Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 71 LS (2017–2018)

    Lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester), og samtykke til EØS-komiteens beslutning nr. 22/2018 om innlemmelse av forordningen i EØS-avtalen

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    9 Tillitstjenestene

    9.1 Gjeldende rett – esignaturloven

    Lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven) gir rettslige rammebetingelser for bruk av elektronisk signatur og tilknyttede tjenester. Loven gjennomfører Europaparlaments- og rådsdirektiv 1999/33/EF av 13. desember 1999 om en fellesskapsramme for elektroniske signaturer. Tilsynsmyndighet etter loven er Nasjonal kommunikasjonsmyndighet (Nkom) (som frem til 1. januar 2015 het Post- og teletilsynet).

    En elektronisk signatur (esignatur) er i Lov om elektronisk signatur (esignaturloven) § 3 definert som data i elektronisk form som er knyttet til andre elektroniske data, og som brukes som autentiseringsmetode. Esignatur er en generell betegnelse på teknikker for å «signere» digital informasjon på samme måte som en håndskreven signatur benyttes til å undertegne et papirdokument. Disse teknikkene vil eksempelvis kunne være basert på biometriske kjennetegn (fingeravtrykk, avlesing av øye, ansiktsgjenkjenning m.m.), avlesning av en elektronisk penn, eller digitale signaturer basert på elektroniske nøkler og sertifikater. Den tekniske realiseringen av avanserte elektroniske signaturer som kalles digital signatur er for tiden mest utbredt. Ved utforming av digitale signaturer bruker man kryptering som bygger på avanserte matematiske funksjoner.

    Bruk av esignatur er egnet til å skape tillit mellom parter som har behov for å vite at den de kommuniserer med, er den som vedkommende gir seg ut for å være. En esignatur kan bidra til å synliggjøre hvem som sendte informasjonen, og at elektronisk overført informasjon ikke har blitt endret underveis. Esignatur kan for eksempel brukes når avtaler inngåsved elektronisk innrapportering, ved elektronisk dokumenthåndtering og ved betaling over internett.

    Esignaturloven gjennomfører Europaparlaments- og rådsdirektiv 1999/93/EF av 13. desember 1999 i norsk rett, og gir rettslige rammebetingelser for bruk av elektronisk signatur og tilknyttede tjenester. Loven skiller mellom avanserte og kvalifiserte elektroniske signaturer. En avansert elektronisk signatur er i esignaturloven § 3 nr. 2 definert som en elektronisk signatur som er entydig knyttet til undertegneren, kan identifisere undertegneren, er laget ved hjelp av midler som bare undertegneren har kontroll over, og er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering. En kvalifisert elektronisk signatur er i esignaturloven § 3 nr. 3 definert som en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem.

    I loven § 6 fremkommer det at såfremt lovgivningen åpner for at en disposisjon kan gjennomføres elektronisk, vil et krav om underskrift eller signatur alltid være oppfylt av en kvalifisert elektronisk signatur. Loven presiserer også at andre elektroniske signaturer vil kunne oppfylle et formkrav om håndskreven underskrift.

    Det er i dag noe bruk av avansert elektronisk signatur i samfunnet, og da primært basert på kvalifiserte sertifikater. Den største bruken er imidlertid vanlige elektroniske signaturer, altså signaturer som ikke er avanserte. Grunnet prinsippet om formfrihet i norsk avtalerett har det ikke vært behov for en kvalifisert elektronisk signatur, og kostnadene knyttet til et slikt signaturfremstillingssystem er betydelige. Markedet og forvaltningen har følgelig sett seg tjent med å bruke andre elektroniske signaturer.

    En elektronisk signatur krever en tilknytning mellom en person og elektroniske data. Elektronisk signatur er i prinsippet et teknologinøytralt begrep. Det er imidlertid allment akseptert at avansert elektronisk signatur i dag kun kan realiseres ved teknologien digital signatur, som innebærer bruk av offentlig nøkkel-kryptografi. En digital signatur krever et elektronisk sertifikat, som i esignaturloven. Esignaturloven § 3 nr. 9 definerer digital signatur som en kobling mellom signaturverifikasjonsdata og undertegner som bekrefter undertegners identitet og er signert av sertifikatutsteder. Sertifikatets viktigste funksjon er herunder å garantere koblingen mellom den private nøkkelen og undertegneren.

