EIDAS 2014/0910 HU

(1) A 9. cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszernek meg kell határoznia az adott rendszer keretében kibocsátott elektronikus_azonosító_eszközöknek tulajdonított „ alacsony”, „ jelentős” és/vagy „ magas” biztonsági szintet.

(2) Az „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintnek az alábbi követelményeket kell teljesítenie:

az „ alacsony” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely korlátozott megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának csökkentése;

a „ jelentős” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely jelentős megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának jelentős csökkentése;

a „ magas” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely nagyobb megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, mint egy „ jelentős” biztonsági szintű elektronikus_azonosító_eszköz, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélésnek vagy a személyazonosság megváltoztatásának a megakadályozása;

(3) A Bizottság 2015. szeptember 18-ig, figyelembe véve a vonatkozó nemzetközi szabványokat és a (2) bekezdés függvényében, végrehajtási jogi aktusok révén minimális technikai specifikációkat, szabványokat és eljárásokat állapít meg, amelyekre hivatkozva az (1) bekezdés alkalmazásának céljából meghatározható az elektronikus_azonosító_eszközök „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintje.

E minimális technikai specifikációkat, szabványokat és eljárásokat az alábbi elemek megbízhatósága és minősége alapján kell megállapítani:

a)	az elektronikus_azonosító_eszköz kibocsátását kérő természetes vagy jogi_személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;

b)	az elektronikus_azonosító_eszköz kibocsátására alkalmazott eljárás;

c)	azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi_személy az elektronikus_azonosító_eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe_vevő_fél számára;

d)	az elektronikus_azonosító_eszközt kibocsátó szervezet;

e)	az elektronikus_azonosító_eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint

f)	a kibocsátott elektronikus_azonosító_eszközök technikai és biztonsági specifikációi.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

6. cikk

Kölcsönös elismerés

(1) Ha a nemzeti jogszabályok vagy a közigazgatási gyakorlat értelmében egy közigazgatási_szerv által nyújtott szolgáltatás online elérését elektronikus_azonosító_eszközt és hitelesítést alkalmazó elektronikus_azonosításhoz kötik egy tagállamban, a másik tagállamban kibocsátott elektronikus_azonosító_eszközt el kell ismerni az első tagállamban az említett online szolgáltatáshoz szükséges, határokon átnyúló hitelesítés céljából, feltéve, hogy teljesülnek az alábbi feltételek:

a)	az elektronikus_azonosító_eszközt a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamelyik elektronikus_azonosítási rendszer keretében bocsátották ki;

az elektronikus_azonosító_eszköz biztonsági szintje azonos vagy magasabb, mint az érintett közigazgatási_szerv által az első tagállamban nyújtott online szolgáltatáshoz való hozzáféréshez előírt biztonsági szint, feltéve, hogy az említett elektronikus_azonosító_eszköz biztonsági szintje „ jelentős” vagy „ magas”;

c)	az érintett közigazgatási_szerv a „ jelentős” vagy „ magas” biztonsági szintet használja az adott online szolgáltatáshoz való hozzáféréssel kapcsolatban.

Az elismerésre sort kell keríteni legkésőbb 12 hónappal azután, hogy a Bizottság közzétette az első albekezdés a) pontjában említett listát.

(2) A közigazgatási_szervek az általuk nyújtott online szolgáltatásokhoz szükséges határokon átnyúló hitelesítés céljából elismerhetik a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamely rendszer keretében kibocsátott és az „ alacsony” biztonsági szintnek megfelelő elektronikus_azonosító_eszközt.

7. cikk

Az elektronikus_azonosítási rendszerek bejelentésének előfeltételei

A 9. cikk (1) bekezdésének értelmében az elektronikus_azonosítási rendszerek bejelenthetők, feltéve, ha az alábbi feltételek mindegyike teljesül:

az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszközt:

i.	a bejelentő tagállam bocsátotta ki;

ii.	a bejelentő tagállam megbízásából bocsátották ki; vagy

iii.	a bejelentő tagállamtól függetlenül bocsátották ki, de a bejelentő tagállam elismerte az említett eszközt;

b)	az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszköz a bejelentő tagállamban legalább egy, közigazgatási_szerv által nyújtott és elektronikus_azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;

c)	a rendszer és a keretében kibocsátott elektronikus_azonosító_eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;

a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító_adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi_személyhez a szóban forgó rendszer keretébe tartozó – elektronikus_azonosító_eszköz kibocsátásakor;

a szóban forgó rendszer keretébe tartozó elektronikus_azonosító_eszközt kibocsátó fél biztosítja, hogy az elektronikus_azonosító_eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;

a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe_vevő_fél igazolni tudja az elektronikus formában kapott személyazonosító_adatokat.

A közigazgatási_szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási_szerv által nyújtott online szolgáltatással kapcsolatban kerül sor.

A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus_azonosítási rendszerek közötti átjárhatóságot;

a 12. cikk (5) bekezdése szerinti kötelezettség teljesítése céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (7) bekezdésében említett végrehjazási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;

h)	az elektronikus_azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.

8. cikk

Az elektronikus_azonosítási rendszerek biztonsági szintjei

(2) Az „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintnek az alábbi követelményeket kell teljesítenie:

E minimális technikai specifikációkat, szabványokat és eljárásokat az alábbi elemek megbízhatósága és minősége alapján kell megállapítani:

a)	az elektronikus_azonosító_eszköz kibocsátását kérő természetes vagy jogi_személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;

b)	az elektronikus_azonosító_eszköz kibocsátására alkalmazott eljárás;

c)	azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi_személy az elektronikus_azonosító_eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe_vevő_fél számára;

d)	az elektronikus_azonosító_eszközt kibocsátó szervezet;

e)	az elektronikus_azonosító_eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint

f)	a kibocsátott elektronikus_azonosító_eszközök technikai és biztonsági specifikációi.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

19. cikk

Bizalmi szolgáltatókra vonatkozó biztonsági előírások

(1) A minősített és nem minősített bizalmi_szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi_szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel – figyelembe véve a legújabb technológiai fejleményeket – biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.

(2) A minősített és nem minősített bizalmi_szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi_szolgáltatásra vagy az annak keretében tárolt személyes adatokra.

Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi_személyt, aki bizalmi_szolgáltatást vett igénybe, a bizalmi_szolgáltató a természetes vagy jogi_személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.

Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.

Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi_szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.

(3) A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi_szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.

(4) A Bizottság végrehajtási jogi aktusok útján:

a)	az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b)	meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

3. SZAKASZ

Minősített bizalmi_szolgáltatások

24. cikk

A minősített bizalmi_szolgáltatókra vonatkozó követelmények

(1) Bizalmi szolgáltatásra vonatkozó minősített tanúsítvány kibocsátásakor a minősített bizalmi_szolgáltató megfelelő eszközökkel és a nemzeti jogszabályokkal összhangban ellenőrzi annak a természetes vagy jogi_személynek az azonosságát, és – adott esetben – egyedi jellemzőit, akinek vagy amelynek a részére a minősített tanúsítványt kibocsátották.

Az első albekezdésben említett adatokat a minősített bizalmi_szolgáltató a nemzeti jogszabályokkal összhangban közvetlenül vagy harmadik fél révén ellenőrzi:

a)	a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenléte útján; vagy

távolról, olyan elektronikus_azonosító_eszköz használatával, amely tekintetében a minősített tanúsítvány kibocsátása előtt biztosították a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenlétét, és amely megfelel a 8. cikkben a „ jelentős”, illetve a „ magas” biztonsági szintre vonatkozóan meghatározott követelményeknek, vagy

c)	minősített elektronikus_aláírás vagy minősített elektronikus_bélyegző a) vagy b) ponttal összhangban kibocsátott tanúsítványával; vagy

d)	a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerek alkalmazásával. A biztonság egyenértékűségét megfelelőségértékelő_szervezetnek kell igazolnia.

(2) A minősített bizalmi_szolgáltatást nyújtó minősített bizalmi_szolgáltató köteles:

a)	értesíteni a felügyeleti szervet a minősített bizalmi_szolgáltatásai nyújtásában bekövetkező változásokról, valamint e tevékenységek beszüntetésének szándékáról;

olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;

c)	a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;

d)	a szerződéskötést megelőzően közérthetően és teljes körűen tájékoztatni a minősített bizalmi_szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;

e)	olyan megbízható rendszereket és termékeket használni, amelyek védettek a változtatásokkal szemben, és biztosítják az általuk támogatott eljárások technikai biztonságát és megbízhatóságát;

megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy:

i.	az adatok kizárólag annak a személynek a hozzájárulásával legyenek nyilvánosan kereshetők, akire az adatok vonatkoznak;

ii.	kizárólag arra feljogosított személyek végezhessenek bejegyzéseket és változtatásokat a tárolt adatokon;

iii.	ellenőrizhető legyen az adatok hitelessége;

g)	megfelelő intézkedéseket hozni az adathamisítás és az adatlopás ellen;

megfelelő – a minősített bizalmi_szolgáltató tevékenységeinek beszüntetését követő időszakra is kiterjedő – időtartamra rögzíteni és hozzáférhetővé tenni az általa vagy számára kibocsátott adatokra vonatkozó összes lényeges információt, elsősorban bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;

i)	a felügyeleti szerv által a 17. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő naprakész tervvel rendelkezni a szolgáltatás megszüntetésére vonatkozóan, a szolgáltatás folytonosságának biztosítása érdekében;

j)	biztosítani a személyes adatoknak a 95/46/EK irányelvnek megfelelő jogszerű feldolgozását;

k)	minősített tanúsítványokat kibocsátó minősített bizalmi_szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.

