Europaparlaments- og rådsforordning (EU) 2024/1183 av 11. april 2024 om endring av forordning (EU) nr. 910/2014 med hensyn til fastsettelse av et rammeverk for en europeisk digital identitet
eIDAS-forordningen: endringsbestemmelser til rammeverket for en europeisk digital identitet
Europaparlaments- og rådsforordning publisert i EU-tidende 30.4.2024
Tidligere
- Kompromiss fremforhandlet av representanter fra Europaparlamentet og Rådet 29.6.2023
- Kompromiss fremforhandlet med representanter fra Europaparlamentet bekreftet av Rådet 8.11.2023 med pressemelding
- Europaparlamentets plenumsbehandling 29.2.2024 med pressemelding
- Rådsbehandling 26.3.2024 (enighet med Europaparlamentet; endelig vedtak) med pressemelding
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 17.3.2022)
Sammendrag av innhold
eIDAS-forordningen ((EU) 910/2014) ble vedtatt 23. juli 2014 og trådte i kraft i EU 1. juli 2016. Formålet med forordningen er å legge til rette for økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS og dermed bidra til sterkere økonomisk vekst i det indre marked. eIDAS-forordningen er inkorporert i Norge i lov om elektroniske tillitstjenester, med ikrafttredelse fra 15. juni 2018.
Endringsforslaget til eIDAS-forordningen ble fremmet av Kommisjonen den 3. juni 2021. Det rettslige grunnlaget for endringene er TFEU art. 114.
Etter en gjennomgang av virkningen av eIDAS-forordningen, fant Kommisjonen at medlemsstatene ikke hadde oppnådd de ønskede virkningene: Kun 14 land hadde notifisert minst én eID-løsning, og som følge har kun 59 % av EU-borgerne tilgang til pålitelige og sikre eID-ordninger på tvers av grensene.
Endringsforslaget innebærer en vesentlig utvidelse av forordningens virkeområde. I tillegg til at medlemsstatene skal anerkjenne midler for elektronisk identifikasjon av fysiske og juridiske personer som omfattes av en meldt ordning for elektronisk identifikasjon i en annen medlemsstat, skal medlemsstatene iht. forslaget nå også levere slike midler for elektronisk ID.
Virkeområdet er utvidet til nye typer tillitstjenester, herunder elektronisk attestering av attributter, elektronisk arkivering av elektroniske dokumenter, systemforvaltning for fjerngodkjenning av elektroniske segl og registrering av elektroniske regnskapsdata, jf. endringsforslaget art. 16 bokstav a – f.
Den største endringen i endringsforslaget er implementeringen av en digital "lommebok" ("wallet"). Medlemsstatene får iht. endringsforslaget plikt til å utstede en slik lommebok med eID på sikkerhetsnivå høyt. Den digitale lommeboken skal sikre at det indre markedet fungerer som ønsket, at medlemsstatene har tillit til grenseoverskridende eID-løsninger og at personer skal få tilgang til sikre og pålitelige digitale identitetsløsninger som kan brukes innenfor EU, og som møter brukernes forventinger til sikkerhet og personvern. Endringsforslaget innebærer at lommeboken, i tillegg til å være en eID-løsning på nivå høyt, også kan inneholde såkalte attesterte attributter – dette kan eksempelvis være førerkort, vitnemål, vaksinepass, elektronisk segl mm.
Videre endres også kravene til tilbydere av tillitstjenester; endringsforslaget søker her å harmonisere med NIS2-direktivet (NIS2 er under vurdering i Rådet og Parlamentet).
Hovedelementer i endringsforslaget
1) Endringer i Kap. 1
Anvendelsesområdet for eIDAS-forordningen utvides til å omfatte både levering og anerkjennelse av elektriske identifikasjonsmidler for fysiske og juridiske personer. Videre utvides virkeområdet til å gjelde også for elektronisk arkivering og elektronisk attestering av attributter, forvaltning av eksterne elektroniske signatur- og forseglingssystemer, samt elektroniske regnskaper. Forordningen utvides også til å gjelde digitale lommebøker (omtalt nedenfor).
Videre angis det definisjoner på ytterligere begreper som brukes i forordningen, jf. endret art. 3.
2) Endringer i Kap. 2
Art. 6 bokstav a – d knytter seg til opprettelsen av en "European Digital Identity Wallet" (digital lommebok).
Art 6a er den mest sentrale av endringene og fastsetter plikten for medlemsstatene til å utstede en digital "lommebok" (European Digital Identity Wallet) under en notifisert eID-ordning med sikkerhetsnivå høyt innen 12 måneder fra forordningens ikrafttredelse. Lommeboken skal kunne brukes til eID og som e-signatur i hele EU-området. Lommeboken muliggjør innhenting, lagring og deling av juridiske personidentifiseringsdata og elektroniske attesteringer av attributter som er nødvendig for autentifisering mht. å bruke offentlige og private onlinetjenester.
