Høring — Forslag til forskrift om frivillige selvdeklarasjonsordninger for sertifikatutstedere (tilbydere av elektroniske signaturer)

1. Innledning

Den foreslåtte forskriften er utarbeidet med hjemmel i lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven) § 16 a, som gir departementet hjemmel til i forskrift å etablere frivillige ordninger for å øke tilliten til og bruken av sertifikattjenester. Etter esignaturloven § 16 a kan departementet innføre frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger. 1Jf. Ot. prp. nr. 74 (2004-2005)

I forhold til selvdeklarasjonsordninger, er sertifiserings- og godkjenningsordninger noe mer omfattende. For disse ordningene stilles det bl.a. krav om at det gis en bekreftelse eller tillatelse før aktuelle produkter, prosesser eller tjenester kan tilbys på markedet. Ved en sertifisering vil det kun skje en samsvarsvurdering i henhold til spesifiserte krav, mens det ved en godkjenning i tillegg også gis en tillatelse til å bruke de aktuelle produktene, prosessene eller tjenestene til nærmere angitte formål eller under angitte betingelser. Med selvdeklarasjonsordning menes en ordning der en tilbyder sender inn en registreringsmelding, en ”selvdeklarasjon”, til en tredjepart med angivelse av at nærmere angitte krav er oppfylt. En selvdeklarasjonsordning er den minst administrativt krevende ordningen som departementet kan innføre etter esignaturloven § 16 a.

Forskriftsutkastet foreslår at det innføres frivillige selvdeklarasjonsordninger. Kravene i ordningene er basert på Moderniseringsdepartementets ”Kravspesifikasjon for PKI i offentlig sektor” (heretter benevnt ”Kravspesifikasjonen”) som ble vedtatt i desember 2004. 2http://odin.dep.no/mod/norsk/dok/andre_dok/rapporter/050001-990049/dok-bn.html

Hensikten med disse frivillige ordningene er at sertifikatutsteder ved en selvdeklarasjon skal kunne melde fra om at en sertifikattype de tilbyr oppfyller nærmere angitte krav. I forskriften utpekes et tilsynsorgan som skal motta selvdeklarasjonene, samt oppføre de aktuelle sertifikattypene med tilhørende opplysninger på en publisert liste. Dersom kravene ikke er oppfylt, kan tilsynet nekte oppføring på publiseringslisten. Tilsvarende kan tilsynet fjerne sertifikattypen fra listen, hvis den allerede er oppført.

Det fremkommer ikke av forslaget hvilke virkninger selvdeklarering etter de ulike sertifikatklassene vil ha, eller innenfor hvilke bruksområder det vil være aktuelt å benytte selvdeklarerte sertifikattyper. Selvdeklarasjonsordningene i forslaget er generelle og sektornøytrale. Hensikten med dette er at det skal skje en kobling i annet regelverk til selvdeklarasjonsordningene etablert etter denne forskriften. Annet regelverk kan på denne måten vise til at kravene til selvdeklarasjonsordningene oppfyller hensynene bak regelverkets krav til identifisering mv., og at selvdeklarerte sertifikater derfor skal anses som godkjent elektronisk ID/elektronisk signatur etter det aktuelle regelverket.

Det tas sikte på at sertifikatutstedere som ønsker å tilby sertifikattjenester for elektronisk kommunikasjon med og i forvaltningen må foreta en selvdeklarasjon etter forskriftens krav. På bakgrunn av dette vil det bli foreslått at det i forskrift av 25. juni 2004 nr. 988 om kommunikasjon med og i forvaltningen (eForvaltningsforskriften) gjøres en henvisning til de frivillige selvdeklarasjonsordninger som etableres etter dette forskriftsforslaget. Moderniseringsdepartementet vil sende ut et eget høringsnotat om dette.

Til orientering kan også nevnes at det i Finansdepartementet pågår et arbeid med å vurdere hvilke krav som må stilles til en elektronisk signatur for å aksepteres som en gyldig elektronisk legitimasjon etter hvitvaskingsregelverket. Dette er et arbeid som følger opp Stortingets anmodningsvedtak fra juni 2003 om å sidestille fysisk og elektronisk legitimasjon på dette området, jf. Ot. prp. nr. 74 (2004-2005) kapittel 2.1.

Det tas sikte på at denne forskriften kan tre i kraft 1. januar 2006.

2. Forskriftsforslagets innhold

2.1 Formål og virkeområde

Forskriften etablerer frivillige selvdeklarasjonsordninger for sertifikatutstedere. De frivillige selvdeklarasjonsordningene tar sikte på å høyne sikkerhetsnivået for og øke tilliten til sertifikattjenester. Formålet med selvdeklarasjonsordningene er at disse skal bidra til å øke bruken av elektroniske signaturer. Ordningene omfatter ikke kun kvalifiserte sertifikater, men også sertifikater på andre sikkerhetsnivåer. Både sertifikatutstedere etablert i og utenfor Norge kan omfattes av ordningene.