    I esignaturloven §§ 8 og 9 oppstilles det nærmere krav til sikre signaturfremstillingssystemer. Per i dag finnes det ikke slike systemer i det norske markedet, og det er ikke innført et system for godkjennelse av slike signaturfremstillingssystemer i Norge. Godkjennelse som er foretatt av et organ i en annen EØS-stat, skal imidlertid likestilles med norsk godkjennelse.

    Esignaturloven § 16a gir departementet adgang til å innføre en frivillig sertifiserings-, godkjennings- eller selvdeklarasjonsordning for sertifikatutstedere. Formålet er å øke tilliten til og derved bruken av elektroniske signaturer, jf. Ot.prp. nr. 74 (2004–2005). En selvdeklarasjonsordning er innført for sertifikatutstedere som ønsker å tilby sertifikater i henhold til den til enhver tid gjeldende «Kravspesifikasjon for PKI i offentlig sektor», jf. forskrift 21. november 2005 nr. 1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere. Gjennom denne ordningen kan en sertifikatutsteder erklære at en sertifikattype som utstederen tilbyr, oppfyller de nærmere angitte kravene.

    Lovens § 20 fastsetter at for å sikre at bestemmelser gitt i eller i medhold av loven, kan tilsynet bestemme at sertifikatutsteder skal betale tvangsmulkt. Lovens § 21 pålegger straffeansvar for en kvalifisert sertifikatutsteder som forsettlig eller grovt uaktsomt overtrer plikten til å sende registreringsmelding til tilsynet, unnlater å gi opplysninger eller gir uriktige eller villedende opplysninger til tilsynet, eller behandler personopplysninger i strid med reglene om innsamling, bruk og lagring av opplysninger etter §§ 7 og 14.

    Etter esignaturloven § 22 første ledd vil en utsteder av kvalifiserte sertifikater være erstatningsansvarlig for tap hos en fysisk eller juridisk person når denne hadde rimelig grunn til å ha tillit til sertifikatet i henhold til nærmere angitte forhold. Dette gjelder med mindre utstederen godtgjør at han eller hun ikke har handlet uaktsomt (omvendt bevisbyrde).

    Esignaturloven § 24 gir hjemmel for å fastsette at registreringspliktige utstedere skal betale gebyr til tilsynet. Gebyrene må ikke overstige kostnadene ved tilsynets virksomhet. Bestemmelser om gebyr er fastsatt i forskrift 21. februar 2005 nr. 168 om gebyr til Post- og teletilsynet § 5. Tilsynet gis adgang til ved enkeltvedtak å «fastsetje årleg gebyr for sertifikatutstedar som er registreringspliktig i samsvar med lov 15. juni 2001 nr. 81 om elektronisk signatur § 18, jf. § 3 og § 24, eller som kjem inn under frivillige sertifiseringsordningar, godkjenningsordningar eller sjølvdeklarasjonsordningar, jf. § 16a og forskrift om frivillige sjølvdeklarasjonsordningar for sertifikatutstedarar § 14.»

    9.2 Forslaget

    Som nevnt i høringsnotatet legger forordningen til rette for å oppnå elektronisk samhandling mellom innbyggere i Europa ved å regulere tillitstjenester. Tillitstjenestene er avgrenset til å omfatte de tjenestene som er tilgjengelige og omsettes i det åpne markedet.

    Forordningen styrker dagens eksisterende regler om elektronisk signatur og innfører regler om flere typer elektroniske tillitstjenester. Begrepet «tillitstjenester» er i art. 3 nr. 16 definert som en elektronisk tjeneste som normalt utføres mot betaling, og som består av fremstilling, kontroll og validering av elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler, elektronisk tjeneste for registrert sending og sertifikater knyttet til disse tjenestene, eller fremstilling, kontroll og validering av sertifikater for nettstedsautentisering, eller lagring av elektroniske signaturer, segl eller sertifikater knyttet til disse tjenestene. Departementet oppfatter listen som uttømmende. Dersom det i fremtiden skulle introduseres nye tillitstjenester som faller under definisjonen i art. 3 nr. 16, anser departementet at disse også vil omfattes av forordningen. Eventuelle fremtidige tjenester som ikke faller under definisjonen, vil kreve egen regulering. De fleste kravene i forordningen gjelder for kvalifiserte tillitstjenester, og disse er i art. 3 nr. 17 definert som tillitstjenester som oppfyller forordningens krav. Det vil i det følgende redegjøres for de ulike tillitstjenestene og hvordan de reguleres i forordningen.

