Regulamentul 1502/08-sep-2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă

Acte UE

Jurnalul Oficial 235L

În vigoare
Versiune de la: 9 Septembrie 2015
Regulamentul 1502/08-sep-2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă
Dată act: 8-sept-2015
Emitent: Comisia Europeana
(Text cu relevanţă pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 8 alineatul (3),
(1)JO L 257, 28.8.2014, p. 73.
întrucât:
(1)Articolul 8 din Regulamentul (UE) nr. 910/2014 prevede că un sistem de identificare electronică notificat în temeiul articolului 9 alineatul (1) trebuie să specifice nivelurile de asigurare scăzut, substanţial şi/sau ridicat pentru mijloacele de identificare electronică emise în cadrul sistemului respectiv.
(2)Stabilirea unor specificaţii, standarde şi proceduri tehnice minime este esenţială pentru a se asigura o înţelegere comună a detaliilor nivelurilor de asigurare a încrederii şi interoperabilitatea în procesul de clasificare a nivelurilor naţionale de asigurare aferente sistemelor de identificare electronică notificate în funcţie de nivelurile de asigurare menţionate la articolul 8, astfel cum se prevede la articolul 12 alineatul (4) litera (b) din Regulamentul (UE) nr. 910/2014.
(3)La elaborarea specificaţiilor şi a procedurilor prevăzute în prezentul act de punere în aplicare s-a ţinut cont de standardul internaţional ISO/IEC 29115, acesta fiind principalul standard internaţional în materie de niveluri de asigurare ale mijloacelor de identificare electronică. Cu toate acestea, conţinutul Regulamentului (UE) nr. 910/2014 diferă de standardul internaţional menţionat, în special în ceea ce priveşte cerinţele în materie de dovedire şi verificare a identităţii, precum şi în ceea ce priveşte modul în care sunt luate în considerare diferenţele dintre mecanismele referitoare la identitate din statele membre şi instrumentele cu acelaşi scop existente în UE. Prin urmare, anexa, deşi se bazează pe acest standard internaţional, nu ar trebui să facă trimitere la niciun element concret din standardul ISO/IEC 29115.
(4)Prezentul regulament a fost elaborat sub forma unei abordări bazate pe rezultate, aceasta fiind considerată cea mai adecvată, ceea ce se reflectă şi în definiţiile utilizate pentru a explica termenii şi conceptele. Acestea ţin seama de obiectivul Regulamentului (UE) nr. 910/2014 în ceea ce priveşte nivelurile de asigurare ale mijloacelor de identificare electronică. Prin urmare, la stabilirea specificaţiilor şi a procedurilor prevăzute în prezentul act de punere în aplicare ar trebui să se ţină seama cât mai mult posibil de proiectul-pilot pe scară largă STORK, incluzând specificaţiile elaborate în cadrul acestuia, precum şi de definiţiile şi de conceptele din standardul ISO/IEC 29115.
(5)În funcţie de contextul în care trebuie să fie verificat un element de dovedire a identităţii, sursele sigure pot avea diverse forme, cum ar fi, printre altele, registrele, documentele şi organismele. Sursele sigure pot diferi de la un stat membru la altul, chiar şi în contexte similare.
(6)La elaborarea cerinţelor în materie de dovedire şi verificare a identităţii ar trebui să se ţină seama de diferitele sisteme şi practici, garantându-se, în acelaşi timp, un grad de asigurare suficient de ridicat încât să se formeze încrederea necesară. Prin urmare, acceptarea procedurilor utilizate anterior pentru un alt scop decât emiterea de mijloace de identificare electronică ar trebui să fie condiţionată de confirmarea faptului că aceste proceduri îndeplinesc cerinţele prevăzute pentru nivelul de asigurare corespunzător.
(7)De obicei sunt utilizaţi anumiţi factori de autentificare, cum ar fi secretele partajate, dispozitivele fizice şi caracteristicile fizice. Cu toate acestea, ar trebui să fie încurajată utilizarea unui număr mai mare de factori de autentificare, în special proveniţi din categorii diferite, pentru a spori securitatea procesului de autentificare.
(8)Prezentul regulament nu ar trebui să afecteze drepturile de reprezentare ale persoanelor juridice. Cu toate acestea, anexa ar trebui să prevadă cerinţe privind legăturile dintre mijloacele de identificare electronică ale persoanelor fizice şi juridice.
(9)Ar trebui recunoscută importanţa sistemelor de asigurare a securităţii informaţiilor şi a sistemelor de gestionare a serviciilor, la fel ca şi importanţa utilizării metodologiilor recunoscute şi a aplicării principiilor incluse în seriile de standarde ISO/IEC 27000 şi ISO/IEC 20000.
(10)Ar trebui, de asemenea, să fie luate în considerare bunele practici în ceea ce priveşte nivelurile de asigurare din statele membre.
(11)Certificarea de securitate informatică bazată pe standarde internaţionale este un instrument important de verificare a conformităţii produselor cu cerinţele în materie de securitate prevăzute în prezentul act de punere în aplicare.
(12)Comitetul menţionat la articolul 48 din Regulamentul (UE) nr. 910/2014 nu a emis un aviz în termenul stabilit de preşedintele acestuia,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1
(1)Nivelurile de asigurare scăzut, substanţial şi ridicat pentru mijloacele de identificare electronică emise în cadrul unui sistem de identificare electronică notificat se stabilesc prin raportare la specificaţiile şi procedurile prevăzute în anexă.
(2)Specificaţiile şi procedurile prevăzute în anexă se utilizează pentru a preciza nivelul de asigurare al mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică notificat, prin determinarea fiabilităţii şi a calităţii următoarelor elemente:
a)înscrierea, astfel cum se prevede în secţiunea 2.1 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) litera (a) din Regulamentul (UE) nr. 910/2014;
b)gestionarea mijloacelor de identificare electronică, astfel cum se prevede în secţiunea 2.2 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) literele (b) şi (f) din Regulamentul (UE) nr. 910/2014;
c)autentificarea, astfel cum se prevede în secţiunea 2.3 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) litera (c) din Regulamentul (UE) nr. 910/2014;
d)gestionarea şi organizarea, astfel cum se prevede în secţiunea 2.4 din anexa la prezentul regulament, în temeiul articolului 8 alineatul (3) literele (d) şi (e) din Regulamentul (UE) nr. 910/2014.
(3)În cazul în care un mijloc de identificare electronică emis în cadrul unui sistem de identificare electronică notificat îndeplineşte o cerinţă aferentă unui nivel de asigurare superior, se consideră că respectivul mijloc îndeplineşte cerinţa echivalentă aferentă nivelului de asigurare inferior.
(4)Cu excepţia cazului în care se prevede altfel în partea relevantă a anexei, pentru a corespunde nivelului de asigurare vizat trebuie îndeplinite toate elementele enumerate în anexă pentru un anumit nivel de asigurare a mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică notificat.
Art. 2
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 8 septembrie 2015.

