Utvalgte hurtiglenker

    EØS-notatbasen

    Endringsbestemmelser i eIDAS-forordningen

    Europaparlaments- og rådsforordning (EU) 2024/1183 om endring av forordning (EU) nr. 910/2014 når det gjelder fastsettelse av et rammeverk for en europeisk digital identitet

    Regulation (EU) 2024/1183 of the European Parliament and of the Council of 11 April 2024 amending Regulation (EU) No 910/2014 as regards establishing the European Digital Identity Framework

    EØS-notat | 04.03.2025 | EØS-notatbasen

    Sakstrinn

    1. Faktanotat
    2. Foreløpig posisjonsnotat
    3. Posisjonsnotat
    4. Gjennomføringsnotat

    Opprettet 15.12.2021

    Spesialutvalg: Kommunikasjoner

    Dato sist behandlet i spesialutvalg:

    Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet

    Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

    Kapittel i EØS-avtalen:

    Status

    Rettsakten er vedtatt i Europaparlamentet og Rådet, publisert i Official Journal og har trådt i kraft i medlemslandene. 

    Rettsakten er til vurdering i EØS EFTA-landene.

    Sammendrag av innhold

    eIDAS-forordningen ((EU) 910/2014) ble vedtatt 23. juli 2014 og trådte i kraft i EU 1. juli 2016. Formålet med forordningen er å legge til rette for økt elek­tronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS med mål om adekvat sikkerhet og dermed bidra til sterkere økonomisk vekst i det indre marked. eIDAS-forordningen er inkorporert i Norge i lov om elektroniske tillitstjenester, med ikrafttredelse fra 15. juni 2018. 

    Endringsforslaget til eIDAS-forordningen ble fremmet av Kommisjonen den 3. juni 2021. Det rettslige grunnlaget for endringene er TFEU art. 114. Den 30. april 2024 ble forordningen publisert i The Official Journal of the European Union og trådte i kraft 20. mai 2024.

    Formålet etter endringen av forordningen er å muliggjøre og legge til rette for at næringsdrivende, borgere og offentlige myndigheter kan ivareta sine rettigheter til å ta del i det digitale samfunnet på tvers av landegrensene i EU/EØS ved å sikre et adekvat nivå av sikkerhet og tilgjengelighet for tillitstjenester i EU/EØS.

    Endringsforordning (EU) 2024/1183 (heretter eIDAS 2.0/endringsforordningen) innebærer en utvidelse av forordningens virkeområde. I tillegg til at medlemsstatene skal anerkjenne midler for elektronisk identifikasjon av fysiske og juridiske personer som omfattes av en meldt ordning for elektronisk identifikasjon i en annen medlemsstat, skal medlemsstatene iht. endringene også sikre at fysiske og juridiske personer har tilgang til slike identifikasjonsmidler.

    Virkeområdet er utvidet til nye typer tillitstjenester, herunder utstedelse og validering av elektronisk attestering av attributter, elektronisk arkivering av elektroniske dokumenter, systemforvaltning for fjerngodkjenning av elektroniske segl og registrering av elektroniske regnskapsdata, jf. endringsforordningen art. 3 nr. 16 bokstav a – n. Videre er det verdt å merke seg at i tillegg til selve tjenestene vil forordningen omfatte utstedelse og validering av sertifikatene som tjenestene baseres på, herunder sertifikater for autentisering av nettsider.

    Et viktig grep i eIDAS 2.0 er implementeringen av en digital identitetslommebok – heretter «identitetslommeboken» (European Digital Identity Wallet/EDIW). Denne omtales videre nedenfor i kapittel 2. Videre endres også kravene til tilbydere av tillitstjenester; eIDAS 2.0 søker her å harmonisere med bestemmelsene i NIS2-direktivet.

    Innlemming av forordningen forutsetter at det tas forbehold om Stortingets godkjenning, jf. EØS-avtalen art. 103.