Ansvaret for utstedelsen av lommeboken ligger hos medlemslandene.
Bestemmelsen angir at lommeboken skal ha en felles brukergrenseflate både til kvalifiserte og ikke-kvalifiserte tilbydere av tillitstjenester, slik at mottakerparter kan anmode om og kontrollere personidentifikasjonsdata og elektronisk attestering av attributter.
Medlemsstatene skal innføre valideringsmekanismer for å sikre autentisitet og gyldighet mht. lommeboken. Videre skal brukerens personopplysninger sikres på den måte at utsteder av lommeboken ikke kan samle inn persondata som ikke er nødvendige for den enkelte tjeneste, at slike data ikke skal kunne sammenstilles, og at personopplysninger vedr. levering av lommeboken skal oppbevares fysisk adskilt fra alle andre data som lagres.
Lommeboken skal være gratis for brukerne.
Videre er det angitt regler for innmelding av løsninger, håndtering av sikkerhetsbrudd, grenseoverskridende bruk av eID-lommebøker, tilgjengelighetskrav mv.
4) Endringer i Kap. 3
Endringene i kap. 3 er tilpasset de nye endringene i forordningen for øvrig, og er ellers harmonisert med NIS2-direktivet (KOM (2020)823) mht. regler om erstatningsansvar, internasjonale aspekter og tilgjengelighet og tilsyn.
Det bemerkes særlig at gjeldende art. 19 blir erstattet av NIS2-rammeverket. Art. 19 omhandler sikkerhetskrav for tilbydere av tillitstjenester. I forslaget til NIS2-direktivet foreslås det at artikkel 19 slettes og erstattes av sikkerhetskrav definert i artikkel 18 i NIS2. Det refereres til art. 19 i eIDAS-forordning i flere artikler, og endringen vil derfor påvirke andre aspekter i regelverket. I art. 13 holdes tilbyder ansvarlig dersom de ikke oppfyller spesifikke krav i art. 19. Art. 20 og 24 må også ses i sammenheng med art. 19.
Det fremgår ikke av endringsforslaget til eIDAS-forordningen hvordan disse problemstillingene løses dersom nåværende utkast av NIS2 blir vedtatt.
EU – Toolbox
Kommisjonen henstilt om at det skal utarbeides en felles europeisk toolbox for en felles europeisk identitet. En slik toolbox skal sikre koordinert tilgang til arbeidet med å utvikle en digital lommebok, samt lette gjennomføringen av rammene for én europeisk digital identitet.
Merknader
Rettslige konsekvenser
I Norge er eIDAS-forordningen ((EU) 910/2014) gjennomført nasjonalt i lov om elektroniske tillitstjenester, forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften), forskrift om tillitstjenester for elektroniske transaksjoner og gjennom rammeverk for identifikasjon og sporbarhet.
KDD vurderer endringsforslaget slik at de foreslåtte endringene vil medføre nasjonale endringer i lov om elektroniske tillitstjenester med tilhørende forskrifter, hvilket nødvendiggjør art. 103-forbehold.
Det er per i dag ikke nasjonale regler for en digital lommebok slik denne er beskrevet i forordningsforslaget. Eventuelle tilpasninger vil avhenge av den endelige forordningen.
Videre nødvendiggjør endringene nasjonale lovendringer i øvrig lovverk som henviser til elektronisk ID, samt for hvitvaskingsregelverket. Den rettskildemessige vekten av attesterte attributter bør enten gjennomføres på tvers av lovverk eller ved at det inntas en generell regel som sidestiller de elektroniske bevisene med sin respektive fysiske motpart. Det er så langt ikke tatt konkret og endelig stilling til hvordan endringene skal implementeres nasjonalt. Det er en del uklarheter i de rettslige virkningene av Kommisjonens forslag som vil bli adressert løpende og som vil bli fulgt opp i forbindelse med det endelige posisjonsnotatet.
Økonomiske og administrative konsekvenser
Endringsforslaget antas å ha betydelige økonomiske og administrative konsekvenser. Norge har ennå ikke foretatt en vurdering av hva endringene rent faktisk vil medføre, og vil komme tilbake til dette etter en eventuell revisjon. Det må også undersøkes nasjonalt i hvilken grad forslaget harmoniserer med internretten og hvilke tekniske løsninger som allerede er på plass. KDD arbeider for tiden med ny nasjonal strategi for eID, og det videre løpet vil avhenge av hvilken form strategien vedtas i. Endringsforslaget fastsetter et gratisprinsipp for brukerne av den digitale lommeboken, hvilket gjør at kostnader til utvikling, produksjon og drift ikke kan bli dekket gjennom betaling ved utstedelse, slik det eksempelvis er for fysiske identifikasjonsmidler som pass/nasjonalt ID-kort i dag.