    9.2.1 Elektronisk signatur og elektronisk segl

    Forordningen etablerer et skille mellom elektronisk signatur (art. 25–34) fra en fysisk person og elektronisk segl (art. 35–40) fra en juridisk person. Forordningen har likelydende bestemmelser for elektronisk signatur og elektronisk segl, men artiklene om rettsvirkninger av de to mekanismene er forskjellige. Alle elektroniske segl skal i utgangspunktet kunne føres som bevis, og for kvalifiserte elektroniske segl skal det antas at integriteten til dataene som det kvalifiserte elektroniske seglet er knyttet til, er intakt og at dataenes opprinnelse er riktige.

    Forordningen stiller de samme vilkårene som direktiv 1999/93/EF for hva som skal anses som en avansert elektronisk signatur, og stiller tilsvarende krav for hva som skal anses som et avansert elektronisk segl. Vilkårene sikrer at signaturen/seglet entydig kan knyttes til og identifisere undertegneren eller skaperen av seglet, at signaturen/seglet er laget kun ved hjelp av midler som vedkommende har kontroll over og er knyttet til andre elektroniske data slik at det oppdages om disse er endret etter signering. Det fremgår av fortalen avsnitt 58–59 at segl vil dannes av juridiske personer, mens fysiske personer signerer.

    Et kvalifisert elektronisk sertifikat kan være en bestanddel for å lage en avansert elektronisk signatur eller et avansert elektronisk segl. Forordningen stiller krav gjennom art. 28 og 38 til kvalifiserte sertifikater som sikrer identifisering av innehaveren av sertifikatet, og på den måten gir sikkerhet for at signaturen eller seglet virkelig tilhører vedkommende. En avansert elektronisk signatur basert på et kvalifisert sertifikat og som er fremstilt av et kvalifisert elektronisk signaturfremstillingssystem gir en kvalifisert elektronisk signatur. Tilsvarende vil et avansert elektronisk segl basert på et kvalifisert sertifikat og som er fremstilt av et kvalifisert elektronisk seglfremstillingssystem, gi et kvalifisert elektroniske segl.

    Gjennom forordningens art. 29 og vedlegg II til forordningen stilles det krav til det kvalifiserte elektroniske signaturfremstillingssystemet. Dette systemet skal blant annet sikre at de elektroniske signaturfremstillingsdataene med rimelig sikkerhet er konfidensielle og kun kan forekomme én gang. Systemet skal også sikre at de elektroniske signaturfremstillingsdataene som anvendes, ikke kan utledes, og at den elektroniske signaturen er beskyttet mot forfalskning og andres bruk. Kommisjonen kan fastsette gjennomføringsrettsakter hvor det oppstilles referansenummer til standarder for kvalifiserte elektroniske signaturfremstillingssystemer.

    Videre skal et kvalifisert elektronisk signaturfremstillingssystem sertifiseres i henhold til art. 30 i forordningen. Medlemslandene skal melde fra til Kommisjonen om hvilket organ som skal foreta en slik sertifisering og hvilke systemer som har blitt sertifisert. Kommisjonen skal lage en offentlig tilgjengelig oversikt over sertifiserte signaturfremstillingssystemer, jf. art. 31. Etter art. 39 gjelder art. 29–31 tilsvarende for kvalifiserte systemer for fremstilling av elektroniske segl.

    Sertifiseringen av kvalifiserte elektroniske signaturfremstillingssystemer skal etter art. 30 pkt. 3 basere seg på refererte standarder fastsatt ved gjennomføringsrettsakt fra Kommisjonen. Fortalens pkt. 55 uttaler at IT-sikkerhetssertifiseringen bør baseres på internasjonale standarder, som for eksempel ISO/IEC 15408, og dertil tilknyttede evalueringsmetoder og gjensidige anerkjennelsesordninger. Alternative evalueringsprosesser skal kun benyttes for evaluering av teknologiske løsninger hvor det ennå ikke er utarbeidet eller fastsatt en standard som disse systemene kan evalueres etter. Alternative evalueringsprosesser skal så langt som mulig være sammenlignbare med allerede fastsatte standarder for IT-sikkerhetssertifisering.

    Forordningen stiller i art. 32 krav til valideringen av en kvalifisert elektronisk signatur for å kunne fastslå gyldigheten av signaturen på signeringstidspunktet. Blant annet skal valideringen bekrefte at det kvalifiserte sertifikatet var gyldig og utstedt av en kvalifisert tillitstjenestetilbyder på signeringstidspunktet. I art. 33 stilles det også krav til den som tilbyr en kvalifisert valideringstjeneste for kvalifiserte elektroniske signaturer, som for eksempel at valideringen skal utføres i henhold til art. 32 pkt. 1. Artikkel 32 og 33 gjelder også for validering av kvalifiserte elektroniske segl, jf. art. 40.