    Hovedelementer i eIDAS 2.0
    Endringer i kapittel 1: Alminnelige bestemmelser

    Formålsbestemmelsen i artikkel 1 er erstattet med en ny bestemmelse, hvor anvendelsesområdet for forordningen er endret og utvidet. Formålet med eIDAS2 er å sikre borgernes rett til å sikkert delta i det digitale samfunnet og få tilgang til offentlige og private tjenester på tvers av landegrensene i EU. Det legges spesielt vekt på at medlemsstatene skal utstede og anerkjenne europeisk identitetslommebøker.

    Artikkel 2 regulerer virkeområdet og utvides til også å omfatte europeiske identitetslommebøker og nye tjenester som elektronisk arkivering og elektronisk attestering av attributt er, forvaltning av eksterne elektroniske signatur- og forseglingssystemer, samt elektroniske regnskaper (suppleringer til artikkel 3, punkt 16).

    I artikkel 3 suppleres med nye definisjoner. Eksisterende definisjoner får justeringer som medfører flere av begrepene som tidligere har vært knyttet til digital samhandling utvides eller presiseres med at det også skal nyttes «offline» der det er relevant. I tillegg suppleres begrepslisten.

    Endringer i kapittel 2: Elektronisk identifikasjon

    Avsnitt 1: Europeisk digital identitetslommebok
    Avsnittet er nytt og artiklene 5a-5f regulerer blant annet etablering, utstedelse, bruk og ansvarsfordeling knyttet til identitetslommeboken.

    Artikkel 5a nr. 1 pålegger medlemsstatene å tilby minst én identitetslommebok med eID på sikkerhetsnivå høyt, jf. artikkel 5a nr. 5 (d) og nr. 11. Identitetslommeboken skal være tilgjengelig for innbyggere og virksomheter innen 24 måneder etter gjennomføringsrettsaktene i artikkel 5a nr. 23 og 5c nr. 6 er trådt i kraft.

    Identitetslommeboken kan etter artikkel 5a nr.2 utstedes på en eller flere av følgende måter:

    1. av et medlemsland
    2. på vegne av et medlemsland
    3. uavhengig av medlemslandet, men anerkjent av medlemslandet.

    Identitetslommeboken skal kunne brukes som eID og som e-signatur i hele EU-området. Identitetslommeboken muliggjør innhenting, lagring og deling av personidentifiseringsdata og elektroniske attesteringer av attributter som er nødvendig for autentifisering for å bruke offentlige og private digitale tjenester. Målet er at brukeren selv skal kunne håndtere dette på en måte som er brukervennlig, transparent og etterprøvbar.

    Identitetslommeboken har som mål å styrke tilliten til grenseoverskridende eID’er og gi personer tilgang til sikre og pålitelige identitetsordninger som kan brukes i EU, og som møter brukernes forventninger til sikkerhet og personvern. Gjennom bruk av europeiske standarder og gjennomføringsrettsakter er målet at identitetslommeboken skal ha samme funksjonalitet uavhengig av hvilken nasjonalstat som utsteder, og uavhengig av hvem som lager den.

    Endringsbestemmelsene innebærer at identitetslommeboken, i tillegg til å være en eID på sikkerhetsnivå høyt og en kvalifisert e-signeringsløsning, også skal inneholde såkalte «attesterte attributter» også omtalt som digitale bevis. Dette kan for eksempel være digitale førerkort, vitnemål, vaksinepass, elektronisk segl mm. Det følger av vedlegg 6 til endringsforordningen at medlemsstatene skal tillate tilbydere av tillitstjenester å verifisere autentisiteten til en liste av attributter så langt disse eksisterer i elektroniske registre nasjonalt. For Norge innebærer det at tilbydere av tillitstjenester må kunne verifisere mot blant annet folkeregisteret og brønnøysundregisteret.

    Artikkel 5 flg. angir at identitetslommeboken skal ha en felles brukergrenseflate både mot kvalifiserte og ikke-kvalifiserte tilbydere av tillitstjenester, slik at mottakerparter kan anmode om og kontrollere personidentifikasjonsdata og elektronisk attestering av attributter. 

    Medlemsstatene skal tilby gratis valideringsmekanismer for å sikre autentisitet og gyldighet av identitetslommeboken, jf. artikkel 5a nr. 8. Brukere skal ha full kontroll over bruken av og av dataene i sin identitetslommebok. Brukerens personopplysninger skal sikres på den måte at utsteder av identitetslommeboken ikke kan samle inn persondata som ikke er nødvendige for den enkelte tjeneste, at slike data ikke skal kunne sammenstilles, og at personopplysninger vedr. levering av identitetslommeboken skal oppbevares fysisk adskilt fra alle andre data som lagres, jf. artikkel 5a nr. 14.

    Identitetslommeboken skal utstedes gratis til brukere som er fysiske personer, og kunne brukes og revokeres kostnadsfritt, jf. artikkel 5a nr. 13.

    Ifølge artikkel 5a nr. 15 er bruk av identitetslommeboken frivillig, og det skal ikke være noen ulempe for fysiske eller juridiske personer som ønsker å bruke andre identifikasjonsmidler.

    Artikkel 5c-5f regulerer videre krav til innmelding av mekanismer og ansvarlige enheter, krav til sertifisering, krav til EU liste over sertifiserte identitetslommebøker, krav til håndtering av sikkerhetsbrudd, og krav til grenseoverskridende bruk av identitetslommebøker.

    Avsnitt 2: Elektronisk identifikasjon
    I artikkel 11a om identitetsmatching på tvers av landegrenser stilles det tydeligere krav til at medlemslandene skal sikre entydig identitetsgjenkjenning for fysiske personer ved bruk av eID-ordninger eller identitetslommeboken. Beslutninger om hvordan identitetsgjenkjenning av utenlandske borgere vil fattes i forbindelse med arbeidet med nye gjennomføringsrettsakter. 

    Det pågår et arbeid med nye rettsakter som regulerer hvilke data som skal og kan være i identitetslommeboken. Det er uklart om gjeldende rettsakter for eID skal endres tilsvarende. Rettsakten knyttet til identitetsgjenkjenning vil gi føringer for hvordan informasjonen som finnes i eID-ordningene og identitetslommebøkene kan brukes til gjenkjenning av eksisterende brukere.  

    Endringer i Kapittel 3: Tillitstjenester 

    Endringene i kapittel 3 er tilpasset de nye endringene i forordningen for øvrig, og er ellers harmonisert med NIS2-direktivet (EU 2022/2555) mht. regler om erstatningsansvar, internasjonale aspekter og tilgjengelighet og tilsyn. NIS2 er så langt ikke innlemmet i EØS-avtalen eller inkorporert i norsk nasjonal rett.

    Avsnitt 1: Alminnelige bestemmelser om tillitstjenester
    Artikkel 16 viderefører bestemmelsen om at medlemsstatene skal fastsette regler om sanksjoner for overtredelse av forordningen, men det er nytt at det i nr. 2 angis rammer for overtredelsesgebyr.  

    Det bemerkes særlig at gjeldende artikkel 19, som stiller sikkerhetskrav til tilbydere av tillitstjenester, utgår og erstattes av NIS2-direktivet med virkning fra 18. oktober 2024, jf. NIS2- direktivet artikkel 42. Dette innebærer at kravene til sikkerhet flyttes fra en forordning til et direktiv. NIS2-direktivet stiller krav som har som formål å sikre et generelt høyt nivå på cybersikkerhet i EU. I endringsforordningen er det vist til NIS2-direktivet flere steder. I Norge er det forventet at det norske regelverket vil bli oppdatert i henhold til NIS2-direktivet.

    Avsnitt 2: Ikke-kvalifiserte tilbydere av tillitstjenester
    I ny artikkel 19a reguleres krav til ikke-kvalifiserte tilbydere av tillitstjenester, herunder krav til varsling av sikkerhetshendelser og pålegger de å varsle tilsynsmyndigheten på lik linje med de kvalifiserte tilbyderne.    

    Avsnitt 3: Kvalifiserte tillitstjenester
    Artikkel 20 regulerer tilsyn med kvalifiserte tilbydere av tillitstjenester. Det er blant annet nytt at kvalifiserte tilbydere også skal samsvarsvurderes opp mot kravene i NIS2-direktivet artikkel 21. Det er også nytt at tilbyderne skal underrette tilsynsorganet senest en måned før planlagt samsvarsvurdering og skal tillate tilsynsorganet å delta som observatør på forespørsel.  

    I artikkel 24 stilles det nye krav til kvalifiserte tilbydere av tillitstjenesters utstedelse og verifisering av elektronisk attestering av attributter og sertifikater. I artikkel 24 nr. 1a listes det opp ulike identifikasjonsmetoder. Etter nr. 1a (a) vil man for eksempel ikke lenger kunne verifisere identiteten med en meldt eID på sikkerhetsnivå «betydelig», men nå kun på sikkerhetsnivå «høyt».  

    I artikkel 24 nr. 2 (fb) stilles det krav om hendelsesrapportering.

    Avsnitt 4: Elektroniske signaturer
    I ny artikkel 29a stilles det krav til håndtering og oppbevaring av eksterne elektroniske fremstillingssystemer (Remote Qualified Signature Creation Device RQSCD), som nå er en egen regulert tjeneste.

    Avsnitt 8: Nettstedsautentisering
    I artikkel 45, jf. vedlegg fire, stilles det krav til kvalifisert sertifikat for autentisering av nettsider. Det stiles også krav til at leverandører av nettlesere presenterer informasjon fra slike sertifikater på en brukervennlig måte, samt at leverandørene må sikre støtte og interoperabilitet for sertifikater.

    Avsnitt 9: Elektronisk attestering av attributter
    Elektronisk attestering av attributter er en ny tillitstjeneste og artiklene 45b-45h er nye bestemmelser i endringsforordningen. Med attributt menes en egenskap, kvalitet, rettighet eller godkjenning som hører til en fysisk eller juridisk person. Denne «egenskapen» skal kunne dokumenteres med identitetslommeboken ved at et bevis utstedes fra godkjente utstedere. Det skal opprettes registre for godkjente utstedere, og utstederne er underlagt tilsyn.

    Artikkel 45b regulerer rettsvirkninger av elektronisk attestering av attributter.

    Identifisering og autentisering ved bruk av elektronisk attestering av attributter skal ikke erstatte identifisering og autentisering ved bruk av andre eID-ordninger, men mindre dette er spesifikt tillatt i den enkelte medlemsstaten. I så tilfelle skal også kvalifisert elektronisk attestering av attributter fra andre medlemsstater aksepteres.

    Artikkel 45e regulerer verifisering av attributter mot autentiske kilder. Etter nr. 1 skal medlemsland sikre at attributter opplistet i Annex VI, når disse er avhengig av autentiske kilder i offentlig sektor, påse at tiltak er på plass for å la kvalifiserte tilbydere av elektronisk attestering validere disse attributtene på vegne av kunden. Dette skal kunne gjennomføres på nasjonalt nivå, direkte mot de autentiske kildene eller gjennom anerkjente mellomledd på nasjonalt nivå, i tråd med nasjonal og europeisk lov.

    Artikkel 45f regulerer krav til elektronisk attestering av attributter utstedt av eller på vegne av et offentlig organ som er ansvarlig for en autentisk kilde.

    Artikkel 45g regulerer utstedelse av elektronisk attestering av attributter til identitetslommebøker. Tilbydere av elektronisk attestering av attributter skal sikre at tjenesten kan integreres i identitetslommeboken.

    Artikkel 45h stiller tilleggskrav for levering av elektronisk attestering av attributtjenester. Det er i bestemmelsen fastsatt krav til beskyttelse av personopplysninger, som både berører kvalifiserte og ikke-kvalifiserte tilbydere. 

    Avsnitt 10: Elektroniske arkiveringstjenester
    Elektronisk arkiveringstjenester er en ny tillitstjeneste. Artikkel 45i regulerer rettsvirkning av elektroniske arkiveringstjenester og artikkel 45j stiller til krav til kvalifiserte elektroniske arkiveringstjenester.

    Avsnitt 11: Elektroniske registre
    Elektroniske registre er en ny tillitstjeneste. Artikkel 45k regulerer rettsvirkning av elektroniske registre og artikkel 45l stiller krav til kvalifiserte elektroniske arkiveringstjenester.

    Kapittel IVa: Styringsramme

    Kapittel IVa gir rammene for medlemsstatenes forvaltning av eIDAS-regelverket. Medlemslandene skal utpeke ett eller flere tilsynsorgan som skal føre tilsyn med tilbydere av identitetslommebøker etablert i medlemsstaten, felles kontaktpunkt for tillitstjenester, identitetslommebøker og meldte elektroniske identifikasjonsordninger, samt at det skal utpekes medlemmer til den europeiske samarbeidsgruppen for digital identitet (European Digital Identity Cooperation Group (EDICG).

    Dette fører til flere oppgaver enn Norge understøtter etter dagens eIDAS-regelverk, og vil gi økte kostnader.

    EU – Toolbox

    EU-kommisjonen har anbefalt at det utarbeides en felles verktøykasse som skal underbygge felles europeisk identitetshåndtering. Arbeidet er i gang, og det finnes allerede et felles rammeverk for arkitektur og referanser, fungerende referanseimplementasjoner av identitetslommeboken, felles standarder, tekniske spesifikasjoner, retningslinjer og beskrivelser av beste praksis. Verktøykassen skal gjøre det så enkelt som mulig for medlemslandene å få på plass infrastrukturen som trengs.

    Gjennomføringsrettsakter

    Endringsforordningen gir hjemmel til en rekke nye rettsakter som skal utarbeides i løpet av det første året etter forordningen trer i kraft. De første rettsaktene skal gi rammene for identitetslommeboken, og trer i kraft 24.desember, hvilket betyr at medlemslandene skal ha sin identitetslommebok klar 24.12.2026.

    Rettsaktene skal bygge på arbeidet i den felles verktøykassen, og selv om første sett allerede er vedtatt, forventer kommisjonen at rettsaktene vil bli revidert jevnlig. Dette gjelder både selve bestemmelsene i rettsaktene og vedleggene.

    Merknader

    Rettslige konsekvenser

    I Norge er eIDAS-forordningen ((EU) 910/2014) gjennomført nasjonalt i lov om elektroniske tillitstjenester, forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften), forskrift om tillitstjenester for elektroniske transaksjoner og gjennom rammeverk for identifikasjon og sporbarhet. 

    EØS-relevans

    EU-Kommisjonen har ikke markert endringsforordningen som EØS-relevant, mens EFTA-Sekretariatet på sin side har kommet til at den skal anses som relevant.

    Spørsmålet om relevans er en rettslig vurdering av om forordningen regulerer et saksfelt som faller innenfor EØS-avtalen. Den reviderte eIDAS-forordningen endrer (EU) 910/2014, som allerede er inntatt i Vedlegg XI (Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester). Når en rettsakt endrer en rettsakt som allerede er innlemmet i EØS-avtalen, er det allerede der en sterk presumsjon for at den er EØS-relevant – dette siden den allerede berører et saksfelt innenfor rammene av avtalen. I tillegg til dette antas det at forordningen, også i sin endrede stand, vil bidra til å underbygge grenseoverskridende transaksjoner, samhandling og bevegelse for både innbyggere og virksomheter. På denne bakgrunn anses forordningen som EØS-relevant.

    Endringer i nasjonalt regelverk

    DFD vurderer endringsforordningen slik at de foreslåtte endringene vil medføre nasjonale endringer i lov om elektroniske tillitstjenester med tilhørende forskrifter, hvilket nødvendiggjør art. 103-forbehold. Det er per i dag ikke nasjonale regler for en digital lommebok og de nye tillitstjenestene slik disse er beskrevet i forordningen.

    Videre nødvendiggjør endringene nasjonale lovendringer i øvrig lovverk som henviser til elektronisk ID eller tillitstjenester, samt for hvitvaskingsregelverket. Det er så langt ikke tatt stilling til hvordan endringene gjennomføres nasjonalt.

    Det skal etter artikkel 12 etableres et rammeverk for interoperabilitet som skal gjelde for eID-ordningene. Dette forutsetter blant annet at det defineres et minstekrav til hvilke personopplysninger som skal benyttes for å få en entydig og mest mulig persistent identifikator for personlig eID. Det skal utarbeides gjennomføringsrettsakter for å oppnå størst mulig likhet i bruken av entydige og persistente identifikatorer, der man antar at dette defineres nærmere. Hvilke personopplysninger man vurderer til å være nødvendige for å utstede eID bør defineres i forskrift.

    I vedlegg 6 til endringsforordningen, jf. artikkel 45e, er det gitt et minstesett med attributter som skal være tilgjengelige. Punkt 9 slår fast at tillitstjenestene skal være tilrettelagt for ulike former for representasjonsforhold, som for eksempel fullmakter, partshjelp og vergemål i tillegg til representasjon av virksomheter. eIDAS2 kan ha konsekvenser for den pågående digitaliseringen av vergemål og for hvordan vergemål og andre fullmakter skal presenteres for offentlige og private aktører.

    Økonomiske og administrative konsekvenser

    Forordningen antas å ha betydelige økonomiske og administrative konsekvenser. Norge har ikke foretatt en vurdering av hva endringene rent faktisk vil medføre. Det må undersøkes nasjonalt i hvilken grad forordningen harmoniserer med nasjonal rett og hvilke tekniske løsninger som allerede er på plass. Endringsforordningen fastsetter et gratisprinsipp for brukerne av den digitale lommeboken, hvilket gjør at kostnader til utvikling, produksjon og drift ikke kan bli dekket gjennom betaling ved utstedelse, slik det eksempelvis er for fysiske identifikasjonsmidler som pass/nasjonalt ID-kort i dag.

    Nkom er i dag tilsynsorgan for tillitstjenester og har ansvar for den nasjonale tillitslisten. Nkom er også tilsynsorgan for selvedeklarerte elektroniske identifikasjonsordninger. I endringsforordningen innføres det nye typer tillitstjenester. Medlemslandene skal etter endringsforordningen utpeke ett eller flere tilsynsorgan som skal føre tilsyn med tilbydere av identitetslommebøker.

    Endringsforordningen pålegger også at medlemslandene utpeker et kontaktpunkt «Single points of contact» (SPC) for tillitstjenester, identitetslommebøker og meldte elektroniske identifikasjonsordninger. SPC skal utøve en forbindelsesfunksjon for å legge til rette for grenseoverskridende samarbeid mellom tilsynsorganene for tilbydere av tillitstjenester og mellom tilsynsorganene for tilbyderne av identitetslommebøker og, når det er hensiktsmessig, med Kommisjonen og Den europeiske unions byrå for cybersikkerhet (ENISA) og med andre kompetente myndigheter i medlemsstaten.

    Videre skal medlemslandene utpeke representantene til Den europeiske samarbeidsgruppen for digital identitet (European Digital Identity Cooperation Group (EDICG)), som blant annet skal gi råd og samarbeide med Kommisjonen om nye politiske initiativer innen identitetslommebøker, elektroniske identifikasjonsmidler og tillitstjenester.

    De nye tilsynsoppgavene er omfattende og vil kreve et bredt spekter av kompetanse innenfor relevante områder. Det er også nødvendig at Norge bidrar med representanter inn i EDICG med nødvendige ekspertise. Alt dette vil medføre behov for tilførsel av flere fagressurser og økte kostnader.

    Sakkyndige instansers merknader

    Innspill vil innhentes i Spesialutvalg for Kommunikasjoner og i forbindelse med høringsrunden.

    Vurdering

    Departementet stiller seg positive til den reviderte forordningen med rammeverket for en europeisk digital identitet, og ser at dette kan være en hensiktsmessig løsning på utfordringene som ligger til grunn for forordningen.

    Den vedtatte forordningens bestemmelser om den digitale lommeboken er imidlertid ikke konkret og detaljert nok til at de økonomiske og administrative konsekvensene nå kan vurderes på en hensiktsmessig måte. Nærmere detaljering og konkrete bestemmelser vil komme i gjennomføringsrettsaktene hvor de fleste har frister på 6 eller 12 måneder etter forordningen trådte i kraft. Kostnadene ved innlemming og gjennomføring av forordningen slik det fremstår vurderes foreløpig til å kunne bli betydelige. Digdir skal gjennomføre en utredning for å estimere kostnader og danne underlag for valg av konsept for lommeboken.

