Prop. 71 LS (2017–2018)

Lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester), og samtykke til EØS-komiteens beslutning nr. 22/2018 om innlemmelse av forordningen i EØS-avtalen

Til innholdsfortegnelse

10 Krav til tillitstjenestetilbyderne – samsvarsvurdering

10.1 Forslaget

I høringsnotatet presiserte departementet at tillit til at tjenestene er sikre og at de fungerer er en viktig forutsetning for at tillitstjenestene tas i bruk. Forordningen oppstiller flere og sterkere forpliktelser som tjenestetilbydere må forholde seg til, enn hva tilfellet er ved dagens lovregulering.

En tjenestetilbyder som ønsker å tilby en kvalifisert tillitstjeneste, må etter forordningens art. 21 underrette tilsynsmyndigheten om dette. Sammen med meldingen skal det foreligge en samsvarsrevisjonsrapport gjennomført av et godkjent samsvarsvurderingsorgan for å sjekke om tillitstjenestetilbyderen oppfyller forordningens krav. Tilsynsmyndigheten skal gjennomgå rapporten og på bakgrunn av denne avgjøre om tilbyderen av en tillitstjeneste kan anses som en kvalifisert tillitstjenestetilbyder. Først etter innvilgelsen av slik status, som markeres i tillitslisten, kan tilbyderen tilby sin kvalifiserte tillitstjeneste i markedet.

Europakommisjonen kan fastsette gjennomføringsrettsakter om formater og prosedyrer for notifisering av ny tjeneste til tilsynsmyndigheten.

Et samsvarsvurderingsorgan er i forordningens art. 3 nr. 18 definert som et organ som er definert i art. 2 nr. 13 i forordning (EF) nr. 765/2008, og som er akkreditert i overensstemmelse med den samme forordningen med kompetanse til å utføre samsvarsrevisjoner av en kvalifisert tillitstjenestetilbyder og de kvalifiserte tillitstjenestene som tilbys. Art. 2 nr. 13 omfatter organer som utfører samsvarsvurderingsvirksomhet, herunder kalibrering, overprøving, sertifisering og inspeksjon.

I henhold til art. 20 nr. 4 kan Europakommisjonen fastsette gjennomføringsrettsakter med referanser til standarder for akkreditering av samsvarsvurderingsorganer og samsvarsvurderingsrapporten, og for gjennomføringen av samsvarsvurderingen.

Etter art. 19 er tilbydere av tillitstjenester, både kvalifiserte og ikke-kvalifiserte, pålagt å gjennomføre sikkerhetsarbeid i virksomheten. Dette uttrykkes blant annet ved at de skal iverksette tekniske og organisatoriske sikkerhetstiltak som er proporsjonale med risikoen knyttet til den tjenesten de tilbyr. For å sikre transparens og oppnå tillit er tilbyderne også pålagt å melde fra til tilsynsmyndigheten og eventuelt andre myndigheter om uønskede sikkerhetshendelser. Rapporteringen skal gjøres så snart som mulig og senest innen 24 timer etter at den uønskede hendelsen er oppdaget.

Europakommisjonen kan fastsette gjennomføringsrettsakter som utdyper det sikkerhetsarbeidet tillitstjenestetilbydere er pålagt å gjennomføre, og om plikten til å rapportere om uønskede sikkerhetshendelser.

I henhold til art. 20 nr. 2 kan tilsynsmyndigheten gjennomføre tilsyn ved virksomheten, eller pålegge ny samsvarsrevisjon utenom den allerede fastsatte revisjonssyklusen. Ved uoverensstemmelse med forordningen og dersom den kvalifiserte tillitstjenestetilbyderen ikke iverksetter tiltak for å rette opp i dette, kan tilsynsmyndigheten vurdere å trekke tilbake kvalifisert status og markere dette i tillitslisten, jf. art. 22.

Etter art. 20 skal tilbydere av kvalifiserte tillitstjenester hvert andre år gjennomføre en samsvarsrevisjon for å sjekke at de krav som forordningen stiller, fortsatt oppfylles. Den kvalifiserte tillitstjenestetilbyderen skal selv dekke kostnadene forbundet med samsvarsrevisjonen, og sende rapporten for gjennomgang til tilsynsmyndigheten.

Artikkel 24 stiller krav til den kvalifiserte tillitstjenestetilbyderens identifikasjonskontroll, som skal gjennomføres ved hjelp av hensiktsmessige midler og i overensstemmelse med nasjonal rett for å sikre riktig identitet til sertifikatinnehaveren. Det stilles krav om fysisk oppmøte, slik som det også kreves etter dagens regulering i esignaturloven § 13, jf. forskrift om krav til utstedere av kvalifiserte sertifikater § 7. I tillegg tillater forordningen blant annet bruk av elektroniske identitetsbevis hvor personlig oppmøte har vært gjennomført, og som oppfyller kravene i forordningens artikkel 8 i forbindelse med sikringsnivåene «betydelig» og «høy».

10.2 Høringsinstansenes syn

NAV mener at det bør utarbeides nærmere kvalifikasjonskrav til selskaper som skal akkrediteres til å utføre samsvarsvurderinger.

Nkom mener at det vil være fordelaktig dersom det finnes revisjonsselskaper i Norge som akkrediteres av Norsk Akkreditering til å være samsvarsrevisjonsorgan etter forordningen.

10.3 Departementets vurdering

Et samsvarsvurderingsorgan er som tidligere nevnt et organ som er akkreditert i overensstemmelse med forordning (EF) nr. 765/2008 med kompetanse til å utføre samsvarsvurderinger av en kvalifisert tillitstjenestetilbyder og de kvalifiserte tillitstjenestene som tilbys. EØS-vareloven § 3 utpeker Norsk akkreditering som akkrediteringsorgan etter den nevnte forordningen, og det vil derfor være Norsk akkreditering som vil akkreditere eventuelle samsvarsvurderingsorganer i Norge.

Norsk akkreditering benytter ISO-standarder i akkrediteringen av samsvarsvurderingsorganer. Departementet legger herunder til grunn at Norsk akkreditering er nærmest til å vurdere hvilke ISO-standarder det er aktuelt å benytte i forbindelse med akkrediteringen av selskaper som ønsker å foreta samsvarsvurderinger av tjenestetilbydere. Det vises til at Kommisjonen per dags dato ikke har besluttet hvilke standarder som skal brukes, og det er derfor naturlig at Norsk akkreditering benytter tilsvarende standarder som andre europeiske akkrediteringsorganer. Lovforslaget § 1 andre ledd gir Kongen adgang til å gi forskrift om akkreditering av samsvarsvurderingsorganer, utforming av samsvarsrevisjonsrapport og regler for gjennomføring av samsvarsrevisjoner mv. Departementet antar at det vil kunne bli aktuelt å benytte denne forskriftshjemmelen dersom det konstateres avvik mellom standardene de ulike akkrediteringsorganene legger til grunn, og norsk næringsliv berøres av dette.

I henhold til EØS-vareloven skal Norsk akkreditering føre tilsyn med de samsvarsvurderingsorganene som det har utstedt akkrediteringsbevis til, jf. lovens § 2 og forordning (EF) nr. 765/2008 art. 5 nr. 3. Betaling for akkrediteringstjenestene er fastsatt i forskrift 1. juli 2013 nr. 821 om gebyrer for Norsk akkrediterings tjenester. Dersom et akkreditert samsvarsvurderingsorgan ikke lenger er kompetent til å utøve samsvarsvurderingsvirksomheten, eller det på en alvorlig måte har unnlatt å oppfylle sine forpliktelser, skal akkrediteringsorganet treffe «alle egnede tiltak for å begrense, midlertidig oppheve eller trekke tilbake akkrediteringsbeviset», jf. samme forordning art. 5 nr. 4.

Det foreligger ingen forpliktelse for medlemslandene til å ha et nasjonalt samsvarsrevisjonsorgan. En tjenestetilbyder vil også kunne benytte et akkreditert samsvarsvurderingsorgan fra et annet medlemsland. Det kan være en fordel dersom det finnes revisjonsselskaper i Norge som blir akkreditert til å være samsvarsvurderingsorganer, sett i lys av nasjonale organers verdifulle kunnskaper om lokale forhold. Departementet mener imidlertid at det må være opp til potensielle aktører selv å vurdere om de anser det å være revisjonsselskap som en tilstrekkelig markedsmulighet til å ønske å bli akkreditert. Departementet mener at det ikke er naturlig at dette blir en statlig oppgave. Det eksisterer et europeisk marked, og norske bedrifter kan benytte seg av samsvarsrevisjonsorganer etablert i EU.

Til forsiden