Elektroniske transaksjoner i det indre marked basert på eID og e-signatur: gjennomføringsbestemmelser om tillitsnivåer
Kommisjonens gjennomføringsforordning (EU) 2015/1502 av 8. september 2015 om fastsettelse av tekniske minstespesifikasjoner og minstekrav til framgangsmåter for sikkerhetsnivåene for elektroniske identifikasjonsmidler i henhold til artikkel 8 nr. 3 i europaparlaments- og rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked
Commission Implementing Decision (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8 (3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market
Norsk forskrift kunngjort 27.11.2019
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 18.11.2016)
Sammendrag av innhold
Etter Europaparlaments- og rådsforordning nr. 910/2014 (EU) om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen), skal det for eID-løsninger som er notifisert etter forordningens artikkel 9 (1) angis hvilket av sikringsnivåene/tillitsnivåene 'lav', 'betydelig' eller 'høy' eIDene under ordningen tilfredsstiller. Hovedformålet med gjensidig anerkjennelse av eID på tvers av medlemslandene er å gjøre det mulig for innbyggerne i EU/EØS å kunne bruke sine nasjonale eID-er på tvers. Siden medlemslandene har forskjellige eID-løsninger, er det nødvendig med en mekanisme for å gjøre dem sammenlignbare og interoperable. Gjennomføringsforordningen om sikringsnivåer inneholder detaljerte kriterier til de tre tillits-/sikringsnivåene 'lav', 'betydelig' og 'høyt', som gjør det mulig for medlemslandene å 'mappe' deres egne eID-løsninger mot teknologinøytrale nivåbeskrivelser som ikke er låst til bestemte tekniske standarder eller løsninger.
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS-forordningen tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsforordningen være EØS-relevant og kan gjennomføres i forskrift.
Økonomiske og administrative konsekvenser
Det vil være behov for å se nærmere på den norske gjeldende regulering av sikkerhetsnivåer/tillitsnivåer, dvs. selvdeklarasjonsordningen (Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon samt kravspesifikasjon for PKI i offentlig sektor). Dette vil kreve noe ressurser. Forholdet mellom norske tillit-/sikringsnivåer og eIDAS-nivående bør også avklares/forklares for å lette både eID-leverandørenes og forvaltningens arbeid med eID-nivåene.
Sakkyndige instansers merknader
Direktoratet for forvaltning og IKT har deltatt i prosessen med å utarbeide gjennomføringsforordningen i eIDAS Expert Group og finner innholdet akseptabelt.
Vurdering
Gjennomføringsforordningen beskriver minimumskrav til tillits-/sikringsnivåene og nærmere kriterier for oppfyllelse av minimumskravene. Dette sikrer at ulike løsninger kan oppfylle fastsatte nivåer. Gjennomføringsforordningen utfylles av gjennomføringsrettsakten om samarbeid og peer review (Gjennomføringsbeslutning 2015/296).
Status
Gjennomføringsforordningen er publisert i Official Journal 9. september 2015.
Sammendrag av innhold
Etter Europaparlaments- og rådsforordning nr. 910/2014 (EU) om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen), skal det for eID-løsninger som er notifisert etter forordningens artikkel 9 (1) angis hvilket av sikringsnivåene/tillitsnivåene 'lav', 'betydelig' eller 'høy' eIDene under ordningen tilfredsstiller. Hovedformålet med gjensidig anerkjennelse av eID på tvers av medlemslandene er å gjøre det mulig for innbyggerne i EU/EØS å kunne bruke sine nasjonale eID-er på tvers. Siden medlemslandene har forskjellige eID-løsninger, er det nødvendig med en mekanisme for å gjøre dem sammenlignbare og interoperable. Gjennomføringsforordningen om sikringsnivåer inneholder detaljerte kriterier til de tre tillits-/sikringsnivåene 'lav', 'betydelig' og 'høyt', som gjør det mulig for medlemslandene å 'mappe' deres egne eID-løsninger mot teknologinøytrale nivåbeskrivelser som ikke er låst til bestemte tekniske standarder eller løsninger.
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS-forordningen tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsforordningen være EØS-relevant og kan gjennomføres i forskrift.
Økonomiske og administrative konsekvenser
Det vil være behov for å se nærmere på den norske gjeldende regulering av sikkerhetsnivåer/tillitsnivåer, dvs. selvdeklarasjonsordningen (Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon samt kravspesifikasjon for PKI i offentlig sektor). Dette vil kreve noe ressurser. Forholdet mellom norske tillit-/sikringsnivåer og eIDAS-nivående bør også avklares/forklares for å lette både eID-leverandørenes og forvaltningens arbeid med eID-nivåene.
Sakkyndige instansers merknader
Direktoratet for forvaltning og IKT har deltatt i prosessen med å utarbeide gjennomføringsforordningen i eIDAS Expert Group og finner innholdet akseptabelt.
Vurdering
Gjennomføringsforordningen beskriver minimumskrav til tillits-/sikringsnivåene og nærmere kriterier for oppfyllelse av minimumskravene. Dette sikrer at ulike løsninger kan oppfylle fastsatte nivåer. Gjennomføringsforordningen utfylles av gjennomføringsrettsakten om samarbeid og peer review (Gjennomføringsbeslutning 2015/296).
Status
Gjennomføringsforordningen er publisert i Official Journal 9. september 2015.