Konsekvensene av Kommisjonens forslag er på dette tidspunkt ikke klarlagt i høy nok grad til at de økonomiske og administrative konsekvensene kan vurderes på en hensiktsmessig måte. Kostnadene vurderes foreløpig til å kunne bli betydelige. De økonomiske konsekvensene, spesielt knyttet til den digitale lommeboken, må derfor utredes nærmere før Norge kan gi en fullstendig tilslutning til forslaget.
Sakkyndige instansers merknader
Innspill vil innhentes i forbindelse med høringsrunden.
Vurdering
Departementet er i all hovedsak positive til den reviderte eIDAS-forordningen.
Departementet stiller seg positive til forslaget om én europeisk digital identitet (digital lommebok), og ser at dette kan være en hensiktsmessig løsning på utfordringene som ligger til grunn for forslaget. Kommisjonens forslag om den digitale lommeboken er imidlertid ikke konkret og detaljert nok til at de økonomiske og administrativ konsekvensene kan vurderes på en hensiktsmessig måte. Kostnadene ved innlemming av forslaget slik det fremstår vurderes foreløpig til å kunne bli betydelige. Disse må derfor utredes nærmere før Norge kan gi en fullstendig tilslutning til forslaget.
Vi forstår endringsforslagets art. 6a (6) slik at den digitale lommeboken skal være gratis i bruk for fysiske personer. Dette innebærer at verken de private aktørene eller offentlige tjenestetilbyderne kan ilegge noen avgift for bruken. Vi forstår det videre slik at det vil være anledning til å beregne avgift for utstedelsen av den digitale lommeboken både til fysiske og juridiske personer. Utover de rent økonomiske konsekvensene, vil den digitale lommeboken medføre en fundamental endring i hvordan eID utstedes nasjonalt.
Løsningene for tillitstjenester i Norge er i stor grad bygget på tillit til det offentlige, samt tillit mellom offentlige og private virksomheter. Dette må også ivaretas ved endrede sikkerhetskrav til tilbydere av tillitstjenester. Vi har i dag en høy standard på digitale autentiserings- og signeringsløsninger som vi ønsker å ivareta også dersom forordningsforslaget blir vedtatt. Løsningene, infrastrukturen og rammeverket som brukes nasjonalt i dag kan bidra til å sikre velfungerende løsninger også ved vedtakelse av de nye reglene.
Frister
Fristene det er lagt opp til i endringsforslaget synes veldig optimistiske, særlig mtp. at man både skal opprette og gjennomføre den digitale lommeboken nasjonalt. Dette vil være et omfattende arbeid, som i tillegg krever en svært høy grad av tillit for å bli funksjonelt, og for å kunne fungere iht. eIDAS-forordningen.
Forholdet til NIS2-forslaget (KOM (2020)823)
eIDAS-fordringen artikkel 19 omhandler sikkerhetskrav for tilbydere av tillitstjenester. I forslaget til NIS2-direktivet foreslås det at art. 19 i eIDAS-forordningen slettes og erstattes av sikkerhetskrav definert i art. 18 i NIS2. eIDAS-forordningen inneholder sikkerhetskrav som må oppfylles av alle medlemslandene. At eIDAS er vedtatt som en forordning innebærer en harmonisering av sikkerhetsarbeidet på tvers av medlemslandene.
Det nye NIS2- forslaget er på den annen side et direktiv, som innebærer at medlemslandene kan innføre nasjonale tilpasninger, gitt at direktivet angir en minimumsharmonisering. Dette kan medføre ulikheter i hvordan regelverket gjennomføres og utgjør en risiko for hvordan den enkelte medlemsstat gjennomfører regelverket. Ulik gjennomføring av NIS2 kan slikt sett indirekte gi en uoversiktlig gjennomføring av kravene i eIDAS. Dette kan også være konkurransevridende mht. hvor tillitstilbyderne er etablert.
Forholdet til SDG ((EU)2018/1724)
Endringsforordningen bør adressere utfordringene med Single Digital Gateway-forordningen, mht. den europeiske portalen og krav til automatisk utveksling av informasjon. Da SDG og eIDAS på mange måter henger sammen, bør det tilsiktes et bedre samspill mellom forordningene slik at man også kan utvikle teknologiske løsninger som komplementerer hverandre.
Konklusjon
Forslag til forordning anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalens vedlegg XI med forbehold om Stortingets godkjenning.
Innholder informasjon unntatt offentlighet, jf. offl. § 13
Status
Rettsakten er under behandling i Europaparlamentet og -rådet.
Rettsakten er til vurdering i EFTA-landene.