet tartalma azonban eltér ettől a nemzetközi szabványtól, különösen a személyazonosítási és személyazonosság-ellenőrzési követelmények, valamint a tagállamok személyazonosságra vonatkozó előírásai és az ugyanilyen célú meglévő uniós eszközök közötti eltérések figyelembevétele tekintetében. Tehát a melléklet, bár ezen a nemzetközi szabványon alapul, nem hivatkozhat az ISO/IEC 29115 szabvány semmilyen konkrét elemére.
(4) E rendelet a célra legmegfelelőbbnek bizonyuló, eredményalapú megközelítés alapján került kidolgozásra, ami a kifejezések és fogalmak meghatározásában is tükröződik. A fogalommeghatározások figyelembe veszik a 910/2014/EU rendeletnek az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó célkitűzését. Ezért az e végrehajtási aktusban megállapított specifikációk és eljárások kialakításakor a legmesszebbmenőkig figyelembe kell venni a nagyszabású STORK kísérleti projektet, és ezen belül a projekt keretében kidolgozott előírásokat, valamint az ISO/IEC 29115 definícióit és fogalmait.
(5) Attól függően, hogy milyen kontextusban szükséges a személyazonosság bizonyítékának egy aspektusát ellenőrizni, a hiteles források többfélék lehetnek, így többek között nyilvántartások, dokumentumok, szervek. A hiteles források még hasonló kontextus esetén is eltérőek lehetnek az egyes tagállamokban.
(6) A személyazonosítási és személyazonosság-ellenőrzési követelményeknek figyelembe kell venniük a különféle rendszereket és gyakorlatokat, eközben azonban kellően biztonságosnak kell lenniük ahhoz, hogy megteremtsék a szükséges bizalmat. Az elektronikus azonosító eszközök kibocsátásától eltérő célra korábban alkalmazott eljárások elfogadását tehát függővé kell tenni annak igazolásától, hogy az eljárások megfelelnek az adott biztonsági szintre előírt követelményeknek.
(7) Általában alkalmazásra kerülnek bizonyos hitelesítési tényezők, így például megosztott titkok, fizikai eszközök és fizikai attribútumok. Ösztönözni kell azonban a nagyobb számú hitelesítési tényező - különösen különféle kategóriákba tartozó tényezők - alkalmazását a hitelesítési folyamat biztonságának növelése céljából.
(8) E rendelet nem érintheti a jogi személyek képviseleti jogát. A mellékletnek azonban követelményeket kell megfogalmaznia a természetes és jogi személyek elektronikus azonosító eszközeinek összekapcsolására vonatkozólag.
(9) Fel kell ismerni az információbiztonsági és szolgáltatásirányítási rendszerek, valamint az elismert módszerek használatának és a szabványokba - így például az ISO/IEC 27000 és az ISO/IEC 20000 sorozatba - beépített elvek alkalmazásának fontosságát.
(10) A biztonsági szintekkel kapcsolatos helyes tagállami gyakorlatokat is figyelembe kell venni.
(11) A nemzetközi szabványokon alapuló informatikai biztonsági tanúsítás fontos eszköz annak ellenőrzésére, hogy a termékek biztonsági szempontból megfelelnek-e e végrehajtási aktus követelményeinek.
(12) A 910/2014/EU rendelet 48. cikkében említett bizottság az elnöke által kitűzött határidőn belül nem nyilvánított véleményt,
ELFOGADTA EZT A RENDELETET:
1. cikk
(1) A valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközökre vonatkozó "alacsony", "jelentős" és "magas" biztonsági szinteket a mellékletben megállapított specifikációkra és eljárásokra való hivatkozással kell meghatározni.
(2) A valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközök biztonsági szintjének meghatározásához a mellékletben megállapított specifikációkat és eljárásokat kell alkalmazni, az alábbi elemek megbízhatóságának és minőségének meghatározása útján:
a) nyilvántartásba vétel, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének a) pontja értelmében e rendelet mellékletének 2.1. pontjában szerepel;
b) az elektronikus azonosító eszközök irányítása, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének b) és f) pontja értelmében e rendelet mellékletének 2.2. pontjában szerepel;
c) hitelesítés, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének c) pontja értelmében e rendelet mellékletének 2.3. pontjában szerepel;
d) irányítás és szervezés, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének d) és e) pontja értelmében e rendelet mellékletének 2.4. pontjában szerepel.
(3) Amennyiben a valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszköz megfelel egy magasabb biztonsági szintnél felsorolt követelménynek, azt kell feltételezni, hogy egy alacsonyabb biztonsági szint ezzel egyenértékű követelményének is megfelel.
(4) Hacsak a melléklet vonatkozó részében másképp nem szerepel, a valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszköznek az adott biztonsági szintre vonatkozóan a mellékletben felsorolt összes elemet teljesítenie kell ahhoz, hogy megfeleljen az igényelt biztonsági szintnek.
2. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2015. szeptember 8-án.
a Bizottság részéről
az elnök
Jean-Claude JUNCKER
(1) HL L 257., 2014.8.28., 73. o.
MELLÉKLET
Technikai specifikációk és eljárások a bejelentett elektronikus azonosítási rendszerek keretében kibocsátott elektronikus azonosító eszközök "alacsony", "jelentős" és "magas" biztonsági szintjeihez
1. Alkalmazandó fogalommeghatározások
E melléklet alkalmazásában:
1. "hiteles forrás": formájától függetlenül bármely megbízható forrás, amely a személyazonosság igazolásához felhasználható pontos adatokat, információkat és/vagy bizonyítékokat szolgáltat;
2. "hitelesítési tényező": olyan tényező, amely bizonyítottan egy személyhez kapcsolódik, és amely az alábbi kategóriák valamelyikébe tartozik:
a) "birtoklásalapú hitelesítési tényező": olyan hitelesítési tényező, amelynél az alanynak igazolnia kell, hogy a birtokában van;
b) "ismeretalapú hitelesítési tényező": olyan hitelesítési tényező, amelynél az alanynak igazolnia kell, hogy ismeri;
c) "inherens hitelesítési tényező": olyan hitelesítési tényező, amelynek alapja egy természetes személy valamely fizikai attribútuma, és amelynél az alanynak igazolnia kell, hogy rendelkezik az adott fizikai attribútummal;
3. "dinamikus hitelesítés": olyan elektronikus folyamat, amely kriptográfia vagy egyéb technikák alkalmazásával kérésre elektronikus igazolást készít arról, hogy az azonosító adatok az alany ellenőrzése alatt állnak vagy birtokában vannak, és amely az alany és az alany személyazonosságát igazoló rendszer közötti minden egyes hitelesítéskor változik;
4. "információbiztonsági irányítórendszer": olyan folyamatok és eljárások összessége, amelyek kialakításának célja, hogy az információbiztonsági kockázatokat elfogadható szinten tartsa;
2. Technikai specifikációk és eljárások
Az e mellékletben megállapított technikai specifikációk és eljárások elemeit kell használni annak meghatározására, hogy hogyan kell alkalmazni a 910/2014/EU rendelet 8. cikkének követelményeit és kritériumait a bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközökre.
2.1. Nyilvántartásba vétel
2.1.1. Igénylés és regisztráció
| SZÖVEG HIÁNYZIK |
2.1.2. Személyazonosítás és személyazonosság-ellenőrzés (természetes személy esetén)
| SZÖVEG HIÁNYZIK |
2.1.3. Személyazonosítás és személyazonosság-ellenőrzés (jogi személy esetén)
| SZÖVEG HIÁNYZIK |
2.1.4. Természetes és jogi személyek elektronikus azonosító eszközeinek egymáshoz rendelése
Egy természetes személy elektronikus azonosító eszközének és egy jogi személy elektronikus azonosító eszközének egymáshoz rendelésére megfelelő esetben az alábbi feltételek vonatkoznak:
1. Meg kell lennie a lehetőségnek az egymáshoz rendelés felfüggesztésére és/vagy visszavonására. Az egymáshoz rendelés életciklusának (pl. aktiválás, felfüggesztés, megújítás, visszavonás) kezelése nemzeti szinten elismert eljárások szerint történik.
2. Az a természetes személy, akinek elektronikus azonosító eszköze hozzá van rendelve a jogi személy elektronikus azonosító eszközéhez, nemzeti szinten elismert eljárások alapján más természetes személyre ruházhatja át az egymáshoz rendelés gyakorlását. Az átruházó természetes személy azonban felelősségre vonható marad.
3. Az egymáshoz rendelés az alábbi módon történik:
| SZÖVEG HIÁNYZIK |
2.2. Az elektronikus azonosító eszközök irányítása
2.2.1. Az elektronikus azonosító eszközök jellemzői és kialakítása
| SZÖVEG HIÁNYZIK |
2.2.2. Kibocsátás, átadás és aktiválás
| Biztonsági szint | Szükséges elemek |
| Alacsony | A kibocsátást követően az elektronikus azonosító eszköz átadása egy olyan mechanizmus révén történik, amellyel feltételezhetően csak a célszemélyt érik el. |
| Jelentős | A kibocsátást követően az elektronikus azonosító eszköz átadása egy olyan mechanizmus révén történik, amellyel az átadás feltételezhetően csak annak a személynek a birtokába történik, akihez az eszköz tartozik. |
| Magas | Az aktiválási folyamat ellenőrzi, hogy az elektronikus azonosító eszköz átadása csak annak a személynek a birtokába történt, akihez az tartozik. |
2.2.3. Felfüggesztés, visszavonás és újraaktiválás
| SZÖVEG HIÁNYZIK |
2.2.4. Megújítás és csere
| Biztonsági szint | Szükséges elemek |
| Alacsony | A személyazonosító adatok esetleges megváltozásában rejlő kockázatokat figyelembe véve a megújításnak vagy cserének ugyanazoknak a biztonsági követelményeknek kell megfelelnie, mint a kiindulási személyazonosításnak és személyazonosság-ellenőrzésnek, vagy egy azonos vagy magasabb biztonsági szintű, érvényes elektronikus azonosító eszközön kell alapulnia. |
| Jelentős | Ugyanaz, mint az alacsony szintnél. |
| Magas | Az alacsony szint, továbbá: Ha a megújítás vagy csere érvényes elektronikus azonosító eszköz alapján történik, a személyazonossági adatokat egy hiteles forrásban ellenőrizni kell. |
2.3. Hitelesítés
E pontban a hitelesítési mechanizmus alkalmazásához kapcsolódó veszélyekre összpontosítunk, és felsoroljuk az egyes biztonsági szintek követelményeit. E pont alkalmazásában úgy kell értelmezni, hogy az ellenőrzéseknek arányban kell állniuk az adott szinthez tartozó kockázatokkal.
2.3.1. Hitelesítési mechanizmus
Az alábbi táblázatban biztonsági szintenként adjuk meg az azon hitelesítési mechanizmusra vonatkozó követelményeket, amelynek keretében a természetes vagy jogi személy az elektronikus azonosító eszközzel személyazonosságát igazolja az igénybe vevő fél számára.
| SZÖVEG HIÁNYZIK |
2.4. Irányítás és szervezés
A határokon átnyúló elektronikus azonosításhoz kapcsolódó szolgáltatásokat nyújtó összes résztvevőnek ("szolgáltató") dokumentált információbiztonság-irányítási gyakorlatokat, politikákat, kockázatkezelési módszereket és egyéb elismert ellenőrzéseket kell alkalmaznia, hogy biztosítékkal szolgáljanak az adott tagállamban az elektronikus azonosítási rendszerekért felelős megfelelő irányító szervek számára arról, hogy hatékony gyakorlatokat alkalmaznak. A 2.4. pontban úgy kell értelmezni, hogy az összes követelménynek/elemnek arányban kell állnia az adott szinthez tartozó kockázatokkal.
2.4.1. Általános rendelkezések
| SZÖVEG HIÁNYZIK |
2.4.2. Értesítések közzététele és felhasználói tájékoztatás
| SZÖVEG HIÁNYZIK |
2.4.3. Információbiztonsági irányítás
| Biztonsági szint | Szükséges elemek |
| Alacsony | Az információbiztonsági kockázatok kezelésére és ellenőrzésére hatékony információbiztonsági irányítórendszer áll rendelkezésre. |
| Jelentős | Az alacsony szint, továbbá: Az információbiztonsági irányítórendszer az információbiztonsági kockázatok kezelése és ellenőrzése során bevált normákhoz vagy elvekhez igazodik. |
| Magas | Ugyanaz, mint a jelentős szintnél. |
2.4.4. Nyilvántartás
| SZÖVEG HIÁNYZIK |
2.4.5. Létesítmények és személyzet
Az alábbi táblázat az esetleges olyan alvállalkozók létesítményeire és személyzetére vonatkozó követelményeket ismerteti, akik e rendelet hatálya alá tartozó feladatokat végeznek. Az egyes követelmények betartásának arányosnak kell lennie a nyújtott biztonsági szinthez kapcsolódó kockázatok szintjével.
| SZÖVEG HIÁNYZIK |
2.4.6. Technikai ellenőrzések
| SZÖVEG HIÁNYZIK |
2.4.7. Megfelelőség és audit
| SZÖVEG HIÁNYZIK |
(1) Az Európai Parlament és a Tanács 2008. július 9-i 765/2008/EK rendelete a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32015R1502 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32015R1502&locale=hu A dokumentum konszolidált változatai magyar nyelven nem elérhetőek.