Pentru Comisie

Preşedintele

Jean-Claude JUNCKER

ANEXĂ:Specificaţiile tehnice şi procedurile pentru nivelurile de asigurare scăzut, substanţial şi ridicat ale mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică notificat
1.Definiţiile aplicabile
În sensul prezentei anexe, se aplică următoarele definiţii:
1."sursă sigură" înseamnă orice sursă, indiferent de formă, în privinţa căreia se poate avea încredere că furnizează date, informaţii şi/sau dovezi exacte care pot fi utilizate pentru dovedirea identităţii;
2."factor de autentificare" înseamnă un factor în privinţa căruia s-a confirmat că are legătură cu o persoană şi care se încadrează în una dintre următoarele categorii:
(a)"factor de autentificare bazat pe posesie" înseamnă un factor de autentificare în cazul căruia subiectul trebuie să demonstreze că se află în posesia acestuia;
(b)"factor de autentificare bazat pe cunoştinţe" înseamnă un factor de autentificare în cazul căruia subiectul trebuie să demonstreze cunoaşterea informaţiei în cauză;
(c)"factor de autentificare inerent" înseamnă un factor de autentificare care se bazează pe o caracteristică fizică a unei persoane fizice şi în cazul căruia subiectul trebuie să demonstreze că prezintă respectiva caracteristică fizică;
3."autentificare dinamică" înseamnă un proces electronic care utilizează criptografia sau alte tehnici pentru a oferi un mijloc de a crea, la cerere, o dovadă electronică a faptului că subiectul controlează datele de identificare sau se află în posesia acestora, dovadă care se modifică la fiecare autentificare a subiectului în sistemul care verifică identitatea subiectului;
4."sistem de management al securităţii informaţiilor" înseamnă un set de procese şi proceduri menite să gestioneze la niveluri acceptabile riscurile legate de securitatea informaţiilor.
2.Specificaţii şi proceduri tehnice
Elementele specificaţiilor şi ale procedurilor tehnice prevăzute în prezenta anexă se utilizează pentru a determina modul în care se aplică cerinţele şi criteriile prevăzute la articolul 8 din Regulamentul (UE) nr. 910/2014 în cazul mijloacelor de identificare electronică emise în cadrul unui sistem de identificare electronică.
2.1.Înscrierea
2.1.1.Cererea şi înregistrarea

Nivelul de asigurare

Elementele necesare

Scăzut

1. Asigurarea faptului că solicitantul este la curent cu termenii şi condiţiile legate de utilizarea mijloacelor de identificare electronică.

2. Asigurarea faptului că solicitantul are cunoştinţă de măsurile de prevedere recomandate în materie de securitate a mijloacelor de identificare electronică.

3. Colectarea datelor de identitate relevante necesare pentru dovedirea şi verificarea identităţii.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

La fel ca pentru nivelul scăzut.

2.1.2.Dovedirea şi verificarea identităţii (persoană fizică)

Nivelul de asigurare

Elementele necesare

Scăzut

1. Se poate presupune că persoana este în posesia unor dovezi care sunt recunoscute de către statul membru în care s-a depus cererea vizând mijlocul de identificare electronică şi care reprezintă identitatea pretinsă.

2. Se poate presupune că dovezile sunt autentice sau că ele există în conformitate cu o sursă sigură, iar dovezile par să fie valabile.

3. Se ştie dintr-o sursă sigură că identitatea pretinsă există şi se poate presupune că persoana care pretinde a avea identitatea respectivă corespunde acelei identităţi.

Substanţial

Trebuie să fie îndeplinite cerinţele aferente nivelului scăzut, plus una dintre alternativele enumerate la punctele 1-4:

1. S-a verificat că persoana este în posesia unor dovezi care sunt recunoscute de către statul membru în care s-a depus cererea vizând mijlocul de identificare electronică şi care reprezintă identitatea pretinsă;

şi

dovezile au fost verificate pentru a se stabili că sunt autentice sau se ştie, în conformitate cu o sursă sigură, că ele există şi că se referă la o persoană reală;

şi

au fost luate măsuri pentru a reduce la minimum riscul ca identitatea persoanei să nu fie cea pretinsă, luând în considerare, de exemplu, riscul utilizării unor dovezi pierdute, furate, suspendate, revocate sau expirate;

sau

2. Un document de identitate este prezentat în cadrul unui proces de înregistrare în statul membru în care a fost eliberat documentul, iar acesta pare să se refere la persoana care îl prezintă;

şi

au fost luate măsuri pentru a reduce la minimum riscul ca identitatea persoanei să nu fie cea pretinsă, luând în considerare, de exemplu, riscul utilizării unor documente pierdute, furate, suspendate, revocate sau expirate;

sau

3. În cazul în care procedurile utilizate anterior de către o entitate publică sau privată în acelaşi stat membru în alt scop decât emiterea de mijloace de identificare electronică oferă o asigurare echivalentă cu cele prevăzute în secţiunea 2.1.2 pentru nivelul de asigurare substanţial, atunci entitatea responsabilă cu înregistrarea nu trebuie să repete aceste proceduri anterioare, cu condiţia ca respectiva asigurare echivalentă să fie confirmată de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (1) sau de un organism echivalent;

sau

4. În cazul în care sunt emise mijloace de identificare electronică pe baza unui mijloc de identificare electronică notificat valabil având nivelul de asigurare substanţial sau ridicat şi luând în considerare riscurile unei modificări ale datelor de identificare personală în cauză, nu este necesar să se repete procedurile de dovedire şi de verificare a identităţii. În cazul în care mijlocul de identificare electronică servind drept bază nu a fost notificat, nivelul de asigurare substanţial sau ridicat trebuie confirmat de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent.

Ridicat

Trebuie să fie îndeplinite cerinţele de la punctul 1 sau 2:

1. Trebuie să fie îndeplinite cerinţele aferente nivelului substanţial, plus una dintre alternativele enumerate la literele a-c:

(a) În cazul în care s-a verificat că persoana este în posesia unor dovezi de identificare fotografice sau biometrice recunoscute de către statul membru în care s-a depus cererea vizând mijlocul de identificare electronică, iar elementele respective reprezintă identitatea pretinsă, atunci dovezile sunt verificate pentru a se stabili dacă sunt valabile în conformitate cu o sursă sigură;

