ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2015/1502
z dnia 8 września 2015 r.
w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów bezpieczeństwa w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
(ostatnia zmiana: DUUEL. z 2016 r., Nr 345, poz. 142)
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 8 ust. 3,
a także mając na uwadze, co następuje:
(1) art. 8 rozporządzenia (UE) nr 910/2014 stanowi, że system identyfikacji elektronicznej notyfikowany zgodnie z art. 9 ust. 1 musi określać niski, średni i wysoki poziom bezpieczeństwa [1] w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach tego systemu.
(2) [2] Ustanowienie minimalnych specyfikacji technicznych, standardów i procedur jest niezbędne w celu zapewnienia jednolitego rozumienia szczegółów dotyczących poziomów bezpieczeństwa oraz zapewnienia interoperacyjności podczas przyporządkowywania krajowych poziomów bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej względem poziomów bezpieczeństwa zgodnie z art. 8, jak określono w art. 12 ust. 4 lit. b) rozporządzenia (UE) nr 910/2014.
(3) Na potrzeby specyfikacji i procedur ustanowionych w niniejszym akcie wykonawczym uwzględniono normę międzynarodową ISO/IEC 29115 jako podstawową normę międzynarodową w zakresie poziomów bezpieczeństwa [3] środków identyfikacji elektronicznej. Treść rozporządzenia (UE) nr 910/2014 różni się jednak od tej normy międzynarodowej, w szczególności w odniesieniu do wymogów wykazywania i weryfikacji tożsamości, jak również sposobu, w jaki brane są pod uwagę różnice między ustaleniami poszczególnych państw członkowskich w zakresie tożsamości oraz istniejące w UE narzędzia służące do tego samego celu. W związku z tym załącznik, mimo że został oparty na tej normie międzynarodowej, nie powinien zawierać odniesień do żadnych określonych treści normy ISO/IEC 2911 5.
(4) Podstawą opracowania niniejszego rozporządzenia było podejście opierające się na wynikach, uznane za najodpowiedniejsze, czego odzwierciedleniem są również definicje stosowane w celu określenia terminów i pojęć. Uwzględnia się w nich cel rozporządzenia (UE) nr 910/2014 w odniesieniu do poziomów bezpieczeństwa [4] środków identyfikacji elektronicznej. W związku z tym podczas określania specyfikacji i procedur ustanowionych w tym akcie wykonawczym należy szczególnie wziąć pod uwagę pilotażowy projekt na dużą skalę STORK, w tym opracowane w jego ramach specyfikacje, oraz definicje i pojęcia zawarte w normie ISO/IEC 29115.
(5) W zależności od kontekstu, w jakim musi być weryfikowany aspekt dowodu tożsamości, wiarygodne źródła mogą przybierać różne formy, takie jak m.in. rejestry, dokumenty czy organy. Wiarygodne źródła mogą się różnić w poszczególnych państwach członkowskich, nawet w podobnej sytuacji.
(6) [5] Wymagania dotyczące testów i weryfikacji tożsamości powinny uwzględniać różne systemy i praktyki, przy zapewnieniu wystarczająco wysokiego poziomu bezpieczeństwa w celu zapewnienia niezbędnego zaufania. Dlatego też przyjęcie procedur stosowanych wcześniej do celów innych niż wydawanie środków identyfikacji elektronicznej powinno być uzależnione od potwierdzenia, że procedury te spełniają wymagania przewidziane dla odpowiedniego poziomu bezpieczeństwa.
(7) Zwykle stosuje się pewne czynniki uwierzytelniania, takie jak dzielenie sekretu (ang. shared secrets), urządzenia techniczne i atrybuty fizyczne. Należy jednak zachęcać do korzystania z większej liczby czynników uwierzytelniania, zwłaszcza należących do różnych kategorii, w celu zwiększenia bezpieczeństwa procesu uwierzytelniania.
(8) Niniejsze rozporządzenie nie powinno naruszać praw reprezentacji osób prawnych. W załączniku należy jednak określić wymagania dotyczące powiązania między środkami identyfikacji elektronicznej osób fizycznych i prawnych.
(9) Należy uznać znaczenie bezpieczeństwa informacji oraz systemów zarządzania usługą, podobnie jak wagę stosowania uznanych metod i stosowania zasad zawartych w normach takich jak normy ISO/IEC serii 27000 i serii 20000.
(10) Należy również uwzględnić dobre praktyki w odniesieniu do poziomów bezpieczeństwa [6] w państwach członkowskich.
(11) Certyfikacja bezpieczeństwa informatycznego oparta na normach międzynarodowych jest ważnym narzędziem weryfikacji zgodności produktów w zakresie bezpieczeństwa z wymaganiami określonymi w niniejszym akcie wykonawczym.
(12) Komitet, o którym mowa w art. 48 rozporządzenia (UE) nr 910/2014, nie wydał opinii w terminie ustalonym przez swego przewodniczącego,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
[7] 1. Niski, średni i wysoki poziom bezpieczeństwa [8] w odniesieniu do środka identyfikacji elektronicznej wydanego zgodnie z notyfikowanym systemem identyfikacji elektronicznej ustala się z uwzględnieniem wymagań i procedur określonych w załączniku.
2. Specyfikacje i procedury określone w załączniku są wykorzystywane do określenia poziomu bezpieczeństwa [9] środka identyfikacji elektronicznej wydanego zgodnie z notyfikowanym systemem identyfikacji elektronicznej za pomocą określenia wiarygodności i jakości następujących elementów:
a) wprowadzenie do systemu, jak określono w sekcji 2.1 załącznika do niniejszego rozporządzenia zgodnie z art. 8 ust. 3 lit. a) rozporządzenia (UE) nr 910/2014;
b) zarządzanie środkiem identyfikacji elektronicznej, jak określono w sekcji 2.2 załącznika do niniejszego rozporządzenia zgodnie z art. 8 ust. 3 lit. b) rozporządzenia (UE) nr 910/2014;
c) uwierzytelnianie, jak określono w sekcji 2.3 załącznika do niniejszego rozporządzenia zgodnie z art. 8 ust. 3 lit. c) rozporządzenia (UE) nr 910/2014;
d) zarządzanie i organizacja, jak określono w sekcji 2.4 załącznika do niniejszego rozporządzenia zgodnie z art. 8 ust. 3 lit. d) oraz e) rozporządzenia (UE) nr 910/2014.
3. [10] Jeśli środek identyfikacji elektronicznej wydany w ramach notyfikowanego systemu identyfikacji elektronicznej spełnia wymaganie wymienione w odniesieniu do wyższego poziomu bezpieczeństwa, wówczas zakłada się, że spełnia on równoważne wymaganie dotyczące niższego poziomu bezpieczeństwa.
4. [11] Wszystkie elementy wymienione w załączniku w odniesieniu do danego poziomu bezpieczeństwa środka identyfikacji elektronicznej wydanego zgodnie z notyfikowanym systemem identyfikacji elektronicznej powinny zostać spełnione, aby zapewnić zgodność z deklarowanym poziomem bezpieczeństwa, chyba że w odpowiedniej części załącznika określono inaczej.
Artykuł 2
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 8 września 2015 r.
ZAŁĄCZNIK
Specyfikacje techniczne i procedury dotyczące niskiego, średniego i wysokiego poziomu bezpieczeństwa w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach notyfikowanego systemu identyfikacji elektronicznej [12]
1. Stosowane definicje
Na potrzeby niniejszego załącznika stosuje się następujące definicje:
1) „wiarygodne źródło” oznacza każde źródło, niezależnie od jego formy, co do którego można mieć pewność, że dostarcza ono dokładnych danych, informacji lub dowodów, które mogą służyć do potwierdzenia tożsamości;
2) „czynnik uwierzytelniania” oznacza czynnik, którego związek z osobą jest potwierdzony i który należy do jednej z poniższych kategorii:
a) „czynnik uwierzytelniania na podstawie posiadania” oznacza czynnik uwierzytelniania, w przypadku którego od podmiotu podlegającego uwierzytelnieniu wymaga się wykazania jego posiadania;
b) „czynnik uwierzytelniania na podstawie wiedzy” oznacza czynnik uwierzytelniania, w przypadku którego od podmiotu podlegającego uwierzytelnieniu wymaga się wykazania jego znajomości;
c) „czynnik uwierzytelniania na podstawie cech przyrodzonych” oznacza czynnik uwierzytelnienia, który opiera się na rzeczywistym atrybucie osoby fizycznej, w którego przypadku od podmiotu podlegającego uwierzytelnieniu wymaga się wykazania, że tę cechę fizyczną posiada;
3) „uwierzytelnianie dynamiczne” oznacza proces elektroniczny z zastosowaniem kryptografii lub innych technik służący dostarczeniu na żądanie elektronicznego dowodu, iż podmiot podlegający uwierzytelnieniu jest w posiadaniu danych identyfikacyjnych lub dane te znajdują się pod jego kontrolą, oraz który ulega zmianie z każdym uwierzytelnieniem zachodzącym między podmiotem podlegającym uwierzytelnieniu a systemem weryfikacji tożsamości danego podmiotu;
4) „system zarządzania bezpieczeństwem informacji” oznacza zbiór procesów i procedur służących do zarządzania dopuszczalnymi poziomami zagrożeń związanych z bezpieczeństwem informacji.
2. Specyfikacje techniczne i procedury
Elementy specyfikacji technicznych i procedury przedstawione w niniejszym załączniku stosuje się do określenia, w jaki sposób wymagania i kryteria określone w art. 8 rozporządzenia (UE) nr 910/2014 należy stosować w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach systemu identyfikacji elektronicznej.
