Europese Commissie BESCHRIJVING VAN CERTIFICERINGSPRAKTIJKEN

Transcriptie

1 EUROPESE COMMISSIE DIRECTORAAT-GENERAAL PERSONEELSZAKEN EN ADMINISTRATIE Directoraat SPS - Dienst Protocol en beveiliging Informaticabeveiliging Europese Commissie BESCHRIJVING VAN CERTIFICERINGSPRAKTIJKEN (Versie 1.0 gedateerd ) Jean Monnetgebouw, rue Alcide de Gasperi, L-2920 Luxembourg. Tel. (352) Wetstraat 200, B-1049 Brussel - België. Tel. (32)(0)

2 Inhoudsopgave (Versie 1.0 gedateerd ) INLEIDING Overzicht Identificatie Gebruikersgroep en toepasbaarheid Certificeringsautoriteit (CA) Registratieautoriteiten (RA s) Bewaarplaatsen Abonnees Vertrouwende partijen Toepasbaarheid Contactgegevens ALGEMENE BEPALINGEN Verplichtingen Verplichtingen van de CA Verplichtingen van de RA en de LRA s Verplichtingen van de abonnees Verplichtingen van de vertrouwende partijen Verplichtingen van de bewaarplaats Aansprakelijkheid [te reviseren door de Juridische dienst] Garanties en garantiebeperkingen Exoneraties en beperkingen van aansprakelijkheid Overige voorwaarden Financiële verantwoordelijkheid Vrijwaring door vertrouwende partijen Fiduciaire relaties Interpretatie en handhaving Toepasselijk recht Scheidbaarheid, voortbestaan, fusie, kennisgeving Geschillenbeslechtingsprocedures Kosten Publicatie en bewaarplaats Publicatie van CA-informatie Frequentie van publicatie

3 Toegangscontrole Bewaarplaatsen Nalevingsaudit [te implementeren] [te herzien bij implementatie] Frequentie van de nalevingsaudit Identiteit/kwalificaties van de CA-auditor Relatie van de auditor tot de geauditeerde CA Voorwerp van de audit Maatregelen genomen als gevolg van de audit Mededeling van de resultaten Beleid inzake geheimhouding Soorten informatie die niet mogen worden bekendgemaakt Soorten informatie die als publiek worden beschouwd Bekendmaking van informatie betreffende ingetrokken certificaten Bekendmaking aan rechtshandhavingsambtenaren Andere omstandigheden waarin informatie wordt bekendgemaakt Intellectuele-eigendomsrechten IDENTIFICATIE EN AUTHENTICATIE Initiële registratie Naamgeving Zinvolle naamgeving Regels voor het interpreteren van de naamgeving Unieke naamgeving Geschillenbeslechting ten aanzien van de naamgeving Erkenning, authenticatie en rollen van handelsmerken Methode om het bezit van een privé-sleutel aan te tonen Authenticatie van de identiteit van de organisatie Authenticatie van de individuele identiteit Authenticatie van de dienstbetrekking van de abonnee Authenticatie van de identiteit van de abonnee Authenticatie van apparaten of toepassingen Routinematige heruitgifte Heruitgifte na intrekking Verzoek om intrekking OPERATIONELE VEREISTEN

4 4.1. Aanvraag van certificaten Uitgifte van certificaten Acceptatie van certificaten Schorsing en intrekking van certificaten Omstandigheden waarin intrekking plaatsvindt Wie kan verzoeken om intrekking? Procedure voor een verzoek om intrekking [te implementeren] [te herzien bij implementatie] Respijtperiode voor verzoeken om intrekking Omstandigheden waarin schorsing plaatsvindt Wie kan verzoeken om schorsing? Procedure voor een verzoek om schorsing Beperking van de schorsingstermijn Uitgiftefrequentie CRL Vereisten inzake controle van de CRL Beschikbaarheid on-linecontrole van intrekking/status Vereisten voor on-linecontrole van intrekking Andere beschikbare vormen van bekendmaking van intrekking Controlevereisten voor andere vormen van bekendmaking van intrekking Bijzondere vereisten bij sleutelcompromittering Procedures voor de beveiligingsaudit [te implementeren] [te herzien bij implementatie] Soorten gebeurtenissen die worden geregistreerd Frequentie van de verwerking van auditlogs Bewaartermijn voor auditlogs Beveiliging van auditlogs Procedures voor de back-up van auditlogs Auditverzamelsysteem Kennisgeving aan het subject dat de gebeurtenis teweegbrengt Evaluatie van kwetsbare elementen Archivering van informatie [te implementeren] [te herzien bij implementatie] Soorten informatie die worden gearchiveerd Bewaartermijn voor het archief Beveiliging van het archief

5 Procedures voor de back-up van het archief Archiefverzamelsysteem Procedures om archiefinformatie te verkrijgen en te verifiëren Verandering van sleutel Compromittering en herstel na calamiteit [te implementeren] [te herzien bij implementatie] Computerhulpmiddelen, software en/of gegevens zijn beschadigd Recuperatie van sleutels van entiteiten Herstel na calamiteit Beëindiging van de werkzaamheden van de CA FYSIEKE, PROCEDURELE EN PERSONELE BEVEILIGINGSMAATREGELEN Fysieke beveiligingsmaatregelen Locatie en inrichting Fysieke toegang Stroomvoorziening en airconditioning Wateroverlast Brandpreventie en -beveiliging Opslag van gegevensdragers Afvalverwijdering Externe backup [niet van toepassing] Procedurele beveiligingsmaatregelen Vertrouwde rollen Aantal benodigde personen per taak Identificatie en authenticatie voor elke rol Personele beveiligingsmaatregelen Vereisten inzake antecedenten, kwalificaties, ervaring en bevoegdheidsverklaring Procedures voor het antecedentenonderzoek Opleidingseisen Verdere opleiding: frequentie en eisen Functieroulering Sancties wegens ongeautoriseerde handelingen Tijdelijk personeel Aan het personeel verstrekte documentatie TECHNISCHE BEVEILIGINGSMAATREGELEN

