Prop. 71 LS (2017–2018)

Lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester), og samtykke til EØS-komiteens beslutning nr. 22/2018 om innlemmelse av forordningen i EØS-avtalen

Til innholdsfortegnelse

1 Proposisjonens hovedinnhold

EØS-komiteen vedtok ved beslutning nr. 22 av 9. februar 2017 å endre EØS-avtalen vedlegg XI (Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester) ved å innlemme europaparlaments- og rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner på det indre marked.

Forordningen erstatter europaparlaments- og rådsdirektiv 1999/93/EF (esignaturdirektivet).

Nærings- og fiskeridepartementet foreslår i denne proposisjonen en ny lov for å gjennomføre europaparlaments- og rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked. Forordningenskal legge til rette for økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS, og dermed sterkere økonomisk vekst i det indre marked.

Proposisjonen er utarbeidet sammen med Kommunal- og moderniseringsdepartementet (KMD), som er ansvarlig for oppfølgingen av forordningens bestemmelser om gjensidig anerkjennelse av eID, esignatur og elektroniske segl i offentlig sektor.

Forordningen gir Europakommisjonen hjemmel til å gi gjennomføringsrettsakter. Flere slike rettsakter er vedtatt. I denne proposisjonen foreslås det at gjennomføringsrettsakter blir norske forskrifter med hjemmel i denne loven.

I kapittel 2 til 3 blir det redegjort for sakens bakgrunn, gjeldende rett og innholdet i forordning (EU) nr. 910/2014. Arbeidet med regelverket i EU og Norge blir omtalt i kapittel 4. I kapittel 6 til 16 følger høringsinstansenes og departementets vurdering av saken, og i kapittel 17 redegjøres det for den lovtekniske gjennomføringen. De økonomiske og administrative konsekvensene forslaget forventes å medføre gjennomgås i kapittel 18. Departementets lovforslag presenteres i kapittel 19.

I EU benyttes ofte forkortelsen «eIDAS-regulation» om forordningen, og kortformen eIDAS brukes enkelte steder i proposisjonen.

Forordning 910/2014 legger til rette for økt elektronisk samhandling mellom næringsdrivende, innbyggere og offentlige myndigheter på tvers av landegrensene i EU/EØS. Forordningen utvider området for reguleringen av elektroniske tillitstjenester sammenliknet med hva esignaturdirektivet omfattet, og styrker dagens regler om elektronisk signatur. Harmonisering av krav til flere typer tillitstjenester kan gjøre det enklere å tilby slike tjenester på tvers av landegrensene. Videre kan strengere krav øke tilliten blant brukerne. Forordningen legger også til rette for at eID-løsninger som oppfyller visse betingelser skal kunne benyttes på tvers av landegrensene. Som det fremgår av forordningens fortale pkt. 12 er målet med dette «[å] sikre at sikker identifikasjon og autentisering er mulig når det gjelder tilgang til nettbaserte tjenester over landegrensene som tilbys av medlemsstatene.» Reglene i forordningen vil herunder kunne bidra til flere elektroniske transaksjoner på tvers av landegrensene, og i sin tur et mer velfungerende indre marked.

Departementet anser at forordningen er et viktig verktøy i digitaliseringsprosessen, og at den vil bidra til å skape trygghet og tillit på nett. Det nye regelverket skal sikre et felles europeisk rammeverk for regulering av elektronisk signatur og tillitstjenester, og fremme samarbeid på tvers av landegrenser i EU/EØS. Økt bruk av elektronisk kommunikasjon på tvers av landene skal gi mer effektiv samhandling, og på den måten forventes forordningen å bidra til sterkere økonomisk vekst i det indre marked.

1.1 Begreper i proposisjonen

I forordningens artikkel 3 gis det nærmere definisjoner av ord og begreper, og det henvises til denne bestemmelsen for tolkning og nærmere forståelse av forordningens bestemmelser.

I det følgende gis det forklaringer på enkelte begreper som brukes gjennomgående i den videre teksten. Dette er ment som en leseveiledning:

eIDAS er forkortelsen for forordning om «elektronisk identifisering og tillitstjenester for elektroniske transaksjoner i det indre marked».

eID er forkortelsen for elektronisk identifikasjon, som for eksempel BankID og MinID. Begrepet elektroniske identifikasjonsmidler benyttes om dette i forordningen.

PKI (Public Key Infrastructure) – «infrastruktur for offentlig-nøkkel-kryptografi» er en teknologi for å utstede, administrere og bruke eID, esignatur og kryptering basert på en standardisert krypteringsteknologi. I en PKI er den offentlige krypteringsnøkkelen kjent for alle, men kun innehaveren kjenner den private nøkkelen.

Kravspesifikasjon for PKI er en overordnet, funksjonell kravspesifikasjon for selvdeklarering og anskaffelse av PKI-løsninger, herunder PKI-baserte eID-løsninger. Kravspesifikasjonen benyttes i forbindelse med elektronisk kommunikasjon med og i offentlig sektor i Norge.

Standarden brukes i dag for eID på høyeste sikkerhetsnivå i henhold til det norske rammeverket. Offentlig nøkkelteknologi legger til rette for bruk av avanserte elektroniske signaturer og kryptering, ved at brukerne får seg tildelt et elektronisk nøkkelpar som består av en offentlig og en privat nøkkel, og et sertifikat hvor undertegnerens identitet blir knyttet til den offentlige nøkkelen. Den offentlige nøkkelen kan distribueres til mottakerne av de signerte meldingene omtrent som man gjør med telefonnumre. Den private er strengt personlig. Det er altså kun én person som kan signere meldingen ved hjelp av den hemmelige private nøkkelen, mens det er mange som kan bekrefte denne signaturen ved hjelp av den offentlige nøkkelen. Det er også mulig å krypetere ved hjelp av den offentlige nøkkelen; da vil kun innehaveren av den private nøkkelen kunne lese melding. Dette systemet krever en infrastruktur for distribuering av de offentlige nøklene, og denne infrastrukturen omtales gjerne som Public Key Infrastructure (PKI).

Elektronisk signatur er mekanismer som knytter et dokument til en person som signerer dokumentet. Begrepet er teknologinøytralt. For avanserte og kvalifiserte elektroniske signaturer benyttes i praksis PKI-teknologi med sertifikater. En elektronisk signatur kan oppfylle rettslige krav til at et dokument er underskrevet. En elektronisk signatur bidrar til å sannsynliggjøre opprinnelse og integritet til et dokument.

Elektronisk segl er mekanismer som knytter et dokument til en juridisk person som har forseglet dokumentet. Begrepet er teknologinøytralt. For avanserte og kvalifiserte elektroniske segl benyttes i praksis PKI-teknologi med virksomhetssertifikater. Et elektronisk segl bidrar til å sannsynliggjøre opprinnelse og integritet til et dokument. Begrepet er nytt med eIDAS, og erstatter dagens virksomhetssignaturer.

Et elektronisk sertifikat er en kobling mellom en offentlig nøkkel, identifikasjon (navn) for sertifikatinnehaveren, og eventuelt annen informasjon. Sertifikatet er signert av sertifikatutsteder, som med dette innestår for at sertifikatets innhold er korrekt.

Kvalifiserte sertifikater utstedes av godkjente tilbydere som oppfyller nærmere bestemte krav til rutiner og til virksomheten.

Autentisering brukes primært om å verifisere en påstått identitet. Den som skal autentisere seg, må inneha noe som kan bekrefte identiteten. Dette kalles autentiseringsfaktorer (for eksempel passord, pin-kode-kalkulator eller fingeravtrykk). Ved elektronisk identifikasjon autentiseres en identitetspåstand (for eksempel fødselsnummer) ved bruk av en eID.

Elektroniske tillitstjenester er tjenester som normalt tilbys mot betaling og skal bidra til å styrke tilliten til elektroniske løsninger. eIDAS beskriver tillitstjenestene elektronisk signatur, elektroniske segl, tidsstemplingstjenester, elektronisk tjeneste for registrert sending og sertifikattjenester for nettstedsautentiseringer. Ved å regulere tillitstjenestene vil man oppnå elektronisk samhandling i Europa. Egne tillitstjenester kan også defineres på nasjonalt nivå.

Interoperabilitet er muligheten for et datasystem for å utveksle data og samhandle og fungere med et annet system.

Rammeverk for autentisering og uavviselighet ved elektronisk kommunikasjon i og med offentlig sektor er en retningslinje fastsatt av Fornyings- og administrasjonsdepartementet i 2008. Den definerer fire sikkerhetsnivåer for autentisering med eID, for å gjøre det enklere å gjenbruke autentiseringsløsninger på tvers av offentlige virksomheter og slik gjøre offentlige tjenester enklere å bruke.

Sikkerhetsnivåer: I det norske rammeverket er det i dag definert 4 sikkerhetsnivåer for eID, hvor de to høyeste benyttes i ID-porten. Både nivå 3 og 4 stiller krav om to autentiseringsfaktorer (to-faktor-autentisering). For nivå 4 utleveres eID ved personlig oppmøte og legitimering for å unngå at den havner i feil hender. BankID, Buypass og Commfides leverer eID på dette høyeste nivået. eID på nasjonalt ID-kort vil, når det lanseres, også tilfredsstille det høyeste nivået.

eIDAS-forordningen introduserer tre sikkerhetsnivåer: «lav», «betydelig» og «høy». En gjennomføringsrettsakt til eIDAS inneholder nærmere detaljerte kriterier for disse tre sikkerhetsnivåene. Se nærmere omtale i kapittel 8.

Til forsiden