ЄВРОПЕЙСЬКА КОМІСІЯ,

Беручи до уваги Договір про функціонування Європейського Союзу,

Беручи до уваги Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС (-1), зокрема його статті 30(3) та 39(2),

Оскільки:

(1) У додатку II до Регламенту (ЄС) № 910/2014 встановлено вимоги до засобів для створення кваліфікованого електронного підпису та засобів для створення кваліфікованої електронної печатки.

(2) Завдання складання технічних специфікацій, необхідних для виробництва та введення в обіг продуктів, беручи до уваги поточний стан технологій, виконується організаціями, компетентними в сфері стандартизації.

(3) ISO/IEC (Міжнародна організація зі Стандартизації/Міжнародна електротехнічна комісія) встановлює загальні поняття та принципи інформаційної безпеки та визначає загальну модель оцінки, яка використовуватиметься як основа для оцінки властивостей безпеки продуктів інформаційних технологій.

(4) Відповідно до мандату M/460 на стандартизацію, виданого Комісією, Європейський комітет зі стандартизації (CEN) розробив стандарти для засобів для створення кваліфікованих електронних підпису та печатки, де дані для створення електронного підпису або дані для створення електронної печатки зберігаються в середовищі, керованому повністю, але не обов’язково лише, користувачем. Ці стандарти вважаються доцільними для оцінки відповідності таких засобів належним вимогам, викладеним у додатку II Регламенту (ЄС) № 910/2014.

(5) У додатку II до Регламенту (ЄС) № 910/2014 встановлено, що лише кваліфікований постачальник довірчих послуг може управляти даними для створення електронного підпису від імені підписувача. Вимоги до безпеки та їх відповідні специфікації щодо сертифікації є різними для випадків, коли підписувач фізично володіє продуктом, та для випадків, коли кваліфікований постачальник довірчих послуг діє від імені підписувача. Для задоволення вимог обох ситуацій, а також для сприяння подальшому розвитку продуктів та стандартів оцінки, необхідних для конкретних потреб, у додатку до цього Рішення зазначаються стандарти, що охоплюють обидві ситуації.

(6) Після ухвалення цього Рішення Комісії декілька постачальників довірчих послуг вже пропонують рішення для управління даними для створення електронного підпису від імені своїх клієнтів. Сертифікація продуктів на цей момент обмежена апаратними модулями безпеки, які сертифіковані відповідно до різних стандартів, але ще не сертифіковані згідно з вимогами до засобів для створення кваліфікованих підпису та печатки. Однак поки відсутні опубліковані стандарти, такі як EN 419 211 (застосовувані до електронного підпису, створеного в середовищі, керованому повністю, але не обов’язково лише, користувачем) для рівною мірою важливого ринку сертифікованих продуктів віддаленого доступу. Оскільки стандарти, які можуть підходити для цих цілей, перебувають на стадії розробки, то Комісія доповнить це Рішення після того, як ці стандарти стануть доступні та будуть оцінені як такі, що відповідають вимогам, викладеним у додатку II до Регламенту (ЄС) № 910/2014. До того моменту, коли буде встановлено список таких стандартів, може використовуватися альтернативний процес для оцінки відповідності таких продуктів на умовах, передбачених у пункті (b) статті 30(3) Регламенту (ЄС) № 910/2014.

(7) У додатку наведено стандарт EN 419 211, який складається з різних частин (від 1 до 6), що охоплюють різні ситуації. Частина 5 EN 419 211 та частина 6 EN 419 211 містять розширення, що стосуються середовища засобу для створення кваліфікованого підпису, як, наприклад, зв’язок з надійними програмами створення підпису. Виробники продуктів вільно застосовують такі розширення. Відповідно до пункту 56 преамбули Регламенту (ЄС) № 910/2014 сфера сертифікації згідно зі статтями 30 та 39 зазначеного Регламенту обмежена до захисту даних для створення підпису, а програми створення підпису виключені зі сфери сертифікації.

(8) Для того, щоб забезпечити, що електронні підписи та печатки, генеровані засобами для створення кваліфікованих підпису та печатки, надійно захищені від підробки відповідно до вимог додатка II до Регламенту (ЄС) № 910/2014, відповідні криптографічні алгоритми, довжини ключів та функції гешування є необхідними умовами для забезпечення безпеки сертифікованих продуктів. Оскільки це питання не було гармонізовано на європейському рівні, держави-члени повинні співпрацювати для узгодження криптографічних алгоритмів, довжин ключів та функцій гешування, які повинні використовуватись у сфері електронних підписів та печаток.