2.1. Wprowadzenie do systemu
2.1.1. Wniosek o rejestrację i rejestracja
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Zapewnienie znajomości przez wnioskodawcę warunków odnoszących się do stosowania środków identyfikacji elektronicznej. 2. Zapewnienie znajomości przez wnioskodawcę zalecanych środków bezpieczeństwa odnoszących się do środków identyfikacji elektronicznej. 3. Zebranie odpowiednich danych identyfikacyjnych wymaganych do sprawdzenia i weryfikacji tożsamości. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Takie same jak przy poziomie niskim. |
2.1.2. Sprawdzenie i weryfikacja tożsamości (osoba fizyczna)
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Można zakładać, że dana osoba posiada dowody uznane przez państwo członkowskie, w którym złożono wniosek o środek identyfikacji elektronicznej, oraz reprezentuje deklarowaną tożsamość. 2. Dowody te można uznać za autentyczne lub istniejące zgodnie z informacjami z wiarygodnego źródła i dowody wydają się zachowywać ważność. 3. Wiadomo z wiarygodnego źródła, że deklarowana tożsamość istnieje, oraz można przypuszczać, że deklaruje ją jedna i ta sama osoba. |
Średni | Jak przy poziomie niskim oraz konieczność spełnienia jednego z alternatywnych warunków wymienionych w pkt 1-4: 1. potwierdzono, że dana osoba posiada dowody uznane przez państwo członkowskie, w którym złożono wniosek o środek identyfikacji elektronicznej, oraz reprezentuje deklarowaną tożsamość, oraz dowody zostały sprawdzone w celu ustalenia ich autentyczności lub z wiarygodnego źródła wiadomo, że dowody istnieją i dotyczą rzeczywistej osoby, oraz podjęto działania w celu zminimalizowania ryzyka, że tożsamość danej osoby nie jest tożsamością deklarowaną, biorąc pod uwagę np. ryzyko utraty, kradzieży, zawieszenia, unieważnienia bądź upływu terminu ważności dowodu; lub 2. dokument tożsamości zostaje przedstawiony w trakcie procesu rejestracji w państwie członkowskim, w którym go wydano, i okazuje się, że odnosi się on do osoby okazującej, oraz podjęto działania w celu zminimalizowania ryzyka, że tożsamość danej osoby nie jest tożsamością deklarowaną, biorąc pod uwagę np. ryzyko utraty, kradzieży, zawieszenia, unieważnienia bądź upływu terminu ważności dokumentów; lub 3. w przypadku gdy procedury stosowane uprzednio przez podmiot publiczny lub prywatny w tym samym państwie członkowskim w celu innym niż wydawanie środków identyfikacji elektronicznej zapewniają poziom bezpieczeństwa równoważny do zapewnionego przez środki określone w sekcji 2.1.2 dla średniego poziomu bezpieczeństwa, podmiot odpowiedzialny za rejestrację nie musi powtarzać tych wcześniejszych procedur, pod warunkiem że taki równoważny poziom bezpieczeństwa jest potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 ('), lub przez równoważny organ; lub 4. jeżeli środki identyfikacji elektronicznej są wydawane na podstawie ważnych zgłoszonych środków identyfikacji elektronicznej charakteryzujących się średnim lub wysokim poziomem bezpieczeństwa i biorąc pod uwagę ryzyko zmiany danych identyfikujących osobę, nie jest konieczne powtarzanie sprawdzania tożsamości oraz procedur weryfikacji. Jeżeli środek identyfikacji elektronicznej służący jako podstawa nie został notyfikowany, średni lub wysoki poziom bezpieczeństwa musi być potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ. |
Wysoki | Muszą zostać spełnione wymagania pkt 1 albo pkt 2: 1. jak przy poziomie średnim oraz konieczność spełnienia jednego z alternatywnych warunków wymienionych w lit. a)-c): a) potwierdzono, że dana osoba posiada dowody identyfikacji fotograficznej lub biome-trycznej uznane przez państwo członkowskie, w którym złożono wniosek o wydanie środka identyfikacji elektronicznej, oraz że dowody te stanowią potwierdzenie deklarowanej tożsamości, dowody są sprawdzane w celu ustalenia, czy zachowują ważność zgodnie z informacjami z wiarygodnego źródła, oraz wnioskodawca jest identyfikowany jako osoba o deklarowanej tożsamości poprzez porównanie jego jednej cechy fizycznej lub większej liczby takich jego cech z informacjami z wiarygodnego źródła; lub b) w przypadku gdy procedury stosowane uprzednio przez podmiot publiczny lub prywatny w tym samym państwie członkowskim w celu innym niż wydawanie środków identyfikacji elektronicznej zapewniają poziom bezpieczeństwa równoważny do zapewnionego przez środki określone w sekcji 2.1.2 dla wysokiego poziomu bezpieczeństwa, podmiot odpowiedzialny za rejestrację nie musi powtarzać tych wcześniejszych procedur, pod warunkiem że taki równoważny poziom bezpieczeństwa jest potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ, oraz podejmowane są działania mające na celu wykazanie, że wyniki poprzednich procedur zachowują ważność; lub c) jeżeli środki identyfikacji elektronicznej są wydawane na podstawie ważnych zgłoszonych środków identyfikacji elektronicznej charakteryzujących się wysokim poziomem bezpieczeństwa i biorąc pod uwagę ryzyko zmiany danych identyfikujących osobę, nie jest konieczne powtarzanie sprawdzania tożsamości oraz procedur weryfikacji. Jeżeli środek identyfikacji elektronicznej służący jako podstawa nie został notyfikowany, wysoki poziom bezpieczeństwa musi być potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ, oraz podejmowane są działania mające na celu wykazanie, że rezultaty tej poprzedniej procedury wydawania notyfikowanych środków identyfikacji elektronicznej zachowują ważność; LUB 2. jeżeli wnioskodawca nie przedstawił uznanych dowodów identyfikacji fotograficznej lub biometrycznej, zastosowanie mają te same procedury uzyskiwania takich uznanych dowodów identyfikacji fotograficznej lub biometrycznej co stosowane na poziomie krajowym w państwie członkowskim podmiotu odpowiedzialnego za rejestrację. |
(1) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30). |
2.1.3. Sprawdzenie i weryfikacja tożsamości (osoba prawna)
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Deklarowaną tożsamość osoby prawnej wykazuje się na podstawie dowodów uznanych przez państwo członkowskie, w którym złożono wniosek o środek identyfikacji elektronicznej. 2. Dowody wydają się zachowywać ważność i można uznać, że są autentyczne lub istniejące zgodnie z informacjami z wiarygodnego źródła, jeżeli wprowadzenie osoby prawnej do wiarygodnego źródła jest dobrowolne i jest regulowane za pomocą ustalenia między osobą prawną oraz wiarygodnym źródłem. 3. Wiarygodne źródło nie dysponuje wiedzą o statusie osoby prawnej, który uniemożliwiałby jej działanie jako osoby prawnej. |
Średni | Jak przy poziomie niskim oraz konieczność spełnienia jednego z alternatywnych warunków wymienionych w pkt 1-3: 1. deklarowaną tożsamość osoby prawnej wykazuje się na podstawie dowodów uznanych przez państwo członkowskie, w którym złożono wniosek o środek identyfikacji elektronicznej, obejmujących nazwę osoby prawnej, jej formę prawną oraz, w stosownych przypadkach, jej numer rejestracyjny, oraz dowody są sprawdzane w celu ustalenia, czy są autentyczne bądź czy wiadomo, że istnieją zgodnie z informacjami z wiarygodnego źródła, jeżeli wprowadzenie osoby prawnej do wiarygodnego źródła jest wymagane do prowadzenia przez nią działalności w odnośnym sektorze, oraz podjęto działania w celu zminimalizowania ryzyka, że tożsamość danej osoby prawnej nie jest tożsamością deklarowaną, biorąc pod uwagę np. ryzyko utraty, kradzieży, zawieszenia, unieważnienia bądź upływu terminu ważności dokumentów; lub 2. w przypadku gdy procedury stosowane uprzednio przez podmiot publiczny lub prywatny w tym samym państwie członkowskim w celu innym niż wydawanie środków identyfikacji elektronicznej zapewniają poziom bezpieczeństwa równoważny do zapewnionego przez środki określone w sekcji 2.1.3 dla średniego poziomu bezpieczeństwa, podmiot odpowiedzialny za rejestrację nie musi powtarzać tych wcześniejszych procedur, pod warunkiem że taki równoważny poziom bezpieczeństwa jest potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ; lub 3. jeżeli środki identyfikacji elektronicznej są wydawane na podstawie ważnych zgłoszonych środków identyfikacji elektronicznej charakteryzujących się średnim lub wysokim poziomem bezpieczeństwa, nie jest konieczne powtarzanie sprawdzania tożsamości oraz procedur weryfikacji. Jeżeli środek identyfikacji elektronicznej służący jako podstawa nie został notyfikowany, średni lub wysoki poziom bezpieczeństwa musi być potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ. |
Wysoki | Jak przy poziomie średnim oraz konieczność spełnienia jednego z alternatywnych warunków wymienionych w pkt 1-3: 1. deklarowaną tożsamość osoby prawnej wykazuje się na podstawie dowodów uznanych przez państwo członkowskie, w którym złożono wniosek o środek identyfikacji elektronicznej, obejmujących nazwę osoby prawnej, jej formę prawną oraz co najmniej jeden niepowtarzalny identyfikator osoby prawnej stosowany w warunkach krajowych, oraz dowody zostały sprawdzone w celu ustalenia ich ważności zgodnie z wiarygodnym źródłem; lub 2. w przypadku gdy procedury stosowane uprzednio przez podmiot publiczny lub prywatny w tym samym państwie członkowskim w celu innym niż wydawanie środków identyfikacji elektronicznej zapewniają poziom bezpieczeństwa równoważny do zapewnionego przez środki określone w sekcji 2.1.3 dla wysokiego poziomu