    En kvalifisert tillitstjenestetilbyder som tilbyr lagringstjeneste for kvalifiserte elektroniske signaturer og segl, må kunne sikre rettsvirkningene av den elektroniske signaturen eller seglet over et lengre tidsrom og garantere at de kan valideres uavhengig av teknologisk utvikling, jf. art. 34 og 39.

    For art. 28–34 og 37–38 kan Europakommisjonen blant annet fastsette gjennomføringsrettsakter som definerer referansestandarder for de ulike kravene til elektroniske signaturer og elektroniske segl. Etter art. 30 kan Europakommisjonen fastsette en delegert gjennomføringsrettsakt med kriterier til det organet som utpekes til sertifiseringsorgan for kvalifiserte elektroniske signaturfremstillingssystemer.

    9.2.2 Elektronisk tidsstempel

    Elektronisk tidsstempel er i art. 3 nr. 33 definert som data i elektronisk form som knytter andre data i elektronisk form til et bestemt tidspunkt og dermed dokumenterer at sistnevnte data eksisterte på det gjeldende tidspunktet. I art. 42 fastsettes kravene til et kvalifisert elektronisk tidsstempel slik at de skal kunne knytte dato og tidspunkt til dataene på en slik måte at det med rimelighet utelukker muligheten for å endre dataene uten at dette oppdages. De kvalifiserte elektroniske tidsstemplene skal bygge på en presis tidskilde og være signert med den kvalifiserte tillitstjenestetilbyderens avanserte elektroniske signatur eller segl, eller med annen tilsvarende metode.

    Europakommisjonen kan ved hjelp av gjennomføringsrettsakter fastsette referansenummer på standarder om forbindelsen mellom data og tidspunkt for data og for bruk av nøyaktige tidskilder.

    9.2.3 Elektronisk tjeneste for registrert sending

    Elektronisk tjeneste for registrert sending er definert i artikkel 3 nr. 36 som en tjeneste som gjør det mulig å overføre data mellom tredjeparter elektronisk, og dokumenterer håndteringen av de overførte dataene, herunder dokumentasjon på sending og mottak av dataene, og som beskytter de overførte dataene mot tap, tyveri, skade og endring.

    Kvalifiserte elektroniske tjenester for registrert sending skal blant annet oppfylle krav om at tjenesten tilbys av en kvalifisert tillitstjenestetilbyder, at tjenesten med høy grad av tillit sikrer avsenderens og mottakers identitet, og at forsendelsen eller mottakelsen av data er beskyttet av en kvalifisert tillitstjenestetilbyders avanserte elektroniske signatur eller segl på slik måte at det er umulig å endre dataene uten at dette oppdages, jf. art. 44.

    Europakommisjonen kan fastsette referansenummer til standarder om forsendelse av data og prosesser for mottakelse av data.

    9.2.4 Sertifikat for nettstedsautentisering

    I henhold til artikkel 3 nr. 38 er et sertifikat for nettstedsautentisering en attestasjon som gjør det mulig å autentisere en nettside og knytte denne til den fysiske eller juridiske personen som sertifikatet er utstedt til. Tilbyder av kvalifiserte sertifikater for nettstedsautentisering skal oppfylle kravene som er å finne i vedlegg IV. For eksempel skal det angis at sertifikatet er utstedt som et kvalifisert sertifikat for nettstedsautentisering, det skal inneholde et sett data som entydig representerer den kvalifiserte tillitstjenestetilbyderen, herunder opplysninger om hvilken medlemsstat utstederen tilhører og den juridiske personens navn, og eventuelt organisasjonsnummer.

    Europakommisjonen kan fastsette referanser til standarder for kvalifiserte sertifikater for nettstedsautentisering, hvor en ved oppfyllelse av standarden antas å oppfylle vedlegg IV.

    9.3 Høringsinstansenes syn

    Buypass anser ikke at høringsnotatet i tilstrekkelig grad tydeliggjør hva forordningen innebærer for tilbydere av ikke-kvalifiserte tillitstjenester og sertifikater. Videre mener Buypass at det bør presiseres at en tjenestetilbyder også kan sertifisere signaturfremstillingssystemet gjennom et sertifiseringsorgan i et annet medlemsland.

    Datatilsynet viser til at tillitstjenestebegrepet er definert som elektroniske tjenester som normalt utføres mot betaling, og at regelverket synes å være beregnet på tjenester med et kommersielt aspekt. Dersom statlige deler av leveringstjenestene, eksempelvis Difis del av Sikker digital post, faller utenfor forordningens virkeområde, vil dette kunne utgjøre et lovtomt rom. Datatilsynet mener at det vil føre til en utilfredsstillende situasjon dersom disse tjenestene ikke omfattes av regelverket. Videre foreslår Datatilsynet at alle tilbydere av elektronisk postkasse bør pålegges å oppfylle kravene til kvalifisert tjenestetilbyder, da dette vil skape nødvendig tillit til tjenestene.

    NAV og Nkom støtter departementets forslag om at Nasjonal sikkerhetsmyndighet v/SERTIT utpekes til sertifiseringsorgan. Hverken Justis- og beredskapsdepartementet eller Nasjonal sikkerhetsmyndighet anser at lovforslaget om gjennomføring av forordningen innebærer noen utvidelse av det ansvaret SERTIT allerede har, men påpeker at nye krav vil kunne medføre økt aktivitet for organet.

    9.4 Departementets vurdering

    Departementet viser til at det etter dagens esignaturlov kun er tilbydere av elektronisk signatur som er underlagt lovreguleringen. Med forordningen introduseres begrepet tillitstjenester, og dermed utvides hvem som er å anse som tilbyder og omfattes av lovreguleringen. At tillitstjenestebegrepet i art. 3 nr. 16 er definert som tjenester som normalt tilbys mot betaling, åpner etter departementets syn for at også ikke-kommersielle tjenester kan omfattes av forordningen. I motsetning til i esignaturloven omfattes også ikke-kvalifiserte tillitstjenestetilbydere av forordningen. I forordningens art. 19 pålegges disse for eksempel å gjennomføre sikkerhetsarbeid og iverksette tekniske og organisatoriske sikkerhetstiltak som står i forhold til den tjenesten som tilbys. Departementet antar at de fleste virksomheter forholder seg til krav om tilfredsstillende sikkerhet, for eksempel i kontrakter eller med utgangspunkt i forventninger fra markedet.

    Departementet viser til forordningens fortale, hvor det fremgår at Kommisjonens gjennomgang av virkningene av esignaturdirektivet avdekket at man ved kun å regulere elektronisk signatur ikke klarte å legge til rette for en digital samhandling internt i et land, eller på tvers av landegrensene. Dagens samfunn ønsker tilgjengelige digitale løsninger. Ved for eksempel inngåelse av en avtale vil partene i avtalen velge den metoden som oppleves sikrest og mest tilgjengelig. For å kunne sidestille elektroniske disposisjoner med tradisjonelle papirdisposisjoner er det etter departementets vurdering naturlig og viktig å utvide hvilke tjenester som omfattes av en lovregulering. Ved en slik utvidelse vil det bli stilt kvalitetskrav til tjenesten og til tilbydere av tjenesten, samt bli påsett at de lovbestemte kravene følges opp.

    Som tidligere beskrevet stiller forordningen krav om sertifisering av kvalifiserte elektroniske signaturfremstillingssystemer i art. 30. Departementet tolker bestemmelsen slik at den ikke pålegger medlemslandene noen plikt til å tilby et slikt sertifiseringssystem. Den som skal tilby kvalifisert elektronisk signatur, kan velge å benytte seg av et signaturfremstillingssystem som er sertifisert i et annet medlemsland.

    Europakommisjonen kan i henhold til art. 30 fastsette en delegert rettsakt med kriterier til det organet som utpekes som sertifiseringsorgan for kvalifiserte elektroniske signaturfremstillingssystemer. Innholdet i en slik rettsakt kan påvirke hvilken myndighet som anses best egnet til å foreta sertifiseringen.

    Departementet viser til at det i Norge er Nasjonal sikkerhetsmyndighet v/SERTIT som innehar rollen som norsk sertifiseringsmyndighet etter ISO/IEC 15408 (dvs. Common Criteria) og deltar under de internasjonale avtalene CCRA og SOGIS MRA (europeisk) som kvalifisert sertifiseringsmyndighet på dette området. Etter departementets syn vil det derfor være naturlig at det er SERTIT som utpekes som sertifiseringsorgan etter artikkel 30, jf. art. 39 pkt. 2 i Norge, dersom man ser at det er behov for å ha et system for slik sertifisering i Norge.

    I lovforslagets § 1 annet ledd er Kongen tillagt forskriftsfullmakt til å fastsette nærmere regler om krav til, og sertifisering av, kvalifiserte elektroniske signaturfremstillingssystemer.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen