Europakommisjonens forslag til forordning om eID og e-signatur m.m.
Høring | Dato: 18.09.2012 | Nærings- og fiskeridepartementet
Opprinnelig utgitt av: Nærings- og handelsdepartementet
1. Innledning
Europakommisjonen fremmet 4. juni 2012 et forslag til forordning om et felles rammeverk for elektronisk identifikasjon, elektronisk signatur og andre relaterte «tillitstjenester» ((COM(2012) 238 final). Formålet med endringene er å legge til rette for økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS og dermed bidra til sterkere økonomisk vekst i det indre marked.
Det nye rammeverket skal sikre
- gjensidig aksept av løsninger for elektronisk identifikasjon (eID). Privatpersoner og bedrifter skal kunne bruke sin nasjonale eID for å få tilgang til offentlige tjenester i andre land som benytter eID.
- gjensidig aksept av elektronisk signatur og andre tillitstjenester. Dagens regler om elektronisk signatur styrkes, og det innføres regler om elektroniske «segl», elektronisk tidsstempling, aksept av elektroniske dokumenter, elektroniske leveringstjenester og autentisering av websider.
Forslaget ligger vedlagt i engelsk versjon. På Europakommisjonens nettside finnes ytterligere informasjon om forslaget og flere språkversjoner; http://ec.europa.eu/information_society/policy/esignature/eu_legislation/regulation/index_en.htm
Forslaget sendes med dette til alminnelig høring. Nærings- og handelsdepartementet ønsker å få belyst konsekvensene av å gjennomføre forslaget i norsk rett og hvilke endringer som det eventuelt er ønskelig at norske myndigheter arbeider for i den videre lovgivningsprosessen i EU. Forslaget vil bli fulgt opp i samarbeid med Fornyings-, administrasjons- og kirkedepartementet, som er ansvarlig for reglene om eID.
2. Nærmere om forslaget
Europakommisjonen viser til at direktivet om elektronisk signatur (direktiv 1999/93) har ført til at alle EU/EØS-landene har regler om elektronisk signatur. (I Norge er e-signaturdirektivet gjennomført i lov 15. juni 2001 nr. 81 om elektronisk signatur.) De nasjonale reglene er imidlertid uensartede og utgjør en barriere mot grensekryssende, elektroniske transaksjoner. Videre er det behov for felles regler om andre typer tillitstjenester.
Forordningsforslaget utvider virkeområdet i forhold til dagens e-signaturdirektiv, og tilbyderne av elektroniske tillitstjenester får flere plikter å forholde seg til (bl.a. plikt til årlig revisjon). Tilsynsorganene får også nye håndhevingsoppgaver. Forslaget legger videre opp til en ordning med gjensidig aksept av nasjonale eID-løsninger som er blitt notifisert til Europakommisjonen og oppført på en liste publisert i Official Journal of the European Union. Det innføres ikke en «EU eID» eller en europeisk database.
Dersom forordningen blir vedtatt, vil den erstatte dagens direktiv om elektronisk signatur, og den vil gjelde direkte i alle EUs medlemsstater. Såfremt forordningen innlemmes i EØS-avtalen, må den gjennomføres i norsk rett «som sådan», jf. EØS-avtalen artikkel 7 bokstav a.
Oversikt over de enkelte kapitlene
I det følgende gis en oversikt over forslagene. Se også forordningens «explanatory memorandum» pkt. 3.3 som inneholder en mer detaljert gjennomgang.
Den foreslåtte forordningen inneholder 42 artikler, fordelt på seks kapitler.
Kapittel I omhandler generelle spørsmål som formål, virkeområde og definisjoner (artikkel 1-3). Begrepet «trust service» er definert i artikkel 3 nr. 12. Noen av definisjonene er videreført fra e-signaturdirektivet, mens andre er videreutviklet eller nye, for eksempel «eSeal» for juridiske personer. Begrepet e-signatur er forbeholdt for fysiske personer. I artikkel 4 slås det fast at produkter som er i tråd med bestemmelsene i forordningen skal kunne sirkulere fritt i det indre marked («internal market principle»).
Kapittel II gjelder gjensidig anerkjennelse av løsninger for elektronisk identifikasjon (eID). I henhold til artikkel 5 skal elektroniske identifikasjonsløsninger som et land har meldt inn til Europakommisjonen og som blir publisert i Official Journal, aksepteres og gis samme tilgang til offentlige tjenester i et annet land som tilbyr innbyggerne nasjonale eID-løsninger. Forordningen pålegger imidlertid ikke medlemslandene å etablere en nasjonal eID-løsning. Artikkel 6 regulerer hvilke eID-løsninger som kan være omfattet. Blant annet omfattes kun eID utstedt av, eller på vegne av, offentlige myndigheter. Artikkel 7 gir bestemmelser om fremgangsmåten for innmelding av en elektronisk identifikasjonsløsning til Europakommisjonen. Artikkel 8 gir bestemmelser som skal sikre at løsningene blir interoperable, dvs. fungerer teknisk på tvers av landegrensene.
Kapittel III gir nærmere regler om de enkelte tillitstjenestene. Forordningen vil ikke innebære en plikt til å bruke slike tjenester, men gir nærmere regler for en eventuell bruk. Artikkel 9 gir regler om erstatningsansvar for brudd på vilkårene i artiklene 15 og 19. Bestemmelsen utvider erstatningsplikten i forhold til e-signaturdirektivet artikkel 6, ved at den omfatter både tilbydere av kvalifiserte og ikke-kvalifiserte tillitstjenester. I likhet med dagens regel inntrer erstatningsansvar ikke dersom tilbyderen kan bevise at han eller hun ikke handlet uaktsomt («omvendt bevisbyrde»). Artikkel 11 inneholder bestemmelser om personvern med henvisning til direktiv 95/46/EC, og bygger på artikkel 8 i e-signaturdirektivet.
Artikkel 13-19 har bestemmelser om tilsyn m.m.. Det skal i hvert land være en tilsynsmyndighet for både tilbydere av kvalifiserte og ikke-kvalifiserte tillitstjenester, jf. artikkel 13. Dette er en utvidelse i forhold til gjeldende direktiv artikkel 3(3), da den kun gjelder tilbydere av kvalifiserte e-signatursertifikater. I artikkel 14 introduseres regler om gjensidig assistanse og felles aksjoner mellom tilsynsmyndigheter i forskjellige land.
Artikkel 15 og 16 innfører bestemmelser om sikkerhetstiltak i tjenestetilbydernes virksomhet og en plikt til å informere tilsynsmyndigheten om eventuelle sikkerhetsbrudd. I artikkel 16 foreslås det en plikt for tilbydere av kvalifiserte tillitstjenester til å gjennomføre en revisjon av virksomheten hvert år. Det gis også adgang for tilsynsmyndigheten til å foreta stedlig kontroll. Tilsynsorganet skal ha kompetanse til å gi bindende instrukser ved brudd på kravene som fremgår av revisjonsrapporten.
Artikkel 17 gir regler om fremgangsmåten for å bli registrert som tilbyder av en kvalifisert tillitstjeneste. Det innføres ikke et krav om forhåndsgodkjenning, men tilbyderen må avgi en sikkerhetsrapport. Europakommisjonen kan fastsette nærmere bestemmelser om dette, jf. artikkel 17 nr. 5. Artikkel 18 har regler om etablering og publisering av «trusted lists» i det enkelte land, dvs. en oversikt over tilbydere av kvalifiserte tillitstjenester som er under tilsyn. Artikkel 19 gir nærmere regler om tilbyderens virksomhet.
Artikkel 20-37 gir oppstiller nærmere krav til de enkelte tillitstjenestene, herunder regler om rettsvirkning og gjensidig aksept av tjenestene. Det slås ubetinget fast at en kvalifisert elektronisk signatur skal ha samme rettsvirkning som en håndskrevet signatur (utvidelse ift. e-signaturdirektivet art. 5). Dersom en elektronisk signatur på et lavere sikkerhetsnivå er brukt i forbindelse med tilgang til offentlige tjenester, skal alle elektroniske signaturer på et tilsvarende nivå aksepteres (artikkel 20 nr. 4). Det samme gjelder elektronisk segl, jf. artikkel 28. Artikkel 21 og Vedlegg II oppstiller krav til kvalifiserte sertifikater for elektronisk signatur og klargjør bestemmelsene i e-signaturdirektivet vedlegg I. Artikkel 22 regulerer kravene til kvalifiserte signaturfremstillingssystemer og klargjør e-signaturdirektivet artikkel 3 (5). Europakommisjonen gis fullmakt til å etablere en liste med referanser til standarder. Et signaturfremstillingssystem skal antas å være i samsvar med kravene i Vedlegg II dersom det er i tråd med en av standardene.
Artikkel 23 bygger på e-signaturdirektivet artikkel 3(4) og regulerer sertifisering av kvalifiserte signaturfremstillingssystemer. Kommisjonen vil publisere en liste over sertifiserte signaturfremstillingssystemer, jf. artikkel 24. Artikkel 25-26 regulerer validering av kvalifisert elektronisk signatur og bygger på e-signaturdirektivets Vedlegg IV. Artikkel 27 oppstiller vilkårene for langtidslagring av kvalifisert elektronisk signatur.
Artikkel 28-31 gir bestemmelser om elektronisk segl for juridiske personer. Kvalifisert sertifikat for elektronisk segl er regulert i artikkel 29 og Vedlegg III. Når det gjelder fremstillingssystemer for kvalifisert elektroniske segl, gis artikkel 22-27 tilsvarende anvendelse. Artikkel 32-33 gir regler om elektronisk tidsstempling. Blant annet må «stempelet» være forbundet til en presis tidskilde og utstedt av en kvalifisert tjenestetilbyder. Europakommisjonen gis også fullmakt til å etablere en liste med referanser til standarder.
