eIDAS-forordningen om elektroniske transaksjoner i det indre marked basert på eID og e-signatur
Fortolkningsdom avsagt av EU-domstolen 17.10.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 5.12.2017)
Sammendrag av innhold
Forordningen ble vedtatt 23. juli 2014, basert på et forslag av Europakommisjonen av 4. juni 2012 (COM(2012) 238 final). Formålet med endringene er å legge til rette for økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS og dermed bidra til sterkere økonomisk vekst i det indre marked. I fortalen pkt. 3 vises det til at direktivet om elektronisk signatur (direktiv 1999/93/EF) ikke har ført til et hensiktsmessig verktøy for sikre grensekryssende elektroniske transaksjoner. Forordningen styrker og utvider dettet feltet, og opphever esignaturdirektivet.
Det nye rammeverket skal sikre:
• gjensidig aksept av løsninger for elektronisk identifikasjon (eID). Privatpersoner og bedrifter skal kunne bruke sin eID, utstedt enten av offentlig sektor eller under ansvar av en offentlig myndighet, for å få tilgang til elektroniske tjenester fra offentlig sektor i andre land som tilbyr pålogging med eID. Dette gjelder eID-løsninger som har blitt notifisert til Europakommisjonen og er oppført på en liste publisert i Official Journal of the European Union. Anerkjennelsesplikten begrenses til eID til bruk for tjenester i offentlig sektor, og medlemsstaten må for slik bruk tilby gratis validering av notifiserte eID-er, jf. art. 7 bokstav f, annet ledd.
• gjensidig aksept av elektronisk signatur og andre tillitstjenester. Dagens regler om elektronisk signatur styrkes, og det innføres regler om flere typer elektroniske tillitstjenester (elektroniske segl, elektronisk tidsstempling, elektronisk meldingsutveksling, sertifikater for webside-autentisering og lagringstjenester for esignatur og elektroniske segl. Tilbydere av elektroniske tillitstjenester får flere plikter å forholde seg til, deriblant mer detaljerte krav til identitetskontroll, sikkerhetskrav til virksomheten og opplysningsplikter overfor tilsynsmyndigheten. Videre stilles det krav om at utstedere av kvalifiserte tillitstjenester skal revideres av et godkjent revisjonsfirma ("conformity assessment body") hvert andre år. Også tilbydere av ikke-kvalifiserte tjenester omfattes av deler av regelverket, og videre får tilsynsorganene nye og mer omfattende håndhevingsoppgaver. I artikkel 27 er det en egen bestemmelse som skal legge til rette for gjensidig aksept av bruk av avansert elektronisk signatur til bruk for tjenester i offentlig sektor. Europakommisjonen pålegges her innen 18. september 2015 å fastsette gjennomføringsrettsakter som definerer referanseformater m.m. for avansert elektronisk signatur.
• Det fremgår av fortalen avsnitt 17 at notifiserende medlemsstater oppfordres til å muliggjøre bruk av notifiserte eID-er også i privat sektor utenfor medlemsstaten. Det kan settes vilkår for bruk i privat sektor, jf. artikkel 7 bokstav f annet ledd. Slik bruk bør skje på de samme betingelser som medlemsstaten tilbyr validering for nasjonale private aktører, jf. fortalen avsnitt 17 tredje punktum.
Forordningen innebærer ikke en plikt for landene til å etablere en nasjonal elektronisk ID-løsning, men at eksisterende eID-løsninger skal aksepteres på tvers av landegrensene i Europa dersom de er notifisert. Forordningen endrer heller ikke offentlig tjenesteeiers rett til å velge sikkerhetsnivå, men for offentlige tjenesteeiere vil det bli en plikt til å likebehandle notifiserte utenlandske eID-er med de nasjonale. En eID-løsning som notifiseres iht. ordningen, må oppfylle krav til et bestemt sikkerhetsnivå - "low", "substantial" og "high". Nærmere krav til disse sikkerhetsnivåene skal fastsettes i gjennomføringsrettsakter innen 18. september 2015, jf. art. 8.
Arbeidet med gjennomføringsrettsakter pågår, og forslag utarbeides i en ekspertgruppe som er opprettet av Europakommisjonen ("eIDAS Expert Group") hvor Norge deltar. Per dags dato er åtte gjennomføringsrettsakter vedtatt. Disse gjelder samarbeidet mellom medlemslandene iht. art. 12 nr. 7 (vedtatt 24.2.15), spesifikasjoner for et EU-tillitsmerke iht. art. 23. nr. 3 (vedtatt 22. mai 2015), spesifikasjoner for formater for avanserte elektroniske signaturer og avaserte segl iht. art. 27 (5) og 37 (5) (vedtatt 8. september 2015), tekniske spesifikasjoner og formater vedrørende tillitslisten iht. art. 22 (5) (vedtatt 8. september 2015), tekniske spesifikasjoner og prosedyrer for sikringsnivåene for elektronisk identifikasjon iht. art.8 (3) (vedtatt 8. september 2015), rammeverk iht. art. 12 (8) (vedtatt 8. september 2015), definisjoner av omstendigheter, formater og prosedyrer for notifisering iht. art. 9 (5) (vedtatt 3. november 2015) og valg av standarder for sikkerhetsvurdering for kvalifiserte signaturer og segl iht. art. 30 (3) og 39 (2).