bezpieczeństwa, podmiot odpowiedzialny za rejestrację nie musi powtarzać tych wcześniejszych procedur, pod warunkiem że taki równoważny poziom bezpieczeństwa jest potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ, oraz podejmowane są działania mające na celu wykazanie, że wyniki poprzednich procedur zachowują ważność; lub 3. jeżeli środki identyfikacji elektronicznej są wydawane na podstawie ważnych zgłoszonych środków identyfikacji elektronicznej charakteryzujących się wysokim poziomem bezpieczeństwa, nie jest konieczne powtarzanie sprawdzania tożsamości oraz procedur weryfikacji. Jeżeli środek identyfikacji elektronicznej służący jako podstawa nie został notyfikowany, wysoki poziom bezpieczeństwa musi być potwierdzony przez jednostkę oceniającą zgodność, o której mowa w art. 2 ust. 13 rozporządzenia (WE) nr 765/2008, lub przez równoważny organ, oraz podejmowane są działania mające na celu wykazanie, że rezultaty tej poprzedniej procedury wydawania notyfikowanych środków identyfikacji elektronicznej zachowują ważność. |
2.1.4. Powiązanie między środkami identyfikacji elektronicznej osób fizycznych i prawnych
W stosownych przypadkach w odniesieniu do powiązania między środkami identyfikacji elektronicznej osoby fizycznej i środkami identyfikacji elektronicznej osoby prawnej („powiązania”) mają zastosowanie następujące warunki:
1) Musi istnieć możliwość zawieszania lub cofnięcia powiązania. Cykl życia powiązania (np. aktywacja, zawieszenie, odnowienie, cofnięcie) odbywa się zgodnie z krajowymi uznanymi procedurami.
2) Osoba fizyczna, której środek identyfikacji elektronicznej jest powiązany ze środkiem identyfikacji elektronicznej osoby prawnej, może powierzyć użytkowanie powiązania innej osobie fizycznej w oparciu o krajowe uznane procedury. Jednakże delegująca osoba fizyczna nadal ponosi odpowiedzialność.
3) Powiązanie realizowane jest w następujący sposób:
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Sprawdzenie tożsamości osoby fizycznej działającej w imieniu osoby prawnej jest weryfikowane jako przeprowadzone na co najmniej niskim poziomie. 2. Powiązanie zostało ustanowione w oparciu o krajowe uznane procedury. 3. Wiarygodne źródło nie dysponuje wiedzą o statusie osoby fizycznej, który uniemożliwiałby jej działanie w imieniu osoby prawnej. |
Średni | Pkt 3 z poziomu niskiego oraz: 1. Sprawdzenie tożsamości osoby fizycznej działającej w imieniu osoby prawnej jest weryfikowane jako przeprowadzone na poziomie średnim lub wysokim. 2. Powiązanie zostało ustanowione w oparciu o krajowe uznane procedury, które doprowadziły do jego zarejestrowania w wiarygodnym źródle. 3. Powiązanie zostało zweryfikowane na podstawie informacji z wiarygodnego źródła. |
Wysoki | Pkt 3 z poziomu niskiego i pkt 2 z poziomu średniego oraz: 1. Sprawdzenie tożsamości osoby fizycznej działającej w imieniu osoby prawnej jest weryfikowane jako przeprowadzone na poziomie wysokim. 2. Powiązanie zostało zweryfikowane w oparciu o niepowtarzalny identyfikator osoby prawnej stosowany w warunkach krajowych oraz na podstawie informacji z wiarygodnego źródła w sposób jednoznaczny identyfikujących osobę fizyczną. |
2.2. Zarządzanie środkami identyfikacji elektronicznej
2.2.1. Cechy charakterystyczne i konstrukcja środków identyfikacji elektronicznej
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Środek identyfikacji elektronicznej wykorzystuje co najmniej jeden czynnik uwierzytelniania. 2. Środek identyfikacji elektronicznej jest zaprojektowany w taki sposób, aby wystawiający podejmował rozsądne kroki w celu sprawdzenia, czy jest on stosowany jedynie przez osobę, do której należy, lub pod jej kontrolą. |
Średni | 1. Środek identyfikacji elektronicznej wykorzystuje co najmniej dwa czynniki uwierzytelniania należące do różnych kategorii. 2. Środek identyfikacji elektronicznej jest zaprojektowany w taki sposób, że można zakładać, iż jest on stosowany jedynie przez osobę, do której należy, lub pod jej kontrolą. |
Wysoki | Jak przy poziomie średnim oraz: 1. Środek identyfikacji elektronicznej stanowi ochronę przed powielaniem i manipulacją oraz przed atakującymi dysponującymi wysokim potencjałem ataku. 2. Środek identyfikacji elektronicznej jest zaprojektowany w taki sposób, że może być niezawodnie chroniony przez osobę, do której należy, przed wykorzystaniem przez innych. |
2.2.2. Wydawanie, dostarczanie i aktywacja
Poziom bezpieczeństwa | Wymagane elementy |
Niski | Po wydaniu środek identyfikacji elektronicznej jest dostarczany za pośrednictwem mecha nizmu, co do którego można zakładać, iż przez jego zastosowanie środek dotrze wyłącznie do przeznaczonej osoby. |
Średni | Po wydaniu środek identyfikacji elektronicznej jest dostarczany za pośrednictwem mecha nizmu, co do którego można zakładać, iż przez jego zastosowanie środek zostanie oddań) w posiadanie wyłącznie osobie, do której należy. |
Wysoki | W procesie aktywacji sprawdza się, czy środek identyfikacji elektronicznej został oddany w posiadanie wyłącznie osobie, do której należy. |
2.2.3. Zawieszenie, cofnięcie i przywrócenie
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Można zawiesić lub wycofać środek identyfikacji elektronicznej w sposób terminowy i skuteczny. 2. Istnieją środki umożliwiające zapobieżenie nieuprawnionemu zawieszeniu, cofnięciu lub przywróceniu środka. 3. Przywrócenie środka odbywa się jedynie, jeśli w dalszym ciągu spełnione są wymagania w zakresie bezpieczeństwa ustanowione przed zawieszeniem lub cofnięciem. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Takie same jak przy poziomie niskim. |
2.2.4. Wznowienie i wymiana
Poziom bezpieczeństwa | Wymagane elementy |
Niski | Biorąc pod uwagę ryzyko wystąpienia zmiany w danych identyfikujących osobę, przy wznowieniu bądź wymianie muszą zostać spełnione te same wymagania w zakresie bezpieczeństwa jak przy wstępnym sprawdzeniu i weryfikacji tożsamości lub wznowienia bądź wymiany dokonuje się na podstawie ważnego środka identyfikacji elektronicznej o tym samym lub wyższym poziomie bezpieczeństwa. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Jak przy poziomie niskim oraz: w przypadku gdy wznowienie bądź wymiana odbywają się się na podstawie ważnego środka identyfikacji elektronicznej, dane dotyczące tożsamości są weryfikowane z wykorzystaniem wiarygodnego źródła. |
2.3. Uwierzytelnienie
W tej części opisano zagrożenia związane ze stosowaniem mechanizmu uwierzytelniania i wymieniono wymagania odnoszące się do każdego poziomu bezpieczeństwa. W niniejszej części kontrolę uznaje się za proporcjonalną do ryzyka na danym poziomie.
2.3.1. Mechanizm uwierzytelniania
W poniższej tabeli zestawiono wymagania na poszczególnych poziomach bezpieczeństwa w odniesieniu do mechanizmu uwierzytelniania, za którego pośrednictwem osoba fizyczna lub prawna używa środka identyfikacji elektronicznej do potwierdzenia swojej tożsamości wobec strony ufającej.
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Uwolnienie danych identyfikujących osobę jest poprzedzone wiarygodną weryfikacją środka identyfikacji elektronicznej oraz jego ważności. 2. Jeżeli dane identyfikujące osobę są przechowywane w ramach mechanizmu uwierzytelniania, informacje ta są zabezpieczone w celu ochrony przed utratą i narażeniem na szwank, w tym analizą off-line. 3. Mechanizm uwierzytelniania jest sposobem realizacji kontroli bezpieczeństwa na potrzeby weryfikacji środków identyfikacji elektronicznej, dzięki któremu jest mało prawdopodobne, aby takie działania jak zgadywanie, podsłuchiwanie, odtwarzanie lub manipulowanie komunikacji przez atakującego o wyższym podstawowym potencjale ataku mogło zachwiać mechanizmami uwierzytelniania. |
Średni | Jak przy poziomie niskim oraz: 1. Uwolnienie danych identyfikujących osobę jest poprzedzone wiarygodną weryfikacją środka identyfikacji elektronicznej oraz jego ważności za pomocą uwierzytelniania dynamicznego. 2. Mechanizm uwierzytelniania jest sposobem realizacji kontroli bezpieczeństwa na potrzeby weryfikacji środków identyfikacji elektronicznej, dzięki któremu jest mało prawdopodobne, aby takie działania jak zgadywanie, podsłuchiwanie, odtwarzanie lub manipulowanie komunikacji przez atakującego o umiarkowanym potencjale ataku mogło zachwiać mechanizmami uwierzytelniania. |
Wysoki | Jak przy poziomie średnim oraz: mechanizm uwierzytelniania jest sposobem realizacji kontroli bezpieczeństwa na potrzeby weryfikacji środków identyfikacji elektronicznej, dzięki któremu jest mało prawdopodobne, aby takie działania jak zgadywanie, podsłuchiwanie, odtwarzanie lub manipulowanie komunikacji przez atakującego o wysokim potencjale ataku mogło zachwiać mechanizmami uwierzytelniania. |
2.4. Zarządzanie i organizacja
Wszystkie podmioty świadczące usługi związane z identyfikacją elektroniczną w obrocie transgranicznym („dostawcy”) ustanawiają udokumentowane praktyki zarządzania bezpieczeństwem informacji, strategie, sposoby podejścia do zarządzania ryzykiem oraz inne uznane mechanizmy kontrolne, aby właściwe organy zarządzające odpowiedzialne za systemy identyfikacji elektronicznej w poszczególnych państwach członkowskich mogły mieć pewność, że skuteczne praktyki zostały wprowadzone. W części 2.4 wszystkie wymagania/elementy należy rozumieć jako współmierne z poziomem ryzyka dla danego poziomu.
