1.1. Elektroninės atpažinties priemonių saugumo užtikrinimo lygio, tinkamo elektroninėms paslaugoms teikti, vertinimo metodiką;

1.2. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjų prijungimo prie Nacionalinės elektroninės atpažinties informacinės sistemos tvarkos aprašą.

1. Elektroninės atpažinties priemonių saugumo užtikrinimo lygio, tinkamo elektroninėms paslaugoms teikti, vertinimo metodika (toliau – Metodika) nustato kaip elektroniniu būdu teikiamas administracines, viešąsias ir kitas paslaugas (toliau kartu – elektroninės paslaugos) teikiantys viešojo sektoriaus subjektai turi nustatyti elektroninės atpažinties priemonės saugumo užtikrinimo lygį, suteikiantį galimybę Lietuvos Respublikos, kitų Europos Sąjungos valstybių narių, Europos ekonominės erdvės valstybių, trečiosios valstybės piliečiams ir (arba) juridiniams asmenims naudotis jų teikiamomis elektroninėmis paslaugomis. 

2. Metodikoje vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme, 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB ir 2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamente (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių.

3.  Norėdami pasinaudoti viešojo sektoriaus teikiamomis elektroninėmis paslaugomis, asmenys turi patvirtinti savo asmens tapatybę naudodamiesi kvalifikuotos elektroninės atpažinties priemonių išdavimo paslaugos teikėjo išduota elektroninės atpažinties priemone, kuriai nustatytas vienas iš trijų elektroninės atpažinties priemonės saugumo užtikrinimo lygių ir kuri atitinka arba yra aukštesnio saugumo užtikrinimo lygio, negu nustatyta kaip tinkama elektroninei paslaugai gauti. Elektroninės atpažinties priemonės saugumo užtikrinimo lygiai: 

4.  Elektroninės atpažinties priemonės lygiai suprantami taip, kaip jie apibrėžti 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, 8 straipsnio 2 dalyje.

5.  Administracinių elektroninių paslaugų gavimui naudojamasi ne žemesnio kaip pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, jeigu viešojo sektoriaus subjektas, teikiantis administracinę elektroninę paslaugą, pagal šią Metodiką nenustato, kad administracinei elektroninei paslaugai teikti reikia naudoti aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonę.

6.  Viešojo sektoriaus subjektai, teikiantys viešąsias elektronines paslaugas ir (arba) kitas elektronines paslaugas, šių paslaugų teikimui naudojamoms elektroninės atpažinties priemonėms, vadovaudamiesi Metodika nustato žemą, pakankamą arba aukštą elektroninės atpažinties priemonių saugumo užtikrinimo lygį.

7.  Viešojo sektoriaus subjekto, teikiančio elektronines paslaugas, vadovas arba jo įgaliotas asmuo patvirtina nustatytą elektroninės atpažinties priemonių saugumo užtikrinimo lygį elektroninėms paslaugoms teikti ir atsako už elektroninių paslaugų teikimo saugos įgyvendinimą.

8.  Jeigu viešojo sektoriaus subjektas, teikiantis viešąją elektroninę ir (arba) kitą elektroninę paslaugą, nenustato jokio saugumo užtikrinimo lygio viešajai elektroninei ir (arba) kitai elektroninei paslaugai teikti, gali būti naudojama pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonė.

9.  Viešojo sektoriaus subjektai, teikiantys elektronines paslaugas, turi periodiškai kas du metus arba po asmens tapatybės nustatymo saugumo incidentų pasireiškimo per dešimt darbo dienų, pakartotinai įvertinti taikytiną elektroninių atpažinties priemonių saugumo užtikrinimo lygį.

10.  Atliekant elektroninės paslaugos pakartotinį įvertinimą, turi būti atsižvelgiama į faktiškai įvykusius asmens tapatybės nustatymo saugumo incidentus, jų metu nustatytą žalą bei elektroninių paslaugų savybių bei nustatytų rizikų pokyčius.

11.  Viešojo sektoriaus subjektai atskirai registruoja saugumo incidentus, susijusius su asmens tapatybės nustatymo saugumo pažeidimais, juos tiria ir vertina. Taip pat įvertina dėl saugumo pažeidimų atsiradusią žalą elektroninių paslaugų gavėjams, elektroninių paslaugų teikėjui bei galimą incidentų pasikartojimo riziką.

