13 Tilsynsorganet
13.1 Forslaget
Tilsynsmyndighetene skal gjennomføre tilsynsaktiviteter i forkant av utstedelse av en kvalifisert tillitstjeneste og ved kontroller i ettertid, for å påse at forordningen oppfylles. Tydeliggjøringen av tilsynets oppgaver og roller slik de fremkommer i art. 17 bidrar til at alle tilsynsmyndigheter, uavhengig av land de er etablert i, skal gjennomføre de samme oppgavene.
For å kunne foreta et godt og grundig tilsyn med en velbegrunnet konklusjon er tilsynsmyndigheten avhengig av å kunne få tilgang til de nødvendige dokumenter om tjenestetilbyderens virksomhet. Det kan også være nødvendig å foreta kontroller i virksomhetens lokaler i forbindelse med tilsynet. Esignaturloven § 17 gir tilsynsmyndigheten tilgang til dokumenter og rett til å kreve adgang til virksomhetens lokaler. I høringsnotatet uttalte departementet at det er viktig å videreføre disse beføyelsene i den nye loven slik at tilsynet skal kunne gjennomføres i samsvar med forordningens formål. Bestemmelser om dette fremkommer i lovforslagets § 4.
Departementet foreslo videre at tilsynsmyndigheten skal kunne gi påbud om at forhold som er i strid med bestemmelser etter loven skal opphøre og stille vilkår for oppfyllelse, jf. lovforslagets § 3. Som etter gjeldende rett foreslo departementet at tilsynets enkeltvedtak skal kunne påklages, jf. lovforslagets § 6.
Som tidligere omtalt foreslo departementet også at tilsynsmyndigheten skal være ansvarlig myndighet til å føre en tillitsliste med informasjon om de kvalifiserte tillitstjenestetilbyderne og deres kvalifiserte tillitstjenester, jf. art. 22 i forordningen.
Nkom er utpekt som tilsynsmyndighet etter gjeldende rett. Med den nye forordningen er det flere typer tillitstjenester som reguleres og flere forpliktelser som påhviler både tjenestetilbyderne og tilsynsorganene. Departementet anså det derfor som naturlig å vurdere om Nkom fortsatt bør være tilsynsorgan for denne typen tjenester, eller om det er andre myndigheter som burde ha oppgaven.
13.2 Høringsinstansenes syn
Hva gjelder spørsmålet om tilsynsmyndighet, støtter BankID, Brønnøysundregistrene, Buypass, Commfides, Datatilsynet, Finans Norge, Justis- og beredskapsdepartementet, Nasjonal Sikkerhetsmyndighet, NAV, Nkom og Samferdselsdepartementet forslaget om at Nkom oppnevnes som tilsynsorgan etter den nye loven. Justis- og beredskapsdepartementet uttaler at Nasjonal Sikkerhetsmyndighet (NSM) kunne ha vært en egnet kandidat som tilsynsmyndighet, men da sistnevnte er foreslått som sertifiseringsorgan, er det naturlig å legge tilsynsoppgavene til Nkom.
Direktoratet for e-helse anbefaler at departementet i tillegg til Nkom også vurderer NSM og Datatilsynet før det tas en endelig beslutning.
Etter PODs oppfatning er både Nkom og NSM aktuelle som tilsynsmyndighet. POD fremholder at kravene til tilsynsorganets kompetanse og omfang vil bli vesentlig mer omfattende ved innføringen av forordningen, og at det vil kreve betydelige ressurser dersom Nkom alene skal bygge opp og vedlikeholde tilstrekkelig kompetanse. POD viser til forordningens artikkel 18 om tilsynsorganenes samarbeid over landegrenser, og anser det som hensiktsmessig at det etableres et nordisk samarbeid for å dra nytte av hverandres kompetanse. POD ønsker ikke å konkludere med hensyn til valg av tilsynsorgan, men ber om at det tas med i vurderingen hvordan NSMs kompetanse kan utnyttes for oppgaver knyttet til tilsyn i lys av det økte omfanget. Universitetet i Oslo mener at tilsynsmyndigheten ikke også bør ha ansvar for tillitslisten, og trekker frem Difi som et alternativ.
13.3 Departementets vurdering
Nkom driver tilsyn med tilbydere av posttjenester og med tilbydere av elektronisk kommunikasjonsnett og -tjenester etter lov om formidling av landsdekkende postsendinger (postloven) og lov om elektronisk kommunikasjon (ekomloven). Nkom har som oppgave å sikre brukerne i hele landet gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester og posttjenester. Nkom har vært tilsynsmyndighet etter esignaturloven siden loven ble innført i 2001. Av forarbeidene fremgår det at Nkom ble valgt som tilsynsmyndighet blant annet fordi etaten allerede hadde ansvar for å føre tilsyn med aktørene på post- og teleområdet, og på grunn av sin kompetanse på det tekniske, økonomiske og juridiske området, jf. Ot.prp. nr. 82 (1999–2000) pkt. 8.7.3 flg. I ettertid har Nkom også fått i oppgave å føre en liste over tjenestetilbydere med hjemmel i tjenesteloven, som nå skal utvides gjennom forordningen.
Departementet har vurdert om det er andre myndigheter som kan være aktuelle som tilsynsmyndighet, herunder NSM, Datatilsynet og Difi.
NSM er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-relaterte sikkerhetshendelser, og fører tilsyn med at sikkerhetslovens bestemmelser om forebyggende sikkerhetstjeneste etterleves. Departementet vurderer NSM som en egnet kandidat til rollen som tilsynsorgan etter forordningen. Imidlertid finner departementet det naturlig at NSM ved SERTIT utpekes som sertifiseringsorgan. SERTIT er opprettet som sertifiseringsorgan for IT-sikkerhet i Norge. SERTIT representerer også Norge i det internasjonale forumet «Arrangement on the Recognition of the Common Criteria Certificates in the field of Information Technology Security (CCRA)». Oppgaven til et sertifiseringsorgan er å forestå sertifisering av IT-produkter og systemer.
Departementet anser det i utgangspunktet som mest hensiktsmessig at sertifiseringsorganet og tilsynsorganet ikke er den samme myndigheten, fordi organene har noe ulike roller og oppgavene baserer seg på ulike regelverk. Mens sertifiseringsorganet skal sertifisere at kvalifiserte signaturframstillingssystemer oppfyller sikkerhetskrav i henhold til tekniske standarder, er tilsynsmyndigheten pålagt de tilsynsoppgavene som er skissert i art. 17. Gjennomføring av sertifisering og tilsyn stiller for øvrig også ulike krav til kompetanse hos personell som skal gjennomføre oppgavene. Det styrker dessuten tilliten til tilsynsaktiviteten etter art. 17 at tilsynet ikke har hatt noen rolle i sertifiseringen av produkter og systemer, da dette betyr at to uavhengige parter har vurdert oppfyllelse av sikkerhetskrav. Departementets vurdering er således at selv om NSM besitter kompetanse som kan utnyttes i forbindelse med tilsynsoppgavene etter forordningen, er det mer hensiktsmessig at forordningens oppgaver knyttet til henholdsvis sertifisering og tilsyn legges til to ulike organer. Det er også slik de fleste europeiske land har innrettet seg.
Datatilsynet har som hovedmål å bidra til at personvernlovgivningen etterleves og at alle skal ha beskyttelse i tråd med gjeldende personopplysningsregelverk. I kraft av sine roller som både tilsyn og ombud fører Datatilsynet kontroll med personvernregelverket og arbeider for å forhindre misbruk av personopplysninger. Datatilsynet har på denne bakgrunn for eksempel erfaring med vurdering av hvorvidt sikkerhetsbrudd tilsier at enkeltpersoner skal informeres. Tilsynsoppgavene etter forordningen ligger i utgangspunktet utenfor kjernen av Datatilsynets virksomhet. Departementet vurderer derfor ikke Datatilsynet som den mest aktuelle kandidaten til å være tilsynsorgan.
Som forvalter av ID-porten og Kravspesifikasjonen for PKI i offentlig sektor har Difi god faglig kompetanse på området. Difi har imidlertid ikke erfaring med tilsynsvirksomhet, som er en kompetanse det vil ta tid å bygge opp. Det kan også oppstå en uheldig dobbeltrolle som følge av oppgavene knyttet til regelverksforvaltning og forhandlingen med eID-leverandørene i ID-porten.
Etter departementets vurdering taler den erfaringen og ekspertisen Nkom har på teleområdet generelt, og som tilsynsmyndighet etter gjeldende esignaturlov spesielt, for å utpeke Nkom som tilsynsmyndighet også etter den nye loven. Langt på vei de fleste høringsinstansene støtter dette, og flere trekker frem at Nkom har etablert et godt samarbeid med aktørene i bransjen som det vil være nyttig å bygge videre på når det utvidete tilsynet skal etableres. På bakgrunn av dette fastholder departementet forslaget om at Nkom oppnevnes som tilsynsorgan etter den nye loven.