Sertifisering av digitale identitetslommebøker
Kommisjonens gjennomføringsforordning (EU) 2024/2981 av 28. november 2024 med regler for bruk av Europaparlamentets og Rådets forordning (EU) nr. 910/2014 om sertifiseringen av europeiske digitale identitetslommebøker.
Commission implementing regulation (EU) 2024/2981 of 28. November 2024 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and the Council as regards the certification of European Digital Identity Wallets.
EØS-notat | 01.06.2026 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 16.10.2025
Spesialutvalg: Kommunikasjoner
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester
Kapittel i EØS-avtalen:
Status
Gjennomføringsforordningen er vedtatt av Kommisjonen og har trådt i kraft i medlemslandene. Medlemslandene har en frist til desember 2026 på å innrette seg etter gjennomføringsforordningen. Rettsakten er under vurdering i EØS/EFTA-statene.
Sammendrag av innhold
Bakgrunn og formål
Gjennomføringsforordning (EU) 2024/2981 av 28. november 2024 («gjennomføringsforordningen») er hjemlet i bestemmelser som følger av forordning (EU) 2024/1183 (eIDAS2) som endrer eIDAS-forordningen (EU) 910/2014 (eIDAS1), og er en del av det reviderte eIDAS-regelverket.
eIDAS1 ble vedtatt 23. juli 2014 og trådte i kraft i EU 1. juli 2016. eIDAS1 er tatt inn i EØS-avtalen og gjennomført i norsk rett gjennom lov om elektroniske tillitstjenester og tilhørende forskrifter. Formålet med eIDAS1 er å fremme sikker elektronisk samhandling mellom borgere, næringsliv og offentlige myndigheter på tvers av EU/EØS.
eIDAS2 trådte i kraft i EU 20. mai 2024, og utvider virkeområdet til eIDAS1 med blant annet innføringen av en digital identitetslommebok («European Digital Identity Wallet/EUDIW»), med tilhørende økosystem. EUDIW skal lette grensekryssende tjenestetilgang, samtidig som personvern og privatliv ivaretas. eIDAS2 er foreløpig ikke innlemmet i EØS-avtalen.
eIDAS2 artikkel 1 inneholder en oversikt over nye eller endrede artikler i eIDAS1, inkludert en ny artikkel 5c. Av ny artikkel 5c fremgår at sertifiseringen av europeiske digitale identitetslommebøker skal omfatte krav tilknyttet funksjon, cybersikkerhet og personvern, for å sikre et høyt nivå av sikkerhet og tillit til lommebøkene.
Denne gjennomføringsforordningen fastsetter referansestandarder, spesifikasjoner og prosedyrer for sertifisering av digitale identitetslommebøker, og skal slik sikre harmonisering på tvers av medlemsstatene, for å forhindre markedsfragmentering og for å etablere et solid rammeverk for sertifisering av lommebøker. Det er presisert i gjennomføringsforordningen at EUs personvernregelverk gjelder for all behandling av personopplysninger etter forordningen.
Hovedpunkter
Sertifiseringen
Det som skal sertifiseres er levering og drift av lommebokløsninger, inkludert eID-ordninger som ligger til grunn for lommebokleveransen. Nærmere bestemt skal sertifiseringen omfatte spesifikt regulerte produkter (maskinvare og programvare), og prosesser og tjenester knyttet til lommebokløsningene, hver for seg eller i kombinasjon. Enheter («maskinvare») eller plattformer levert av sluttbrukeren skal ikke inkluderes i sertifiseringen, men leverandøren av lommebokløsningen må dokumentere antakelser om det aktuelle driftsmiljøet og verifisere disse i praksis, basert på spesifiserte vurderingskriterier i sertifiseringsordningene.
Sertifiseringen skal omfatte funksjonskrav, cybersikkerhetskrav og personvernskrav, blant annet ved å se til eksisterende sertifiseringsordninger, for eksempel når det gjelder cybersikkerhet, når slike er tilgjengelige og relevante. Ett felles tillitsmerke for den europeiske digitale identitetslommeboken «EU Digital Identity Wallet Trust Mark» skal brukes som samsvarsmerke.
En sertifisering vil gjelde for inntil fem år om gangen, forutsatt at en sårbarhetsvurdering blir gjennomført hvert andre år. Sertifikater kan tilbakekalles ved alvorlige, uadresserte sårbarheter. Tilbakekalling er først og fremst aktuelt der en uadressert sårbarhet kan ventes å merkbart påvirke lommebokløsningens pålitelighet eller en annen lommebokløsnings pålitelighet.
Gjennomføringsforordningen inneholder en nærmere definisjon av sentrale begreper, slik som begrepet lommebokløsning, i artikkel 2.