Artikkel 34-36 gir regler om rettsvirkninger og aksept av elektroniske dokumenter og elektroniske leveringstjenester, og gir Europakommisjonen fullmakt til å vedta nærmere bestemmelser. Artikkel 37 Vedlegg IV inneholder krav til kvalifiserte sertifikater som skal benyttes til webside-autentisering. I artikkel 38-42 finner vi avsluttende bestemmelser. Artikkel 41 opphever e-signaturdirektivet og gir visse overgangsregler.
3. Høringssvar
Som nevnt ønsker vi å få belyst konsekvensene av å gjennomføre forslaget i norsk rett og eventuelt hvilke endringer vi bør spille inn overfor EU. Vi er også interessert i å få informasjon om elektroniske tillitstjenester i det norske markedet og om behovet for nye tjenester og regler om dette.
Høringsuttalelse kan sendes til postmottak@nhd.dep.no, alternativt til Nærings- og handelsdepartementet, Postboks 8014 Dep, 0030 OSLO, innen 1. desember 2012.
Med hilsen
Emma C. Jensen Stenseth (e.f.)
avdelingsdirektør
Liv Hilde Westrheim
seniorrådgiver
Departementene
Departementenes servicesenter (DSS)
Brønnøysundregistrene
Datatilsynet
Direktoratet for samfunnssikkerhet og beredskap
Domstoladministrasjonen
Finanstilsynet
Forbrukerombudet
Forbrukerrådet
Fylkesmannen i Sogn og Fjordane
Handelshøyskolen BI
Statens helsetilsyn
Helsedirektoratet
Innovasjon Norge
Konkurransetilsynet
Likestillings- og diskrimineringsombudet
Lotteri- og stiftelsestilsynet
NAV
Nasjonal Sikkerhetsmyndighet (NSM)
Norges Handelshøyskole
Norsk Akkreditering
NTNU
Politiets data- og materielltjeneste
Post- og teletilsynet
Riksarkivet
Direktoratet for økonomistyring
Universitetet i Bergen
Universitetet i Oslo - Senter for rettsinformatikk
Universitetet i Stavanger
Universitetet i Tromsø
Universitetet i Agder
Universitetet i Nordland
Høgskolen i Gjøvik
Utdanningsdirektoratet
Utlendingsdirektoratet
ØKOKRIM
Bergen kommune
Drammen kommune
Kristiansand kommune
Oslo kommune
Stavanger kommune
Trondheim kommune
Abelia
Advokatforeningen
Advokatfirmaet Grette DA
Advokatfirma Wikborg, Rein & Co.
Advokatfirmaet Haavind AS
Advokatfirmaet Hjort DA
Advokatfirma Ræder DA
Advokatfirmaet Thommessen AS
Alliansesamarbeid Sparebank 1
Accenture
Advokatforeningen
Arntzen de Besche Advokatfirma AS
Atea AS
Bankenes Standardiseringskontor
BankID Norge
Bankenes ID-tjeneste
BBS
Bedriftsforbundet
Bing Hodneland advokatselskap DA
Buypass
Cisco Systems Norge
Citrix
Commfides Norge
Deltasenteret
Den Norske Dataforening
Det Norske Veritas
Direktesalgsforbundet
Distansehandel Norge
DnBNor
Econ Pöyry
EDB Business Partner
eForum i Standard Norge
Eiendomsmeglerforetakenes Forening
Ementor Norge
ErgoGroup
EVRY
Fagforbundet
Finansnæringens Hovedorganisasjon (FNH)
Finansnæringens Fellesorganisasjon (FNO)
FNO Servicekontor
Fokus Bank
Funksjonshemmedes Fellesorganisasjon
Føyen Advokatfirma DA
Handelsbanken
Helse Midt-Norge RHF
Helse Nord RHF
Helse Vest RHF
Helse Sør-Øst RHF
IBM Norge
IKT-Norge
Kantega
Kluge Advokatfirma DA
KS
Legalteam advokatfirma DA
Microsoft
Nasjonalbiblioteket
NRK
NetCom
NITO
Nordea
Norges Eiendomsmeglerforbund
Norsk senter for informasjonssikring (NorSIS)
Norsk Regnesentral
Norsk Tipping
NorStella
Næringslivets Hovedorganisasjon (NHO)
Næringslivets Sikkerhetsorganisasjon
Posten Norge/Bring
Samarbeidsrådet for funksjonshemmedes organisasjoner (SAFO)
SEB Privatbanken
SECODE
Sem & Stenersen Procom
Sertit
Sintef
Siemens
Signicat
Simonsen Advokatfirma DA
SkandiaBanken AB
Skattedirektoratet
Skatterevisorenes Forening
Software Innovation
Standard Norge
Statens lånekasse for utdanning
Statens kartverk
Statoil Norge AS
Statsbygg
Steria
Symantec
Strålfors
Telenor
Tenden Advokatfirma ANS
Terra-Gruppen
Thales
Truekey
Uninett Norid AS
Virke
VOX – Norsk Fjernundervisning