6 6.1. Genereren en installeren van het sleutelpaar Genereren van het sleutelpaar Aflevering van de privé-sleutel aan de entiteiten Aflevering van de publieke sleutel aan de uitgever van het certificaat Aflevering van de publieke sleutel van de CA aan de gebruikers Asymmetrische sleutellengten Genereren van de parameters voor publieke sleutels Controle van de kwaliteit van de parameters Genereren van de sleutels in hardware-/software Gebruik van de sleutels (volgens X.509v3-veld) Bescherming van de privé-sleutel Normen voor de cryptografische module Controle over de privé-sleutel door verschillende personen Escrow van de privé-sleutel Back-up van de privé-sleutel Archivering van de privé-sleutel Invoer van de privé-sleutel in de cryptografische module Methode om de privé-sleutel te activeren Methode om de privé-sleutel te deactiveren Methode om de privé-sleutel te vernietigen Overige aspecten van sleutelpaarbeheer Archivering van publieke sleutels Gebruiksduur voor de publieke en de privé-sleutels Activeringsgegevens Activeringsgegevens voor genereren en installeren Beveiliging van de activeringsgegevens Overige aspecten van activeringsgegevens Computerbeveiligingsmaatregelen Specifieke technische eisen inzake computerbeveiliging Kwalificatie van de computerbeveiliging Beveiligingsmaatregelen gedurende de levenscyclus Maatregelen betreffende de systeemontwikkeling Beveiligingsmaatregelen op het gebied van beheer Netwerkbeveiligingsmaatregelen

7 6.8. Veiligheidsmaatregelen betreffende het ontwerp van de cryptografische module CERTIFICAAT- EN CRL-PROFIEL Certificaatprofiel Versienummer Certificaatextensies Object-ID s van de algoritmen Naamgeving Beperkingen aan de naamgeving Objectidentificatiecode van het certificaatbeleid Gebruik van de extensie voor beleidsbeperkingen Syntaxis en semantiek van beleidsqualifiers Verwerkingssemantiek voor het kritische certificaatbeleid CRL-profiel [te herzien bij implementatie] Versienummer Extensies voor de CRL en de CRL-ingang ADMINISTRATIEVE BEPALINGEN Procedures voor wijziging van de specificaties Punten die zonder kennisgeving kunnen worden gewijzigd Wijzigingen met kennisgeving Beleid inzake publicatie en kennisgeving Procedures voor de goedkeuring van de CPS BIJLAGEN Acroniemen Definities Referentiedocumenten

8 1. INLEIDING De algemene structuur van dit document is gebaseerd op het document RFC 2527, dat een uitgebreide analyse van het thema bevat. Het uit het document RFC 2527 afgeleide raamwerk biedt een uitgebreide lijst van punten die in een beschrijving van certificeringspraktijken aan bod moeten komen. Betekenis van de volgende afspraken: normaal font: geïmplementeerd en operationeel; cursief font: nog niet geïmplementeerd, voor ontwikkeling in de toekomst; tekst tussen vierkante haken: te bespreken. De Europese Commissie is bezig met de implementatie van een publiekesleutelinfrastructuur (Public Key Infrastructure, PKI) om haar elektronische informatie te beveiligen. Deze PKI bestaat uit systemen, producten en diensten die X.509-certificaten voor publieke-sleutelcryptografie verstrekken en beheren. Dit document heeft tot doel de certificeringspraktijken te beschrijven die door de certificeringsautoriteit (CA) van de Europese Commissie - CommisSign genaamd - zijn geïmplementeerd om de betrouwbaarheid van de CA bij de uitgifte van publieke-sleutelcertificaten aan abonnees te garanderen. Het document werd opgesteld om te voldoen aan de voorschriften van het certificaatbeleid (Certificate Policy, CP) voor de Europese PKI. Het verband tussen het CP voor de PKI van de Europese Commissie en dit document is dat de CP de beleidslijnen van de CA CommisSign formuleert en dit document de bijzonderheden betreffende de implementatie van het CP verstrekt. De gebruikers van dit document moeten het CP voor de PKI van de Europese Commissie raadplegen om informatie te verkrijgen over de onderliggende beleidslijnen voor de Beschrijving van certificeringspraktijken (Certificate Practice Statement, CPS) van de CA CommisSign Overzicht Deze beschrijving van certificeringspraktijken volgt en beantwoordt aan de Public Key Infrastructure X.509, Part 4 Certificate Policy and Certification Practice Statement Framework, van de Internet Engineering Task Force (IETF PKIX). Dit document is bedoeld om te worden gebruikt door de Europese Commissie en anderen die de betrouwbaarheid van de CA CommisSign willen beoordelen en willen nagaan of haar certificaten voldoen aan hun eisen inzake de beveiliging van elektronische informatie. De praktijken in dit document ondersteunen een middelhoog beveiligingsniveau, tenzij anders wordt aangegeven. Naarmate de Europese Commissie andere beveiligingsniveaus toevoegt, zal dit document worden gewijzigd om de praktijken voor die niveaus te beschrijven. 8

9 In de CPS van de CA CommisSign wordt een beschrijving gegeven van de aanmaak, het beheer en het gebruik van publieke-sleutelcertificaten volgens X.509 versie 3 in toepassingen waarbij communicatie tussen genetwerkte computergebaseerde systemen vereist is, en toepassingen waarbij de integriteit en de geheimhouding van elektronische informatie vereist zijn. Tot dergelijke toepassingen behoren onder andere elektronische post, de transmissie van informatie tot en met EU RESTRICTED-informatie, en de digitale ondertekening van elektronische formulieren. Wanneer in dit document de term X.509-certificaten wordt gebruikt, worden daarmee certificaten overeenkomstig X.509 versie 3 bedoeld. Met de term PKIclientsoftware of PKI-software wordt de software bedoeld die binnen het domein van de CA CommisSign PKI-functionaliteit biedt. De uitgifte van een publieke-sleutelcertificaat overeenkomstig deze CPS is niet bedoeld voor de bescherming van EU CONFIDENTIAL-, EU SECRET- en EU TOP SECRET-informatie; impliceert niet dat de gebruiker over enige bevoegdheid beschikt om namens de Europese Commissie handelstransacties te verrichten. De beleidsautoriteit voor de PKI van de Europese Commissie evalueert deze CPS. De beleidsautoriteit (Policy Authority, PA) keurt alle CPS en van de CA binnen de PKI van de Europese Commissie goed. Met betrekking tot de afdwingbaarheid, de uitlegging, de interpretatie en de geldigheid van deze CPS en het bijbehorende CP zal de CA CommisSign onderworpen zijn aan de regelgeving van de Europese Commissie. De PA van de Europese Commissie is bevoegd voor het algemene beheer van de PKI van de Europese Commissie. De PA is bevoegd voor het bepalen van de beleidslijnen volgens welke de PKI van de Europese Commissie functioneert. Het behoort tot de taken van de PA om ervoor te zorgen dat de CA CommisSign handelt in overeenstemming met de beleidslijnen en praktijken die in de relevante certificerings- en certificaatdocumenten zijn vastgesteld, en om kruiscertificeringen goed te keuren en te beheren. De PA zetelt in het College van de Europese Commissie. De CA van de Europese Commissie is bevoegd voor de aanmaak en het beheer van publieke-sleutelcertificaten volgens X.509 versie 3 voor gebruik door de Europese Commissie en overeenkomstig het CP van de Europese Commissie en deze CPS. De Europese Commissie doet een beroep op een centrale registratieautoriteit (Central Registration Authority, RA) en lokale registratieautoriteiten (Local Registration Authority, LRA) om informatie te verzamelen, de identiteit te verifiëren, te autoriseren en te verzoeken om certificaatbeheershandelingen namens haar gebruikersgroep Identificatie Dit document is de Beschrijving van certificeringspraktijken (CPS) van de certificeringsautoriteit van de Europese Commissie. De hierin beschreven 9