Artikkel 12 i forordningen peker på behovet for samarbeid mellom medlemslandene for å sikre interoperabilitet og nødvendig kvalitet for at tillit og sikkerhet økes. For å sikre at punktene i artikkel 12 i forordningen følges opp, er det i gjennomføringsrettsakten vedtatt bestemmelser om "Cooperation Network", der både EU-landene og EØS-landene skal være medlemmer. Dette organet skal ha en del definerte oppgaver, blant annet å kunne påvirke hvorvidt et medlemslands notifiserte løsning oppfyller et sett med krav/forventninger eller ikke.
Merknader
Forordningen omfatter et nytt område i EU-rettslig sammenheng – eID til bruk mot tjenester fra offentlig sektor. Forordningen er ment som et understøttende juridisk instrument for å etablere fungerende infrastrukturer for elektronisk kommunikasjon i EU/EØS-området, et arbeid som finansieres og gjennomføres i programmet Connecting Europe Facility (CEF) Digital, der Norge deltar. eIDAS Expert Group, jf. omtalen nedenfor, er også en arbeidsgruppe for styring av området eID, elektronisk signatur og eDelivery i CEF Digital.
Rettsakten grupperes under Gruppe 1 (krever lovendringer).
I Norge er esignaturdirektivet gjennomført i lov 15. juni 2001 nr. 81 om elektronisk signatur, med Nasjonal kommunikasjonsmyndighet (tidl. Post- og teletilsynet) som tilsynsmyndighet. Loven vil måtte revideres eller oppheves dersom forordningen skal implementeres i norsk rett. Når det gjelder regulering av eID til bruk mot tjenester i offentlig sektor i Norge, åpner forskrift om frivillige selvdeklarasjonsordninger for at sertifikatutstedere kan selvdeklarere seg i forhold til de sertifikatklasser som er definert i Kravspesifikasjon for PKI i offentlig sektor. Kravspesifikasjonen definerer tre forskjellige sertifikatklasser som har ulike sikkerhetsnivåer - "Person Høyt", "Person Standard" og "Virksomhet", der blant annet kravene om utstedelse av de enkelte sertifikatene er forskjellige. De forskjellige sikkerhetsnivåene er basert på risikovurderinger knyttet til hvilke typer tjenester som slike sertifikater vil kunne brukes mot, i henhold til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Både Kravspesifikasjonen og Rammeverket vil trolig måtte revideres som følge av implementering av forordningen og gjennomføringsrettsaktene.
Enhetsregisteret utsteder unike identifikatorer, dvs. organisasjonsnummer, til norske enheter og i noen tilfeller også til utenlandske enheter. Enhetsregisterloven stiller krav om hvordan nødvendige opplysninger skal dokumenteres. Hvorvidt en utenlandsk elektronisk ID oppfyller dokumentasjonskravene må vurderes i forhold til dette. Tilsvarende utstedes unike identifikatorer, D-nummer, til utenlandske personer i henhold til D-nummer-forskriftens krav til dokumentasjon.
Forordningen gjelder direkte i alle EUs medlemsstater. Såfremt forordningen innlemmes i EØS-avtalen, må den gjennomføres i norsk rett «som sådan», jf. EØS-avtalen artikkel 7 bokstav a.
Materielle og tekniske tilpasninger må vurderes nærmere for art. 9 (notifisering til Kommisjonen) og 14 (avtaler med tredjeland). Konkret gjelder dette ESAs rolle hvor Kommisjonen etter forordningen art. 9 er mottaker av notifikasjoner. Dette er oppgaver som er dekket av EØS-avtalen Protokoll 1 § 4, jf. § 6 (b) om publisering av informasjon i EØS-delen av Official Journal. EFTA-siden har foreslått en tilpasningstekst som skal sikre at avtaler inngått mellom EØS EFTA-land og tredjeland skal gi markedsadgang i hele EØS, og dermed likestilles med avtaler inngått av EU. Det er blant annet foreslått en tilpasning i artikkel 14 (1) som skal sikre at EØS EFTA-landene holdes informert og får mulighet til å uttale seg når EU skal fremforhandle avtaler. Videre er det foreslått at EU skal etterstrebe likebehandle de kvalifiserte tjenestetilbyderne i EFTA-statene med EU.
Rettsakten vil få administrative og økonomiske konsekvenser for Difi, dersom ID-porten benyttes som valideringsenhet. Det må tilrettelegges både for innlogging med utenlandsk eID og for at notifiserte norske eIDer kan benyttes i nett-tjenester i utlandet/EØS. Offentlige myndigheter som krever bruk av elektroniske signaturer eller segl vil ihht. forordningen (art. 27 og 37) måtte anerkjenne tilsvarende signaturer/segl fra utlandet i nærmere bestemte formater. Kostnaden vil måtte bæres av de respektive myndigheter, evt. Difi, dersom det etableres en fellesløsning for dette. Enklere gjenbruk av eIDer forventes imidlertid å føre til økt anvendelse av digitale selvbetjeningsløsninger både nasjonalt og på tvers i EU/EØS og følgelig medføre vesentlige samfunnsøkonomiske gevinster og kostnadsbesparelser.
Et mer omfattende tilsynsregime og en rapporteringsplikt for tilsynsmyndigheten til Kommisjonen og ENISA (European Union Agency for Network and Information Security) vil videre få økonomiske og administrative konsekvenser for Nasjonal kommunikasjonsmyndighet (Nkom), dersom Nkom oppnevnes som tilsynsmyndighet. Ettersom tilsynets virksomhet er gebyrfinansiert, legges det opp til at tilsynets økte kostnader finansieres ved høyere gebyrer. Dette vil få økonomiske konsekvenser for sertifikatutstedere. Sertifikatustederne vil også få økte administrative og økonomiske kostnader som følge av de strengere kravene til virksomhetene og kravet om hyppigere revisjoner. I siste instans vil sluttbrukerne måtte betale mer for sertifikattjenestene.
Offentlige myndigheter som tilbyr elektroniske tjenester må i større grad kunne tilby slike tjenester til brukere som har utenlandske eID. Elektroniske tjenester og fagsystemer er avhengig av at utenlandske brukere kan identifiseres gjennom fødselsnummer/d-nummer eller organisasjonsnummer. Rettsakten kommer derfor til å ha administrative og økonomiske konsekvenser for Folkeregisteret og Enhetsregisteret ved Brønnøysundregistrene, dersom det blir nødvendig med utstedelse av egne identifikasjonsnumre til slike brukere. Videre kan reglene om sikker meldingsutveksling tenkes å få betydning for Altinn og digital postkasse avhengig av det nærmere innholdet i Europakommisjonens gjennomføringsrettsakter, når disse er på plass.
Sakkyndige instansers merknader
Nærings- og handelsdepartementet (nå Nærings- og fiskeridepartementet) sendte forslaget på høring høsten 2012. Høringsinstansene var i utgangspunktet positive til forslaget, men påpekte at flere avklaringer av stor betydning gjenstod, for eksempel manglende angivelse av sikkerhetsnivå for eID-tjenestene, harmoniserte krav til utstedelsesprosedyrer for eID og at årlig revisjon av sertifikatutstedere er for ofte. I høringsrunden kom det også innspill om at forslaget kan få konsekvenser for reglene om ID-kontroll i hvitvaskingsforskriften, forskrift om frivillig selvdeklarasjonsordninger for sertifikatutstedere og Kravspesifikasjon for PKI i offentlig sektor. Et annet innspill fra flere høringsinstanser var at det gjøres for mye bruk av delegerte rettsakter og gjennomføringsrettsakter. Europakommisjonens forslag ble endret og utdypet ifm behandlingen i Rådet og Europaparlamentet, og blant annet ble det tatt inn nærmere krav til sikkerhetsnivå for eID.
En felles EFTA-kommentar ble oversendt EUs institusjoner 19. mars 2013, hvor flere av innspillene fra høringsrunden ble tatt med. En referansegruppe (NFD, KMD, JD, Difi, Politidirektoratet, Nasjonal kommunikasjonsmyndighet (Nkom) og Brønnøysundregistrene) har fulgt arbeidet med utviklingen av rettsakten. I forbindelse med Kommisjonens arbeid med gjennomføringsrettsakter har også Skattedirektoratet og Nasjonal Sikkerhetsmyndighet deltatt. NFD har løpende orientert bransjen om rettsakten, blant annet på møter i Nkoms "Aktørforum esignatur" og konferert med enkeltaktører, bl.a. BankID, Finans Norge, Commfides og Buypass, underveis.
