Fastsettelse av standarder for sikkerhetsvurdering av kvalifiserte signatur- og seglfremstillingssystemer

Kommisjonens gjennomføringsbeslutning (EU) 2016/650 av 25. april 2016 om fastsetting av standarder for sikkerhetsvurderinger av kvalifiserte signatur- og seglfremstillingssystemer, jf. art. 30 stk. 3 og art. 39 stk. 3 i Europaparlaments- og rådsforordning (EU) nr. 910/2014

Commission Implementing Decision (EU) 2016/650 laying down standards for the security assessment for qualified signature and seal creation devices pursuant to Articles 30 (3) and 39 (2) of Regulation (EU) No 910/2014

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 06.06.2016

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Nærings- og fiskeridepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

Rettsakten ble publisert i Official Journal 26. april 2016.

Sammendrag av innhold

Europaparlamentets- og Rådsforordning nr. 910/2014 (EU om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen) har som formål å skape et felles europeisk grunnlag for sikker elektronisk samhandling mellom borgere, virksomheter og offentlige myndigheter, for å kunne oppnå økt effektivitet og økonomisk vekst i unionen.

I eIDAS-forordningen artikkel 30 oppstilles det krav til sertifisering av kvalifiserte elektroniske signaturfremstillingssystemer. Etter artikkel 30 (3) skal sertifiseringen basere seg på refererte standarder fastsatt ved gjennomføringsrettsakt fra Kommisjonen. Av forordningen artikkel 39 (2) følger det at artikkel 30 gjelder tilsvarende for sertifisering av kvalifiserte elektroniske segl.

Nærværende gjennomføringsbeslutning inneholder nærmere fastsettelse av slike standarder. I gjennomføringsbeslutningen artikkel 1 (1) heter det at standarder for sikkerhetsvurdering av informasjonsteknologiprodukter som får anvendelse på sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer i henhold til forordningens artikkel 30 (3) a) eller artikkel 39 (2), såfremt signatur- eller seglfremstillingsdataene oppbevares i et brukerforvaltet miljø, fremgår av gjennomføringsrettsaktens vedlegg. Standardene som er opplistet i vedlegget skal brukes uavhengig av hvilken teknologi som benyttes for signeringen.

I henhold til artikkel 1 (2) i gjennomføringsbeslutningen skal Kommisjonen utarbeide en liste over standarder for sikkerhetsvurdering av IT-produkter som får anvendelse på sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer hvor kvalifiserte tillitstjenestetilbydere forvalter elektroniske signatur- og seglfremstillingsdata på vegne av underskriver eller forseglende part. I påvente av at Kommisjonen utarbeider en slik liste skal sertifiseringen baseres på en prosess som i henhold til eIDAS-forordningen artikkel 30 (3) b) anvender sikkerhetsnivåer som tilsvarer de som fremgår av artikkel 30 (3) a), og som opplyses til Kommisjonen av organet det henvises til i artikkel 30 (1).

Vedlegget inneholder en liste over standardene det refereres til i artikkel 1 (1).

Merknader
Rettslige konsekvenser

Forutsatt at eIDAS-forordningen tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsforordningen være EØS-relevant og kan gjennomføres i forskrift.

Økonomiske og administrative konsekvenser

Oversikten over standarder som gis i denne gjennomføringsbeslutningen er en oppdatering av de standardene som allerede eksisterer på området. Gjennomføringsforordningen om standarder for sikkerhetsvurdering av kvalifiserte signatur- og seglfremstillingssystemer antas således ikke å medføre vesentlige økonomiske eller administrative konsekvenser.

Sakkyndige instansers merknader

Nasjonal kommunikasjonsmyndighet har deltatt i prosessen med å utarbeide gjennomføringsbeslutningen i eIDAS Expert Group, og finner innholdet akseptabelt.

Vurdering

Gjennomføringsbeslutningen angir hvilke standarder som skal benyttes ved en sikkerhetsvurdering av informasjonsteknologiprodukter som skal brukes i sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer i de tilfellene der signaturfremstilingsdata oppbevares i et brukerkontrollert miljø. Disse standardene fremgår av gjennomføringsbeslutningens vedlegg.

Gjennomføringsbeslutningen fastslår også at det for de tilfellene der de kvalifiserte tillitstjenestetilbydere forvalter elektroniske signatur- og seglfremstillingsdata på vegne av den underskrivende eller forseglede part, skal det benyttes sammenlignbare sikkerhetsnivå for sikkerhetsvurderingen av informasjonsteknologiprodukter som brukes i sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer. Dette gjelder inntil Kommisjonen fastsetter standarder for dette formålet. 

Ved å fastsette standarder for gjennomføring av sikkerhetsvurdering av informasjonsteknologiprodukter sikres det at de kvalifiserte signatur- og seglfremstillingssystemene er vurdert etter de samme krav, og på den måten skapes det tillit til de ulike produktene som er tilgjengelige i markedet.

Konklusjon

Gjennomføringsbeslutningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalen.

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Vedtak/beslutning
KOM-nr.:
Rettsaktnr.: 650/2016/EU
Basis rettsaktnr.: 910/2014/EU
Celexnr.: 32016D0650

EFTA-prosessen

Dato mottatt standardskjema: 28.04.2016
Frist returnering standardskjema: 18.08.2016
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Nei
Materielle tilpasningstekster: Nei
Art. 103-forbehold: Nei

Norsk regelverk

Endring av norsk regelverk: Nei
Høringsstart:
Høringsfrist:
Frist for gjennomføring: