4 Krav om at kvalifiserte sertifikater innholder opplysning om at de er utstedt som kvalifisert
4.1 Høringsnotatet
I Ot.prp. nr. 82 (1999–2000) om lov om elektronisk signatur, side 50 har departementet angitt at det skal fremgå direkte av sertifikatet hvorvidt det er kvalifisert eller ikke. I merknadene står det videre at”[d]et er ikke tilstrekkelig med en henvisning til et annet dokument, for eksempel en sertifikatpolicy, hvor dette fremgår».
Etter at direktivet om elektronisk signatur ble vedtatt og ovennevnte proposisjon om lov om elektronisk signatur ble fremmet for Stortinget, har det på europeisk nivå pågått standardiseringsarbeid for å følge opp viktige rettslige krav i direktivet. I den forbindelse ble det i høringsnotatet bl.a. vist til standarden TS 101 862, utarbeidet av ETSI (European Telecommunications Standards Institute). Ifølge dette dokumentet finnes det to muligheter for å angi at sertifikatet er utstedt som et kvalifisert sertifikat. Den ene muligheten er å ha en peker i sertifikatet til en sertifikatpolicy hvor det fremgår at utsteder har utstedt sertifikatet som kvalifisert og at utsteder oppfyller kravene i vedlegg I og II i direktivet om elektroniske signaturer. Den andre måten er at det i selve sertifikatet klart fremgår at de samme kravene er oppfylt. Blant annet på denne bakgrunn anbefalte departementet i høringsnotatet at kravet i lov om elektronisk signatur § 4 annet ledd bokstav a også skulle kunne oppfylles ved å ha en peker fra det kvalifiserte sertifikatet til en angitt sertifikatpolicy. I denne sertifikatpolicyen må det imidlertid klart fremgå at sertifikatet er utstedt som et kvalifisert sertifikat etter direktivet om elektroniske signaturer, og at kravene i vedlegg I og II i direktivet er oppfylt slik de er gjennomført i norsk rett.
4.2 Høringsinstansenes syn
Buypasspeker i sin høringsuttalelse på at det i mars 2004 kom en ny versjon av TS 101 862 (v. 1.3.1), der man ønsker å lukke muligheten med å ha en peker til sertifikatpolicyen. Alle kvalifiserte sertifikater utstedt etter 30. juni 2005 skal ifølge denne standarden ha en eksplisitt angivelse i sertifikatet at det er kvalifisert. Skal man følge denne standarden, vil det ikke lenger være mulig å benytte en peker i sertifikatet til sertifikatpolicyen der det går frem at sertifikatet er utstedt som kvalifisert sertifikat.
4.3 Departementets vurdering
Etter at høringsnotatet ble sendt på alminnelig høring har ETSIs standarddokument «Qualified Certificate Profile» TS 101 862 blitt justert, slik at det stilles krav om at kvalifiserte sertifikater skal innholde opplysninger om at de er utstedt som kvalifiserte. Departementet har etter nøye vurdering imidlertid valgt å opprettholde det opprinnelige forslaget. Slik markedet har utviklet seg de siste årene, vil det ikke være hensiktsmessig å stille krav som unødig begrenser antallet sertifikattilbydere som kan tilby kvalifiserte sertifikater eller som vil gjøre bruken av slike dyrere, uten at det samtidig fører til bedre eller sikrere produkter og tjenester. Det skal også bemerkes at det er opp til aktørene selv om de ønsker å ta i bruk standarder som den ovenfor nevnte.
Videre har departementet fått kunnskap om at det, på tross av merknadene til § 4 annet ledd bokstav a i Ot.prp. nr. 82 (1999–2000), allerede er etablert en praksis for å godkjenne sertifikater med slike pekere som kvalifiserte sertifikater. Det ville være forbundet med store kostnader for aktørene i markedet om man skulle reversere denne praksisen, og departementet har heller ikke kunnet registrere noen svikt i sikkerheten eller mindre tillit pga. praksisen. På bakgrunn av dette står departementet fast ved at det skal være mulig å få et sertifikat godkjent som kvalifisert sertifikat, selv om sertifikatet kun innholder en peker til en sertifikatpolicy der det går frem at sertifikatet er kvalifisert. Det må klart fremgå at det aktuelle sertifikatet et utstedt som kvalifisert med henvisning til lov/direktiv om elektronisk signatur.
Departementet vil følge utviklingen både på det norske og internasjonale markedet samt i standardiseringsarbeidet for å se om det ved et senere tidspunkt vil være behov for å revurdere dette standspunktet. Den nærmere vurderingen av om dette krav ellers er ivaretatt vil gjøres av Post- og teletilsynet, som fører tilsyn av utstedere av kvalifiserte sertifikater i Norge.