2.2 Krav til selvdeklarasjonsordningene

I §§ 3 til 5 oppstiller forskriften spesifikke krav til de ulike sertifikatklassene som sertifikatutsteder må oppfylle før denne sender inn en selvdeklarasjonsmelding. Forskriftens krav er knyttet opp til absolutte krav (såkalte A-krav) i Kravspesifikasjonen. Det skal bemerkes at slik forskriften er utformet er det kravene i den til enhver tid gjeldende versjon av Kravspesifikasjonen som skal oppfylles, jf. § 2.

Nedenfor følger en tabell over de krav som i henhold til gjeldende Kravspesifikasjon (versjon 1.02) må oppfylles for de tre sertifikatklassene som der defineres (Person-Høyt, Person-Standard og Virksomhet). En nærmere beskrivelse av innholdet i Kravspesifikasjonens ”A-krav” er fremstilt i kapittel 3 i høringsnotatet.

Kravspesifikasjon for PKI i offentlig sektor:

Person-Høyt	Person-Standard	Virksomhet
Kapittel 3	Kapittel 3	Kapittel 3
Kapittel 4.1	Kapittel 4.1	Kapittel 4.1
Kapittel 4.2	Kapittel 4.3	Kapittel 4.4
Kapittel 5	Kapittel 5	Kapittel 5
Kapittel 6.1	Kapittel 6.2	Kapittel 6.3
Kapittel 7 krav nr. 7.1 og 7.2	Kapittel 7 krav nr. 7.1 og 7.2	Kapittel 7 krav nr. 7.1 og 7.2
Kapittel 8.1 krav nr. 8.1.1. til 8.1.3 og 8.1.6 til 8.1.7	Kapittel 8.1 krav nr. 8.1.1. til 8.1.3 og 8.1.6 til 8.1.7	Kapittel 8.1 krav nr. 8.1.1. til 8.1.3 og 8.1.6 til 8.1.7
Kapittel 8.2	Kapittel 8.2	Kapittel 8.2
Kapittel 8.3	Kapittel 8.3	Kapittel 8.3
Kapittel 8.4 krav nr. 8.4.1, 8.4.2 og 8.4.4	Kapittel 8.4 krav nr. 8.4.1, 8.4.2 og 8.4.4	Kapittel 8.4 krav nr. 8.4.1, 8.4.2 og 8.4.4
Kapittel 8.5	Kapittel 8.5	Kapittel 8.5
Kapittel 8.6	Kapittel 8.6	Kapittel 8.6
Kapittel 9 krav nr. 9.1, 9.2, 9.5 og 9.6	Kapittel 9 krav nr. 9.1, 9.2, 9.5 og 9.6	Kapittel 9 krav nr. 9.1, 9.2, 9.5 og 9.6

2.3 Tilsynsorgan

Departementet foreslår i § 6 at Post- og teletilsynet utpekes som tilsynsorgan. Begrunnelsen for dette er bl.a. at Post- og teletilsynet allerede er tilsynsorgan for utstedere av kvalifiserte sertifikater etter esignaturloven. Dessuten tar kravene i Kravspesifikasjonen utgangspunkt i krav i esignaturloven. Tilsynets kontroll i henhold til kravene etter forskriften §§ 3 til 5 vil til dels ta utgangspunkt i samme type av dokumentasjon som ved tilsynsoppgavene for kontroll av utstedere av kvalifiserte sertifikater. Ved å utpeke Post- og teletilsynet som tilsynsorgan vil man kunne bygge på allerede etablert ekspertise på området, og derved begrense kostnadene ved etableringen av de nå foreslåtte frivillige selvdeklarasjonsordningene.

Videre vil det være enklere for sertifikatutstedere etablert i Norge å kun forholde seg til ett tilsyn. Dette vil særlig aktualiseres dersom en sertifikatutsteder skal sende inn registreringsmelding om utstedelse av kvalifiserte sertifikater, jf. esignaturloven § 18, og samtidig sende inn en melding om selvdeklarasjon etter denne forskriften. Det vil da være en fordel for sertifikatutsteder at disse to meldingene kan sendes til samme tilsyn og at dokumentasjonen kun må sendes én gang.