(3) Amennyiben a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatók egy tanúsítvány visszavonása mellett döntenek, kellő időben, de minden esetben a kérelem kézhezvételét követő 24 órán belül rögzíteniük kell tanúsítvány-adatbázisukban a visszavonást, és közzé kell tenniük a tanúsítvány visszavont státusát. A visszavonás a közzétételét követően azonnal hatályossá válik.

(4) Tekintettel a (3) bekezdésre, a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatónak tájékoztatnia kell a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítványok érvényességéről vagy visszavont státusáról. Ennek az információnak – legalább tanúsítványonként – megbízható, ingyenes és hatékony automatizált formában bármikor, a tanúsítvány érvényességi idejének lejártát követően is elérhetőnek kell lennie.

(5) A Bizottság végrehajtási jogi aktusok útján összeállíthatja az e cikk (2) bekezdésének e) és f) pontjában foglalt követelményeknek megfelelő, megbízható rendszerekre és termékekre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a megbízható rendszerek és termékek megfelelnek ezeknek a szabványoknak, vélelmezni kell az e cikkben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

4. SZAKASZ

Elektronikus aláírás

whereas

(15) Az elektronikus_azonosító_eszközök elismerésének kötelezettségének csak azokra az eszközökre kell vonatkoznia, amelyek olyan biztonsági szintű azonosítást tesznek lehetővé, amely eléri vagy meghaladja a szóban forgó online szolgáltatás igénybevételéhez szükséges biztonsági szintet.
Ezenkívül ennek a kötelezettségnek csak abban az esetben indokolt fennállnia, ha az érintett közigazgatási_szerv az adott online szolgáltatás igénybevételéhez „ jelentős” vagy „ magas” biztonsági szintű azonosítást használ.
Az uniós joggal összhangban lehetővé kell tenni a tagállamok számára, hogy olyan elektronikus_azonosító_eszközöket is elismerjenek, amelyek alacsonyabb biztonsági szintű azonosítást tesznek lehetővé.

- = -

(16) A biztonsági szinteknek azt kell megmutatniuk, hogy egy elektronikus_azonosító_eszköz milyen szintű megbízhatósággal állapítja meg egy személy személyazonosságát, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték.
A biztonsági szint attól függ, hogy az elektronikus_azonosító_eszköz milyen szintű megbízhatósággal ellenőrzi egy személynek az általa megadott vagy állítólagos személyazonosságát, figyelembe véve az alkalmazott folyamatokat (például személyazonosítás és személyazonosság-ellenőrzés, valamint hitelesítés), az igazgatási tevékenységeket (például az elektronikus_azonosító_eszközöket kibocsátó szervezet valamint az ilyen eszközök kibocsátására alkalmazandó eljárás) és a végrehajtott technikai ellenőrzéseket.
Az uniós finanszírozású, nagy volumenű kísérleti projektek, a szabványosítási és a nemzetközi tevékenységek eredményeképpen a biztonsági szinteknek többféle technikai meghatározása és leírása létezik. Így különösen a nagy volumenű STORK kísérleti projekt és az ISO 29115 keretében többek között a 2., 3. és 4.
szint használatos, amelyeket a legmesszebbmenőkig figyelembe kell venni a minimális technikai követelmények és az e rendelet szerinti „ alacsony”, „ jelentős” és „ magas” biztonsági szintre vonatkozó szabványok és eljárások kidolgozásakor, biztosítva ugyanakkor e rendelet következetes alkalmazását, különösen a minősített tanúsítványok kibocsátásához szükséges személyazonosság-ellenőrzéshez kapcsolódó „ magas” biztonsági szint tekintetében.
A megállapított követelményeknek technológiai szempontból semlegesnek kell lenniük.
A szükséges biztonsági követelményeket úgy kell megállapítani, hogy azokat eltérő technológiák alkalmazásával is teljesíteni lehessen.

- = -

keyboard_tab EIDAS 2014/0910 HU

EIDAS 2014/0910 HU