Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2016.109.40

Decyzja wykonawcza 2016/650 ustanawiająca normy dotyczące oceny bezpieczeństwa kwalifikowanych urządzeń do składania podpisu i pieczęci na podstawie art. 30 ust. 3 i art. 39 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym

DECYZJA WYKONAWCZA KOMISJI (UE) 2016/650
z dnia 25 kwietnia 2016 r.
ustanawiająca normy dotyczące oceny bezpieczeństwa kwalifikowanych urządzeń do składania podpisu i pieczęci na podstawie art. 30 ust. 3 i art. 39 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE 1 , w szczególności jego art. 30 ust. 3 i art. 39 ust. 2,

a także mając na uwadze, co następuje:

(1) W załączniku II do rozporządzenia (UE) nr 910/2014 określono wymagania dotyczące kwalifikowanych urządzeń do składania podpisu elektronicznego oraz kwalifikowanych urządzeń do składania pieczęci elektronicznej.

(2) Zadanie sporządzania specyfikacji technicznych niezbędnych do produkcji i wprowadzania do obrotu produktów, z uwzględnieniem aktualnego stanu technologii, jest realizowane przez organizacje właściwe w dziedzinie normalizacji.

(3) ISO/IEC (Międzynarodowa Organizacja Normalizacyjna/Międzynarodowa Komisja Elektrotechniczna) ustanawia ogólne pojęcia i zasady bezpieczeństwa informatycznego oraz określa ogólny model oceny stosowany jako podstawa oceny właściwości bezpieczeństwa produktów informatycznych.

(4) Na podstawie wydanego przez Komisję zlecenia normalizacji M/460 Europejski Komitet Normalizacyjny (CEN) opracował normy dotyczące kwalifikowanych urządzeń do składania podpisu elektronicznego i pieczęci elektronicznej w sytuacji gdy dane służące do składania podpisu elektronicznego i pieczęci elektronicznej są przechowywane w środowisku zarządzanym w pełni, ale niekoniecznie wyłącznie, przez użytkownika. Normy te zostały uznane za odpowiednie do oceny zgodności takich urządzeń z odpowiednimi wymaganiami określonymi w załączniku II do rozporządzenia (UE) nr 910/2014.

(5) Zgodnie z załącznikiem II do rozporządzenia (UE) nr 910/2014 jedynie kwalifikowany dostawca usług zaufania może zarządzać w imieniu podpisującego danymi służącymi do składania podpisu elektronicznego. Wymogi bezpieczeństwa oraz odpowiadające im specyfikacje certyfikacji różnią się w zależności od tego, czy podpisujący fizycznie posiada produkt, czy też kwalifikowany dostawca usług zaufania działa w imieniu podpisującego. Aby odnieść się do obu sytuacji, a także sprzyjać przyszłemu rozwojowi produktów i norm odpowiadających szczególnym potrzebom, w załączniku do niniejszej decyzji należy wymienić normy obejmujące oba przypadki.

(6) W chwili przyjęcia niniejszej decyzji Komisji kilku dostawców usług zaufania już oferuje rozwiązania w zakresie zarządzania w imieniu klientów danymi służącymi do składania podpisu elektronicznego. Certyfikacja produktów obecnie ogranicza się do sprzętowych modułów bezpieczeństwa certyfikowanych na podstawie różnych norm. Moduły te nie są jednak jeszcze certyfikowane konkretnie w odniesieniu do wymogów dotyczących kwalifikowanych urządzeń do składania podpisu i pieczęci. Niemniej jednak nie istnieją jeszcze opublikowane normy, takie jak EN 419 211 (właściwa dla podpisów elektronicznych tworzonych w środowisku zarządzanym w pełni, ale niekoniecznie wyłącznie, przez użytkownika), które miałyby zastosowanie do równie ważnego rynku certyfikowanych produktów zdalnych. Ponieważ trwają prace nad normami, które mogą być odpowiednie do takich celów, Komisja uzupełni niniejszą decyzję, gdy takie normy będą dostępne i zostaną ocenione jako zgodne z wymogami określonymi w załączniku II do rozporządzenia (UE) nr 910/2014. Do czasu gdy zostanie ustanowiony wykaz takich norm, do oceny zgodności takich produktów można stosować alternatywną procedurę na warunkach określonych w art. 30 ust. 3 lit. b) rozporządzenia (UE) nr 910/2014.

(7) W załączniku wymieniono normę EN 419 211, która składa się z różnych części (1-6) obejmujących różne sytuacje. W częściach 5 i 6 normy EN 419 211 przewidziano rozszerzenia dla środowiska kwalifikowanych urządzeń do składania podpisu, m.in. dotyczące komunikacji z bezpiecznymi aplikacjami służącymi do składania podpisu. Producenci mogą swobodnie decydować o stosowaniu takich rozszerzeń. Zgodnie z motywem 56 rozporządzenia (UE) nr 910/2014 zakres certyfikacji na podstawie art. 30 i 39 tego rozporządzenia ogranicza się do ochrony danych służących do składania podpisu, natomiast aplikacje służące do składania podpisu są wyłączone z zakresu certyfikacji.

(8) Aby zagwarantować skuteczną ochronę przed sfałszowaniem podpisów elektronicznych lub pieczęci elektronicznych generowanych przez kwalifikowane urządzenie do składania podpisów lub pieczęci, jak wymaga tego załącznik II do rozporządzenia (UE) nr 910/2014, odpowiednie algorytmy kryptograficzne, długości kluczy oraz funkcje skrótu są warunkiem wstępnym bezpieczeństwa produktów certyfikowanych. Kwestia ta nie jest zharmonizowana na szczeblu europejskim, zatem państwa członkowskie powinny współpracować w celu uzgodnienia algorytmów kryptograficznych, długości kluczy oraz funkcji skrótu stosowanych w dziedzinie podpisów elektronicznych i pieczęci elektronicznych.

(9) Przyjęcie niniejszej decyzji sprawia, że decyzja Komisji 2003/511/WE 2 staje się nieaktualna. Należy zatem ją uchylić.

(10) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu, o którym mowa w art. 48 rozporządzenia (UE) nr 910/2014,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1
1.
W załączniku do niniejszej decyzji wymienia się normy dotyczące oceny bezpieczeństwa produktów informatycznych stosowanych do certyfikacji kwalifikowanych urządzeń do składania podpisu elektronicznego lub kwalifikowanych urządzeń do składania pieczęci elektronicznej zgodnie z art. 30 ust. 3 lit. a) lub art. 39 ust. 2 rozporządzenia (UE) nr 910/2014, jeżeli dane służące do składania podpisu elektronicznego lub pieczęci elektronicznej są przechowywane w środowisku zarządzanym w pełni, ale niekoniecznie wyłącznie, przez użytkownika.
2.
Do czasu ustanowienia przez Komisję wykazu norm dotyczących oceny bezpieczeństwa produktów informatycznych stosowanych do certyfikacji kwalifikowanych urządzeń do składania podpisu elektronicznego lub kwalifikowanych urządzeń do składania pieczęci elektronicznej, w sytuacji gdy kwalifikowany dostawca usług zaufania zarządza w imieniu podpisującego lub podmiotu składającego pieczęć danymi służącymi do składania podpisu elektronicznego lub pieczęci elektronicznej, certyfikacja tych produktów opiera się na procedurze, w której, zgodnie z art. 30 ust. 3 lit. b), stosuje się poziomy bezpieczeństwa porównywalne z poziomami wymaganymi w art. 30 ust. 3 lit. a), oraz która została zgłoszona Komisji przez podmiot publiczny lub prywatny, o którym mowa w art. 30 ust. 1 rozporządzenia (UE) nr 910/2014.
Artykuł  2

Niniejszym uchyla się decyzję 2003/511/WE.

Artykuł  3

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 25 kwietnia 2016 r.

W imieniu Komisji

Jean-Claude JUNCKER

Przewodniczący

ZAŁĄCZNIK

WYKAZ NORM, O KTÓRYCH MOWA W ART. 1 UST. 1

- ISO/IEC 15408 - Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych, części 1-3 wymienione poniżej:

- ISO/IEC 15408-1:2009 - Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych - Część 1. ISO, 2009.

- ISO/IEC 15408-2:2008 - Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych - Część 2. ISO, 2008.

- ISO/IEC 15408-3:2008 - Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych - Część 3. ISO, 2008

oraz

- ISO/IEC 18045:2008: Information technology - Security techniques - Methodology for IT security evaluation (Technika informatyczna - Techniki zabezpieczeń - Metodyka oceny zabezpieczeń informatycznych),

oraz

- EN 419 211 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu, wymienione poniżej części 1-6, w zależności od przypadku:

- EN 419211-1: 2014 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 1: Przegląd

- EN 419211-2: 2013 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 2: Urządzenie z generowaniem kluczy

- EN 419211-3: 2013 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 3: Urządzenie z generowaniem kluczy

- EN 419211-4: 2013 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 4: Rozszerzenie dla urządzenia z generowaniem kluczy i bezpiecznym kanałem z aplikacją generującą certyfikaty

- EN 419211-5: 2013 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 5: Rozszerzenie dla urządzenia z generowaniem kluczy i bezpiecznym kanałem z aplikacją podpisującą

- EN 419211-6: 2014 - Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 6: Rozszerzenie dla urządzenia z importem kluczy i bezpiecznym kanałem z aplikacją podpisującą

1 Dz.U. L 257 z 28.8.2014, s. 73.
2 Decyzja Komisji 2003/511/WE z dnia 14 lipca 2003 r. w sprawie publikacji numerów referencyjnych dla powszechnie uznanych norm dotyczących produktów podpisu elektronicznego zgodnie z dyrektywą Parlamentu Europejskiego i Rady 1999/93/WE (Dz.U. L 175 z 15.7.2003, s. 45).