Sertifiseringsordninger og sertifiseringsorganer
Gjennomføringsforordningen fastsetter at medlemsstatene skal etablere nasjonale sertifiseringsordninger, med en organisasjon utpekt som ansvarlig for ordningen ("scheme owner"). Organisasjonen skal ha ansvar for utvikling, drift og forvaltning av ordningen. Utkast til nasjonale sertifiseringsordninger, og senere endringer av ordninger, skal oversendes Den europeiske samarbeidsgruppen for digital identitet (EDICG) for eventuelle tilbakemeldinger. EDICG har som formål å støtte implementeringen av eIDAS2, gi råd til EU-kommisjonen og bidra i utbyggingen av «verktøykassen» til europeiske digitale identitetslommebøker.
Hver sertifiseringsordning skal inneholde en beskrivelse av den spesifikke arkitekturen for lommebokløsningene og eID-ordningen den er levert under. Ordninger som dekker mer enn en spesifikk arkitektur (en spesifikk komponent av lommebokløsningen), skal inneholde en profil for hver. Tilknyttet den spesifikke arkitekturen eller profilen, skal ordningen inneholde informasjon om nærmere bestemte krav, for eksempel om evaluering og sikkerhet. Ordningene skal revideres, oppdateres og vedlikeholdes jevnlig, i tråd med spesifikke krav satt i gjennomføringsforordningen.
For en felles forståelse av, og en felles tilnærming til, hva som er nødvendige risikovurderinger ved levering og drift av lommebokløsninger, skal et felles register over risikoer og trusler etableres og oppdateres regelmessig, basert på risikoregisteret vedlagt gjennomføringsforordningen. Lommebokleverandører skal utføre egne risikovurderinger og foreslå tiltak. Risikovurderingene skal ta utgangspunkt i cybersikkerhetsmålene skildret i eIDAS2, slik som konfidensialitet, integritet og tilgjengelighet for lommebokløsningen, så vel som personvern.
I tråd med eIDAS2 artikkel 1 om ny artikkel 5a nr. 23, skal nasjonale sertifiseringsordninger stille krav om lommebokløsninger, inkludert eID-ordningen lommebøkene er levert under, som er motstandsdyktige mot angripere med høgt angrepspotensial for tillitsnivå høgt, slik dette er beskrevet i gjennomføringsforordning (EU) 2015/1502 til eIDAS1, som inneholder tekniske minimumsspesifikasjoner og prosedyrer for fastsettelse av sikringsnivåer for eID-ordninger, innført i norsk rett gjennom selvdeklarasjonsforskriften. Av eIDAS2 artikkel 1 om ny artikkel 5a nr. 11 fremgår at lommebokløsningene skal sertifiseres på sikkerhetsnivå høgt («assurance level high»), slik sikkerhetsnivået er beskrevet i eIDAS2 og (EU) 2015/1502. Sikkerhetsnivået skal gjelde for lommebokløsningen i sin helhet. Dette betyr at enkelte komponenter kan sertifiseres på lavere nivå, gitt at dette er begrunnet og ikke svekker helhetsnivået. Merk også at det i forbindelse med eIDAS2 er planlagt en revisjon av (EU) 2015/1502.
Sertifiseringsordningene skal inneholde krav til hendelses- og sårbarhetshåndtering, særlig rettet mot innehavere av en samsvarsattest for en lommebokløsning, og eID-ordningen lommeboken leveres under. Innehaveren av en samsvarsattest vil blant annet måtte ha på plass egne retningslinjer og prosedyrer for å håndtere sårbarhet, og vil selv ha en plikt til å melde fra til sertifiseringsorganet (omtalt nedenfor) om hendelser eller sårbarheter som kan virke inn på lommebokløsningens samsvar med kravene i sertifiseringsordningen.
Sertifiseringsordningene skal regulere klageadgang, hovedsakelig ved å vise til gjeldende nasjonale klageordninger. Klager som ikke blir, eller ikke kan bli, løst av sertifiseringsorganet, skal sendes videre til ordningsansvarlig.
Sertifiseringsorganer (tredjeparter), som skal gjennomføre de nærmere bestemte evaluerings-, overvåknings- og sertifiseringsaktivitetene i tråd med nærmere bestemte moteoder og prosedyrer, må gjennom en akkrediteringsprosess, med utgangspunkt i nærmere bestemte kompetansekrav. Sertifiseringsorganene skal informere nasjonale tilsynsorgan for lommebokrammeverket, utpekt i tråd med eIDAS2 artikkel 1 om ny artikkel 46a nr. 1, om utstedelse, suspensjon og tilbakekalling av samsvarssertifikat for lommebokløsninger.
Gjennomføringsforordningen inneholder følgende vedlegg:
Vedlegg1: Risikoregister for europeiske digitale identitetslommebøker
Vedlegg 2: Kriterier for vurdering av om opplysninger om sikring er akseptable
Vedlegg 3: Funksjonelle krav til lommebokløsninger
Vedlegg 4: Evalueringsaktiviteter – metoder og prosedyrer
Vedlegg 5: Liste over offentlig tilgjengelige opplysninger om lommebøker
Vedlegg 6: Metode for vurdering av om opplysningene om sikring er akseptable
Vedlegg 7: Samsvarsattestens innhold
Vedlegg 8: Innholdet i den offentlige sertifiseringsrapporten og sertifiseringsvurderingsrapporten
Vedlegg 9: Tidsplan for obligatoriske overvåkningsevalueringer
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS2 innlemmes i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsrettsakten kunne innlemmes i forskrift.
EØS-relevans
Forordningen inneholder regler for gjennomføring av den reviderte eIDAS-forordningen. Endringene i den reviderte eIDAS-forordningen er vurdert som EØS-relevant, og departementet legger til grunn at tilsvarende vil gjelde for en forordning som gir utdypende regler for gjennomføringen av denne.
Endringer i nasjonalt regelverk
I Norge er eIDAS-forordningen ((EU) 910/2014) gjennomført i lov om elektroniske tillitstjenester, i forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften), forskrift om tillitstjenester for elektroniske transaksjoner og gjennom rammeverk for identifikasjon og sporbarhet.
Hvis gjennomføringsforordningen tas inn i EØS-avtalen vil det medføre behov for forskriftsendringer i norsk rett. Dette kan gjøres enten som en endring i forskrift om tillitstjenester for elektroniske transaksjoner eller gjennom egen forskrift.
Det er tatt art. 103-forbehold for eIDAS2, og gjennomføring av denne rettsakten kan ikke tre i kraft før art. 103-forbeholdet i eIDAS2 er løftet og eIDAS2 trådt i kraft.
Økonomiske og administrative konsekvenser
Gjennomføringsforordningen detaljerer og spesifiserer forpliktelser som allerede følger av eIDAS2.
I posisjonsnotatet for eIDAS2 antas det at eIDAS2 vil få betydelige økonomiske og administrative konsekvenser. Gjennomføringsforordningen som omtales i dette notatet spesifiserer ordninger knyttet til sertifisering av lommeboken, og understøtter antagelsen om at eIDAS2 vil ha betydelige økonomiske og administrative konsekvenser. Gjennomføringsforordningen forventes ikke å medføre større forpliktelser enn det som allerede er antatt i eIDAS2.
Gjennomføringsforordnignen vil ha økonomiske og administrative konsekvensene både for forvaltningen, blant annet i forbindelse med etableringen av nasjonale sertifiseringsordninger inkludert klageordning, og for private aktører som skal sertifiseres som lommebokleverandør.
Sakkyndige instansers merknader
Gjennomføringsforordningen har foreløpig ikke vært på høring.
Vurdering
Forordningen inneholder utdypende regler for gjennomføring av eIDAS2, og forutsatt at denne blir innlemmet i EØS-avtalen stiller departementet seg positive til felles gjennomføringsregler som skal sikre harmoniserte sertifiseringskrav på tvers av både EU-land og EØS/EFTA-land. Felles sertifiseringskrav knyttet til funksjon, cybersikkerhet og personvern vil være avgjørende for en sikker og tillitsvekkende gjennomføring av den europeiske digitale identitetslommeboken.
Andre opplysninger
Forholdet til annet regelverk
I gjennomføringsforordningen blir det vist til at sertifiseringskravene for digitale identitetslommebøker, når det gjelder cybersikkerhet, bør jamføres med eller vise til europeiske cybersikkerhets-sertifiseringsordninger etablert i tråd med parlaments- og rådsforordning (EU) 2019/881 (cybersikkerhetsforordningen om EUs cybersikkerhetsbyrå ENISA og om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi, som gjennomføres i norsk rett i lov om digital sikkerhet).
Gjennomføringsforordningen fastsetter også at når en europeisk cybersikkerhetssertifiseringsordning for lommebokløsninger, og eID-ordninger de leveres under, er vedtatt, skal gjennomføringsforordningen revideres, og eventuelt erstattes ved overlapp.
Når det gjelder produktsertifisering, viser gjennomføringsforordningen til at det bør være tillatt å bruke overensstemmelsesattester utstedt i tråd med EUs cybersikkerhetssertifiseringsordning basert på EUCC, og overensstemmelsesattester utstedt i tråd med nasjonale sertifiseringsordninger innenfor rammen av SOG-IS-avtalen om gjensidig annerkjennelse. For mindre sensitive produktkomponenter bør andre nasjonale sertifiseringsordninger også kunne brukes, for eksempel ordninger fastsatt i tråd med standard CEN EN 17640 om tidsbestemt cybersikkerhetsevalueringsmetode for IKT-produkter.
Det er presisert i gjennomføringsforordningen at også annet regelverk skal etterleves. blant annet gjelder EUs personvernregelverk for all behandling av personopplysninger etter forordningen.
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | KOM(2024)2981 |
| Rettsaktnr.: | (EU) 2024/2981 |
| Basis rettsaktnr.: | (EU) 910/2014 |
| Celexnr.: | 32024R2981 |
EFTA-prosessen
| Dato mottatt standardskjema: | 20.12.2024 |
| Frist returnering standardskjema: | 11.04.2025 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |