Liste over registrerte sertifikatutstedere av elektroniske signaturer: endringsbestemmelser
Kommisjonsbeslutning 2010/425/EU av 28. juli 2010 som endrer vedtak 2009/767/EF om etablering, vedlikehold og publisering av en liste over registrerte sertifikatutstedere som medlemsstatene fører tilsyn med
Commission Decision 2010/425/EU of 28 July 2010 amending Decision 2009/767/EC as regards the establishment, maintenance and publication of trusted lists of certification service providers supervised/accredited by Member States
EØS-komitevedtak notifisert av Island 22.3.2012: ikrafttredelse 1.5.2012
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 20.6.2012)
Sammendrag av innhold
Kommisjonsbeslutningen gjennomfører noen endringer i tidligere kommisjonsbeslutning 2009/767/EF, som skal bidra til den praktiske gjennomføringen av tjenestedirektivet (direktiv 2006/123/EF). Det skal bli enklere å gjennomføre elektroniske prosedyrer over landegrensene via kontaktpunktene gjennom at EØS-statene gjensidig kan godkjenne hverandres elektroniske fremgangsmåter. I henhold til beslutningen har EØS-statene, på grunnlag av egnede risikovurderinger, anledning til å kreve avanserte elektroniske signaturer basert på kvalifiserte sertifikater, med eller uten et sikkert signaturfremstillingssystem, når visse fremgangsmåter eller formaliteter skal fullførers gjennom kontaktpunktene. EØS-statene skal etablere, vedlikeholde og offentliggjøre en liste over sertifikatutstedere som de har akkreditert eller fører tilsyn med. Denne endringsbeslutningen legger til at listen over sertifikatutstedere også skal publiseres på et maskinlesbart format for å stimulere til økt bruk av listen ved å tillate automatisk prosessering og dermed økt bruk i elektroniske tjenester. Det gjøres også obligatorisk at denne maskinlesbare listen signeres elektronisk av det ansvarlige organet for å opprette, vedlikeholde og publisere listen.
Merknader
Post- og teletilsynet som tilsynsorgan/ansvarlig organ har i tråd med kommisjonsbeslutning 2009/767/EF opprettet en liste (”Trusted List”) over registrerte sertifikatutstedere som har sendt inn registreringsmelding etter e-signaturloven, og som de fører tilsyn med. Kommisjonsbeslutningen påla kun en liste som var lesbar for mennesker og distribuert via en sikker kanal. Endringsbeslutningen 2010/425/EU stiller opp et krav til også å opprette og publisere en maskinlesbar liste som skal signeres elektronisk. Det er et minimumskrav til at listen som er lesbar for mennesker skal publiseres via en sikker kanal. Dette er ikke til hinder for at denne listen også signeres elektronisk. Det er tilsynsorganet som skal signere den maskinlesbare listen, og listen som er lesbar for mennesker bør signeres av tilsynet.Endringsbeslutningen pålegger videre medlemsstatene til ikke bare å meddele til kommisjonen navnet på tilsynsorganet som har ansvar for å opprette, vedlikeholde og publisere listene og hvor listene er publisert. Endringsbeslutningen stiller også opp et krav til publisering av det elektroniske sertifikatet som enten er brukt for å etablere en sikker publiseringskanal eller for å lage en elektronisk signatur av listen som er lesbar for mennesker. Den pålegger også publisering av det elektroniske sertifikatet som er brukt for å signere den maskinlesbare listen over sertifikatutstedere.
Kommisjonens ekspertgruppe, der Norge deltar, har vært med å utforme endringsbeslutningen. Se for øvrig merknader til kommisjonsbeslutning 2009/767/EF av 16. oktober 2009.
Sakkyndige instansers merknader
Endringsbeslutningen retter seg mot staten og medfører kun endringer for Post- og teletilsynet som i tillegg til en liste som er lesbar for mennesker også må opprette og publisere en maskinlesbar liste sammen med de elektroniske sertifikatene som er brukt for å signere begge listene. Den medfører også at opprettelse av listene, navn på tilsynsorgan, hvor de finnes, hvilke elektroniske sertifikater som er brukt for signering av listene må meddeles av NHD til Kommisjonen på nytt.
Post- og teletilsynet har deltatt i ekspertgruppen som har arbeidet frem kommisjonsbeslutning 2010/425. Fornyings- og administrasjonsdepartementet, Direktoratet for forvaltning og IKT (DIFI), Brønnøysundregistrene og Nærings- og handelsdepartementet har fortløpende blitt konsultert i prosessen. Se for øvrig merknadene til kommisjonsbeslutning 2009/767/EF av 16. oktober 2009.
Vurdering
Beslutningen anses som EØS-relevant og akseptabel.
Status
Beslutningen ble sist behandlet i Spesialutvalget for handelsforenklinger 8.10.2011, hvor den ble funnet EØS-relevant og akseptabel. Den ble innlemmet i EØS-avtalen gjennom EØS-komitebeslutning nr 97/2011 i EØS-komiteens møte 30.09.2011.
Sammendrag av innhold
Kommisjonsbeslutningen gjennomfører noen endringer i tidligere kommisjonsbeslutning 2009/767/EF, som skal bidra til den praktiske gjennomføringen av tjenestedirektivet (direktiv 2006/123/EF). Det skal bli enklere å gjennomføre elektroniske prosedyrer over landegrensene via kontaktpunktene gjennom at EØS-statene gjensidig kan godkjenne hverandres elektroniske fremgangsmåter. I henhold til beslutningen har EØS-statene, på grunnlag av egnede risikovurderinger, anledning til å kreve avanserte elektroniske signaturer basert på kvalifiserte sertifikater, med eller uten et sikkert signaturfremstillingssystem, når visse fremgangsmåter eller formaliteter skal fullførers gjennom kontaktpunktene. EØS-statene skal etablere, vedlikeholde og offentliggjøre en liste over sertifikatutstedere som de har akkreditert eller fører tilsyn med. Denne endringsbeslutningen legger til at listen over sertifikatutstedere også skal publiseres på et maskinlesbart format for å stimulere til økt bruk av listen ved å tillate automatisk prosessering og dermed økt bruk i elektroniske tjenester. Det gjøres også obligatorisk at denne maskinlesbare listen signeres elektronisk av det ansvarlige organet for å opprette, vedlikeholde og publisere listen.
Merknader
Post- og teletilsynet som tilsynsorgan/ansvarlig organ har i tråd med kommisjonsbeslutning 2009/767/EF opprettet en liste (”Trusted List”) over registrerte sertifikatutstedere som har sendt inn registreringsmelding etter e-signaturloven, og som de fører tilsyn med. Kommisjonsbeslutningen påla kun en liste som var lesbar for mennesker og distribuert via en sikker kanal. Endringsbeslutningen 2010/425/EU stiller opp et krav til også å opprette og publisere en maskinlesbar liste som skal signeres elektronisk. Det er et minimumskrav til at listen som er lesbar for mennesker skal publiseres via en sikker kanal. Dette er ikke til hinder for at denne listen også signeres elektronisk. Det er tilsynsorganet som skal signere den maskinlesbare listen, og listen som er lesbar for mennesker bør signeres av tilsynet.Endringsbeslutningen pålegger videre medlemsstatene til ikke bare å meddele til kommisjonen navnet på tilsynsorganet som har ansvar for å opprette, vedlikeholde og publisere listene og hvor listene er publisert. Endringsbeslutningen stiller også opp et krav til publisering av det elektroniske sertifikatet som enten er brukt for å etablere en sikker publiseringskanal eller for å lage en elektronisk signatur av listen som er lesbar for mennesker. Den pålegger også publisering av det elektroniske sertifikatet som er brukt for å signere den maskinlesbare listen over sertifikatutstedere.
Kommisjonens ekspertgruppe, der Norge deltar, har vært med å utforme endringsbeslutningen. Se for øvrig merknader til kommisjonsbeslutning 2009/767/EF av 16. oktober 2009.
Sakkyndige instansers merknader
Endringsbeslutningen retter seg mot staten og medfører kun endringer for Post- og teletilsynet som i tillegg til en liste som er lesbar for mennesker også må opprette og publisere en maskinlesbar liste sammen med de elektroniske sertifikatene som er brukt for å signere begge listene. Den medfører også at opprettelse av listene, navn på tilsynsorgan, hvor de finnes, hvilke elektroniske sertifikater som er brukt for signering av listene må meddeles av NHD til Kommisjonen på nytt.
Post- og teletilsynet har deltatt i ekspertgruppen som har arbeidet frem kommisjonsbeslutning 2010/425. Fornyings- og administrasjonsdepartementet, Direktoratet for forvaltning og IKT (DIFI), Brønnøysundregistrene og Nærings- og handelsdepartementet har fortløpende blitt konsultert i prosessen. Se for øvrig merknadene til kommisjonsbeslutning 2009/767/EF av 16. oktober 2009.
Vurdering
Beslutningen anses som EØS-relevant og akseptabel.
Status
Beslutningen ble sist behandlet i Spesialutvalget for handelsforenklinger 8.10.2011, hvor den ble funnet EØS-relevant og akseptabel. Den ble innlemmet i EØS-avtalen gjennom EØS-komitebeslutning nr 97/2011 i EØS-komiteens møte 30.09.2011.