Elektroniske transaksjoner i det indre marked basert på eID og e-signatur: gjennomføringsbestemmelser om sikkerhetsvurderinger av signatur- og seglfremstillingssystemer
Norsk forskrift kunngjort 27.11.2019
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 2.2.2017)
Sammendrag av innhold
Europaparlamentets- og Rådsforordning nr. 910/2014 (EU om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen) har som formål å skape et felles europeisk grunnlag for sikker elektronisk samhandling mellom borgere, virksomheter og offentlige myndigheter, for å kunne oppnå økt effektivitet og økonomisk vekst i unionen.
I eIDAS-forordningen artikkel 30 oppstilles det krav til sertifisering av kvalifiserte elektroniske signaturfremstillingssystemer. Etter artikkel 30 (3) skal sertifiseringen basere seg på refererte standarder fastsatt ved gjennomføringsrettsakt fra Kommisjonen. Av forordningen artikkel 39 (2) følger det at artikkel 30 gjelder tilsvarende for sertifisering av kvalifiserte elektroniske segl.
Nærværende gjennomføringsbeslutning inneholder nærmere fastsettelse av slike standarder. I gjennomføringsbeslutningen artikkel 1 (1) heter det at standarder for sikkerhetsvurdering av informasjonsteknologiprodukter som får anvendelse på sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer i henhold til forordningens artikkel 30 (3) a) eller artikkel 39 (2), såfremt signatur- eller seglfremstillingsdataene oppbevares i et brukerforvaltet miljø, fremgår av gjennomføringsrettsaktens vedlegg. Standardene som er opplistet i vedlegget skal brukes uavhengig av hvilken teknologi som benyttes for signeringen.
I henhold til artikkel 1 (2) i gjennomføringsbeslutningen skal Kommisjonen utarbeide en liste over standarder for sikkerhetsvurdering av IT-produkter som får anvendelse på sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer hvor kvalifiserte tillitstjenestetilbydere forvalter elektroniske signatur- og seglfremstillingsdata på vegne av underskriver eller forseglende part. I påvente av at Kommisjonen utarbeider en slik liste skal sertifiseringen baseres på en prosess som i henhold til eIDAS-forordningen artikkel 30 (3) b) anvender sikkerhetsnivåer som tilsvarer de som fremgår av artikkel 30 (3) a), og som opplyses til Kommisjonen av organet det henvises til i artikkel 30 (1).
Vedlegget inneholder en liste over standardene det refereres til i artikkel 1 (1).
Merknader
Rettslige konsekvenser
Forutsatt at eIDAS-forordningen tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsforordningen være EØS-relevant og kan gjennomføres i forskrift.
Økonomiske og administrative konsekvenser
Oversikten over standarder som gis i denne gjennomføringsbeslutningen er en oppdatering av de standardene som allerede eksisterer på området. Gjennomføringsforordningen om standarder for sikkerhetsvurdering av kvalifiserte signatur- og seglfremstillingssystemer antas således ikke å medføre vesentlige økonomiske eller administrative konsekvenser.
Sakkyndige instansers merknader
Nasjonal kommunikasjonsmyndighet har deltatt i prosessen med å utarbeide gjennomføringsbeslutningen i eIDAS Expert Group, og finner innholdet akseptabelt.
Vurdering
Gjennomføringsbeslutningen angir hvilke standarder som skal benyttes ved en sikkerhetsvurdering av informasjonsteknologiprodukter som skal brukes i sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer i de tilfellene der signaturfremstilingsdata oppbevares i et brukerkontrollert miljø. Disse standardene fremgår av gjennomføringsbeslutningens vedlegg.
Gjennomføringsbeslutningen fastslår også at det for de tilfellene der de kvalifiserte tillitstjenestetilbydere forvalter elektroniske signatur- og seglfremstillingsdata på vegne av den underskrivende eller forseglede part, skal det benyttes sammenlignbare sikkerhetsnivå for sikkerhetsvurderingen av informasjonsteknologiprodukter som brukes i sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer. Dette gjelder inntil Kommisjonen fastsetter standarder for dette formålet.
Ved å fastsette standarder for gjennomføring av sikkerhetsvurdering av informasjonsteknologiprodukter sikres det at de kvalifiserte signatur- og seglfremstillingssystemene er vurdert etter de samme krav, og på den måten skapes det tillit til de ulike produktene som er tilgjengelige i markedet.
Konklusjon
Gjennomføringsbeslutningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalen.
Status
Rettsakten ble publisert i Official Journal 26. april 2016.