7 Selvdeklarasjonsordningen

7.1 Forslaget

Som omtalt i høringsnotatet gir esignaturloven § 16 a hjemmel til å etablere frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger for sertifikatutstedere. Formålet er å høyne sikkerhetsnivået for sertifikattjenester og dermed øke tilliten til og bruken av slike tjenester. Gjennom slike ordninger er det etter dagens regler mulig å stille tilleggskrav ut over de krav som gjelder i esignaturloven for kvalifiserte sertifikater og utstedere av slike. Ordningene vil også kunne stille krav på andre sikkerhetsnivåer.

For eID-løsninger på høyeste sikkerhetsnivå i henhold til Rammeverk for autentisering og uavviselighet1 er det stilt krav om at løsningen er deklarert i henhold til offentligrettslige krav. En slik selvdeklarasjonsordning er innført for sertifikatutstedere som ønsker å tilby sertifikater i offentlig sektor i henhold til «Kravspesifikasjon for PKI i offentlig sektor». Alle de kommersielle tilbyderne av eID i ID-porten, dvs. BankID, Buypass og Commfides, er selvdeklarert etter denne ordningen. Videre inneholder enkelte forskrifter en henvisning til samme regelsett2. I kravspesifikasjonen fremgår det under pkt. 1.3 at selvdeklarerte sertifikatutstedere skal levere basis sertifikattjenester for bruksområdene autentisering og signering med tilhørende statustjenester og oppslagstjenester. Sertifikatutstederne kan velge hvorvidt de vil levere sertifikater for bruksområdet kryptering, og hvilke underliggende tjenester de vil levere.

Når det gjelder kvalifiserte tillitstjenester som er omfattet av forordningen, vil en ordning med selvdeklarasjon ikke oppfylle forordningens krav. Som tidligere nevnt stiller forordningen krav om at det skal foreligge en samsvarsvurdering fra tredjepart, samt en kontroll av denne og registrering hos tilsynsmyndigheten, før tilbyderen kan tilby kvalifiserte tillitstjenester. Dette innebærer med andre ord en godkjenningsordning.

Begrepet tillitstjenester er på EU-nivå uttømmende definert i forordningen. Begrepet omfatter blant annet ikke autentiseringstjenester eller krypteringstjenester som sådan, kun de kvalifiserte sertifikater som de eventuelt er basert på. For rene autentiserings- eller krypteringstjenester vil derfor en selvdeklarasjonsordning kunne bidra til å øke tilliten. Videre er ikke forordningens godkjennelsesordning for kvalifiserte tillitstjenester til hinder for at det tilbys frivillige selvdeklarasjonsordninger eller godkjenningsordninger for ikke-kvalifiserte tillitstjenester. Departementet foreslo i høringsnotatet at hjemmelen til å etablere frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger for sertifikatutstedere, beholdes inntil Kommunal- og moderniseringsdepartementets vurdering av Rammeverket og behovet for å beholde Kravspesifikasjon for PKI i offentlig sektor er gjennomført.

7.2 Høringsinstansenes syn

Med hensyn til forslaget om å beholde hjemmelen til å etablere frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger, støttes dette av Brønnøysundregistrene, Commfides, Direktoratet for e-helse, NAV og Nkom. Commfides viser til at det må etableres en god og forutsigbar overgangsordning før dagens selvdeklarasjonsordning eventuelt kan trappes ned. Direktoratet for e-helse uttaler at helse- og omsorgssektoren har anskaffet og etablert PKI-løsninger, og at det vil være behov for å vurdere hvilke konsekvenser en avvikling av selvdeklarasjonsordningen vil påføre sektoren før det eventuelt gjøres endringer. POD uttaler at hjemmelen for selvdeklarasjonsordningen kan beholdes, da implikasjonene ved å fjerne den ikke er kartlagt. De presiserer imidlertid at en avvikling bør være målet på sikt, blant annet fordi ordningen medfører at utstedere av kvalifiserte sertifikater må registrere seg to ganger hos Nkom, og dermed også betale to gebyrer. POD anbefaler videre at kravspesifikasjonen for PKI i offentlig sektor revideres slik at den i størst mulig grad henviser til eIDAS med gjennomføringsrettsakter, og mener det likevel vil være nødvendig med noen få særnorske tilpasninger, for eksempel hvordan en skal kode fødselsnummer i et sertifikat eller avlede fødselsnummeret fra sertifikatet.

BankID, Buypass, Datatilsynet, Finans Norge, Forbrukerombudet og Nasjonal sikkerhetsmyndighet mener selvdeklarasjonsordningen bør avvikles. BankID og Finans Norge påpeker at det ikke er behov for særnorske regler og krav utenfor forordningens reguleringsområde, og foreslår at lovforslagets § 2 strykes. Buypass foreslår at eventuelle kompletterende retningslinjer for offentlige tjenesteytere kan fremgå i en ny og oppdatert versjon av «Rammeverk for autentisering og uavviselighet», da med et tydeligere skille mellom bruksområdene autentisering og signering. Forbrukerombudet mener at en selvdeklarasjonsordning ved siden av det nye regelverket kan være egnet til å skape uklarhet. Datatilsynet og Nasjonal sikkerhetsmyndighet finner at selvdeklarasjonsordningen ikke gir tilstrekkelig tillit, og at tjenester som skal ivareta større verdikjeder, må underlegges et regelverk med tydelige krav til sikkerhetsnivå.

7.3 Departementets vurdering

Departementet viser til at en umiddelbar avvikling av selvdeklarasjonsordningen vil kunne få uheldige konsekvenser for de sektorer som benytter etablerte PKI-løsninger. Departementet mener derfor at en eventuell avvikling må foregå gradvis, og først etter at konsekvensene er tilstrekkelig kartlagt.

Departementet mener på den bakgrunn at det er behov for å beholde hjemmelen til å etablere frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger, inntil vurderingen av «Rammeverket for autentisering og uavviselighet» og behovet for å beholde Kravspesifikasjon for PKI i offentlig sektor er gjennomført. Departementet har bedt Nkom om å vurdere PODs merknad vedrørende dobbeltregistrering og betaling for kvalifiserte tilbydere. Nkom opplyser at det ikke må betales to fulle gebyrer, men at gebyret graderes ned for hver registrering fra samme tilbyder.

Selvdeklarasjonsordningen gir i dag et tilsynsregime for kvalifiserte sertifikattjenester som er basert på kravspesifikasjon for PKI. Aktørene erklærer at de etterlever gjeldende kravspesifikasjon for en eller flere sertifikatklasser. Nkom fører tilsyn med etterlevelsen. Forordningens system er at kvalifiserte tillitstjenestetilbydere må ha en tredjepartserklæring (samsvarserklæring) om at tilbyderen oppfyller forordningens krav for tjenesten. Dette er et strengere kontrollregime enn dagens norske krav gir, og dagens selvdeklarasjonsløsning blir da overflødig for de tillitstjenester som forordningen beskriver.

Den norske selvdeklarasjonsordningen brukes i dag blant annet for å etablere eID-løsninger (identifikasjons-/autentiseringstjenester) i Norge. Identifikasjons- og autentiseringstjenester er ikke definert som tillitstjenester i forordningen.

I Norge har vi god erfaring med selvdeklarasjonsordninger. Departementet mener at selvdeklarasjonsordningen fortsatt kan supplere det mer omfattende tilsynsregimet som forordningen legger opp til.

I høringsnotatet ble det foreslått at det kunne etableres ordninger for tillitstjenester. Begrepet er definert på EU-nivå i forordningens artikkel 3, og omfatter her et definert antall tjenester. Det er imidlertid forutsatt at medlemsstatene kan definere egne tillitstjenester, jf. gjennomføringsrettsakt 2015/1505 kapittel II. Behovet for selvdeklarasjonsordninger vil primært gjelde for slike tillitstjenester, eksempelvis autentiseringstjenester og krypteringstjenester. For å klargjøre at hjemmelen også dekker nasjonalt definerte tillitstjenester har departementet justert teksten.

Rammeverket er fra 2008 og er under revisjon i lys av eIDAS-forordningen. I den forbindelse vil en også vurdere behovet for kravspesifikasjon PKI for offentlig sektor oghvilke tjenester som i denne omgang bør omfattes av selvdeklarasjonsordningen.