9 Akkreditering og sertifisering
9.1 Høringsnotatet
Det følger av direktivet at medlemsstatene kan innføre frivillige akkrediteringsordninger for sertifikatutstedere på et «høyere» nivå, dvs. for kvalifiserte sertifikater. Direktivet oppstiller en del generelle krav til utstedere av kvalifiserte sertifikater i vedlegg II. Det er i dag ikke utviklet standarder eller stabile operasjonelle kriterier som dekker alle de kravområder som vedlegg II angir. Det er derfor vanskelig å etablere en total ordning for akkreditering av utstedere av kvalifiserte sertifikater.
I rapporten «Elektroniske signaturer - Myndighetsroller og regulering av sertifikattjenester» anbefales det ikke at myndighetene tar initiativ til etablering av en akkreditert sertifiseringsordning nå, men det anbefales bruk av de ordningene for sertifisering av IT-sikkerhet som allerede er etablert eller under etablering. Departementet er enig i denne vurderingen og overlater det på det nåværende tidspunkt til markedet å vurdere hvorvidt det skal opprettes frivillige akkrediteringsordninger. På den annen side oppfatter departementet det som positivt dersom slike ordninger benyttes eller opprettes.
9.2 Høringsinstansenes syn
Justervesenet mener det er verdt å vurdere å etablere en mer spesifikk, frivillig ordning basert på akkreditering og å notifisere denne i henhold til direktivets artikkel 11 for anerkjennelse av elektroniske signaturer over landegrensene.
Arbeids- og administrasjonsdepartementet er uenig i konklusjonene fra rapporten fra «Elektroniske signaturer - Myndighetsroller og regulering av tilbyder av sertifikattjenester», der det ikke anbefales noen myndighetsinitiativ på området. De uttaler at de, ut fra et brukerperspektiv, ser nytten av og behovet for frivillige godkjenningsordninger for leverandører av digitale sertifikater, uavhengig av om de er kvalifiserte eller ikke. På nåværende tidspunkt mener de imidlertid at det ikke er formålstjenlig å anbefale opprettelsen av en akkreditert sertifiseringsordning for godkjenning av sertifikatutstedere. De ser imidlertid behov for en godkjenningsordning, som kan gi sertifikatutstederne et «stempel» som indikerer kvalitet på tjenesten som leveres uavhengig av «kvalifisert»-tankegangen.
9.3 Departementets vurdering
Departementet er langt på vei enig i uttalelsene fra Arbeids- og administrasjonsdepartementet. Departementet er av den oppfatning at det i forhold til dagens marked er for tidlig å ta initiativ til etablering av en akkreditert sertifiseringsordning fra myndighetenes side. På den annen side anbefaler departementet bruk av de ordningene for sertifisering av IT-sikkerhet som allerede er etablert eller under etablering. På det nåværende tidspunkt vil det således være opp til markedet hvorvidt de vil opprette frivillige sertifiserings-/akkrediteringsordninger.
Departementet vil følge utviklingen på markedet nøye i forhold til hvorvidt det vil bli aktuelt med et fremtidig initiativ til opprettelse av frivillige sertifiserings-/akkrediteringsordninger. Se også kapittel 8.7.2 om valg av tilsynsmodell.