şi

prin intermediul unei comparaţii între una sau mai multe caracteristici fizice ale solicitantului şi o sursă sigură se constată că persoana în cauză are identitatea pretinsă;

sau

(b) În cazul în care procedurile utilizate anterior de către o entitate publică sau privată în acelaşi stat membru în alt scop decât emiterea de mijloace de identificare electronică oferă o asigurare echivalentă cu cele prevăzute în secţiunea 2.1.2 pentru nivelul de asigurare ridicat, atunci entitatea responsabilă cu înregistrarea nu trebuie să repete aceste proceduri anterioare, cu condiţia ca respectiva asigurare echivalentă să fie confirmată de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent;

şi

se iau măsuri pentru a demonstra că rezultatele procedurilor anterioare rămân valabile;

sau

(c) În cazul în care sunt emise mijloace de identificare electronică pe baza unui mijloc de identificare electronică notificat valabil având nivelul de asigurare ridicat şi luând în considerare riscurile unei modificări ale datelor de identificare ale persoanei în cauză, nu este necesar să se repete procedurile de dovedire şi de verificare a identităţii. În cazul în care mijlocul de identificare electronică servind drept bază nu a fost notificat, nivelul de asigurare ridicat trebuie confirmat de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent;

şi

se iau măsuri pentru a demonstra că rezultatele acestei proceduri anterioare de emitere a unui mijloc de identificare electronică notificate rămân valabile.

SAU

2. În cazul în care solicitantul nu prezintă dovezi de identificare fotografice sau biometrice recunoscute, se aplică exact procedurile folosite la nivel naţional în statul membru al entităţii responsabile de înregistrare pentru obţinerea acestor dovezi de identificare fotografice sau biometrice recunoscute.

(1)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

2.1.3.Dovedirea şi verificarea identităţii (persoană juridică)

Nivelul de asigurare

Elementele necesare

Scăzut

1. Identitatea pretinsă a persoanei juridice este demonstrată pe baza unor dovezi care sunt recunoscute de către statul membru în care s-a depus cererea vizând mijlocul de identificare electronică.

2. Dovezile par să fie valabile şi se poate presupune că sunt autentice sau că există în conformitate cu o sursă sigură, în cazul în care includerea unei persoane juridice în sursa sigură este voluntară şi este reglementată de un acord între persoana juridică şi sursa sigură.

3. Sursa sigură nu are cunoştinţă că persoana juridică ar avea un statut care să o împiedică să acţioneze ca persoană juridică.

Substanţial

Trebuie să fie îndeplinite cerinţele aferente nivelului scăzut, plus una dintre alternativele enumerate la punctele 1-3:

1. Identitatea pretinsă a persoanei juridice este demonstrată pe baza unor dovezi care sunt recunoscute de către statul membru în care s-a depus cererea vizând mijlocul de identificare electronică, incluzând denumirea, forma de organizare şi (dacă este cazul) numărul de înregistrare al persoanei juridice;

şi

dovezile sunt verificate pentru a se stabili dacă sunt autentice sau dacă se ştie că există în conformitate cu o sursă sigură, în cazul în care includerea persoanei juridice în sursa sigură este obligatorie pentru ca persoana juridică să îşi poată desfăşura activitatea în sectorul său;

şi

au fost luate măsuri pentru a reduce la minimum riscul ca identitatea persoanei juridice să nu fie cea pretinsă, luând în considerare, de exemplu, riscul utilizării unor documente pierdute, furate, suspendate, revocate sau expirate;

sau

2. În cazul în care procedurile utilizate anterior de către o entitate publică sau privată în acelaşi stat membru în alt scop decât emiterea de mijloace de identificare electronică oferă o asigurare echivalentă cu cele prevăzute în secţiunea 2.1.3 pentru nivelul de asigurare substanţial, atunci entitatea responsabilă cu înregistrarea nu trebuie să repete aceste proceduri anterioare, cu condiţia ca respectiva asigurare echivalentă să fie confirmată de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent;

sau

3. În cazul în care sunt emise mijloace de identificare electronică pe baza unui mijloc de identificare electronică notificat valabil având nivelul de asigurare substanţial sau ridicat, nu este necesar să se repete procedurile de dovedire şi de verificare a identităţii. În cazul în care mijlocul de identificare electronică servind drept bază nu a fost notificat, nivelul de asigurare substanţial sau ridicat trebuie confirmat de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent.