2.4.1. Przepisy ogólne
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Dostawcami świadczącymi usługi operacyjne objęte niniejszym rozporządzeniem są organy publiczne lub podmioty prawne uznane za takie przez prawo krajowe państwa członkowskiego, posiadające ugruntowaną organizację i pełną zdolność operacyjną we wszystkich elementach istotnych dla świadczenia usług. 2. Dostawcy przestrzegają wszelkich wymogów prawnych nałożonych na nich w związku z funkcjonowaniem i świadczeniem usług, w tym dotyczących rodzajów informacji, o jakie można się zwracać, sposobów dokonywania potwierdzania tożsamości, a także tego, jakie informacje mogą być przechowywane i przez jak długi czas. 3. Dostawcy są w stanie wykazać zdolność do ponoszenia ryzyka odpowiedzialności za szkody, jak również posiadanie wystarczających środków finansowych na kontynuowanie działalności i świadczenie usług. 4. Dostawcy odpowiadają za realizację wszystkich zobowiązań przekazanych innemu podmiotowi oraz zapewnienie zgodności z założeniami systemu, tak jakby sami wykonywali te zadania. 5. W odniesieniu do systemów identyfikacji elektronicznej nieustanowionych prawem krajowym musi istnieć opracowany skuteczny plan zakończenia działalności. Plan taki obejmuje uporządkowane zaprzestawanie świadczenia usług lub kontynuację przez innego dostawcę, sposób informowania właściwych organów i użytkowników końcowych, jak również szczegółowe informacje na temat sposobu ochrony, przechowywania i niszczenia rejestrów zgodnie z założeniami systemu. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Takie same jak przy poziomie niskim. |
2.4.2. Opublikowane informacje i informacje dla użytkowników
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Istnienie opublikowanej definicji usługi obejmującej wszystkie mające zastosowanie zasady, warunki i opłaty, w tym ewentualne ograniczenia dotyczące korzystania z niej. Definicja usługi obejmuje politykę ochrony prywatności. 2. Należy ustanowić odpowiednie działania i procedury w celu zapewnienia, że użytkownicy usługi zostaną poinformowani w odpowiednim czasie i w niezawodny sposób o wszelkich zmianach w definicji usług i wszelkich mających zastosowanie zasadach i warunkach oraz polityce prywatności w odniesieniu do określonej usługi. 3. Należy zastosować odpowiednie działania i procedury w celu zapewnienia udzielania pełnych i prawidłowych odpowiedzi na wnioski o informacje. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Takie same jak przy poziomie niskim. |
2.4.3. Zarządzanie bezpieczeństwem informacji
Poziom bezpieczeństwa | Wymagane elementy |
Niski | Istnieje skuteczny system zarządzania bezpieczeństwem informacji w zakresie zarządzania i kontroli zagrożeń dla bezpieczeństwa informacji. |
Średni | Jak przy poziomie niskim oraz: system zarządzania bezpieczeństwem informacji odpowiada sprawdzonym normom lub zasadom zarządzania i kontroli zagrożeń dla bezpieczeństwa informacji. |
Wysoki | Takie same jak przy poziomie średnim. |
2.4.4. Prowadzenie rejestrów
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Zapisywanie i zachowywanie właściwych informacji przy użyciu skutecznego systemu zarządzania rejestrami z uwzględnieniem obowiązujących przepisów i dobrych praktyk w odniesieniu do ochrony danych i ich zatrzymywania. 2. Zatrzymywanie, o ile jest to dozwolone przez prawo krajowe lub inne krajowe ustalenia administracyjne, i ochrona rejestrów tak długo, jak długo jest to wymagane do celów kontroli, dochodzenia w sprawach naruszeń bezpieczeństwa oraz przechowywania, po czym rejestry te są niszczone w bezpieczny sposób. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Takie same jak przy poziomie niskim. |
2.4.5. Obiekty i personel
W poniższej tabeli przedstawiono wymagania dotyczące obiektów i personelu oraz - w stosownych przypadkach - podwykonawców, wykonujących obowiązki objęte niniejszym rozporządzeniem. Zgodność ze wszystkimi wymaganiami powinna być proporcjonalna do poziomu ryzyka związanego z ustalonym poziomem bezpieczeństwa.
