a także mając na uwadze, co następuje:(1) 3 art. 8 rozporządzenia (UE) nr 910/2014 stanowi, że system identyfikacji elektronicznej notyfikowany zgodnie z art. 9 ust. 1 musi określać niski, średni i wysoki poziom bezpieczeństwa w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach tego systemu.
(2) 4 Ustanowienie minimalnych specyfikacji technicznych, standardów i procedur jest niezbędne w celu zapewnienia jednolitego rozumienia szczegółów dotyczących poziomów bezpieczeństwa oraz zapewnienia interoperacyjności podczas przyporządkowywania krajowych poziomów bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej względem poziomów bezpieczeństwa zgodnie z art. 8, jak określono w art. 12 ust. 4 lit. b) rozporządzenia (UE) nr 910/2014.
(3) 5 Na potrzeby specyfikacji i procedur ustanowionych w niniejszym akcie wykonawczym uwzględniono normę międzynarodową ISO/IEC 29115 jako podstawową normę międzynarodową w zakresie poziomów bezpieczeństwa środków identyfikacji elektronicznej. Treść rozporządzenia (UE) nr 910/2014 różni się jednak od tej normy międzynarodowej, w szczególności w odniesieniu do wymogów wykazywania i weryfikacji tożsamości, jak również sposobu, w jaki brane są pod uwagę różnice między ustaleniami poszczególnych państw członkowskich w zakresie tożsamości oraz istniejące w UE narzędzia służące do tego samego celu. W związku z tym załącznik, mimo że został oparty na tej normie międzynarodowej, nie powinien zawierać odniesień do żadnych określonych treści normy ISO/IEC 29115.
(4) 6 Podstawą opracowania niniejszego rozporządzenia było podejście opierające się na wynikach, uznane za najodpowiedniejsze, czego odzwierciedleniem są również definicje stosowane w celu określenia terminów i pojęć. Uwzględnia się w nich cel rozporządzenia (UE) nr 910/2014 w odniesieniu do poziomów bezpieczeństwa środków identyfikacji elektronicznej. W związku z tym podczas określania specyfikacji i procedur ustanowionych w tym akcie wykonawczym należy szczególnie wziąć pod uwagę pilotażowy projekt na dużą skalę STORK, w tym opracowane w jego ramach specyfikacje, oraz definicje i pojęcia zawarte w normie ISO/IEC 29115.
(5) W zależności od kontekstu, w jakim musi być weryfikowany aspekt dowodu tożsamości, wiarygodne źródła mogą przybierać różne formy, takie jak m.in. rejestry, dokumenty czy organy. Wiarygodne źródła mogą się różnić w poszczególnych państwach członkowskich, nawet w podobnej sytuacji.
(6) 7 Wymagania dotyczące testów i weryfikacji tożsamości powinny uwzględniać różne systemy i praktyki, przy zapewnieniu wystarczająco wysokiego poziomu bezpieczeństwa w celu zapewnienia niezbędnego zaufania. Dlatego też przyjęcie procedur stosowanych wcześniej do celów innych niż wydawanie środków identyfikacji elektronicznej powinno być uzależnione od potwierdzenia, że procedury te spełniają wymagania przewidziane dla odpowiedniego poziomu bezpieczeństwa.
(7) Zwykle stosuje się pewne czynniki uwierzytelniania, takie jak dzielenie sekretu (ang. shared secrets), urządzenia techniczne i atrybuty fizyczne. Należy jednak zachęcać do korzystania z większej liczby czynników uwierzytelniania, zwłaszcza należących do różnych kategorii, w celu zwiększenia bezpieczeństwa procesu uwierzytelniania.
(8) Niniejsze rozporządzenie nie powinno naruszać praw reprezentacji osób prawnych. W załączniku należy jednak określić wymagania dotyczące powiązania między środkami identyfikacji elektronicznej osób fizycznych i prawnych.
(9) Należy uznać znaczenie bezpieczeństwa informacji oraz systemów zarządzania usługą, podobnie jak wagę stosowania uznanych metod i stosowania zasad zawartych w normach takich jak normy ISO/IEC serii 27000 i serii 20000.
(10) Należy również uwzględnić dobre praktyki w odniesieniu do poziomów zaufania w państwach członkowskich.
(11) Certyfikacja bezpieczeństwa informatycznego oparta na normach międzynarodowych jest ważnym narzędziem weryfikacji zgodności produktów w zakresie bezpieczeństwa z wymaganiami określonymi w niniejszym akcie wykonawczym.
(12) Komitet, o którym mowa w art. 48 rozporządzenia (UE) nr 910/2014, nie wydał opinii w terminie ustalonym przez swego przewodniczącego,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.Sporządzono w Brukseli dnia 8 września 2015 r.
|
W imieniu Komisji |
|
Jean-Claude JUNCKER |
|
Przewodniczący |
1 Tytuł zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
2 Dz.U. L 257 z 28.8.2014, s. 73.
3 Motyw 1 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
4 Motyw 2 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
5 Motyw zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
6 Motyw 4 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
7 Motyw 6 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
8 Art. 1 ust. 1 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
9 Art. 1 ust. 2 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
10 Art. 1 ust. 3 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
11 Art. 1 ust. 4 zmieniony przez pkt 1 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).
12 Załącznik zmieniony przez pkt 1-11 sprostowania z dnia 20 grudnia 2016 r. (Dz.U.UE.L.2016.345.142).