Ridicat

Trebuie să fie îndeplinite cerinţele aferente nivelului substanţial, plus una dintre alternativele enumerate la punctele 1-3:

1. Identitatea pretinsă a persoanei juridice este demonstrată pe baza unor dovezi care sunt recunoscute de către statul membru în care s-a depus cererea vizând mijlocul de identificare electronică, incluzând denumirea, forma de organizare şi cel puţin un identificator unic care desemnează persoana juridică la nivel naţional;

şi

dovezile au fost verificate pentru a se stabili că sunt valabile în conformitate cu o sursă sigură;

sau

2. În cazul în care procedurile utilizate anterior de către o entitate publică sau privată în acelaşi stat membru în alt scop decât emiterea de mijloace de identificare electronică oferă o asigurare echivalentă cu cele prevăzute în secţiunea 2.1.3 pentru nivelul de asigurare ridicat, atunci entitatea responsabilă cu înregistrarea nu trebuie să repete aceste proceduri anterioare, cu condiţia ca respectiva asigurare echivalentă să fie confirmată de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent;

şi

se iau măsuri pentru a demonstra că rezultatele acestei proceduri anterioare rămân valabile;

sau

3. În cazul în care sunt emise mijloace de identificare electronică pe baza unui mijloc de identificare electronică notificat valabil având nivelul de asigurare ridicat, nu este necesar să se repete procedurile de dovedire şi de verificare a identităţii. În cazul în care mijlocul de identificare electronică servind drept bază nu a fost notificat, nivelul de asigurare ridicat trebuie confirmat de un organism de evaluare a conformităţii menţionat la articolul 2 alineatul (13) din Regulamentul (CE) nr. 765/2008 sau de un organism echivalent

şi

se iau măsuri pentru a demonstra că rezultatele acestei proceduri anterioare de emitere a unui mijloc de identificare electronică notificate rămân valabile.

2.1.4.Legătura dintre mijloacele de identificare electronică ale persoanelor fizice şi juridice
După caz, pentru legătura dintre mijloacele de identificare electronică ale unei persoane fizice şi mijloacele de identificare electronică ale unei persoane juridice (denumită în continuare "legătura"), se aplică următoarele condiţii:
1.Trebuie să fie posibilă suspendarea şi/sau retragerea unei legături. Ciclul de viaţă al unei legături (de exemplu, activarea, suspendarea, reînnoirea, revocarea) este administrat în conformitate cu procedurile recunoscute la nivel naţional.
2.Persoana fizică al cărei mijloc de identificare electronică este legat de mijlocul de identificare electronică al unei persoane juridice poate delega exercitarea legăturii către o altă persoană fizică, pe baza unor proceduri recunoscute la nivel naţional. Cu toate acestea, persoana fizică care deleagă rămâne responsabilă.
3.Legătura se efectuează după cum urmează:

Nivelul de asigurare

Elementele necesare

Scăzut

1. Dovedirea identităţii persoanei fizice care acţionează în numele persoanei juridice este verificată ca fiind efectuată la nivelul scăzut sau la un nivel superior acestuia.

2. Legătura a fost stabilită pe baza unor proceduri recunoscute la nivel naţional.

3. Sursa sigură nu are cunoştinţă că persoana fizică ar avea un statut care să o împiedică să acţioneze în numele persoanei juridice.

Substanţial

Punctul 3 de la nivel scăzut, plus:

1. Dovedirea identităţii persoanei fizice care acţionează în numele persoanei juridice este verificată ca fiind efectuată la nivelul substanţial sau ridicat.

2. Legătura a fost stabilită pe baza unor proceduri recunoscute la nivel naţional, ceea ce a avut drept rezultat înregistrarea legăturii într-o sursă sigură.

3. Legătura a fost verificată pe baza informaţiilor dintr-o sursă sigură.

Ridicat

Punctul 3 de la nivelul scăzut şi punctul 2 de la nivelul substanţial, plus:

1. Dovedirea identităţii persoanei fizice care acţionează în numele persoanei juridice este verificată ca fiind efectuată la nivelul ridicat.

2. Legătura a fost verificată pe baza unui identificator unic care desemnează persoana juridică, utilizat în contextul naţional; şi pe baza informaţiilor care desemnează în mod unic o persoană fizică dintr-o sursă autorizată.

2.2.Gestionarea mijloacelor de identificare electronică
2.2.1.Caracteristicile şi concepţia mijloacelor de identificare electronică

Nivelul de asigurare

Elementele necesare

Scăzut

1. Mijlocul de identificare electronică utilizează cel puţin un factor de autentificare.

2. Mijlocul de identificare electronică este conceput în aşa fel încât emitentul să ia măsuri rezonabile pentru a se asigura că este utilizat numai sub controlul sau în posesia persoanei căreia îi aparţine.

Substanţial

1. Mijlocul de identificare electronică utilizează cel puţin doi factori de autentificare din categorii diferite.

2. Mijlocul de identificare electronică este conceput în aşa fel încât să se poată presupune că este utilizat numai sub controlul sau în posesia persoanei căreia îi aparţine.

Ridicat

Nivelul substanţial, plus:

1. Mijlocul de identificare electronică este protejat împotriva copierii şi a manipulării frauduloase, precum şi împotriva atacatorilor cu potenţial ridicat de atac.

2. Mijlocul de identificare electronică este conceput astfel încât să poată fi protejat în mod fiabil de către persoana căreia îi aparţine împotriva utilizării de către alte persoane.

2.2.2.Emiterea, livrarea şi activarea

Nivelul de asigurare

Elementele necesare

Scăzut

După emitere, mijlocul de identificare electronică este livrat prin intermediul unui mecanism graţie căruia să se poate presupune că acesta ajunge numai la persoana căreia îi este destinat.

Substanţial

După emitere, mijlocul de identificare electronică este livrat prin intermediul unui mecanism graţie căruia să se poate presupune că acesta ajunge numai în posesia persoanei căreia îi aparţine.

Ridicat

În cadrul procesului de activare se verifică dacă mijlocul de identificare electronică a ajuns numai în posesia persoanei căreia îi aparţine.

2.2.3.Suspendarea, revocarea şi reactivarea

Nivelul de asigurare

Elementele necesare

Scăzut

1. Este posibil ca un mijloc de identificare electronică să fie suspendat şi/sau revocat în timp util şi în mod eficace.

2. Existenţa unor măsuri luate în scopul prevenirii suspendării, a revocării şi/sau a reactivării neautorizate.

3. Reactivarea are loc numai în cazul în care cerinţele în materie de asigurare stabilite înainte de suspendare sau revocare continuă să fie îndeplinite.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

La fel ca pentru nivelul scăzut.

2.2.4.Reînnoirea şi înlocuirea

Nivelul de asigurare

Elementele necesare

Scăzut

Având în vedere riscurile unei modificări ale datelor de identificare personală, reînnoirea sau înlocuirea trebuie să îndeplinească aceleaşi cerinţe de asigurare ca dovedirea şi verificarea identităţii iniţiale sau să se bazeze pe un mijloc de identificare electronică valabil cu un nivel de asigurare identic sau superior.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

Nivelul scăzut, plus:

În cazul în care reînnoirea sau înlocuirea se bazează pe un mijloc de identificare electronică, datele de identitate sunt verificate prin raportare la o sursă sigură.

2.3.Autentificarea
Această secţiune se concentrează pe ameninţări asociate cu utilizarea mecanismului de autentificare şi enumeră cerinţele pentru fiecare nivel de asigurare. În această secţiune controalele trebuie să fie interpretate în aşa fel încât să fie proporţionale cu riscurile aferente nivelului în cauză.
2.3.1.Mecanismul de autentificare
Tabelul de mai jos indică cerinţele pentru fiecare nivel de asigurare cu privire la mecanismul de autentificare prin care persoana fizică sau juridică utilizează un mijloc de identificare electronică pentru a-şi confirma identitatea unui beneficiar.

Nivelul de asigurare

Elementele necesare

Scăzut

1. Eliberarea datelor de identificare personală este precedată de verificarea fiabilă a mijlocului de identificare electronică şi a valabilităţii acestuia.

2. În cazul în care datele de identificare personală sunt stocate ca parte a mecanismului de autentificare, informaţiile respective sunt securizate împotriva pierderii şi a compromiterii, inclusiv prin analizarea lor offline.

3. În cadrul mecanismului de autentificare se pun în aplicare controale de securitate pentru verificarea mijloacelor de identificare electronică, astfel încât să fie foarte puţin probabil ca activităţi cum ar fi ghicirea, interceptarea, reproducerea sau manipularea comunicaţiilor de către un atacator cu potenţial de atac scăzut consolidat să poată submina mecanismele de autentificare.

Substanţial

Nivelul scăzut, plus:

1. Eliberarea datelor de identificare personală este precedată de verificarea fiabilă a mijlocului de identificare electronică şi a valabilităţii acestuia printr-o autentificare dinamică.

2. În cadrul mecanismului de autentificare se pun în aplicare controale de securitate pentru verificarea mijloacelor de identificare electronică, astfel încât să fie foarte puţin probabil ca activităţi cum ar fi ghicirea, interceptarea, reproducerea sau manipularea comunicaţiilor de către un atacator cu potenţial de atac moderat să poată submina mecanismele de autentificare.

Ridicat

Nivelul substanţial, plus:

În cadrul mecanismului de autentificare se pun în aplicare controale de securitate pentru verificarea mijloacelor de identificare electronică, astfel încât să fie foarte puţin probabil ca activităţi cum ar fi ghicirea, interceptarea, reproducerea sau manipularea comunicaţiilor de către un atacator cu potenţial de atac ridicat să poată submina mecanismele de autentificare.

2.4.Gestionarea şi organizarea
Toţi participanţii care prestează un serviciu legat de identificarea electronică în context transfrontalier (denumiţi în continuare "prestatori") trebuie să dispună de practici şi politici de management al securităţii informaţiilor, de abordări în materie de gestionare a riscurilor şi de alte controale recunoscute, astfel încât organismelor de guvernanţă pentru sistemele de identificare electronică din statele membre respective să li se ofere asigurarea că există şi se utilizează practici eficace. În întreaga secţiune 2.4, toate cerinţele/elemente trebuie înţelese ca fiind proporţionale cu riscurile aferente nivelului în cauză.
2.4.1.Dispoziţii generale

Nivelul de asigurare

Elementele necesare

Scăzut

1. Prestatorii oricărui serviciu operaţional care face obiectul prezentului regulament sunt o autoritate publică sau o entitate juridică recunoscută ca atare de legislaţia naţională a unui stat membru, având o structură organizatorică bine-definită şi fiind pe deplin operaţională din toate punctele de vedere relevante pentru prestarea serviciilor.

2. Prestatorii respectă toate cerinţele legale care le revin în legătură cu operarea şi furnizarea serviciilor, inclusiv în ceea ce priveşte tipurile de informaţii care ar putea fi cerute, modul în care se efectuează dovedirea identităţii, informaţiile care pot fi păstrate şi perioada pentru care pot fi păstrate.

3. Prestatorii sunt în măsură să îşi demonstreze capacitatea de a-şi asuma riscul răspunderii pentru daune, precum şi faptul că dispun de suficiente resurse financiare pentru a continua operaţiunile şi prestarea serviciilor.

4. Prestatorii sunt răspunzători de îndeplinirea oricăruia dintre angajamentele externalizate către o altă entitate, precum şi de conformitatea cu politica sistemului, ca şi când prestatorii ar fi îndeplinit ei înşişi sarcinile respective.

5. Sistemele de identificare electronică care nu au fost înfiinţate prin legislaţia naţională trebuie să aibă un plan eficace pentru cazul încetării serviciului. Un astfel de plan trebuie să prevadă încetarea ordonată a serviciului sau continuarea prestării sale de către un alt prestator, modul în care autorităţile competente şi utilizatorii finali sunt informaţi, precum şi detalii cu privire la modul în care ar trebui să fie protejate, reţinute şi distruse înregistrările în conformitate cu politica sistemului.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

La fel ca pentru nivelul scăzut.

2.4.2.Anunţurile publicate şi informaţiile pentru utilizatori

Nivelul de asigurare

Elementele necesare

Scăzut

1. Existenţa unei definiţii publicate a serviciului, care să includă toţi termenii, toate condiţiile şi toate tarifele aplicabile, inclusiv eventualele limitări ale utilizării acestuia. Definiţia serviciului include o politică privind protecţia vieţii private.

2. Trebuie instituite o politică şi proceduri adecvate pentru a se asigura că utilizatorii serviciului sunt informaţi într-o manieră fiabilă şi la timp cu privire la orice modificare a definiţiei serviciului şi a oricăreia dintre clauzele, condiţiile şi măsurile de protecţie a vieţii private pentru serviciul în cauză.

3. Trebuie instituite politici şi proceduri adecvate care să asigure răspunsuri integrale şi corecte la solicitările de informaţii.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

La fel ca pentru nivelul scăzut.

2.4.3.Managementul securităţii informaţiilor

Nivelul de asigurare

Elementele necesare

Scăzut

Există un sistem eficace de management al securităţii informaţiilor, pentru gestionarea şi controlul riscurilor la adresa securităţii informaţiei.

Substanţial

Nivelul scăzut, plus:

Sistemul de management al securităţii informaţiilor respectă standarde sau principii dovedite de gestionare şi control al riscurilor la adresa securităţii informaţiei.

Ridicat

La fel ca pentru nivelul substanţial.

2.4.4.Păstrarea evidenţelor

Nivelul de asigurare

Elementele necesare

Scăzut

1. Înregistrarea şi păstrarea informaţiilor relevante prin utilizarea unui sistem eficace de gestionare a evidenţelor, ţinând seama de legislaţia aplicabilă şi de bunele practici în ceea ce priveşte protecţia şi păstrarea datelor.

2. Păstrarea, în măsura în care acest lucru este permis de legislaţia naţională sau de alte dispoziţii administrative naţionale, şi protejarea evidenţelor atât timp cât acestea sunt necesare în scopuri de audit şi de investigare a cazurilor de încălcare a securităţii şi în scopuri de păstrare a datelor, după care acestea trebuie distruse în mod securizat.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

La fel ca pentru nivelul scăzut.

2.4.5.Infrastructură şi personal
Tabelul de mai jos prezintă cerinţele în materie de infrastructură şi personal şi, după caz, în materie de subcontractanţi care îndeplinesc sarcini care intră sub incidenţa prezentului regulament. Conformitatea cu fiecare cerinţă trebuie să fie proporţională cu nivelul de risc aferent nivelului de asigurare oferit.

Nivelul de asigurare

Elementele necesare

Scăzut

1. Existenţa unor proceduri care să garanteze că personalul şi subcontractanţii sunt suficient de bine formaţi, calificaţi şi experimentaţi în ceea ce priveşte abilităţile necesare pentru a îndeplini rolurile care le revin.

2. Existenţa unui număr suficient de angajaţi şi de subcontractanţi pentru a funcţiona în mod adecvat şi a asigura resurse serviciului în conformitate cu politicile şi procedurile sale.

3. Infrastructura utilizată pentru prestarea serviciilor este monitorizată continuu şi protejată împotriva pagubelor provocate de evenimente de mediu, a accesului neautorizat şi a altor factori care pot influenţa securitatea serviciului.

4. Prin infrastructura utilizată pentru prestarea serviciului se asigură că accesul la zonele unde se păstrează sau se prelucrează informaţii personale, criptografice sau alte informaţii sensibile este limitat la personalul autorizat sau la subcontractanţi.

Substanţial

La fel ca pentru nivelul scăzut.

Ridicat

La fel ca pentru nivelul scăzut.

2.4.6.Controalele tehnice

Nivelul de asigurare

Elementele necesare

Scăzut

1. Existenţa unor controale tehnice proporţionale pentru a gestiona riscurile la adresa securităţii serviciilor, asigurând protejarea confidenţialităţii, a integrităţii şi a disponibilităţii informaţiilor prelucrate.

2. Canalele de comunicare electronice utilizate pentru a face schimb de date cu caracter personal sau de informaţii sensibile sunt protejate împotriva interceptării, a manipulării şi a reproducerii.

3. Accesul la materialele criptografic sensibile, dacă acestea sunt utilizate pentru emiterea mijloacelor de identificare electronică şi de autentificare, se limitează la rolurile şi aplicaţiile care necesită neapărat accesul. Este necesar să se asigure că aceste materiale nu sunt niciodată stocate pe durate mai lungi sub formă de text simplu.

4. Există proceduri pentru a se asigura că securitatea se menţine în timp şi că există capacitatea de a reacţiona la schimbările nivelurilor de risc, la incidente şi încălcări ale securităţii.

5. Toate suporturile care conţin informaţii personale, criptografice sau alte informaţii sensibile sunt stocate, transportate şi eliminate în condiţii de siguranţă şi în mod securizat.

Substanţial

La fel ca pentru nivelul scăzut, plus:

Materialele criptografice sensibile, dacă sunt utilizate pentru emiterea mijloacelor de identificare electronică şi de autentificare, sunt protejate împotriva manipulărilor frauduloase

Ridicat

La fel ca pentru nivelul substanţial.

2.4.7.Conformitatea şi auditul

Nivelul de asigurare

Elementele necesare

Scăzut

Existenţa unor audituri interne periodice, al căror domeniu de aplicare include toate aspectele relevante pentru prestarea serviciilor furnizate, pentru a se asigura respectarea politicii relevante.

Substanţial

Existenţa unor audituri interne sau externe periodice independente, al căror domeniu de aplicare include toate aspectele relevante pentru prestarea serviciilor furnizate, pentru a se asigura respectarea politicii relevante.

Ridicat

1. Existenţa unor audituri externe periodice independente, al căror domeniu de aplicare include toate aspectele relevante pentru prestarea serviciilor furnizate, pentru a se asigura respectarea politicii relevante.

2. În cazul în care un program este gestionat direct de către un organism guvernamental, acesta este auditat în conformitate cu legislaţia naţională.

Publicat în Jurnalul Oficial cu numărul 235L din data de 9 septembrie 2015