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Istnienie procedur zapewniających, że pracownicy i podwykonawcy są odpowiednio przeszkoleni i wykwalifikowani oraz dysponują doświadczeniem w zakresie umiejętności potrzebnych do wykonywania swoich funkcji. 2. Wystarczająca liczba pracowników i podwykonawców do odpowiedniego funkcjonowania i zapewnienia obsługi usługi, zgodnie z jej zasadami i procedurami. 3. Obiekty służące do świadczenia usługi są stale monitorowane i chronione przed szkodami spowodowanymi przez wydarzenia związane ze środowiskiem naturalnym, nieuprawniony dostęp i inne czynniki, które mogą mieć wpływ na bezpieczeństwo usługi. 4. Obiekty służące do świadczenia usługi gwarantują, że dostęp do stref przechowywania lub przetwarzania danych osobowych, kryptograficznych lub innych informacji podlegających szczególnej ochronie jest ograniczony do upoważnionych pracowników lub podwykonawców. |
Średni | Takie same jak przy poziomie niskim. |
Wysoki | Takie same jak przy poziomie niskim. |
2.4.6. Kontrole techniczne
Poziom bezpieczeństwa | Wymagane elementy |
Niski | 1. Istnienie proporcjonalnych kontroli technicznych w celu zarządzania ryzykiem, na jakie narażone jest bezpieczeństwo świadczonych usług, zapewnienie ochrony poufności, integralności i dostępności przetwarzanych informacji. 2. Elektroniczne kanały komunikacji wykorzystywane do wymiany informacji podlegających szczególnej ochronie lub informacji osobowych są zabezpieczone przed podsłuchem, manipulacją i odtwarzaniem. 3. Dostęp do szczególnie chronionych materiałów kryptograficznych, jeżeli są wykorzystywane do wydawania środków identyfikacji elektronicznej i elektronicznego uwierzytelniania, jest ograniczony do funkcji i zakresu zastosowania bezwzględnie wymagających dostępu. Należy zapewnić, aby materiały te nigdy nie były trwale przechowywane w postaci zwykłego tekstu. 4. Istnieją procedury zapewniające, że bezpieczeństwo jest trwale utrzymywane oraz że istnieje zdolność reagowania na zmiany poziomu ryzyka, incydenty i przypadki naruszenia bezpieczeństwa. 5. Wszystkie nośniki zawierające informacje osobowe, kryptograficzne lub inne podlegające szczególnej ochronie są przechowywane, transportowane i usuwane w bezpieczny sposób. |
Średni | Takie same jak przy poziomie niskim oraz: materiały kryptograficzne podlegające szczególnej ochronie, jeżeli są wykorzystywane do wydawania środków identyfikacji elektronicznej i uwierzytelniania elektronicznego, są chronione przed nieuprawnionymi manipulacjami. |
Wysoki | Takie same jak przy poziomie średnim. |
2.4.7. Zgodność i audyt
Poziom bezpieczeństwa | Wymagane elementy |
Niski | Istnienie okresowych audytów wewnętrznych ukierunkowanych na wszystkie elementy istotne dla dostawy świadczonych usług w celu zapewnienia zgodności ze stosowną polityką. |
Średni | Istnienie okresowych niezależnych audytów wewnętrznych lub zewnętrznych ukierunkowanych na wszystkie elementy istotne dla dostawy świadczonych usług w celu zapewnienia zgodności ze stosowną polityką. |
Wysoki | 1. Istnienie okresowych niezależnych audytów zewnętrznych ukierunkowanych na wszystkie elementy istotne dla dostawy świadczonych usług w celu zapewnienia zgodności ze stosowną polityką. 2. Jeśli system zarządzany jest bezpośrednio przez organ publiczny audyty przeprowadza się zgodnie z prawem krajowym. |
[1] Motyw 1 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[2] Motyw 2 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[3] Motyw 3 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[4] Motyw 4 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[5] Motyw 6 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[6] Motyw 10 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[7] Tytuł rozporządzenia w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[8] Art. 1 ust. 1 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[9] Art. 1 ust. 2 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[10] Art. 1 ust. 3 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[11] Art. 1 ust. 4 w brzmieniu ustalonym przez pkt 1 sprostowania do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
[12] Załącznik w brzmieniu ustalonym przez sprostowanie do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.Urz.UE L 345 z 20.12.2016, str. 142).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00