10 praktijken zijn in overeenstemming met het beveiligingsbeleid voor de PKI van de Europese Commissie Gebruikersgroep en toepasbaarheid Deze CPS is op zodanige wijze ontworpen dat ze voldoet aan de algemene eisen van de Europese Commissie inzake publieke-sleutelcertificaten. De CA CommisSign is een certificeringsautoriteit binnen de PKI van de Europese Commissie Certificeringsautoriteit (CA) De CA CommisSign is bedoeld om te worden gebruikt binnen de Europese Commissie en eventueel met organisaties of personen die zich buiten de Europese Commissie bevinden, maar s met de Europese Commissie uitwisselen. De CA CommisSign is bevoegd voor de uitgifte, de ondertekening en het beheer van publieke-sleutelcertificaten. De CA geeft gebruikerscertificaten af aan alle personeelsleden van de Commissie, met uitsluiting van alle andere personen, voorzover dit nodig is. De CA CommisSign omvat personen die bevoegd zijn voor de algemene werking van de CA, en personen die de CA-server en de CA-software beheren en onderhouden. De beheersautoriteit (Operation Authority, OA) van de CA is bevoegd voor het opstellen en het beheer van de beschrijving van certificeringspraktijken van de CA en voor het beheer van de hoofdsleutel. De OA is bevoegd voor het beoordelen van de werkzaamheden van de RA s binnen het CA-domein. De OA rapporteert aan de PA betreffende aspecten van de werking van de CA. De CA-functionarissen zijn bevoegd voor de werking en het beheer van de CA-server en de CA-software. De CA CommisSign is bevoegd voor: de aanmaak en de ondertekening van X.509-certificaten waardoor abonnees die tot het personeel van de Commissie behoren, aan hun publieke sleutel worden gekoppeld; de verspreiding van X.509-certificaten via directory s; bekendmaking van de certificaatstatus via lijsten van ingetrokken certificaten (Certificate Revocation Lists, CRL s); [niet operationeel] het doen functioneren van de CA overeenkomstig deze CPS; de goedkeuring en de aanwijzing van personen voor het vervullen van de functie van PKI-functionaris; de beoordeling en de audit van de werkzaamheden van de RA en de LRA s binnen haar domein; 10

11 de beslechting van geschillen tussen eindgebruikers en de CA, de RA of de LRA; het doen van verzoeken om intrekking van het certificaat van een PKIfunctionaris of van RA s. Deze CPS maakt, zo nodig, het onderscheid tussen de verschillende gebruikers en rollen die toegang hebben tot de CA-functies. Wanneer dit onderscheid niet nodig is, wordt de term CA gebruikt om de gehele CAentiteit aan te duiden, inclusief de software en haar bewerkingen. (* Opmerking: een kruiscertificering moet in overeenstemming zijn met deze CPS en aanvullende voorschriften die worden vastgesteld door de PA van de Europese Commissie. Alle kruiscertificeringen tussen gebruikers van de Commissie en andere CA s zullen overeenkomstig de instructies van de PA van de Commissie geschieden. Erkenningen die tot stand komen met andere CA s, moeten worden gedocumenteerd en de toepasselijke exoneraties moeten de gebruikers van de Commissie beschikbaar worden gesteld.) Registratieautoriteiten (RA s) Een registratieautoriteit (RA) is een entiteit die bevoegd is voor de administratie van de eindentiteit namens de CA van de Commissie. Er is één centrale registratieautoriteit (RA) en er zijn diverse lokale registratieautoriteiten (LRA s). De termen RA/LRA worden gebruikt voor de aanduiding van een persoon binnen de Europese Commissie die over RA/LRA-privileges beschikt en de RA/LRA-functies vervult. De RA is bevoegd voor: het identificeren en authentiseren van de administratieve identiteit van certificaataanvragers; het aanmaken en wijzigen van de SubjectName op het certificaat; het bekijken van auditlogs en het melden van verdachte gebeurtenissen aan de CA-beheersautoriteit; en het opstellen van diverse rapporten over de gebruikersstatus. De LRA is bevoegd voor: het identificeren en authentiseren van de fysieke identiteit van certificaataanvragers; het verifiëren van de authenticiteit van de certificaataanvraag; het verifiëren van de SubjectName van de gebruiker; 11