    Ifølge artikkel 5a (13) skal utstedelse, bruk og tilbakekalling av lommeboken være gratis for fysiske personer. Det er i artikkel 5a nr. 5 bokstav (g) presisert at dette også omfatter signering med kvalifisert signatur. I artikkel 5a nr.8 er det bestemt at valideringstjenester skal være gratis i bruk, noe som er en god sikkerhetsmekanisme. Dette innebærer at verken de private aktørene eller offentlige tjenestetilbyderne kan ilegge noen avgift på de omtalte områdene. Avgrensingen i hvem lommeboken skal være gratis for, innebærer at det skal være mulig å ta betalt for utstedelse og ved bruk hos juridiske personer.

    Utover de rent økonomiske konsekvensene vil den digitale lommeboken medføre en fundamental endring i hvordan eID utstedes nasjonalt, all den tid det er nasjonalstaten som skal sørge for at identitetslommeboken er tilgjengelig for borgere og virksomheter.

    Løsningene for tillitstjenester som benyttes i Norge, er i stor grad bygget på tillit til det offentlige og tillit mellom offentlige og private virksomheter. Dette må også ivaretas ved endrede sikkerhetskrav til tilbydere av tillitstjenester. Løsningene, infrastrukturen og rammeverket som brukes nasjonalt i dag, kan bidra til å sikre velfungerende løsninger også ved inkorporering av de nye reglene. Det er viktig å peke på at det i artikkel 5a nr. 15 presiseres at bruk av lommeboken er frivillig, og det skal ikke være noen ulempe for fysiske eller juridiske personer som ønsker å bruke andre identifikasjonsmidler. Det vil si at løsningene, infrastrukturen og rammeverket som brukes i dag antakelig vil bestå i overskuelig fremtid.

    Frister

    Fristene det er lagt opp til i endringsloven synes optimistiske, særlig mtp. at man både skal opprette og gjennomføre den digitale lommeboken i det enkelte landet. Dette vil være et omfattende arbeid, som i tillegg krever en svært høy grad av tillit for å bli funksjonelt, og for å kunne fungere iht. eIDAS-forordningen.

    Forholdet til annet regelverk:

    eIDAS gjelder elektronisk identifikasjon og tillitsregelverket til EU, og vil ha innvirkning på datadelingsregelverk hvor det brukes identifisering av fysiske eller juridiske personer.

    eIDAS 2.0 bestemmer at «alle» skal kunne identifisere seg digitalt, og forutsetter at bruker av digitale tjenester skal kunne opptre på vegner av andre både fysiske og juridiske personer. Det betyr at det kan være behov for aldersgrenser for utstedelse av eID og lommebok, samt at vergemål- og virksomhetslovgivingen må være tilpasset digitale identiteter.

    Det er presisert i endringsforordningen at også annet regelverk skal etterleves. For eksempel skal levering av tillitstjenester skje i samsvar med GDPR, og myndighetsorganer som videreføres eller opprettes gjennom endringsforordningen skal samarbeide med Datatilsynet. Dette krever ikke nødvendigvis endring av regelverk, men man må ivareta gjeldende regelverk i utvikling og praksis.

    Forholdet til NIS2 (EU 2022/2555)

    Den opprinnelige eIDAS-fordringen artikkel 19 omhandler sikkerhetskrav for tilbydere av tillitstjenester. Etter NIS2-direktivet artikkel 42 er artikkel 19 slettet og i endringsforordningen er det tatt inn sikkerhetskrav definert i NIS2 med noen eIDAS-spesifikke presiseringer. Det er spesifikt vist til NIS2 artikkel 21, som gjelder tiltak for å håndtere cybersikkerhetsrisiko. eIDAS-forordningen inneholder sikkerhetskrav som må oppfylles av alle medlemslandene.

    At eIDAS er vedtatt som en forordning innebærer en harmonisering av sikkerhetsarbeidet på tvers av medlemslandene. NIS2 er på den annen side et direktiv, som innebærer at medlemslandene kan innføre nasjonale tilpasninger, gitt at direktivet angir en minimumsharmonisering. Dette kan medføre ulikheter i hvordan regelverket gjennomføres og utgjør en risiko for hvordan den enkelte medlemsstat gjennomfører regelverket. Ulik gjennomføring av NIS2 kan slikt sett indirekte gi en uoversiktlig gjennomføring av kravene i eIDAS. Dette kan også være konkurransevridende mht. hvor tillitstilbyderne er etablert.

    Videre vil tilsynsorganer og andre organer som etableres i medhold av eIDAS ha plikt til å samarbeide med organer som forventes opprettet i medhold av NIS2.

    Forholdet til SDG ((EU)2018/1724)

    Det fremstår å være overlapp mellom funksjonaliteten i Lommeboken og SDG (for eksempel attributthåndtering). Det er derfor viktig å sikre en godt synkronisert gjennomføringen; Sikre god nasjonal implementering, og samarbeide med EU om gjennomføringen. e.l. ordlyd. SDG er innlemmet i EØS-avtalen, men ennå ikke gjennomført i norsk lov.

    Regelverk som ikke er inntatt i EØS-avtalen

    Bestemmelser i eIDAS 2.0 med referanse til regelverk som ikke er inntatt i EØS-avtalen:

    Artikkel 5f(2),12b,16(1),19a(1), 20(1), 20(3a,3c), 21(1,2), 24(b), 46a(4c), 46b(4a), og 46e(5c).

    Kort forklaring:

    • Regulation (EU) 2022/2065 (Digital Services Act)

    DSA er en del av Europakommisjonens såkalte flaggskipsinitiativer, og har til formål å bidra til å styrke det indre marked ved å modernisere og presisere internettbaserte plattformers plikter når det gjelder å fjerne ulovlig innhold, og adressere nye problemsstillinger som har fremkommet i forbindelse med plattformøkonomien. Store online-plattformer blir gjennom eIDAS2 artikkel 5f nr. 3 pålagt å akseptere EDIW.

    • Regulation (EU) 2022/1925 (Digital Markets Act) ikke innlemmet I EØS.
    • Directive (EU) 2022/2555 (NIS2 Directive) ikke innlemmet I EØS.
    • European Accessibility Act

    Endringsforordningen stiller tilgjengelighetskrav til eID og tillitstjenester, deriblant i artikkel 15 og fortalen (4)(43), med henvisning til United Nations Convention on the Rights of Persons with Disabilities (CRPD). Konvensjonen ble ratifisert av Norge i 2013, og det pågår en vurdering om inkorperering i norsk rett gjennom menneskerettsloven. Videre viser endringsforordningen til Directive (EU) 2019/882 (Tilgjengelighetsdirektivet). Direktivet er ikke gjennomført i norsk rett og er under vurdering i EØS/EFTA-statene.

    Konklusjon

    Forordningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalens vedlegg XI med forbehold om Stortingets godkjenning.

    Innholder informasjon unntatt offentlighet, jf. offl. § 13

    Andre opplysninger

    Nøkkelinformasjon

    Institusjon: Parlament og Råd
    Type rettsakt: Forordning
    KOM-nr.: KOM(2021)281
    Rettsaktnr.: (EU) 2024/1183
    Basis rettsaktnr.: (EU) 910/2014
    Celexnr.: 32024R1183

    EFTA-prosessen

    Dato mottatt standardskjema: 08.05.2024
    Frist returnering standardskjema: 28.08.2024
    Dato returnert standardskjema:
    EØS-relevant: Ja
    Akseptabelt: Ja
    Tekniske tilpasningstekster: Nei
    Materielle tilpasningstekster: Nei
    Art. 103-forbehold: Ja

    Norsk regelverk

    Endring av norsk regelverk: Ja
    Høringsstart:
    Høringsfrist:
    Frist for gjennomføring:
    Til toppen