Vurdering
Kravene til sikkerhetsnivå for eID er noe utdypet i artikkel 8, sammenliknet med det som fremgikk av Kommisjonens forslag. Forordningen definerer som nevnt tre sikkerhetsnivåer, og den pålegger medlemsstatene å anerkjenne notifiserte (utenlandske) eID-er til offentlige nett-tjenester på de to høyeste nivåene. Det er fortsatt opp til medlemsstatene å avgjøre hvilket sikkerhetsnivå som skal kreves for tilgang til tjenesten, men forordningen forutsetter at egne eID-løsninger og notifiserte utenlandske eID-er likebehandles. Det vil således både være mulig å kreve sikrere eID-er eller svakere. Anerkjennelsesplikten etter forordningen vil ikke gjelde dersom tjenesten bare er tilgjengelig for brukere av (ikke-notifiserte) eID-er på andre nivåer enn de to høyeste EU-definerte nivåer. Hvordan sikkerhetskravene utformes, vil ha stor betydning for i hvilken grad forordningen vil nå sitt formål. Ved for lave sikkerhetsnivåer legges, vil det være relativt få tjenester hvor en notifisert eID kan benyttes. Ved for høye krav vil det være få eID-løsninger som kan notifiseres. I begge tilfeller vil forordningens formål i liten grad nås. Videre vil etablering av sikkerhetsnivåer som ikke skiller mellom eID-løsninger som nasjonalt anses å være på ulike nivåer, kunne føre til at medlemsstater unnlater å notifisere sine eID-løsninger, og slik unngår anerkjennelsesplikten etter forordningen. Sikringsnivåene ble fastsatt i Kommisjonens gjennomføringsforordning (EU) 2015/1502 av 8. september 2015 om fastsetting av tekniske minimumsspesifikasjoner og prosedyrer for fastsettelse av sikringsnivåer for elektroniske identifikasjonsløsninger i henhold til artikkel 8 (3).
ID-porten er i dag bare tilgjengelig for bruk til offentlige tjenester. En eventuell utvidelse til privat bruk vil kunne by på konkurranse- og statsstøtterettslige utfordringer, og vil forutsette en ny anskaffelsesprosess. For tiden er det således ikke aktuelt at en norsk notifisering av eID-løsninger vil omfatte privat sektor, men dette spørsmålet må vurderes konkret ifm. en ev. notifiseringsprosess.
Dersom rettsakten tas inn i EØS-avtalen, bør det arbeides for at alle organer som etableres som følge av denne inkluderer EØS-land med stemmerett på linje med medlemsland i EU.
Utvidete og mer ensartede regler for elektroniske tillitstjenester kan styrke handelen på tvers av landegrensene og bidra positivt til konkurranse mellom tilbydere av slike tillitstjenester. Forordningen kan også bidra til å oppnå interoperabilitet og bruk av entydige standarder. Videre vil anerkjennelse av løsninger for eID kunne gi mer effektive offentlige tjenester og redusere administrative kostnader. Effektivitetshensyn kan her tale for at tjenesteeiernes integrasjon mot notifiserte eID-er skjer via ID-porten, som drives av Difi.
Særskilt om EØS-relevans: Esignaturdirektivet er innlemmet i EØS-avtalen og gjennomført i norsk rett. Forordningen utvider området for reguleringen av elektroniske tillitstjenester sammenliknet med hva direktivet omfattet. Harmonisering av krav til flere typer tillitstjenester kan gjøre det enklere å tilby slike tjenester på tvers av landegrensene. Videre kan strengere krav øke tilliten blant brukerne. Forordningen legger også til rette for at eID-løsninger som oppfyller visse betingelser, skal kunne benyttes på tvers av landegrensene. Som det fremgår av forordningens fortale pkt. 12 er målet med dette "at sørge for, at der findes sikker elektronisk identifikation og autentifikation, der gør det muligt at få adgang til grænseoverskridende onlinetjenester, som medlemsstaterne udbyder. Reglene i forordningen kan derfor bidra til flere elektroniske transaksjoner på tvers av landegrensene, slik at det indre marked kan fungere bedre.
På denne bakgrunn anses forordningen både EØS-relevant og akseptabel.
Konklusjon:
Forordningen anses EØS-relevant og akseptabel og anbefales tatt inn i EØS-avtalen.
Status
Forordningen ble vedtatt 23. juli 2014. Forordningen skal gjennomføres innen 1. juli 2016, jf. artikkel 52. Dette gjelder imidlertid ikke reglene om gjensidig anerkjennelse av eID. Her kan landene velge å delta når gjennomføringsrettsaktene er på plass i september 2015, mens en obligatorisk ordning skal gjennomføres tre år etter at gjennomføringsrettsaktene er på plass, det vil si høsten 2018.
Europakommisjonens arbeid med gjennomføringsrettsakter startet opp våren 2014 og arbeidet i eIDAS Expert Group pågår.
Nærings- og fiskeridepartementet følger opp det videre arbeidet i samarbeid med Kommunal- og moderniseringsdepartementet og Justis- og politidepartementet.