Elektroniske transaksjoner i det indre marked basert på eID og e-signatur: gjennomføringsbestemmelser om tillitslister
Norsk forskrift kunngjort 27.11.2019
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 16.10.2015)
Sammendrag av innhold
Europaparlamentets- og Rådsforordning nr. 910/2014 (EU om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen) har som formål å skape et felles europeisk grunnlag for sikker elektronisk samhandling mellom borgere, virksomheter og offentlige myndigheter, for å kunne oppnå økt effektivitet og økonomisk vekst i unionen. Etter forordningens artikkel 22 skal alle medlemsstater lage, vedlikeholde og publisere en tillitsliste med informasjon om tilbydere av kvalifiserte tillitstjenester og deres kvalifiserte tillitstjenester. Etter artikkel 22 (5) skal Kommisjonen ved hjelp av gjennomføringsrettsakt presisere informasjonen knyttet til medlemslandenes forpliktelse om å lage, vedlikeholde og publisere tillitslisten, og fastsette tekniske spesifikasjoner og formater for tillitslisten for å kunne oppfylle forpliktelsene i bestemmelsen. Formålet med tillitslisten er å etablere tillit mellom brukere av tillitstjenestene ved at listen angir status for tillitstjenesten på tilsynstidspunktet.
Gjennomføringsbeslutningens artikkel 1 stiller krav om at tillitslisten skal gi informasjon om kvalifiserte tillitstjenestetilbydere og de kvalifiserte tillitstjenestene som de tilbyr, og oppfylle de tekniske spesifikasjonene som fremkommer i gjennomføringsbeslutningens vedlegg I. Artikkel 2 i gjennomføringsbeslutningen gir medlemsstatene adgang til også å inkludere tilbydere av ikke-kvalifiserte tillitstjenester med informasjon om de ikke-kvalifiserte tillitstjenestene som de tilbyr. Dersom de ikke-kvalfiserte tillitstjenestetilbyderne inkluderes i listen må dette tydelig markeres. Tillitslisten skal kunne leses ved automatisert prosess, og artikkel 3 fastsetter derfor regler for signering av listen, ved oppfyllelse av vedlegg I. Artikkel 3 gir også anledning for medlemslandene å publisere en ikke-maskinlesbar versjon av listen, hvor innholdet i listen må være identisk med den maskinlesbare versjonen, og oppfylle de tekniske spesifikasjonene i vedlegg I. Etter artikkel 4 skal medlemslandene notifisere myndighetsorgan som er ansvarlig for tillitslisten til Kommisjonen. Denne notifiseringen skal oppfylle kravene i gjennomføringsbeslutningens vedlegg II. Det stilles også krav til sertifikatene brukt til å signere listen, som for eksempel at det skal være to eller flere sertifikater med minst tre måneders differanse i gyldighetsperioden.
Kommisjonen skal offentliggjøre medlemslandenes notifikasjon gjennom sikker kanal tilpasset automatisert prosess. Kommisjonen kan også gjøre denne informasjonen tilgjengelig i en ikke-maskinlesbar versjon.
Vedleggene I og II gir detaljerte tekniske spesifikasjoner for utarbeidelsen av tillitslisten.
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS-forordningen tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsbeslutningen være EØS-relevant og kan gjennomføres i forskrift.
Økonomiske og administrative konsekvenser
Gjennomføringen av Kommisjonsbeslutning 2009/767/EC av 16.oktober 2009 som fastsetter tiltak for å gjøre elektroniske prosedyrer enklere gjennom kontaktpunkter under direktiv 2006/123/EF av Europaparlamentet og Rådet om tjenester i det indre marked... påla EØS-statene å etablere, vedlikeholde og offentliggjøre en liste med informasjon om sertifikatutstedere underlagt tilsyn. Ansvaret for å utarbeide, vedlikeholde og offentliggjøre listen ble lagt til Nasjonal kommunikasjonsmyndighet (tidligere Post- og teletilsynet) som også er utpekt som tilsynsorgan etter esignaturloven.
I EØS-gjennomføringsnotat for gjennomføringen av Kommisjonsbeslutning 2009/767/EC fremkommer det at "etablering av listen vil medføre begrensede kostnader for Post- og teletilsynet. Det forventes for øvrig ubetydelige økonomiske og administrative konsekvenser knyttet til vedlikehold og offentliggjøring av listen". Dette vil også gjelde for en gjennomføring av någjeldende gjennomføringsbeslutning.
Sakkyndige instansers merknader
Nasjonal kommunikasjonsmyndighet har deltatt i prosessen med å utarbeide gjennomføringsbeslutningen i eIDAS Expert Group, og finner innholdet akseptabelt.
Gjennomføringsbeslutningen har vært behandlet i SU-kommunikasjoner den 12.oktober 2015, hvor EØS-notatet ble godkjent.
Vurdering
Gjennomføringsbeslutningen angir nærmere bestemmelser om hva tillitslisten skal inneholde av informasjon og hva tillitslisten kan inneholde av informasjon. Vedlegg I angir detaljert beskrivelse av hva tillitslisten skal inneholde av informasjon og på hvilken måte denne informasjonen skal presenteres i tillitslisten. Dette er for at tillitslisten skal kunne leses maskinelt, slik det også stilles krav om i gjennomføringsbeslutningen.
De tekniske spesifikasjoner som gjennomføringsbeslutningen med vedlegg angir skal bidra til at alle tillitslistene skal inneholde den samme informasjonen og at tillitslistene skal kunne leses på sammen måte, og dermed bidra til å skape tillit til tillitstjenestene slik at disse tas i bruk.
NFD har tatt opp spørsmålet om ESAs rolle i henhold til art 4. EFTA-sekretariatet skal sjekke nærmere om det er behov for tilpasningstekst til denne bestemmelsen.
Konklusjon
Gjennomføringsbeslutningen anses EØS-relevant og akseptabel og anbefales tatt inn i EØS-avtalen.
Status
Gjennomføringsbeslutningen ble publisert i Official Journal 9. september 2015.