4 Arbeidet i forskjellige utvalg og lignende som berører bruken av elektronisk signatur
4.1 Rådet for IT-sikkerhet (RITS)
Rådet for IT-sikkerhet (RITS) 1 ble etablert i mars 1996 og la frem tre rapporter: sertifisering av IT-sikkerhet, kryptopolitikk og digitale signaturer. I 1998 ble det avgitt en rapport i regi av RITS med anbefalinger om hvilke tiltak sentrale myndigheter burde sette i verk for å legge til rette for bruk av digitale signaturer og tiltrodde tredjepartstjenester. Rapporten «Digitale signaturer gir tillit til elektronisk kommunikasjon - Forslag til tiltak for aksept og utbredelse» 2 kan sammenfattes i tre hoveddeler:
I del I anbefales rettslig likestilling av elektroniske dokumenter og elektroniske signaturer med de papirbaserte. Det foreslås at det utvikles regler som sikrer at elektroniske dokumenter og signaturer anerkjennes som bevis på linje med papirdokumenter, og at vilkårene for slik beviskraft klarlegges. Videre anbefales det at det iverksettes et kartleggingsarbeid for å bringe på det rene når norsk lovgivning krever bruk av papir/underskrift, slik at nødvendige endringer kan vurderes og deretter gjennomføres.
I del II anbefales det at det legges til rette for etablering og drift av sertifikattjeneste m.v. og videre utredning av myndighetsroller.
I del III anbefales tiltak for å få konkret erfaring og kunnskap vedrørende bruk av elektroniske signaturer. Her fremheves bl.a. betydningen av å få erfaring fra pilotprosjekter.
4.2 Utredningen «Elektroniske signaturer - Myndighetsroller og regulering av tilbyder av sertifikattjenester»
Under behandlingen av rapporten om digitale signaturer uttalte RITS at det var viktig å komme i gang med å klarlegge rammer og modeller for sertifikatutstedernes virksomhet i Norge. Rådet anbefalte derfor at spørsmål vedrørende myndighetsroller, finansiering av autentiseringsvirksomhet og godkjenningsordning og krav til utstedere burde utredes nærmere. Som ledd i oppfølgingen på dette punktet og som en start på arbeidet med lovregulering på dette området, nedsatte Nærings- og handelsdepartementet et utvalg som avga en rapport den 28. januar 2000. 3 I rapporten anbefaler utvalget bl.a. en form for tilsyn med sertifikatutstedere.
Hovedkonklusjonene fra utredningen er følgende:
Det utpekes en offentlig tilsynsmyndighet som skal drive tilsyn med utstedere av kvalifiserte sertifikater. Tilsynsmyndigheten legges til Post- og teletilsynet.
Det etableres en registreringsordning for utstedere av kvalifiserte sertifikater.
Det tas ikke initiativ fra myndighetenes side til en ordning for en total akkreditert sertifisering av sertifikatutstedere nå. De eksisterende ordningene for sertifisering av IT-sikkerhet i Norge, sammen med muligheten for IT-revisjoner av utsteder, gir et tilstrekkelig grunnlag for å vurdere tillitsnivået til en utsteder og de innretninger utstederen anvender i sin virksomhet.
Det legges ikke opp til noen regulering av samarbeid og/eller gjensidig anerkjennelse mellom forskjellige sertifikatutstedere fra myndighetenes side, dette gjøres best gjennom avtaler. Utvalget er positivt til at frivillige godkjenningsordninger blir etablert i markedet, men myndighetene bør ikke ta noe initiativ til å etablere slike.
4.3 Kartlegging av bestemmelser i lover, forskrifter og instrukser som kan hindre elektronisk kommunikasjon (kartleggingsprosjektet)
Det er regjeringens mål at elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal bli like akseptert og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon og dokumentasjon.
På en del områder hersker det i dag usikkerhet om bruk av elektronisk kommunikasjon oppfyller kravene i den aktuelle loven, forskriften eller instruksen. Det vil være en konkurransefordel for blant annet norsk næringsliv dersom denne usikkerheten fjernes og kommunikasjon vil kunne skje elektronisk. Regjeringens mål er også i tråd med den ministererklæring om elektronisk signatur som ble vedtatt ved OECDs konferanse i Ottawa i 1998. Der ble det oppnådd enighet om at landene skal gjennomgå sin lovgivning og endre den for å fjerne hindringer for elektronisk kommunikasjon og samhandling.
Våren 1999 besluttet Regjeringen at hvert departement skal gjennomgå lover, forskrifter og instrukser på sitt område for å identifisere bestemmelser som er til hinder for eller ikke legger til rette for elektronisk kommunikasjon, og endre disse i tråd med Regjeringens målsetting. Dette kartleggingsprosjektet er et samarbeid mellom Justisdepartementet, Arbeids- og administrasjonsdepartementet og Nærings- og handelsdepartementet.
I juni 2000 ble en prosjektrapport 4 lagt frem basert på innrapportert materiale fra departementene. Rapporten er systematisert i forhold til forskjellige typer begrep som brukes i lover, forskrifter og instrukser. Blant de mest sentrale begrepene er krav om «skriftlighet», «underskrift», «dokument» og «original». I rapporten drøftes begrunnelsen for de forskjellige kravene. Man vurderer hvilke funksjoner som f.eks. skriftlighet kan ha, og hvilke hensyn som må ivaretas for at det skal være mulig å åpne opp for elektronisk kommunikasjon. Denne fremgangsmåten er bl.a. i tråd med UNCITRALs 5 arbeid med å opprette en modellov om elektronisk kommunikasjon. Denne metoden er blitt kalt for «funksjonell ekvivalens».
4.4 Forvaltningsnettprosjektet
Kommunenes sentralforbund og Arbeids- og administrasjonsdepartementet har etablert et langsiktig samarbeid på tele- og dataområdet, forankret i kommunesektorens og statens IT-strategier. Forvaltningsnettsamarbeidet er ett av flere tiltak i samarbeidet mellom Kommunesektoren og Staten på IT-området (KOSTIT). Målet er å fremme enkel, sikker og kostnadseffektiv elektronisk informasjonsutveksling innad i offentlig sektor og utad mot andre brukere 6.
Prosjektet har etablert rammeavtaler for offentlig forvaltning for anskaffelse av sertifikattjenester, programvare og utstyr for digital signatur og meldingskryptering, smartkort og kortlesere. De har utviklet en sertifikatpolicy som skal brukes ved utstedelse av sertifikater. Videre har de gjennom rammeavtalen sørget for kryssertifisering mellom sertifikatutstederne som deltar i samarbeidet. Disse har inngått en separat avtale seg i mellom.
4.5 Utvalg for å utrede bruk av digital signatur i offentlig forvaltning
Etter anbefaling fra Arbeids- og administrasjonsdepartementet ble «Utvalg for å utrede bruk av digital signatur i offentlig forvaltning» oppnevnt av regjeringen den 4. februar 2000. Utvalget skal gi anbefalinger vedrørende etablering av en infrastruktur for å muliggjøre bruk av elektronisk signatur og kryptering i offentlig sektor. Dette omtales gjerne som PKI (Public Key Infrastructure) 7.
Det fremheves i den forbindelse at digitale signaturer har stor betydning for realisering av elektroniske tjenester til brukere, elektronisk saksbehandling og datautveksling i forvaltningen, samt elektronisk handel ved offentlige innkjøp. Flere land har utarbeidet, eller er i ferd med å utarbeide, retningslinjer eller en policy for offentlig sektor. Blant de spørsmål som utvalget skal avklare er: krav til digitale sertifikater som forvaltningen vil benytte selv eller stille krav om til andre, behov for felles sertifikatpolicy i forvaltningen og strategi for bruk av sertifikatutstedere. Utvalget skal avgi sin innstilling den 31. desember 2000.
4.6 Nordisk samarbeid
Nærings- og handelsdepartementet har deltatt i et uformelt samarbeid mellom de relevante myndigheter i Danmark, Sverige, Finland og Island for å utveksle erfaringer og i størst mulig grad komme frem til et felles rettslig rammeverk for bruk av elektronisk signatur. En likest mulig lovgivning innen Norden kan fjerne unødvendige hindringer for elektronisk kommunikasjon og elektronisk handel på tvers av landegrensene. Det er tatt initiativ for å videreføre det nordiske samarbeidet mellom tilsynsmyndighetene ved utformingen av forskrifter og valg av standarder.
I Danmark og Sverige har lovgivningsarbeidet kommet lenger enn i Norge, deres lovforslag er allerede vedtatt, men har ikke trådt i kraft. Lovene er langt på vei like. Den største forskjellen er valg av tilsynsmodell. I Danmark har de valgt en «IT revisjons-modell», se kapittel 6.2, mens den svenske modellen er tilnærmet identisk med det norske lovforslaget. Finland og Island forventes å legge frem lovforslag innen kort tid. Også disse ser ut til å bli langt på vei like de øvrige nordiske forslagene.
Fotnoter
Rådet for IT-sikkerhet er nå videreført i Forum for IT-sikkerhet som er bredere sammensatt med representanter også fra næringslivet og det akademiske miljø. Forumet skal identifisere viktige saker og gi grunnlag for Nærings- og handelsdepartementets prioriteringer, se http://odin.dep.no/nhd/norsk/dep/utvalg/. Forumet ledes av professor Jon Bing ved Universitetet i Oslo.
http://www.dep.no/nhd/norsk/publ/rapporter/
Hele rapporten kan leses på Odin, http://www.dep.no/nhd/norsk/publ/rapporter/
Rapporten er lagt ut på http://odin.dep.no/nhd/norsk/publ/rapporter/
United Nations Commission on International Trade law.
Mer informasjon vedrørende forvaltningsnettssamarbeidet finnes på http://forvaltningsnett.dep.no/.
Om PKI, se kapittel 3.1.