Zmiany w prawie

Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw
Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw

W ciągu pierwszych 5 miesięcy obowiązywania mechanizmu konsultacji społecznych projektów ustaw udział w nich wzięły 24 323 osoby. Najpopularniejszym projektem w konsultacjach była nowelizacja ustawy o broni i amunicji. W jego konsultacjach głos zabrało 8298 osób. Podczas pierwszych 14 miesięcy X kadencji Sejmu RP (2023–2024) jedynie 17 proc. uchwalonych ustaw zainicjowali posłowie. Aż 4 uchwalone ustawy miały źródła w projektach obywatelskich w ciągu 14 miesięcy Sejmu X kadencji – to najważniejsze skutki reformy Regulaminu Sejmu z 26 lipca 2024 r.

Grażyna J. Leśniak 24.04.2025
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą

Senat bez poprawek przyjął w środę ustawę, która obniża składkę zdrowotną dla przedsiębiorców. Zmiana, która wejdzie w życie 1 stycznia 2026 roku, ma kosztować budżet państwa 4,6 mld zł. Według szacunków Ministerstwo Finansów na reformie ma skorzystać około 2,5 mln przedsiębiorców. Teraz ustawa trafi do prezydenta Andrzaja Dudy.

Grażyna J. Leśniak 23.04.2025
Rząd organizuje monitoring metanu
Rząd organizuje monitoring metanu

Rada Ministrów przyjęła we wtorek, 22 kwietnia, projekt ustawy o zmianie ustawy – Prawo geologiczne i górnicze, przedłożony przez minister przemysłu. Chodzi o wyznaczenie podmiotu, który będzie odpowiedzialny za monitorowanie i egzekwowanie przepisów w tej sprawie. Nowe regulacje dotyczą m.in. dokładności pomiarów, monitorowania oraz raportowania emisji metanu.

Krzysztof Koślicki 22.04.2025
Rząd zaktualizował wykaz zakazanej kukurydzy
Rząd zaktualizował wykaz zakazanej kukurydzy

Na wtorkowym posiedzeniu rząd przyjął przepisy zmieniające rozporządzenie w sprawie zakazu stosowania materiału siewnego odmian kukurydzy MON 810, przedłożone przez ministra rolnictwa i rozwoju wsi. Celem nowelizacji jest aktualizacja listy odmian genetycznie zmodyfikowanej kukurydzy, tak aby zakazać stosowania w Polsce upraw, które znajdują się w swobodnym obrocie na terytorium 10 państw Unii Europejskiej.

Krzysztof Koślicki 22.04.2025
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem

Od 18 kwietnia policja oraz żandarmeria wojskowa będą mogły karać tych, którzy bez zezwolenia m.in. fotografują i filmują szczególnie ważne dla bezpieczeństwa lub obronności państwa obiekty resortu obrony narodowej, obiekty infrastruktury krytycznej oraz ruchomości. Obiekty te zostaną specjalnie oznaczone.

Robert Horbaczewski 17.04.2025
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia

Kompleksową modernizację instytucji polskiego rynku pracy poprzez udoskonalenie funkcjonowania publicznych służb zatrudnienia oraz form aktywizacji zawodowej i podnoszenia umiejętności kadr gospodarki przewiduje podpisana w czwartek przez prezydenta Andrzeja Dudę ustawa z dnia 20 marca 2025 r. o rynku pracy i służbach zatrudnienia. Ustawa, co do zasady, wejdzie w życie pierwszego dnia miesiąca następującego po upływie 14 dni od dnia ogłoszenia.

Grażyna J. Leśniak 11.04.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2016.109.40
Rodzaj: Decyzja
Tytuł: Decyzja wykonawcza 2016/650 ustanawiająca normy dotyczące oceny bezpieczeństwa kwalifikowanych urządzeń do składania podpisu i pieczęci na podstawie art. 30 ust. 3 i art. 39 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
Data aktu: 25/04/2016
Data ogłoszenia: 26/04/2016
Data wejścia w życie: 16/05/2016