Elektroniske transaksjoner i det indre marked basert på eID og e-signatur: gjennomføringsbestemmelser om sikkerhetsvurderinger av signatur- og seglfremstillingssystemer

Tittel

Kommisjonens gjennomføringsbeslutning (EU) 2016/650 av 25. april 2016 om fastsetting av standarder for sikkerhetsvurderinger av kvalifiserte signatur- og seglfremstillingssystemer, jf. art. 30 stk. 3 og art. 39 stk. 3 i europaparlaments- og rådsforordning (EU) nr. 910/2014 av 23. juli 2014 om elektronisk identifikasjon og tillitstjenester til bruk for elektroniske transaksjoner på det indre marked

Commission Implementing Decision (EU) 2016/650 of 25 April 2016 laying down standards for the security assessment of qualified signature and seal creation devices pursuant to Articles 30(3) and 39(2) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market

Siste nytt

EØS-komitebeslutning 14.6.2019 om innlemmelse i EØS-avtalen

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 2.2.2017)

Sammendrag av innhold
Europaparlamentets- og Rådsforordning nr. 910/2014 (EU om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen) har som formål å skape et felles europeisk grunnlag for sikker elektronisk samhandling mellom borgere, virksomheter og offentlige myndigheter, for å kunne oppnå økt effektivitet og økonomisk vekst i unionen.

I eIDAS-forordningen artikkel 30 oppstilles det krav til sertifisering av kvalifiserte elektroniske signaturfremstillingssystemer. Etter artikkel 30 (3) skal sertifiseringen basere seg på refererte standarder fastsatt ved gjennomføringsrettsakt fra Kommisjonen. Av forordningen artikkel 39 (2) følger det at artikkel 30 gjelder tilsvarende for sertifisering av kvalifiserte elektroniske segl.

Nærværende gjennomføringsbeslutning inneholder nærmere fastsettelse av slike standarder. I gjennomføringsbeslutningen artikkel 1 (1) heter det at standarder for sikkerhetsvurdering av informasjonsteknologiprodukter som får anvendelse på sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer i henhold til forordningens artikkel 30 (3) a) eller artikkel 39 (2), såfremt signatur- eller seglfremstillingsdataene oppbevares i et brukerforvaltet miljø, fremgår av gjennomføringsrettsaktens vedlegg. Standardene som er opplistet i vedlegget skal brukes uavhengig av hvilken teknologi som benyttes for signeringen.

I henhold til artikkel 1 (2) i gjennomføringsbeslutningen skal Kommisjonen utarbeide en liste over standarder for sikkerhetsvurdering av IT-produkter som får anvendelse på sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer hvor kvalifiserte tillitstjenestetilbydere forvalter elektroniske signatur- og seglfremstillingsdata på vegne av underskriver eller forseglende part. I påvente av at Kommisjonen utarbeider en slik liste skal sertifiseringen baseres på en prosess som i henhold til eIDAS-forordningen artikkel 30 (3) b) anvender sikkerhetsnivåer som tilsvarer de som fremgår av artikkel 30 (3) a), og som opplyses til Kommisjonen av organet det henvises til i artikkel 30 (1).

Vedlegget inneholder en liste over standardene det refereres til i artikkel 1 (1).

Merknader

Rettslige konsekvenser
Forutsatt at eIDAS-forordningen tas inn i EØS-avtalen og gjennomføres i norsk rett, vil gjennomføringsforordningen være EØS-relevant og kan gjennomføres i forskrift.

Økonomiske og administrative konsekvenser
Oversikten over standarder som gis i denne gjennomføringsbeslutningen er en oppdatering av de standardene som allerede eksisterer på området. Gjennomføringsforordningen om standarder for sikkerhetsvurdering av kvalifiserte signatur- og seglfremstillingssystemer antas således ikke å medføre vesentlige økonomiske eller administrative konsekvenser.

Sakkyndige instansers merknader
Nasjonal kommunikasjonsmyndighet har deltatt i prosessen med å utarbeide gjennomføringsbeslutningen i eIDAS Expert Group, og finner innholdet akseptabelt.

Vurdering
Gjennomføringsbeslutningen angir hvilke standarder som skal benyttes ved en sikkerhetsvurdering av informasjonsteknologiprodukter som skal brukes i sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer i de tilfellene der signaturfremstilingsdata oppbevares i et brukerkontrollert miljø. Disse standardene fremgår av gjennomføringsbeslutningens vedlegg.

Gjennomføringsbeslutningen fastslår også at det for de tilfellene der de kvalifiserte tillitstjenestetilbydere forvalter elektroniske signatur- og seglfremstillingsdata på vegne av den underskrivende eller forseglede part, skal det benyttes sammenlignbare sikkerhetsnivå for sikkerhetsvurderingen av informasjonsteknologiprodukter som brukes i sertifiseringen av kvalifiserte elektroniske signatur- og seglfremstillingssystemer. Dette gjelder inntil Kommisjonen fastsetter standarder for dette formålet.

Ved å fastsette standarder for gjennomføring av sikkerhetsvurdering av informasjonsteknologiprodukter sikres det at de kvalifiserte signatur- og seglfremstillingssystemene er vurdert etter de samme krav, og på den måten skapes det tillit til de ulike produktene som er tilgjengelige i markedet.

Konklusjon
Gjennomføringsbeslutningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalen.

Status
Rettsakten ble publisert i Official Journal 26. april 2016.

Nøkkelinformasjon

EU



eu-flagg
EU-vedtak (CELEX-nr): viser også om rettsakten er i kraft
Dato
25.04.2016
Anvendelsesdato i EU
16.05.2016

EØS



EFTA/EØS-flagg
EØS-prosessen
Saksområde
Utkast til EØS-komitevedtak oversendt EU
31.05.2017
EØS- komitebeslutning
EØS-beslutningens ikrafttredelse
15.06.2019
Frist for implementering (anvendelse) i EØS
15.06.2019

Norge



norge-flagg
Ansvarlig departement
Nærings- og fiskeridepartementet
Informasjon fra departementet
Høring
Høring publisert
27.11.2018
Høringsfrist
06.02.2018