12 het ontvangen en verspreiden van informatie betreffende de autorisatie van de abonnee; het uitvoeren van certificaat- en managementtaken voor hun eindentiteiten (bv. gebruikers activeren, gebruikerscertificaten desactiveren/schorsen); het actualiseren van certificaten, [het intrekken van certificaten en] het beheren van de sleutelrecuperatie voor eindentiteiten Bewaarplaatsen De CA CommisSign gebruikt de directory van de Europese Commissie om certificaten, CRL s [en lijsten van gerevoceerde autoriteiten (Authority Revocation Lists, ARL s) te publiceren en te verspreiden. Het directoraat Informatica beheert de directory van de Europese Commissie. De directory is 24 uren per dag beschikbaar, terwijl operationele ondersteuning beschikbaar is gedurende 12 uren per dag, 5 dagen per week Abonnees De abonnees gebruiken privé-sleutels die door de CA CommisSign zijn [uitgegeven en/of] gecertificeerd voor goedgekeurde toepassingen. De abonnees behoren tot het personeel van de Commissie. Er kan een certificaat worden uitgegeven aan een functionele mailbox. In dit geval moet de persoon die voor deze niet-menselijke eindentiteit verantwoordelijk is, een certificaat voor deze entiteit aanvragen en in stand houden. Deze persoon kan zijn rechten aan een tweede persoon (als reservepersoon) delegeren. Bovendien kunnen de abonnees de door de CA CommisSign uitgegeven certificaten gebruiken om informatie te versleutelen voor en de digitale handtekeningen te verifiëren van andere abonnees (binnen het domein van de CA CommisSign, alsmede domeinen met kruiscertificering). In die hoedanigheid zijn de abonnees ook vertrouwende partijen. In deze CPS wordt de term eindentiteit gebruikt voor de aanduiding van gebruikers in het algemeen, inclusief hun rol als abonnee en als vertrouwende partij. Wanneer die rollen in deze CPS van elkaar moeten worden gescheiden, wordt de term abonnee gebruikt om een eindentiteit aan te duiden als certificaatsubject, terwijl de term vertrouwende partij wordt gebruikt om een eindentiteit aan te duiden die door de CA CommisSign uitgegeven certificaten verifieert Vertrouwende partijen Een vertrouwende partij kan ofwel een certificaatsubject van de CA CommisSign zijn of een abonnee van een externe CA die [een kruiscertificeringsovereenkomst heeft gesloten met] haar vertrouwen heeft gesteld in de CA CommisSign. De rechten en verplichtingen van een vertrouwende partij die certificaatsubject van de CA CommisSign is, worden in deze CPS beschreven. [De rechten en verplichtingen van een 12

13 vertrouwende partij die tot een externe CA behoort, worden beschreven in de kruiscertificeringsovereenkomst tussen de twee eigenaars van de CA s] Toepasbaarheid De in deze CPS beschreven praktijken zijn van toepassing op de CA CommisSign en haar beheerders, de RA s van de Europese Commissie en hun beheerders, de door de CA CommisSign gebruikte bewaarplaats, de door de CA CommisSign gecertificeerde eindentiteiten, en de vertrouwende partijen. De in deze CPS beschreven praktijken zijn geschikt voor certificaatdoeleinden zoals elektronische authenticatie, autorisatie en gegevensintegriteit voor de informatie van de Europese Commissie tot en met kritieke informatiesystemen (zie het ICT-beveiligingsbeleid). De in deze CPS beschreven praktijken zijn geschikt voor certificaatdoeleinden zoals geheimhouding van de informatie van de Europese Commissie tot en met EU RESTRICTED (zie het ICTbeveiligingsbeleid). Verboden toepassingen zijn de toepassingen die door de PA van de Europese Commissie aldus worden aangemerkt. In het algemeen zijn de uitgegeven certificaten verboden voor de volgende toepassingen: toepassingen die EU CONFIDENTIAL-, EU SECRET- en EU TOP SECRET-informatie gebruiken of bevatten; toepassingen die niet relevant zijn voor de werkzaamheden van de Commissie Contactgegevens De Dienst Protocol en beveiliging van de Europese Commissie beheert deze CPS. De contactpersoon is: de heer Gérard BREMAUD CommisSign CA Operations Authority Dienst Protocol en beveiliging Jean Monnetgebouw B2/072 L-2920 LUXEMBOURG 13

14 2. ALGEMENE BEPALINGEN 2.1. Verplichtingen Verplichtingen van de CA De CA CommisSign moet zich houden aan de bepalingen van het ICTbeveiligingsbeleid, alle bepalingen van deze CPS en aan de relevante Europese en nationale voorschriften. De CA CommisSign is verplicht: een beschrijving van certificeringspraktijken op te stellen, te onderhouden en te publiceren; CA-diensten te verlenen overeenkomstig de in deze CPS beschreven praktijken; CA-serverdiensten te verlenen gedurende 7 dagen per week, 24 uren per dag, met dien verstande dat dit geen garantie voor 100% beschikbaarheid is (de beschikbaarheid kan worden verminderd door systeemonderhoud, systeemreparaties of door factoren waarop de CA geen invloed heeft); certificaten te verstrekken aan het personeel van de Europese Commissie [en aan andere CA s] overeenkomstig de praktijken zoals beschreven in deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; certificaten in te trekken bij ontvangst van een geldig verzoek daartoe, overeenkomstig de praktijken zoals beschreven in deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; diensten voor sleutelrecuperatie te verlenen overeenkomstig de praktijken zoals beschreven in deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; regelmatig CRL s[ en ARL s] uit te geven en te publiceren overeenkomstig deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; anderen (bv. vertrouwende partijen) in kennis te stellen van de uitgifte/intrekking van certificaten door het verlenen van toegang tot certificaten, CRL s [en ARL s] in de bewaarplaats van de CA CommisSign; ervoor te zorgen dat de abonnee- en RA-groepen van de CA CommisSign geïnformeerd zijn over en zich houden aan deze CPS, door de publicatie van de CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie en de audit van RA s binnen het domein van de CA CommisSign; 14

