Europakommisjonens forslag til forordning om eID og e-signatur m.m.

Status: Ferdigbehandlet

Høringsfrist: 03.12.2012

Vår ref.: 201203327-1

 

1.   Innledning

Europakommisjonen fremmet 4. juni 2012 et forslag til forordning om et felles rammeverk for elektronisk identifikasjon, elektronisk signatur og andre relaterte «tillitstjene­ster» ((COM(2012) 238 final). Formålet med endringene er å legge til rette for økt elek­tronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS og dermed bidra til sterkere økonomisk vekst i det indre marked.

Det nye rammeverket skal sikre

  • gjensidig aksept av løsninger for elektronisk identifikasjon (eID). Privatpersoner og bedrifter skal kunne bruke sin nasjonale eID for å få tilgang til offentlige tjenester i andre land som benytter eID. 
  • gjensidig aksept av elektronisk signatur og andre tillitstjenester. Dagens regler om elektronisk signatur styrkes, og det innføres regler om elektroniske «segl», elektronisk tidsstempling, aksept av elektroniske dokumenter, elektroniske leveringstjenester og autentisering av websider.

Forslaget ligger vedlagt i engelsk versjon. På Europakommisjonens nettside finnes ytterligere informasjon om forslaget og flere språkversjoner; http://ec.europa.eu/information_society/policy/esignature/eu_legislation/regulation/index_en.htm

Forslaget sendes med dette til alminnelig høring. Nærings- og handelsdepartementet ønsker å få belyst konsekvensene av å gjennomføre forslaget i norsk rett og hvilke endringer som det eventuelt er ønskelig at norske myndigheter arbeider for i den videre lovgivningsprosessen i EU. Forslaget vil bli fulgt opp i samarbeid med Fornyings-, administrasjons- og kirkedepartementet, som er ansvarlig for reglene om eID.

2.   Nærmere om forslaget

Europakommisjonen viser til at direktivet om elektronisk signatur (direktiv 1999/93) har ført til at alle EU/EØS-landene har regler om elektronisk signatur. (I Norge er e-signaturdirektivet gjennomført i lov 15. juni 2001 nr. 81 om elektronisk signatur.) De nasjonale reglene er imidlertid uensartede og utgjør en barriere mot grensekryssende, elektroniske transaksjoner. Videre er det behov for felles regler om andre typer tillitstjenester.

Forordningsforslaget utvider virkeområdet i forhold til dagens e-signatur­direktiv, og tilbyderne av elektroniske tillitstjenester får flere plikter å forholde seg til (bl.a. plikt til årlig revisjon). Tilsynsorganene får også nye håndhevingsoppgaver. Forslaget legger videre opp til en ordning med gjensidig aksept av nasjonale eID-løsninger som er blitt notifisert til Europakommisjonen og oppført på en liste publisert i Official Journal of the European Union. Det innføres ikke en «EU eID» eller en europeisk database.

Dersom forordningen blir vedtatt, vil den erstatte dagens direktiv om elektronisk signatur, og den vil gjelde direkte i alle EUs medlemsstater. Såfremt forordningen innlemmes i EØS-avtalen, må den gjennomføres i norsk rett «som sådan», jf. EØS-avtalen artikkel 7 bokstav a.

Oversikt over de enkelte kapitlene

I det følgende gis en oversikt over forslagene. Se også forordningens «explanatory memorandum» pkt. 3.3 som inneholder en mer detaljert gjennomgang.

Den foreslåtte forordningen inneholder 42 artikler, fordelt på seks kapitler.

Kapittel I omhandler generelle spørsmål som formål, virkeområde og definisjoner (artikkel 1-3). Begrepet «trust service» er definert i artikkel 3 nr. 12. Noen av definisjonene er videreført fra e-signaturdirektivet, mens andre er videreutviklet eller nye, for eksempel «eSeal» for juridiske personer. Begrepet e-signatur er forbeholdt for fysiske personer. I artikkel 4 slås det fast at produkter som er i tråd med bestemmelsene i forordningen skal kunne sirkulere fritt i det indre marked («internal market principle»).

Kapittel II gjelder gjensidig anerkjennelse av løsninger for elektronisk identifikasjon (eID). I henhold til artikkel 5 skal elektroniske identifikasjonsløsninger som et land har meldt inn til Europakommisjonen og som blir publisert i Official Journal, aksepteres og gis samme tilgang til offentlige tjenester i et annet land som tilbyr innbyggerne nasjonale eID-løsninger. Forordningen pålegger imidlertid ikke medlemslandene å etablere en nasjonal eID-løsning. Artikkel 6 regulerer hvilke eID-løsninger som kan være omfattet. Blant annet omfattes kun eID utstedt av, eller på vegne av, offentlige myndigheter. Artikkel 7 gir bestemmelser om fremgangsmåten for innmelding av en elektronisk identifikasjonsløsning til Europakommisjonen. Artikkel 8 gir bestemmelser som skal sikre at løsningene blir interoperable, dvs. fungerer teknisk på tvers av landegrensene.

Kapittel III gir nærmere regler om de enkelte tillitstjenestene. Forordningen vil ikke innebære en plikt til å bruke slike tjenester, men gir nærmere regler for en eventuell bruk. Artikkel 9 gir regler om erstatningsansvar for brudd på vilkårene i artiklene 15 og 19. Bestemmelsen utvider erstatningsplikten i forhold til e-signaturdirektivet artikkel 6, ved at den omfatter både tilbydere av kvalifiserte og ikke-kvalifiserte tillitstjenester. I likhet med dagens regel inntrer erstatningsansvar ikke dersom tilbyderen kan bevise at han eller hun ikke handlet uaktsomt («omvendt bevisbyrde»). Artikkel 11 inneholder bestemmelser om personvern med henvisning til direktiv 95/46/EC, og bygger på artikkel 8 i e-signaturdirektivet.

Artikkel 13-19 har bestemmelser om tilsyn m.m.. Det skal i hvert land være en tilsynsmyndighet for både tilbydere av kvalifiserte og ikke-kvalifiserte tillitstjenester, jf. artikkel 13. Dette er en utvidelse i forhold til gjeldende direktiv artikkel 3(3), da den kun gjelder tilbydere av kvalifiserte e-signatursertifikater. I artikkel 14 introduseres regler om gjensidig assistanse og felles aksjoner mellom tilsynsmyndigheter i forskjellige land.

Artikkel 15 og 16 innfører bestemmelser om sikkerhetstiltak i tjenestetilbydernes virksomhet og en plikt til å informere tilsynsmyndigheten om eventuelle sikkerhetsbrudd. I artikkel 16 foreslås det en plikt for tilbydere av kvalifiserte tillitstjenester til å gjennomføre en revisjon av virksomheten hvert år. Det gis også adgang for tilsynsmyndigheten til å foreta stedlig kontroll. Tilsynsorganet skal ha kompetanse til å gi bindende instrukser ved brudd på kravene som fremgår av revisjonsrapporten.

Artikkel 17 gir regler om fremgangsmåten for å bli registrert som tilbyder av en kvalifisert tillitstjeneste. Det innføres ikke et krav om forhåndsgodkjenning, men tilbyderen må avgi en sikkerhetsrapport. Europakommisjonen kan fastsette nærmere bestemmelser om dette, jf. artikkel 17 nr. 5. Artikkel 18 har regler om etablering og publisering av «trusted lists» i det enkelte land, dvs. en oversikt over tilbydere av kvalifiserte tillitstjenester som er under tilsyn. Artikkel 19 gir nærmere regler om tilbyderens virksomhet.

Artikkel 20-37 gir oppstiller nærmere krav til de enkelte tillitstjenestene, herunder regler om rettsvirkning og gjensidig aksept av tjenestene. Det slås ubetinget fast at en kvalifisert elektronisk signatur skal ha samme rettsvirkning som en håndskrevet signatur (utvidelse ift. e-signaturdirektivet art. 5). Dersom en elektronisk signatur på et lavere sikkerhetsnivå er brukt i forbindelse med tilgang til offentlige tjenester, skal alle elek­troniske signaturer på et tilsvarende nivå aksepteres (artikkel 20 nr. 4). Det samme gjelder elektronisk segl, jf. artikkel 28. Artikkel 21 og Vedlegg II oppstiller krav til kvalifiserte sertifikater for elektronisk signatur og klargjør bestemmelsene i e-signatur­direktivet vedlegg I. Artikkel 22 regulerer kravene til kvalifiserte signaturfremstillingssystemer og klargjør e-signaturdirektivet artikkel 3 (5). Europakommisjonen gis fullmakt til å etablere en liste med referanser til standarder. Et signaturfremstillingssystem skal antas å være i samsvar med kravene i Vedlegg II dersom det er i tråd med en av standardene.

Artikkel 23 bygger på e-signaturdirektivet artikkel 3(4) og regulerer sertifisering av kvalifiserte signaturfremstillingssystemer. Kommisjonen vil publisere en liste over sertifiserte signaturfremstillingssystemer, jf. artikkel 24. Artikkel 25-26 regulerer validering av kvalifisert elektronisk signatur og bygger på e-signaturdirektivets Vedlegg IV. Artikkel 27 oppstiller vilkårene for langtidslagring av kvalifisert elektronisk signatur.   

Artikkel 28-31 gir bestemmelser om elektronisk segl for juridiske personer. Kvalifisert sertifikat for elektronisk segl er regulert i artikkel 29 og Vedlegg III. Når det gjelder fremstillingssystemer for kvalifisert elektroniske segl, gis artikkel 22-27 tilsvarende anvendelse. Artikkel 32-33 gir regler om elektronisk tidsstempling. Blant annet må «stempelet» være forbundet til en presis tidskilde og utstedt av en kvalifisert tjenestetilbyder. Europakommisjonen gis også fullmakt til å etablere en liste med referanser til standarder.

Artikkel 34-36 gir regler om rettsvirkninger og aksept av elektroniske dokumenter og elektroniske leveringstjenester, og gir Europakommisjonen fullmakt til å vedta nærmere bestemmelser. Artikkel 37 Vedlegg IV inneholder krav til kvalifiserte sertifikater som skal benyttes til webside-autentisering. I artikkel 38-42 finner vi avsluttende bestemmel­ser. Artikkel 41 opphever e-signaturdirektivet og gir visse overgangsregler.

3.   Høringssvar

Som nevnt ønsker vi å få belyst konsekvensene av å gjennomføre forslaget i norsk rett og eventuelt hvilke endringer vi bør spille inn overfor EU. Vi er også interessert i å få informasjon om elektroniske tillitstjenester i det norske markedet og om behovet for nye tjenester og regler om dette.

Høringsuttalelse kan sendes til postmottak@nhd.dep.no, alternativt til Nærings- og handelsdepartementet, Postboks 8014 Dep, 0030 OSLO, innen 1. desember 2012.

Med hilsen
Emma C. Jensen Stenseth (e.f.)
avdelingsdirektør

Liv Hilde Westrheim
seniorrådgiver

Departementene

Departementenes servicesenter (DSS)

Brønnøysundregistrene

Datatilsynet

Direktoratet for samfunnssikkerhet og beredskap

Domstoladministrasjonen

Finanstilsynet

Forbrukerombudet

Forbrukerrådet

Fylkesmannen i Sogn og Fjordane

Handelshøyskolen BI

Statens helsetilsyn

Helsedirektoratet

Innovasjon Norge

Konkurransetilsynet

Likestillings- og diskrimineringsombudet

Lotteri- og stiftelsestilsynet

NAV

Nasjonal Sikkerhetsmyndighet (NSM)

Norges Handelshøyskole

Norsk Akkreditering

NTNU

Politiets data- og materielltjeneste

Post- og teletilsynet

Riksarkivet

Direktoratet for økonomistyring

Universitetet i Bergen

Universitetet i Oslo - Senter for rettsinformatikk

Universitetet i Stavanger

Universitetet i Tromsø

Universitetet i Agder

Universitetet i Nordland

Høgskolen i Gjøvik

Utdanningsdirektoratet

Utlendingsdirektoratet

ØKOKRIM

 

Bergen kommune

Drammen kommune

Kristiansand kommune

Oslo kommune

Stavanger kommune

Trondheim kommune

 

Abelia

Advokatforeningen

Advokatfirmaet Grette DA

Advokatfirma Wikborg, Rein & Co.

Advokatfirmaet Haavind AS

Advokatfirmaet Hjort DA

Advokatfirma Ræder DA

Advokatfirmaet Thommessen AS

Alliansesamarbeid Sparebank 1

Accenture

Advokatforeningen

Arntzen de Besche Advokatfirma AS

Atea AS

Bankenes Standardiseringskontor

BankID Norge

Bankenes ID-tjeneste

BBS

Bedriftsforbundet

Bing Hodneland advokatselskap DA

Buypass

Cisco Systems Norge

Citrix

Commfides Norge

Deltasenteret

Den Norske Dataforening

Det Norske Veritas

Direktesalgsforbundet

Distansehandel Norge

DnBNor

Econ Pöyry

EDB Business Partner

eForum i Standard Norge

Eiendomsmeglerforetakenes Forening

Ementor Norge

ErgoGroup

EVRY

Fagforbundet

Finansnæringens Hovedorganisasjon (FNH)

Finansnæringens Fellesorganisasjon (FNO)

FNO Servicekontor

Fokus Bank

Funksjonshemmedes Fellesorganisasjon

Føyen Advokatfirma DA

Handelsbanken

Helse Midt-Norge RHF

Helse Nord RHF

Helse Vest RHF

Helse Sør-Øst RHF

IBM Norge

IKT-Norge

Kantega

Kluge Advokatfirma DA

KS

Legalteam advokatfirma DA

Microsoft

Nasjonalbiblioteket

NRK

NetCom

NITO

Nordea

Norges Eiendomsmeglerforbund

Norsk senter for informasjonssikring (NorSIS)

Norsk Regnesentral

Norsk Tipping

NorStella

Næringslivets Hovedorganisasjon (NHO)

Næringslivets Sikkerhetsorganisasjon

Posten Norge/Bring

Samarbeidsrådet for funksjonshemmedes organisasjoner (SAFO)

SEB Privatbanken

SECODE

Sem & Stenersen Procom

Sertit

Sintef

Siemens

Signicat

Simonsen Advokatfirma DA

SkandiaBanken AB

Skattedirektoratet

Skatterevisorenes Forening

Software Innovation

Standard Norge

Statens lånekasse for utdanning

Statens kartverk

Statoil Norge AS

Statsbygg

Steria

Symantec

Strålfors

Telenor

Tenden Advokatfirma ANS

Terra-Gruppen

Thales

Truekey

Uninett Norid AS

Virke

VOX – Norsk Fjernundervisning