2.4 Melding om frivillig selvdeklarasjon mv.

Melding om selvdeklarasjon skal sendes til tilsynet, jf. § 7. Meldingen skal inneholde opplysninger om sertifikatutsteders navn, organisasjonsnummer, adresse, telefon, telefaks, e-postadresse og kontaktperson. Sertifikatutsteder skal også nærmere beskrive hvordan kravene i §§ 3, 4 eller 5 er oppfylt. Det er selvfølgelig mulig for en sertifikatutsteder å sende inn en selvdeklarasjonsmelding som kun omfatter en av de tre sertifikatklassene i §§ 3 til 5. Beskrivelsen av hvordan kravene er oppfylt skal skje i henhold til standardskjema utarbeidet av tilsynet, jf. § 7 annet ledd. Det skal ikke være anledning for sertifikatutsteder å fravike bruken av dette skjemaet. Sertifikatutsteder skal også vedlegge sertifikatpolicy, sertifikatpraksis og andre relevante dokumenter som viser at kravene i §§ 3, 4 eller 5 er oppfylt. Sertifikatutsteder skal også angi eventuell nettadresse til sertifikatpolicy for den aktuelle sertifikattypen og til andre relevante dokumenter som er tilgjengelige på nettet. Post- og teletilsynet vil finne en praktisk løsning på hvor mye informasjon utstedere av kvalifiserte sertifikater skal sende inn i forbindelse med en selvdeklarering, da tilsynet allerede vil være i besittelse av noe dokumentasjon fra disse. I forhold til opplysningene i § 7 første ledd bokstav a forutsettes det at tilsynet selv innhenter tilgjengelige opplysninger fra Enhetsregisteret, og at standardskjemaet således forenkles i størst mulig grad. 3Jf. lov 3. juni 1994 nr. 15 om Enhetsregisteret § 1 nytt andre ledd.

Sertifikatutsteder skal i henhold til § 8 første ledd uten ugrunnet opphold melde til tilsynsorganet endringer i opplysninger som er gitt etter § 7.

I § 8 annet ledd stilles det et indirekte krav om at sertifikatutsteder senest innen tre måneder fra en ny versjon av Kravspesifikasjonen er trådt i kraft skal sende inn en ny melding i henhold til kravene i § 7. Dersom slik melding ikke sendes til Post- og teletilsynet innen fristen, skal sertifikatutsteders sertifikattyper fjernes fra liste publisert etter § 9 første ledd. Kravet om å sende inn ny melding gjelder dog kun dersom endringene i Kravspesifikasjonen er relevante for de sertifikatklasser som utsteders sertifikattyper er selvdeklarert etter. Tilsynet skal informere sertifikatutstedere som er med i ordningene om endringer i Kravspesifikasjonen.

Departementet mener det er nødvendig at en helt ny melding sendes tilsynet ved relevante endringer i Kravspesifikasjon. Hvis nye krav oppstilles, må sertifikatutsteder overfor tilsynet bekrefte at alle relevante krav er oppfylt. Dette skjer enklest i form av en ny melding. Dersom meldingen etter § 8 annet ledd kun skulle omfatte de ”nye” kravene, ville tilsynet etter hvert være nødt til å forholde seg til mange fragmenterte meldinger for å kunne kontrollere at alle kravene er oppfylt. Hvis det derimot alltid foreligger en konsolidert melding å forholde seg til, vil dette forenkle gjennomføringen av tilsynets kontroll.

2.5 Tilsynsorganets oppgaver mv.

Etter § 9 første ledd skal tilsynsorganet publisere en liste med opplysninger om sertifikatutstedere som har sendt inn melding etter § 7, med bl.a. nærmere angivelse av sertifikattype (sertifikatets navn) og hvilken sertifikatklasse selvdeklareringen dekker. En hensiktsmessig måte å gjøre dette på vil være å publisere listen på tilsynets nettsted. Dersom det er mulig bør disse opplysningene presenteres på en slik måte at det forenkler automatiserte prosesser for kontroll av om det aktuelle sertifikatet er oppført på listen.

Dersom mottatt melding ikke oppfyller kravene i § 7, eller det er åpenbart for tilsynet at kravene etter §§ 3, 4 eller 5 ikke er oppfylt, kan tilsynet i henhold til § 9 annet ledd nekte at en selvdeklarert sertifikattype blir oppført på listen.

Etter § 10 første ledd kan tilsynsorganet kreve ytterligere opplysninger og dokumenter fra sertifikatutsteder hvis melding etter § 7 ikke er fullstendig. Videre kan tilsynsorganet kreve ytterligere opplysninger dersom dette er nødvendig for å kunne foreta en nærmere kontroll av hvorvidt sertifikatutsteders selvdeklarerte sertifikattype oppfyller kravene etter §§ 3, 4 eller 5. Denne kontrollen kan også skje i etterkant av at sertifikatet er oppført på listen. Tilsynsorganet kan kreve at sertifikatutsteder innen en angitt tidsfrist kompletterer meldingen etter § 7 eller sender inn ytterligere opplysninger som viser at den aktuelle sertifikattypen oppfyller kravene i §§ 3, 4 eller 5. Tatt i betraktning de relativt omfattende fullmakter tilsynsorganet etter forskriften gis, forutsetter departementet at tilsynet har en kontrollaktivitet som sikrer at kravene faktisk blir oppfylt. Dette vil også sikre tilliten til ordningene. Etter § 10 annet ledd skal tilsynsorganet fjerne sertifikattypen fra publisert liste dersom pålegg etter første ledd ikke etterleves.

Samtidig med at sertifikattypen fjernes fra oppføring på listen fratas sertifikatutsteder retten til å markedsføre eller selge den aktuelle sertifikattypen som om den fortsatt omfattes av forskriftens ordninger. Etter § 11 kan tilsynsorganet ilegge sertifikatutsteder tvangsmulkt dersom sertifikatutsteder i salgs- eller markedsføringsøyemed uriktig angir at sertifikattypen er oppført på liste publisert etter § 9 første ledd, eller på annen måte uriktig angir at sertifikattypen er en del av en ordning etablert etter denne forskriften. Det skal imidlertid bemerkes at det ikke er noe til hinder for at en sertifikatutsteder markedsfører og selger sine sertifikattjenester med angivelse av at de oppfyller Kravspesifikasjonens krav for de ulike sertifikatklasser som sådan.

2.6 Gebyr

Forskriften § 12 åpner for at Post- og teletilsynet kan pålegge sertifikatutsteder som benytter seg av ordningene i denne forskriften å betale et årlig gebyr. Gebyr kan avkreves sertifikatutsteder allerede ved mottak av selvdeklarasjonen, selv om tilsynet i etterkant finner at forskriftens krav ikke er oppfylt og at sertifikattypen derfor ikke kan oppføres på listen publisert etter § 9 første ledd. I likhet med reguleringen for utstedere av kvalifiserte sertifikater fastsettes slikt gebyr i forskrift av 21. februar 2005 nr. 168 om gebyr til Post- og teletilsynet. Denne forskriften forvaltes av Samferdselsdepartementet. Ifølge esignaturloven § 16 a må ikke gebyrene overstige tilsynets kostnader knyttet til ordningene.

Det tas imidlertid sikte på at de frivillige selvdeklarasjonsordningene i en oppstartsfase vil bli finansiert av Moderniseringsdepartementet, slik at det foreløpig ikke vil være aktuelt å avkreve gebyrer. Dette er også nærmere drøftet i kapittel 5 om administrative og økonomiske konsekvenser.

2.7 Klageinstans

Slik forskriften er foreslått utformet, vil sannsynligvis hovedvekten av eventuelle klager dreie seg om forståelsen og tolkningen av kravene i Kravspesifikasjonen. Som allerede nevnt er det Moderniseringsdepartementet som forvalter Kravspesifikasjonen. Dette tilsier at Moderniseringsdepartementet bør være klageinstans vedrørende vedtak som er knyttet til Kravspesifikasjonen. Departementet finner det derfor mest hensiktsmessig at Moderniseringsdepartementet utpekes som klageinstans for vedtak etter §§ 9 til 11, jf. forskriftsforslaget § 13 første ledd.

Klage over gebyr avgjøres av Samferdselsdepartementet. Tilsvarende gjelder for klager på gebyr etter forskrift av 15. juni 2001 nr. 611 om krav til utsteder av kvalifiserte sertifikater mv. § 12 annet ledd.

3. Kravspesifikasjonens innhold

3.1 Innledning

”Kravspesifikasjon for PKI i offentlig sektor” (versjon 1.02) ble vedtatt av Moderniseringsdepartementet i desember 2004. 4http://odin.dep.no/mod/norsk/dok/andre_dok/rapporter/050001-990049/dok-bn.html Dette er en felles spesifikasjon for elektronisk ID og signatur, som skal legges til grunn for alle anskaffelser av PKI for bruk i statlig sektor, og anbefales lagt til grunn i kommunal sektor.

Kravspesifikasjonen skal dekke behovet for elektronisk ID og elektronisk signatur samt konfidensialitet, der dette behovet ikke dekkes på andre måter, i statlig og kommunal forvaltning i forbindelse med:

• elektroniske tjenester, for publikum og næringsliv, f.eks. søknader, meldinger osv.
• elektronisk innrapportering til det offentlige, f.eks. via Altinn.
• elektronisk dokumentutveksling mellom offentlige, og mellom offentlige og private virksomheter, både på virksomhetsnivå og ansattnivå, f.eks. via e-post.
• tilgang til oppslag i sentrale grunndataregistre (via Internett), både for publikum, næringsliv og offentlige etater.
• elektronisk saksbehandling i offentlige virksomheter, f.eks. elektronisk fakturabehandling.

I Kravspesifikasjonen er det definert tre sertifikatklasser; Person-Høyt, Person-Standard og Virksomhet. Nedenfor gis en kort redegjørelse av relevante krav i Kravspesifikasjonen, dvs. de krav som i Kravspesifikasjon er merket med ”A” (absolutte krav) og som derved stilles som krav i forskriften.

Moderniseringsdepartementet skal forvalte Kravspesifikasjonen og det tas sikte på at oppdatering vil skje annet hvert år, jf. nærmere om forvaltning av Kravspesifikasjonen på http://www.odin.dep.no/filarkiv/251910/Forvaltning_av_ kravspesifikasjonen_ for

_PKI_i_offentlig.pdf

Departementet vil gjøre høringsinstansene oppmerksomme på at innholdet i selve Kravspesifikasjonen ikke er en del av høringen.

3.2 Kapittel 3 – Overordnede krav

Ifølge Kravspesifikasjonens overordnede krav skal sertifikatutsteder legge til rette for brukervennlige og enkle løsninger i henhold til gjeldende lover og forskrifter, herunder bl.a. esignaturloven og personopplysningsloven.

I dette kapittel stilles generelle krav om at sertifikatutsteder bl.a. skal tilby katalog- og oppslagstjenester samt integrasjonspakker som gjør PKI-funksjonaliteten tilgjengelig for bl.a. leverandører av programvare. Videre stilles det krav om leveransekapasitet. Sertifikatutsteder pålegges også å overvåke sikkerheten i sin løsning og igangsette tiltak ved behov.

3.3 Kapittel 4 – Krav til nøkler og sertifikater

Kapittel 4 stiller innledningsvis krav som gjelder for alle tre sertifikatklasser og deretter spesifikke krav for de forskjellige sertifikatklassene.

Kravene som gjelder alle sertifikatklasser omhandler bl.a. krav om hvordan den private og offentlige nøkkelen genereres. 5En digital signatur er en kryptografisk sjekksum som bare kan produseres av en privat nøkkel som har en definert eier, men som kan verifiseres av hvem som helst basert på eierens offentlige nøkkel. En digital signatur kan derfor spores unikt til eieren. Nærmere om digitale signaturer mv. jf. NOU 2001:10 Uten penn og blekk. Videre stilles det krav om å tilby en tjeneste for tilbakekalling av sertifikater 6Med sertifikat menes en elektronisk legitimasjon for eieren av en privat nøkkel og en tilhørende offentlig nøkkel som viser at den offentlige nøkkelen tilhør henne, jf. NOU 2001:10 side 198.. En slik tilbakekalling kan sammenlignes med sperring av mistet bankkort. Her stilles det krav om at tilbakekallingstjenesten skal være åpen døgnet rundt og om hvem som kan kalle tilbake sertifikatet. Tilleggskrav vedrørende tilbakekallingstjenester omhandles i kapittel 5 i Kravspesifikasjonen, jf. kapittel 3.4. Sertifikatutsteder skal også sikre at personopplysninger som legges inn i sertifikatet er kontrollert opp mot relevante registre, f.eks. sentralt personregister.

Utover felleskravene stilles det også spesielle krav for sertifikatklassene Person-Høyt og Person-Standard. Disse kravene omhandler bl.a. identifisering av sertifikatsøker, utlevering, beskyttelse, sikring og tilgang av den private nøkkelen, levetid for sertifikatet, dokumentasjonskrav ved utstedelse av sertifikatet samt registrering, oppbevaring og sletting av opplysninger. Den viktigste forskjellen er at for Person-Høyt stilles det krav om at sertifikatet er kvalifisert og at utsteder av Person-Høyt må etterleve nærmere angitte krav i hvitvaskingsregelverket ved utstedelse av sertifikater og ved registrering, oppbevaring og sletting av opplysninger.

De nærmere krav til kvalifiserte sertifikater og utstedere av slike sertifikater reguleres i esignaturloven §§ 4 og 10 til 16. Registrering av kvalifiserte sertifikater skal skje ved Post- og teletilsynet etter esignaturloven § 18, etter nærmere angitte krav i forskrift om krav til utsteder av kvalifiserte sertifikater mv. Esignaturloven er en gjennomføring av EUs direktiv om elektroniske signaturer 1999/93/EF, som stiller krav om fri bevegelse av kvalifiserte sertifikater innenfor EØS. Det betyr at kravene til kvalifisert sertifikat ikke kun omfatter utstedere av kvalifiserte sertifikater registrert ved Post- og teletilsynet, men også omfatter sertifikatutstedere etablert i en annen EØS-stat så lenge utstederen oppfyller kravene i det land sertifikatutstederen er etablert, jf. esignaturloven § 25 første ledd. Kravene til kvalifiserte sertifikater kan også oppfylles av en sertifikatutsteder etablert utenfor EØS så fremt:

• utstederen oppfyller kravene i en EØS-stat og har blitt godkjent i henhold til en frivillig godkjenningsordning i den staten,
• en sertifikatutsteder som er etablert innen EØS, og som oppfyller kravene i etableringsstaten, garanterer for utstederen, eller
• sertifikatet eller utstederen er anerkjent i henhold til multilaterale eller bilaterale avtaler mellom Norge eller EU og tredjeland eller internasjonale organisasjoner.

Kravene for sertifikatklassen Virksomhet omfatter bl.a. krav om at sertifikatet skal innholde virksomhetens organisasjonsnummer slik at det skal være mulig å entydig identifisere virksomheten. Videre stilles det bl.a. krav om beskyttelse av den private nøkkelen slik at det skal være mulig å realisere tilgangskontroll til nøkkelen.

For alle tre sertifikatklassene stilles det krav om at minimum levetid for sertifikatene skal være 13 måneder.

3.4 Kapittel 5 – Krav til katalog- og oppslagstjenester

I Kravspesifikasjonens kapittel 5 stilles det krav om tilgang til katalog- og oppslagstjenester. Med katalogtjenester menes her for eksempel det å gi tilgang til sertifikater og tjenester for å kalle tilbake sertifikater som er ugyldige. Kravene gjelder bl.a. hvem som skal få tilgang til hvilken informasjon og svartider ved oppslag i tilbakekallingslisten. Videre stilles det krav om at sertifikatutsteder skal tilby en oppslagstjeneste som gjør det mulig for autoriserte parter å knytte sertifikatet til fødselsnummer.

3.5 Kapittel 6 – Krav til RA-tjeneste

Kapittel 6 stiller krav om RA-tjeneste (registreringsautoritets-tjeneste), dvs. en tjeneste der det foretas kontroll og verifikasjon av informasjon om den som bestiller et sertifikat og hvor den informasjonen som legges i sertifikatet kvalitetssikres.

Kravene omhandler bl.a. krav til dokumentasjon, herunder hvordan personopplysninger kontrolleres, hvordan RA-tjenesten skal organiseres og krav til opplæring av lokale RA-kontorer.

Det stilles forskjellige krav til RA-tjenesten i forhold til Person-Høyt eller Person-Standard. Den største forskjellen er en konsekvens av at det stilles krav om at Person-Høyt skal være et kvalifisert sertifikat. Ifølge forskrift om krav til utsteder av kvalifiserte sertifikater mv. § 7, stilles det krav om at sertifikatsøker personlig må møte opp hos sertifikatutsteder eller en representant for sertifikatutsteder ved utstedelse av kvalifiserte sertifikater. Som en følge av dette stiller Kravspesifikasjonen for Person-Høyt krav om at enhver kontakt med kunden, som krever personlig oppmøte, skal utføres i tilstrekkelig geografisk nærhet til kunden slik at det kravet ikke fører til en unødvendig stor hindring for å ta i bruk løsningen.

Kravspesifikasjonen innholder på dette området også spesifikke bestemmelse for sertifikatklassen Virksomhet. Her oppstilles bl.a. krav om rutiner for hvordan kontroll av mottakers autorisasjon til å motta sertifikatet (fullmakt) foregår.

3.6 Kapittel 7 – Krav til signaturfremstillingssystem

Kravspesifikasjonens kapittel 7 stiller krav til signaturfremstillingssystem. Et signaturfremstillingssystem er i esignaturloven § 3 nr. 6 definert som en programvare eller maskinvare som benyttes til å fremstille elektronisk signatur ved hjelp av f.eks. en privat nøkkel. Kravspesifikasjonens krav i forhold til signaturfremstillingssystemet omhandler bl.a. hvordan det elektroniske dokumentet presenteres i signerings-øyeblikket, samt hvordan systemet sikrer det elektroniske dokumentets integritet, konfidensialitet og fullstendighet ved kommunikasjon over Internett mv. Kravspesifikasjonen viser til flere internasjonale standarder utarbeidet av European Committee for Standardisation (CEN).

3.7 Kapittel 8 – Krav til bruksmiljø

I kapittel 8 stilles det bl.a. krav om at alle brukerdialoger, hjelpetekster og brukerveiledninger tilbys på norsk. Her stilles det også krav om spesifisering av hvilke operativsystemer, nettlesere og e-post program som brukeren kan benytte. Kapittelet innholder også krav om brukerstøtte (helpdesk). Dessuten stilles det krav om at sertifikatutsteder skal kunne legge frem dokumentasjon om at sertifikatet er kvalifisert (kun for Person-Høyt), sertifikatpolicy og sertifikatpraksis, dokumentasjon vedrørende katastrofehåndtering og håndtering av en beredskapssituasjon mv.

3.8 Kapittel 9 – Krav til samspill og samtrafikk

Ifølge Kravspesifikasjonen kapittel 9 forventes det samtrafikk mellom de leverandører av sertifikattjenester som skal benyttes av offentlig sektor i kommunikasjon med sine brukere og internt. Med samtrafikk forstås (Kravspesifikasjonen side 34):

”Samtrafikk innebærer at en sertifikatmottaker (f.eks. et brukersted) som ønsker å foreta sertifikat-/signaturvalidering og har behov for å anvende sertifikater fra flere ulike utstedere, skal kunne gjøre dette ved hjelp av løsninger som er mest mulig hensiktsmessige for alle parter involvert.”

Kravet om samtrafikk gjelder for alle sikkerhetsnivåer. I Kravspesifikasjonen stilles det krav om at sertifikatutsteder ”skal være villig til å bidra med løsninger som sikrer samtrafikkløsninger”.

4. Endring i eForvaltningsforskriften

Det vises til eget høringsnotat fra Moderniseringsdepartementet vedrørende endringer i eForvaltningsforskriften. I høringsnotatet foreslås det at sertifikatutstedere som ønsker å tilby sertifikattjenester for elektronisk kommunikasjon med og i forvaltningen, må være selvdeklarert etter ordningen her. På bakgrunn av dette vil det derfor gjøres en henvisning i eForvaltningsforskriften til de frivillige selvdeklarasjonsordningene som etableres med hjemmel i esignaturloven § 16 a.

5. Økonomiske og administrative konsekvenser

I forhold til andre typer av ordninger som hjemles i esignaturloven § 16 a, vil en selvdeklarasjonsordning gi minst negative økonomiske og administrative konsekvenser. Samtidig er en slik ordning tilstrekkelig for å sikre at de ønskelige positive effektene oppnås.

Den foreslåtte forskriften vil få økonomiske og administrative konsekvenser for både offentlig og privat sektor.

Frivillige selvdeklarasjonsordninger kan benyttes til å knesette nødvendige krav som anvendes i arbeidet med å åpne opp for elektronisk kommunikasjon og bruk av elektroniske signaturer. På den måten vil forskriften kunne få en samordnende funksjon i forhold til de krav som skal stilles til sertifikattjenester. Dette vil kunne innebære økonomiske og administrative fordeler for offentlig og privat sektor. Bruk av selvdeklarasjonsordninger kan begrense antallet forskjellige løsninger for bruk av elektronisk ID og elektronisk signatur. De store positive økonomiske og administrative konsekvensene av de foreslåtte frivillige selvdeklarasjonsordningene vil likevel først vise seg når det skjer en kobling i annet regelverk til selvdeklarasjonsordningene, med angivelse av at sertifikattyper selvdeklarert etter spesifikke sertifikatklasser skal anses som gyldig elektronisk ID/elektronisk signatur i en gitt brukssammenheng.

Gjennom forskriftsforslaget pålegges Post- og teletilsynet nye oppgaver. Post- og teletilsynet estimerer at oppstartskostnadene det første året vil være ca. kr. 800 000. Dette beløpet skal dekke opprettelse av selvdeklarasjonsskjema, utarbeidelse av informasjon som skal publiseres på nettsider, veiledning, nye tilsynsrutiner og drift av tilsynet knyttet til ordningene.

Det kan i denne sammenheng nevnes at det per i dag kun finnes 2 registrerte utstedere av kvalifiserte sertifikater. Mye tyder likevel på at ytterligere 6 til 8 sertifikatutstedere i løpet av høsten 2005 (eventuelt våren 2006) vil registrere sine sertifikater som kvalifiserte hos Post- og teletilsynet. Det betyr at antallet utstedere av sertifikatklassen Person-Høyt (som stiller krav om kvalifisert sertifikat) sannsynligvis ikke vil overstige 10. Det er mulig at ytterligere noen aktører velger å kun tilby sertifikatklassen Person-Standard og/eller Virksomhet, slik at det samlet kan bli aktuelt for noen flere utstedere å benytte den foreslåtte selvdeklarasjonsmodellen.

Forskriften åpner for at tilsynets virksomhet kan finansieres ved årlig gebyr. Det tas imidlertid sikte på at ordningene inntil videre vil bli finansiert av Moderniseringsdepartementet. For sertifikatutstedere vil således forskriftens konsekvenser foreløpig være begrenset til kostnader og ressursbruk ved å samle inn nødvendig informasjon og fylle ut Post- og teletilsynets selvdeklarasjonsskjema. De dokumenter som skal vedlegges meldingen er dokumenter som sertifikatutsteder allerede har. Det skal bemerkes at forskriftens ordninger er frivillige og at det er opp til den enkelte sertifikatutsteder å vurdere hvorvidt denne ønsker å være en del av ordningene eller ikke. Samtidig er det klart at ordningene vil være obligatorisk for utstedere som ønsker å tilby løsninger for kommunikasjon med og i forvaltningen, jf. Moderniseringsdepartementets høringsnotat om endringer i eForvaltningsforskriften.

Utkast til forskrift om frivillige selvdeklarasjonsordninger for sertifikatutstedere

Innledning

§ 1 Formål og virkeområde

Forskriften etablerer selvdeklarasjonsordninger hvor sertifikatutstedere ved en selvdeklarasjon kan melde fra til et oppnevnt tilsynsorgan om at forskriftens krav er oppfylt. Formålet med forskriften er å høyne sikkerhetsnivået for sertifikattjenester og å øke tilliten til og bruken av slike tjenester.

§ 2 Definisjoner

Med ”Kravspesifikasjonen” menes i denne forskriften den til enhver tid gjeldende versjon av ”Kravspesifikasjon for PKI i offentlig sektor” (Moderniseringsdepartementet).

Øvrige begreper i denne forskriften skal forstås slik de er definert i esignaturloven § 3.

Krav til selvdeklarasjonsordningene

§ 3 Selvdeklarasjon av krav for sertifikatklasse Person-Høyt

Sertifikatutsteder som ønsker selvdeklarering i henhold til sertifikatklasse Person-Høyt skal oppfylle alle krav angitt som absolutte (A-krav) for sertifikatklasse Person-Høyt i Kravspesifikasjonen.

§ 4 Selvdeklarasjon av krav for sertifikatklasse Person-Standard

Sertifikatutsteder som ønsker selvdeklarering i henhold til sertifikatklasse Person-Standard skal oppfylle alle krav angitt som absolutte (A-krav) for sertifikatklasse Person-Standard i Kravspesifikasjonen.

§ 5 Selvdeklarasjon av krav for sertifikatklasse Virksomhet

Sertifikatutsteder som ønsker selvdeklarering i henhold til sertifikatklasse Virksomhet skal oppfylle alle krav angitt som absolutte (A-krav) for sertifikatklasse Virksomhet i Kravspesifikasjonen.

 

Melding om frivillig selvdeklarasjon mv.

§ 6 Tilsyn

Tilsynsorgan etter denne forskriften skal være Post- og teletilsynet.

§ 7 Krav til meldingens innhold

Selvdeklarasjon etter denne forskriften skal sendes til tilsynsorganet og innholde følgende opplysninger:

1. sertifikatutsteders navn, organisasjonsnummer, adresse, telefon, telefaks, e-postadresse og kontaktperson,
2. beskrivelse om hvordan kravene etter §§ 3, 4 eller 5 er oppfylt, og
3. relevante dokumenter som viser at kravene etter bokstav b er oppfylt, herunder sertifikatpolicy og sertifikatspraksis samt angivelse av nettadresse hvor sertifikatpolicy og eventuelt andre dokumenter er publisert.

Tilsynsorganet skal utarbeide standardskjema som skal benyttes ved melding etter første ledd.

§ 8 Meldeplikt om endringer

Endringer i opplysninger gitt etter § 7 skal meldes til tilsynsorganet uten ugrunnet opphold.

Tilsynsorganet skal fjerne sertifikattypen fra liste publisert etter § 9 første ledd dersom sertifikatutsteder ikke sender inn ny melding i henhold til § 7 innen 3 måneder fra ikrafttredelse av ny versjon av Kravspesifikasjonen, som innholder endringer relevante for sertifikatklasser som sertifikatutsteder er selvdeklarert etter.

Tilsynsorganets oppgaver mv.

§ 9 Offentliggjøring av informasjon om sertifikatutsteder mv.

Tilsynsorganet skal publisere en liste med opplysninger om sertifikatutstedere som har sendt inn melding etter § 7. Listen skal inneholde nærmere angivelse av sertifikattype og hvilken sertifikatklasse meldingen gjelder.

Tilsynsorganet kan nekte oppføring på liste etter første ledd dersom mottatt melding ikke oppfyller kravene i § 7, eller at det er åpenbart for tilsynet at selvdeklarert sertifikattype ikke oppfyller kravene etter §§ 3, 4 eller 5.

§ 10 Krav om tilleggsinformasjon mv.

Tilsynsorganet kan kreve at sertifikatutsteder innen en angitt tidsfrist sender inn ytterligere opplysninger dersom melding etter § 7 ikke er fullstendig eller for å kontrollere at selvdeklarert sertifikattype oppfyller kravene etter §§ 3, 4 eller 5.

Dersom pålegg etter første ledd ikke etterleves skal tilsynsorganet fjerne den aktuelle sertifikattypen fra oppføring på liste publisert etter § 9 første ledd.

§ 11 Tvangsmulkt

Tilsynsorganet kan ilegge sertifikatutsteder tvangsmulkt etter esignaturloven § 16 a dersom sertifikatutsteder i salgs- eller markedsføringsøyemed uriktig angir at sertifikattypen er oppført på liste publisert etter § 9 første ledd, eller på annen måte uriktig angir at sertifikattypen et er en del av en ordning etablert etter denne forskriften.

§ 12 Gebyr

Sertifikatutsteder som sender inn melding etter § 7 kan pålegges å betale et årlig gebyr til tilsynsorganet etter esignaturloven § 16 a og forskrift 21. februar 2005 nr. 168 om gebyr til Post- og teletilsynet § 5.

Tilsynsorganet kan nekte oppføring på liste publisert etter § 9 første ledd før fullt gebyr er betalt.

§ 13 Klageinstans

Moderniseringsdepartementet er klageinstans for tilsynsorganets enkeltvedtak fastsatt i henhold til §§ 9 til 11.

Klage over gebyrer avgjøres av Samferdselsdepartementet etter forskrift 21. februar 2005 nr. 168 om gebyr til Post- og teletilsynet.

§ 14 Ikrafttredelse

[Forskriften trer i kraft 1. januar 2006.]