15 in overleg met de PA van de Europese Commissie te zorgen voor corrigerende maatregelen wanneer tijdens een audit tekortkomingen bij de CA of bij RA s worden geconstateerd; bij de PA verslag uit te brengen over de stand van de corrigerende maatregelen. Zodra een abonneecertificaat is aangemaakt, wordt het in de directory van de Europese Commissie gepubliceerd. Wanneer een abonneecertificaat wordt ingetrokken, wordt het schriftelijk in de CRL bekendgemaakt en in de directory van de Europese Commissie gepubliceerd. Door een certificaat in de directory van de Europese Commissie te publiceren verklaart de CA CommisSign dat zij een certificaat aan de genoemde abonnee heeft verstrekt, dat de in het certificaat opgenomen informatie werd geverifieerd overeenkomstig de CPS, en dat de abonnee het certificaat heeft geaccepteerd. De CA CommisSign brengt de rechten en verplichtingen die een abonnee en een vertrouwende partij op grond van deze CPS hebben, ter kennis door de publicatie van deze CPS en van het X.509-certificaatbeleid voor de PKI van de Europese Commissie. De CA CommisSign beschermt haar privé-sleutels overeenkomstig de bepalingen van punt 6 van deze CPS. [De CA CommisSign beschermt de privé-sleutels die zij bezit of opslaat, overeenkomstig de punten 4 en 6 van deze CPS]. De handtekeningssleutel van de CA CommisSign wordt gebruikt voor de ondertekening van certificaten en CRL s. [De CA CommisSign mag slechts kruiscertificaten met andere CA s uitgeven en ondertekenen indien zij daarvoor uitdrukkelijk toestemming van de PA van de Europese Commissie heeft verkregen.] Verplichtingen van de RA en de LRA s De RA en de LRA s van de Europese Commissie binnen het domein van de CA CommisSign zijn verplicht zich te houden aan de bepalingen van deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie. De RA is verplicht: RA-diensten aan zijn respectieve LRA s te verlenen. De werktijden voor de RA zijn de normale werktijden van de Commissie; ervoor te zorgen dat de RA-diensten in overeenstemming zijn met de in dit document beschreven relevante praktijken en met het X.509- certificaatbeleid voor de PKI van de Europese Commissie; 15

16 verantwoording af te leggen voor transacties die namens de CA worden verricht; haar abonnees te attenderen op alle relevante informatie betreffende de rechten en verplichtingen van de CA, de RA en de abonnee, zoals beschreven in deze CPS, de abonneeovereenkomst en alle andere relevante documenten waarin de gebruiksvoorwaarden zijn vastgesteld. Wanneer de RA op de CA-server inlogt om een certificaatverzoek te verwerken, verklaart de RA dat zij de identiteit van de abonnee in kwestie heeft geauthentiseerd overeenkomstig de in de punten 3 en 4 van deze CPS beschreven praktijken. De LRA s zijn verplicht: de juistheid en de authenticiteit van de door de certificaataanvragers verstrekte informatie te verifiëren (de LRA s voeren deze verificatie uit namens de CA CommisSign); [te verzoeken om intrekking van de certificaten van een abonnee overeenkomstig de bepalingen van dit document;] ervoor te zorgen dat de LRA-diensten in overeenstemming zijn met de in dit document beschreven relevante praktijken en met het X.509- certificaatbeleid voor de PKI van de Europese Commissie; verantwoording af te leggen voor transacties die namens de CA worden verricht; verzoeken om de uitgifte [en de intrekking] van certificaten te behandelen; de abonnee in kennis stellen van de goedkeuring van het verzoek en van eventuele verdere handelingen die van de abonnee worden verlangd. Elke RA en LRA moet ervoor zorgen dat haar privé-sleutels beschermd zijn overeenkomstig de in punt 6 van deze CPS beschreven maatregelen. De RA en de LRA mogen hun privé-sleutel uitsluitend gebruiken voor de werkzaamheden van de Europese Commissie en voor de doeleinden die zijn toegestaan overeenkomstig het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS Verplichtingen van de abonnees In het domein van de CA CommisSign zijn de eindentiteiten zowel abonnees als vertrouwende partijen. Als abonnee zijn zij verplicht: zowel tegenover de CA CommisSign als de RA te allen tijde in te staan voor de juistheid van de informatie in hun certificaten en van andere identificatie- en authenticatie-informatie; 16

17 de certificaten uitsluitend te gebruiken voor legale en toegestane werkzaamheden van de Europese Commissie in overeenstemming met het toepasselijke certificaatbeleid en deze CPS; de privé-sleutels te beschermen door ze op te slaan op een harde schijf, [op een smartcard] of op een diskette, afhankelijk van de implementatie in het DG; de privé-sleutelondersteuning te verwijderen van de computer wanneer deze niet wordt gebruikt bij opslag van de privé-sleutels op een diskette [of op een smartcard]; de privé-sleutelondersteuning bij zich te houden of in een veilige, gesloten ruimte te bewaren bij opslag van de privé-sleutels op een diskette [of op een smartcard]; hun abonneepassword te beschermen conform de ICTbeveiligingsvoorschriften; hun LRA binnen 48 uren op de hoogte te brengen van wijzigingen in de informatie die in hun certificaat of certificaataanvraag is opgenomen; hun LRA binnen 8 uren op de hoogte te brengen van een vermoeden van compromittering van één van hun privé-sleutels of van beide; redelijke voorzorgsmaatregelen te nemen om verlies, bekendmaking, wijziging of ongeautoriseerd gebruik van hun privé-sleutels te voorkomen. Door zich te houden aan de in deze CPS beschreven praktijken voldoen de abonnees aan de verplichtingen die op hen rusten op grond van de beleidslijnen volgens welke hun certificaten zijn uitgegeven. [Door een certificaatverzoek (d.w.z. uitgifte, intrekking, recuperatie) te ondertekenen, verklaart een abonnee aan de CA CommisSign en de RA dat de aan de CA of de RA verstrekte informatie compleet en juist is.] De abonnees mogen hun privé-sleutels uitsluitend gebruiken voor de werkzaamheden van de Europese Commissie en voor de doeleinden die zijn toegestaan overeenkomstig het beveiligingsbeleid voor de PKI van de Europese Commissie en deze CPS Verplichtingen van de vertrouwende partijen In het domein van de CA CommisSign zijn de eindentiteiten zowel abonnees als vertrouwende partijen. Als vertrouwende partij zijn zij verplicht: het vertrouwen op door de CA CommisSign uitgegeven certificaten te beperken tot de passende gebruiksdoeleinden voor deze certificaten overeenkomstig het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS; 17

18 certificaten te verifiëren, met inbegrip van het gebruik van CRL s [en ARL s], [rekening houdend met kritische extensies]. [(De verificatie van certificaten is in overeenstemming met de procedure voor het valideren van het certificeringspad, zoals gespecificeerd in ITU-T Recommendation X.509 Information Technology Open Systems Interconnection The Directory: Authentication Framework ISO/IEC (1997).)] alleen te vertrouwen op en gebruik te maken van certificaten indien een geldige certificaatketen tussen de vertrouwende partij en het certificaatsubject tot stand wordt gebracht. Alvorens een abonneecertificaat te gebruiken, moet een vertrouwende partij zich ervan vergewissen dat het geschikt is voor het bedoelde gebruik door kennis te nemen van het beleid en de CPS op grond waarvan het certificaat werd uitgegeven. Vertrouwende partijen moeten de handtekening van de CA CommisSign en de afloopdatum op een certificaat valideren alvorens de bijbehorende publieke sleutel te gebruiken. Bovendien moet de vertrouwende partij de digitale handtekening van de abonnees verifiëren alvorens digitaal ondertekende gegevens te accepteren. Wanneer de verificatie automatisch plaatsvindt door middel van een cryptografisch proces en ondersteunende hardware/software die op het werkstation van de vertrouwende partij is geïnstalleerd, moet de vertrouwende partij ervoor zorgen dat zij compatibele software gebruikt. Alvorens een certificaat te gebruiken, moeten de vertrouwende partijen de certificaatstatus controleren aan de hand van een actuele CRL. De vertrouwende partijen moeten de digitale handtekening van de CRL verifiëren om zich ervan te vergewissen dat ze door de CA CommisSign werd ondertekend Verplichtingen van de bewaarplaats [Root-certificaten van de CommisSign, de CPS, CRL's [en abonneecertificaten] zijn beschikbaar voor de vertrouwende partijen overeenkomstig de praktijken die zijn beschreven in punt 4.4 Uitgiftefrequentie CRL van deze CPS.] 2.2. Aansprakelijkheid [te reviseren door de Juridische dienst] [Aangezien de functies van de CA CommisSign en de RA door de Europese Commissie worden vervuld, worden de aan beide functies verbonden aansprakelijkheden in deze CPS gecombineerd. De CA CommisSign, de RA, de LRA en de Europese Commissie nemen geen enkele aansprakelijkheid op zich met betrekking tot het gebruik van de PKI-certificaten van de Europese Commissie of bijbehorende publieke/privé-sleutelparen voor andere doeleinden dan die welke in het certificaatbeleid voor de PKI van de Europese Commissie en deze CPS worden beschreven. 18

19 Garanties en garantiebeperkingen De CA CommisSign en de RA garanderen en beloven: certificeringsdiensten te verlenen in overeenstemming met het certificaatbeleid zoals beschreven in het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS; de identificatie- en authenticatieprocedures uit te voeren zoals beschreven in punt 3 van deze CPS; sleutelbeheersdiensten te verlenen, met inbegrip van de uitgifte, de publicatie en de intrekking van certificaten, de recuperatie en de actualisering van sleutels, in overeenstemming met het certificaatbeleid zoals beschreven in het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS. De Europese Commissie en haar personeel hanteren geen andere representaties, garanties en condities, expliciet of impliciet, dan die welke uitdrukkelijk zijn vermeld in het certificaatbeleid voor de PKI van de Europese Commissie en deze CPS Exoneraties en beperkingen van aansprakelijkheid De Europese Commissie, de CA CommisSign en de RA s zijn niet aansprakelijk voor verlies: van CA- of RA-dienstverlening ten gevolge van oorlog, natuurrampen of andere gevallen van overmacht; geleden tussen het tijdstip waarop een certificaat wordt ingetrokken en de volgende geplande uitgifte van een CRL; ten gevolge van het ongeautoriseerde gebruik van door de CA CommisSign uitgegeven certificaten en het gebruik van certificaten voor andere doeleinden dan die welke zijn omschreven in het X.509- certificaatbeleid voor de PKI van de Europese Commissie en deze CPS; veroorzaakt door frauduleus of onachtzaam gebruik van door de CA CommisSign uitgegeven certificaten en/of CRL s [en/of ARL s]; ten gevolge van de bekendmaking van persoonsgegevens die in certificaten en revocatielijsten zijn opgenomen. De CA CommisSign en de RA s wijzen alle garanties en verplichtingen, van welke aard ook, af, met inbegrip van garanties van verhandelbaarheid, garanties van geschiktheid voor enig specifiek doel en garanties van juistheid van de verstrekte informatie (behalve dat ze afkomstig is van een erkende bron), en wijzen voorts iedere aansprakelijkheid af voor nalatigheid en gebrek aan redelijke zorg bij de abonnees en de vertrouwende partijen. De Europese Commissie, de CA CommisSign, de RA en de LRA s wijzen iedere aansprakelijkheid, van welke aard ook, af voor scheidsrechterlijke 19

20 uitspraken, schade of andere vorderingen of verplichtingen die voortvloeien uit een onrechtmatige daad, een contract of enige andere oorzaak, met betrekking tot een dienst die verband houdt met de uitgifte en het gebruik van of het vertrouwen op het PKI-certificaat van de Europese Commissie of het bijbehorende publieke/privé-sleutelpaar dat door een abonnee of een vertrouwende partij wordt gebruikt. Verzoekers en vertrouwende partijen kunnen geen schadeloosstelling eisen voor verliezen die het gevolg zijn van het ongepaste of frauduleuze gebruik van deze PKI. Bovendien zijn de CA CommisSign en de RA s geen intermediair voor transacties tussen abonnees en vertrouwende partijen. Vorderingen tegen de CA CommisSign en/of de RA zijn beperkt tot het aantonen dat de CA of de RA heeft gehandeld op een wijze die niet in overeenstemming is met het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS.] Overige voorwaarden [Niet van toepassing.] 2.3. Financiële verantwoordelijkheid Vrijwaring door vertrouwende partijen Niet van toepassing Fiduciaire relaties De uitgifte van certificaten door de CA CommisSign en de assistentie daarbij door de RA van de Europese Commissie impliceren niet dat de Europese Commissie of haar CA of RA handelen als agent, zaakwaarnemer, lasthebber of andere vertegenwoordiger van verzoekers of vertrouwende partijen, of van andere verantwoordelijke personen die gebruik maken van de PKI van de Europese Commissie Interpretatie en handhaving Toepasselijk recht De Europese en de nationale regelgeving zijn van toepassing op de afdwingbaarheid, de uitlegging, de interpretatie en de geldigheid van deze CPS Scheidbaarheid, voortbestaan, fusie, kennisgeving Splitsing of fusie kunnen leiden tot veranderingen in het werkterrein, het beheer en/of de werking van de CA CommisSign. In dat geval kan het ook nodig zijn het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS te wijzigen. Wijzigingen in de werkzaamheden zullen plaatsvinden in overeenstemming met de administratieve bepalingen van punt 8 van deze CPS. 20

21 Geschillenbeslechtingsprocedures Geschillen betreffende het sleutel- en certificaatbeheer tussen de Europese Commissie en een organisatie of persoon buiten de Europese Commissie worden door middel van een geschikt geschillenbeslechtingsmechanisme geregeld. Indien mogelijk wordt het geschil door onderhandelingen beslecht. Geschillen die niet door onderhandelingen worden beslecht, worden via arbitrage door de PA van de Europese Commissie geregeld. Binnen het domein van de CA CommisSign worden geschillen tussen gebruikers van de Europese Commissie, van wie de ene optreedt in de rol van abonnee en de andere in de rol van vertrouwende partij, of tussen gebruikers van de Europese Commissie en de CA of de RA, eerst bij de OA van de CA CommisSign gemeld met het oog op het vinden van een regeling Kosten Niet van toepassing Publicatie en bewaarplaats Publicatie van CA-informatie De CA CommisSign publiceert het volgende: de root-certificaten van de CommisSign op een website; kopieën van [het ICT-beveiligingsbeleid voor de Europese Commissie en] deze CPS op een website; alle door de CA CommisSign uitgegeven publieke-sleutelcertificaten in de directory van de Europese Commissie; de recentste CRL van door de CA CommisSign ingetrokken publiekesleutelcertificaten van gebruikers in de directory van de Europese Commissie en op een website; [de recentste ARL van de door de PA van de Commissie gerevoceerde externe certificeringsautoriteiten in de directory van de Europese Commissie] Frequentie van publicatie De door de CA CommisSign uitgegeven certificaten worden, zodra ze geactiveerd zijn, eenmaal per dag overgebracht naar de directory van de Europese Commissie. Ingetrokken certificaten worden opgenomen in CRL s, die overeenkomstig punt 4.4 Uitgiftefrequentie CRL van deze CPS worden bekendgemaakt. [Ingetrokken kruiscertificaten worden opgenomen in ARL s, die overeenkomstig punt 4.4 Uitgiftefrequentie CRL van deze CPS worden bekendgemaakt.] 21

22 Toegangscontrole De CPS van de CA CommisSign en het certificaatbeleid voor de Europese Commissie zijn read-only toegankelijk op de website. Alleen het personeel van de CA CommisSign heeft toegang tot deze documenten om erin te schrijven of ze te wijzigen. [Certificaten en CRL s zijn via de directory van de Europese Commissie read-only beschikbaar. Alleen de CA CommisSign heeft de bevoegdheid om te lezen/schrijven en te wissen.] Bewaarplaatsen Als bewaarplaats voor door de CA CommisSign uitgegeven certificaten, CRL s [en ARL s] fungeert het directorysysteem van de Europese Commissie. [Het protocol dat wordt gebruik om toegang te krijgen tot de directory, is het Lightweight Directory Access Protocol (LDAP), versie 2, zoals gespecificeerd in Request for Comment (RFC) 1777 Lightweight Directory Access Protocol (1995). Het LDAP, versie 2, wordt gebruikt over TCP transport, zoals omschreven in punt 3.1 van RFC 1777.] [Bij transmissie in LDAP-verzoeken en -resultaten worden de in X.500 gedefinieerde attributen gecodeerd door middel van stringrepresentaties zoals omschreven in RFC 1778 The String Representation of Standard Attribute Syntaxes (1995). Deze stringcoderingen waren gebaseerd op de attribuutdefinities uit X.500 (1988). De stringrepresentaties van wat hierna volgt gelden dus voor certificaten van versie 1 en revocatielijsten van versie 1: usercertificate (RFC 1778, punt 2.25) cacertificate (RFC 1778, punt 2.26) authorityrevocationlist (RFC 1778, punt 2.27) certificaterevocationlist (RFC 1778, punt 2.28) crosscertificatepair (RFC 1778, punt 2.29) Aangezien in deze CPS gebruik wordt gemaakt van certificaten van versie 3 en revocatielijsten van versie 2, zoals gedefinieerd in X.509, is de stringcodering van deze attributen overeenkomstig RFC 1778 ongeschikt. Om die reden worden deze attributen gecodeerd met behulp van een syntaxis die vergelijkbaar is met de syntaxis Undefined uit punt 2.1 van RFC 1778: de waarden van deze attributen worden gecodeerd alsof het waarden van het type OCTET STRING zijn, waarbij de stringwaarde van de codering de DER-codering van de waarde zelf is.] De bewaarplaats voor deze CPS en het certificaatbeleid voor de Europese Commissie is een website die toegankelijk is op [URL nog te bepalen]. 22

23 2.7. Nalevingsaudit [te implementeren] [te herzien bij implementatie] Frequentie van de nalevingsaudit Elk jaar wordt een volledige en formele audit betreffende de werking van de CA CommisSign uitgevoerd. De PA kan naar eigen goeddunken te allen tijde opdracht geven tot het uitvoeren van een audit door een auditor. De CA CommisSign behoudt zich het recht voor te verzoeken om periodieke inspecties en audits van RA-faciliteiten binnen het domein van de CA CommisSign, teneinde zich ervan te vergewissen dat de RA functioneert overeenkomstig de in deze CPS beschreven beveiligingspraktijken en -procedures Identiteit/kwalificaties van de CA-auditor Personen of entiteiten die een nalevingsaudit willen uitvoeren, moeten door de PA worden goedgekeurd. De auditor moet audits van CA s of van de beveiliging van informatiesystemen als zijn hoofdactiviteit uitvoeren, het bewijs leveren van aanzienlijke ervaring met PKI- en cryptografische technologieën en met de werking van relevante PKI-software, en aantonen dat hij vertrouwd is met de beleidsvormen en de regelgeving van de Europese Commissie Relatie van de auditor tot de geauditeerde CA De door de PA goedgekeurde auditor en de CA CommisSign zijn afzonderlijke entiteiten binnen de organisatiestructuur van de Europese Commissie Voorwerp van de audit De nalevingsaudit heeft betrekking op de tenuitvoerlegging van de in deze CPS beschreven technische, procedurele en personele praktijken door de CA CommisSign en de RA. Enkele bijzondere aandachtspunten voor de audit zijn: identificatie en authenticatie; operationele functies/diensten; fysieke, procedurele en personele beveiligingsmaatregelen; technische beveiligingsmaatregelen Maatregelen genomen als gevolg van de audit Indien gebreken worden geconstateerd, kunnen drie maatregelen worden genomen: (1) voortwerken zoals voordien; 23

24 (2) voortwerken, maar op een lager beveiligingsniveau; (3) de werking schorsen. Indien een gebrek wordt geconstateerd, beslist de auditor, mede aan de hand van door de PA van de Europese Commissie verstrekt materiaal, welke van deze maatregelen moet worden genomen. De beslissing over de te nemen maatregel wordt gebaseerd op de ernst van de onregelmatigheden, de eraan verbonden risico s en de verstorende invloed op de gemeenschap die de certificaten gebruikt. Indien maatregel 1 of 2 wordt genomen, dienen de PA van de Europese Commissie en de OA ervoor te zorgen dat binnen 30 dagen corrigerende maatregelen worden genomen. Na verloop van die termijn, of eerder indien dit door de PA en de auditor wordt goedgekeurd, zal het auditteam een nieuwe evaluatie maken. Indien uit de nieuwe evaluatie blijkt dat geen corrigerende maatregelen zijn genomen, beslist de auditor of strengere maatregelen (bv. maatregel 3) noodzakelijk zijn. Indien maatregel 3 wordt genomen, worden alle door de CA CommisSign uitgegeven certificaten, inclusief certificaten van eindentiteiten en CAkruiscertificaten, ingetrokken voordat de dienst wordt geschorst. De PA van de Europese Commissie en de OA van de CA van de Europese Commissie moeten wekelijks bij de auditor verslag uitbrengen over de status van corrigerende maatregelen. De PA en de auditor beslissen samen wanneer de nieuwe evaluatie moet plaatsvinden. Indien bij de nieuwe evaluatie wordt geoordeeld dat de gebreken verholpen zijn, hervat de CA CommisSign de dienstverlening en worden nieuwe certificaten uitgegeven aan eindentiteiten en andere externe CA s, afhankelijk van de voorwaarden die in individuele kruiscertificeringsovereenkomsten zijn vastgesteld Mededeling van de resultaten De resultaten van de jaarlijkse audit worden meegedeeld aan de PA van de Europese Commissie, aan de CA CommisSign en aan elke ITbeveiligingsmanager van de LRA s van de Europese Commissie. In het geval van maatregel 2 beslist de PA van de Europese Commissie in overleg met de auditor of de abonnees van de maatregel op de hoogte moeten worden gebracht. In het geval van maatregel 3 zorgt de PA van de Europese Commissie ervoor dat alle gebruikers in kennis worden gesteld van de maatregel. Mededelingen waarbij de abonnees in kennis worden gesteld van gebreken en maatregelen, gebeuren zo mogelijk via . Indien een abonnee geen toegang heeft, wordt hem via de postdienst van de Europese Commissie een nota toegezonden. De wijze waarop de auditresultaten ter kennis worden gebracht van CA s die een kruiscertificering met de CA CommisSign hebben, wordt in detail bepaald in de kruiscertificeringsovereenkomst tussen beide partijen. Tenzij in een specifieke kruiscertificeringsovereenkomst anders wordt bepaald, worden de auditresultaten niet meegedeeld aan personen buiten de Europese Commissie. 24

25 2.8. Beleid inzake geheimhouding Alle informatie die door de PA van de Europese Commissie wordt beschouwd als informatie die niet tot het publieke domein behoort, wordt geheimgehouden Soorten informatie die niet mogen worden bekendgemaakt De privé-handtekeningssleutel van elke abonnee wordt geclassificeerd als voorbehouden (restricted) aan die abonnee. De CA CommisSign en de centrale RA hebben geen toegang tot deze sleutels. De privé-vertrouwelijkheidssleutel van elke abonnee wordt geclassificeerd als voorbehouden aan die abonnee. Op tijdelijke basis is slechts één set publieke/privé-sleutel beschikbaar en die is gerelateerd aan de privé-vertrouwelijkheidssleutel (Confidentiality Private Key). Al wat betrekking heeft op een handtekeningssleutel, is niet van toepassing. Van de privé-vertrouwelijkheidssleutels wordt echter door de LRA een back-up gemaakt en ze worden beschermd overeenkomstig punt 6 van deze CPS. De in audit-trails bewaarde informatie wordt beschouwd als voorbehouden aan de Europese Commissie en mag niet buiten de instelling worden bekendgemaakt, tenzij dit op grond van wet- of regelgeving verplicht is. Het verzamelen van persoonsgegevens kan vallen onder de voorschriften inzake het verzamelen, het onderhoud, het bewaren en de bescherming van Verordening nr. 45/2001 van het Europees Parlement en de Raad van 18 december Persoonsgegevens die door de CA CommisSign of de RA lokaal worden opgeslagen, moeten als voorbehouden worden behandeld, en toegang daartoe mag alleen worden verleend aan degenen die officieel van de informatie kennis moeten kunnen nemen om hun officiële taken te vervullen. Persoons- en bedrijfsgegevens die door de PA, CA en RA van de Europese Commissie worden bewaard en die niet uitdrukkelijk als onderdeel van een certificaat, een CRL [of een ARL] worden gepubliceerd, worden als voorbehouden beschouwd en mogen niet worden bekendgemaakt, tenzij dit op grond van wet- of regelgeving verplicht is. In het algemeen worden de resultaten van de jaarlijkse audits als voorbehouden behandeld, met uitzonderingen zoals aangegeven in punt 2.7 Mededeling van de resultaten van deze CPS. In het algemeen zullen auditlogs niet publiek beschikbaar zijn. Alle door de CA CommisSign bewaarde sleutels worden als voorbehouden beschouwd en mogen alleen worden bekendgemaakt aan een erkende organisatorische autoriteit van de Europese Commissie overeenkomstig deze CPS en het beveiligingsbeleid voor de PKI van de Europese Commissie, of aan een rechtshandhavingsambtenaar overeenkomstig de regelgeving van de 25