12.  Jeigu informacinės sistemos ar kito skaitmeninio sprendimo priemonėmis yra teikiamos keletas skirtingų elektroninių paslaugų, prisijungimui naudotinų elektroninės atpažinties priemonių reikalingi saugumo užtikrinimo lygiai turi būti nustatomi kiekvienai elektroninei paslaugai atskirai. 

13.  Metodikos 5 ir 6 punktuose nustatytais atvejais taikytiną elektroninės atpažinties priemonių saugumo užtikrinimo lygį elektroninėms paslaugoms teikti gali įvertinti elektronines paslaugas teikianti institucija, remiantis šiame skyriuje nustatyta tvarka ir Saugumo užtikrinimo lygio nustatymo vertinimo klausimynu (Metodikos priedas). Atlikus elektroninės paslaugos vertinimą remiantis Saugumo užtikrinimo lygio nustatymo klausimynu, elektroninę paslaugą teikianti institucija pasirenka taikytiną elektroninės atpažinties priemonės saugumo užtikrinimo lygį ne žemesnį, nei nustatytas atlikus vertinimą.                                        

14.  Kiekvienas Saugumo užtikrinimo lygio nustatymo vertinimo klausimyne pateiktas klausimas yra įvertinamas teigiamu arba neigiamu balų skaičiumi. Teigiamai vertinami klausimai, didinantys elektroninės paslaugos teikimo rizikingumą, neigiamai įvertinami – mažinantys elektroninės paslaugos teikimo rizikingumą. Atsižvelgiant į pateiktus atsakymus, kinta elektroninei paslaugai suteikiamas bendras rizikingumo įvertinimas balais.

15.     Vertinant elektroninę paslaugą, atliekamas riziką didinančių veiksnių įvertinimas:

16.     Įvertinama potenciali žala elektroninės paslaugos gavėjo ir elektroninės paslaugos teikėjo duomenims ir (ar) turtui neteisingo identifikavimo atveju. Atskirai vertinama potenciali žala, tiek elektroninės paslaugos gavėjui, tiek elektroninės paslaugos teikėjui, panaudojant šiuos rizikos įverčius:

17.     Įvertinamas rizikos pasireiškimo (faktiškai įvykusių incidentų) dažnumas elektroninės paslaugos gavėjo ir elektroninės paslaugos teikėjo duomenims ir (ar) turtui neteisingo identifikavimo atveju. Sumuojant rizikos pasireiškimo dažnumo balus, jie dauginami iš suteikiamų elektroninių paslaugų kiekio koeficiento. Atskirai vertinamas potencialus rizikos pasireiškimas tiek elektroninės paslaugos gavėjui, tiek elektroninės paslaugos teikėjui, panaudojant šiuos rizikos pasireiškimo dažnumo įverčius:

18.     Įvertinamas suteikiamų elektroninių paslaugų kiekis per metus bei nustatomas rizikos pasireiškimo apskaičiavimui reikalingas koeficientas. Kuo daugiau elektroninių paslaugų yra užsakoma, tuo didesnė tikimybė, kad rizika gali pasireikšti pakartotinai:

19.     Vertinant elektroninę paslaugą, taip pat nustatomi rizikas mažinantys veiksniai:

20.     Atsižvelgiant į bendrą nustatytą rizikingumo įvertinimo balą, yra nustatomas naudotinas elektroninės atpažinties priemonių saugumo užtikrinimo lygis:

_______________________________

1.  Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjų prijungimo prie Nacionalinės elektroninės atpažinties informacinės sistemos tvarkos aprašas (toliau – Aprašas) nustato technines, organizacines priemones ir veiklas, kurias turi atlikti kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjai, siekdami prijungti savo išduotas elektroninės atpažinties priemones prie Nacionalinės elektroninės atpažinties informacinės sistemos (toliau – mazgas), kurios valdytojas ir tvarkytojas yra Valstybės skaitmeninių sprendimų agentūra (toliau – mazgo operatorius), bei reikalavimus, keliamus šiems paslaugų teikėjams.

2.  Paslaugos teikėjo teikiama paslauga prie mazgo prijungiama tiesiogiai arba naudojant paslaugų teikėjo paslaugas, kurias mazgo operatorius gali įsigyti iš tokią paslaugą teikiančio asmens ar asmenų grupės.

3.  Paslaugos teikėjo, kurio išduota elektroninės atpažinties priemonė prijungta prie mazgo, teikiama paslauga gali būti naudojama asmens tapatumui nustatyti tik asmens tapatumo nustatymo paslaugas teikiant Lietuvos Respublikos subjektams, o papildomai atlikus elektroninės atpažinties schemos notifikavimą pagal eIDAS bendradarbiavimo tinklo, įsteigto vadovaujantis 2015 m. vasario 24 d. Komisijos įgyvendinimo sprendimu (ES) 2015/296, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 12 straipsnio 7 dalį nustatomos valstybių narių bendradarbiavimo procedūrinės sąlygos, reikalavimus, asmens tapatumo nustatymo paslaugas galima teikti ir Europos Sąjungos šalių narių subjektams, teikiantiems elektronines paslaugas.

4.  Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme, 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB ir 2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamente (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių.

5.  Paslaugų teikėjas, siekdamas prijungti savo teikiamas paslaugas prie mazgo, turi pateikti integruojamos paslaugos sąsajų išsamų aprašymą kartu su veikiančiomis sąsajomis ir testavimui skirtais duomenimis. Aprašymas turi būti pakankamas, kad būtų galima patikrinti sąsajų veikimą, visi sąsajoje naudojami laukai išsamiai aprašyti. Dokumentacija turi būti pateikta tokiu pavidalu, kad būtų suprantama tiek žmogui, tiek kompiuteriui, naudojant dokumentavimui ir kūrimui skirtus įrankius (pvz. angl. Swagger ar panašius įrankius). Jei paslaugos teikimui naudojamos kitos informacinės sistemos, taip pat turi būti pateiktos kitų informacinių sistemų aprašymas, integracijų su šiomis informacinėmis sistemomis specifikacija.

6.  Pateikta dokumentacija turi aprašyti pagrindinius veikimo scenarijus, galimas klaidas ir išimtines situacijas bei turi būti pateikiami šių situacijų valdymo būdai, taip pat ribiniai veikimo scenarijai (pvz.  angl. time-out  scenarijus, atšaukto sertifikato scenarijus, neegzistuojančio asmens kodo scenarijus ir pan.).

7.  Paslaugų teikėjas turi pateikti technologines aplinkas ir prieigas prie šių aplinkų, reikalingas paslaugos prijungimo darbams atlikti, paslaugos veikimui patikrinti, stebėti paslaugos teikimą bei paslaugos eksploataciją. Visos technologinės aplinkos turi leisti pasinaudoti visomis paslaugos funkcijomis atitinkamo prijungimo proceso etapo – konstravimo, testavimo, eksploatavimo – vykdymo metu, taip pat patikrinti ribinių atvejų veikimą.

8.  Kartu su technologine aplinka turi būti pateikiami visi būtini komponentai (sertifikatai, kortelės ir pan.). Jei paslaugos teikimui yra reikalingi papildomi sprendimai (pvz. darbo vietoje diegiamos tvarkyklės, speciali įranga), turi būti pateikiami veikiantys sprendimai su išsamiomis diegimo instrukcijomis.

9.    Jei elektroninės atpažinties procesui atlikti yra reikalinga specializuota veiksmų seka ar naudotojo nukreipimas į kitą (paslaugos teikėjo) naudotojo sąsają, paslaugos teikėjas aplinką gali pateikti kaip konteinerizuotą sprendimą, turintį savo naudotojo sąsają, parengtą pagal mazgo operatoriaus naudotojo sąsajos specifikaciją. Tokiu atveju konteinerizuotas sprendimas turėtų būti pasiekiamas naudojant mazgo operatoriaus suteiktą vardą (pvz. idProviderX.epaslaugos.lt) ir turėtų būti realizuoti visi nukreipimo ir grįžimo veiksmai (sėkmingas prisijungimas, nesėkmingas prisijungimas, klaidos (tame tarpe ir techninės) tinkamas apdorojimas ir grįžimas).

10.  Paslaugų teikėjas turi pateikti šias technologines aplinkas:

11.  Paslaugos teikėjas kiekvienai aplinkai pateikia visas priemones, reikalingas paslaugos prijungimui į mazgo sprendimą. Priklausomai nuo paslaugos realizavimo, priemonės turi apimti:

12.  Atpažinties procesas realizuojamas (konstruojamas) mazgo konstravimo aplinkoje, panaudojant paslaugos teikėjo suteiktą aplinką ir priemones. Konstravimo aplinkoje parengtas procesas, atlikus vidinį testavimą, talpinamas mazgo operatoriaus kodo saugykloje.

13.  Įdiegus ir patikrinus paslaugos veikimą konstravimo aplinkoje, paslaugos prijungimo procedūra perkeliama į testavimo aplinką. Prieš atliekant testavimą testavimo aplinkoje, paslaugos teikėjas kartu su mazgo operatoriumi identifikuoja atpažinties priemonę naudojančių asmenų grupes (pvz. Lietuvos Respublikos piliečiai, Europos Sąjungos šalių narių piliečiai, interesų Lietuvoje turintys užsieniečiai ir pan.). Kiekvienai asmenų grupei turi būti parengti testavimui skirti duomenys, leidžiantys patikrinti paslaugos integracijų veikimą. Šie duomenys turi būti prieinami nuolat, t. y. įdiegus paslaugą gamybinėje aplinkoje, vėliau testavimo aplinkoje turi būti galimybė atlikti regresinį testavimą su tais duomenimis, kurie buvo naudoti priėmimo testavimo metu.

14.  Turi būti pateikti testavimui skirti duomenys ir priemonės, leidžiantys testuoti visą prisijungimo seką automatinėmis priemonėmis, be žmogaus įsikišimo. Ši informacija naudojama periodiniams automatiniams testams, atliekamiems iš mazgo infrastruktūros, vykdyti.

15.  Mazgo operatorius turi teisę testavimo duomenis naudoti neatlygintinai, neribotai ir neterminuotai, vykdydamas rankinį ar automatinį testavimą.

16.  Paslaugų teikėjas duomenis, technologines aplinkas, prieigą prie jų ir visą informaciją, nurodytą Aprašo 5-14 punktuose, pateikia prieš 2 mėnesius nuo numatomos paslaugų teikimo pradžios.

17.  Mazgo operatorius per 10 darbo dienų įvertina pateiktą informaciją, duomenis, technologines aplinkas, prieigą prie jų ir kt. ir esant neatitikimams Aprašo nustatytiems reikalavimams - apie tai informuoja paslaugų teikėją. Aprašo 16 punkte nustatytas terminas pradedamas skaičiuoti nuo mazgo operatoriaus raštiško patvirtinimo apie tinkamą informacijos, duomenų, technologinių aplinkų, prieigos prie jų ir kt., nurodytų Aprašo 5-14 punktuose, pateikimą.

18.  Paslaugos teikėjas turi nurodyti atsakingų už paslaugos teikimą asmenų kontaktinę informaciją. Apie nustatytus sutrikimus ar klaidas paslaugos teikėjas nedelsdamas turi pranešti mazgo operatoriui, pateikdamas:

19.  Mazgo operatoriui turi būti suteiktos priemonės automatiniu būdu gauti pranešimus apie  paslaugos veikimo sutrikimus ar klaidas paslaugos teikėjo gamybinėje aplinkoje.

20.  Įdiegus paslaugą, paslaugos teikėjas gauna prieigą prie mazgo integracinių sąsajų konfigūracijos, per kurias perduodama informacija apie paslaugos veikimą. Mazgo operatorius raštu informuoja Paslaugos teikėją apie suteiktą prisijungimo prie mazgo paslaugą. Paslaugos teikėjui bus suteiktos priemonės nurodyti numatomus paslaugos neveikimo laikotarpius.

21.  Mazgo operatorius turi turėti galimybę nuolat stebėti paslaugos teikimo veikimo kokybę. Paslaugos teikėjo sistemoje turi būti numatytos ir dokumentuotos priemonės, leidžiančios:

22.  Paslaugos teikėjas apie numatomus pakeitimus ir galimus sutrikimus mazgo operatorių informuoja iš anksto, nurodydamas galimų sutrikimų periodo pradžią, pabaigą bei kitą informaciją, kuri gali būti reikalinga mazgo operatoriui, reaguojant į pranešimus apie sutrikimą.

23.  Paslaugos teikėjas privalo fiksuoti informaciją apie visus su paslaugos teikimu susijusius veiksmus paslaugos teikėjo informacinėje sistemoje. Tais atvejais, kai bandymas naudotis paslauga nepavyksta ir paslauga nesuteikiama, turi būti fiksuojama informacija, kuri buvo suvesta iki nepavykusio bandymo. Informacija paslaugos teikėjo informacinėje sistemoje turi būti saugoma vienerius metus.

24.  Mazgo operatoriui turi būti sudarytos galimybės operatyviai gauti informaciją apie paslaugos teikimo metu atliktus veiksmus.

25.  Mazgo operatoriui turi būti suteiktos priemonės, leidžiančios realiu laiku stebėti paslaugos teikėjo teikiamų paslaugų statistiką, taip pat gauti už praeitus laikotarpius suteiktų paslaugų ataskaitas.

26.  Mazgo operatorius, naudodamas paslaugos teikėjo pateiktą informaciją, vykdo automatinį teikiamų paslaugų stebėjimą. Nustačius paslaugos teikimo sutrikimus, apie juos automatiškai gali būti siunčiamas pranešimas paslaugos teikėjui.

27.  Mazgo operatorius prijungimo paslaugą gali įsigyti iš tokią paslaugą teikiančio asmens ar asmenų grupės (toliau – Prijungimo paslaugos teikėjas). Šiuo atveju Prijungimo paslaugos teikėjas savo lėšomis parengia, realizuoja ir prižiūri atitinkamas integracijas su elektroninės atpažinties priemonės paslaugų teikėjais.

28.  Prijungimo paslaugos teikėjas mazgo operatoriui pateikia paslaugos integravimo specifikaciją II skyriuje nustatyta tvarka ir technines bei organizacines priemones, nurodytas III ir IV skyriuose. Prijungimo paslaugos teikėjo testavimo aplinka gali būti naudojama ir konstravimui.

29.  Prijungimo paslaugos teikėjas turi pateikti komponentus arba jų atitiktis, leidžiančias testuoti naudojimąsi visomis Prijungimo paslaugos teikėjo teikiamomis prisijungimo elektroninės atpažinties priemonėmis.

30.  Prijungimo paslaugos teikėjas atlieka visas veiklas, nurodytas IV skyriuje, integruojant Prijungimo paslaugos teikėjo prijungimo paslaugą su mazgo operatoriaus aplinka.

31.  Prijungimo paslaugos teikėjas mazgo operatoriui teikiamą informaciją turi papildyti specifine informacija, susijusia su konkrečia elektronine atpažinties priemone (pvz. sertifikatą sudariusių institucijų sertifikatai, mobilaus telefono numeris ir pan.).

32.  Integracija su Prijungimo paslaugos teikėjo teikiama prijungimo paslauga turi būti universali ir vienoda, nepriklausomai nuo Prijungimo paslaugos teikėjo gaunamų skirtingų elektroninės atpažinties priemonių paslaugų.

33.  Apie numatomus paslaugos teikimo pakeitimus, kurie aktualūs mazgo operatoriui, paslaugos teikėjas informuoja ne vėliau nei prieš 6 mėnesius iki pakeitimų realizavimo. Realizuoti pakeitimai turi būti pateikti ne vėliau nei prieš 4 mėnesius iki pakeitimų diegimo gamybinėje aplinkoje. Paslaugos teikėjas turi sudaryti galimybę testavimo aplinkoje pakeitimus išbandyti ne mažiau nei prieš 2 mėnesius iki suplanuoto diegimo mazgo operatoriaus gamybinėje aplinkoje.

34.  Visos su pakeitimais susijusios pateiktys (sertifikatai, papildomos programinės bibliotekos ir programinė įranga, kita įranga) neatlygintinai turi būti pateiktos kartu su atitinkamomis aplinkomis.

35.  Paslaugų teikėjas gali inicijuoti teikiamų paslaugų atjungimą nuo mazgo savo iniciatyva. Apie planuojamą paslaugų atjungimą nuo mazgo, paslaugų teikėjas informuoja mazgo operatorių ne vėliau kaip prieš 3 mėnesius iki planuojamos paslaugų atjungimo datos.

36.  Mazgo operatorius gali atjungti paslaugos teikėjo teikiamas paslaugas nuo mazgo po elektroninės atpažinties priežiūros institucijos pranešimo apie elektroninės atpažinties priemonės priskirto saugumo užtikrinimo lygio panaikinimą gavimo.

37.  Elektroninės atpažinties priežiūros institucijai sumažinus elektroninės atpažinties priemonės saugumo lygį, mazgo operatorius apie tai praneša institucijoms, teikiančioms elektronines paslaugas, kurioms elektroninė atpažinties priemonė tapo nepakankama paslaugoms teikti.

38.  Elektroninės atpažinties schemos notifikavimas vykdomas  eIDAS bendradarbiavimo tinklo nustatyta procedūra: https://ec.europa.eu/digital-building-blocks/wikis/display/EIDCOMMUNITY/Guidance+documents?preview=/40044784/52602661/Guidance%20on%20Notification.docx.