Elektronisk signatur er den generelle betegnelsen på teknikker
som kan benyttes til å "signere" digital informasjon, og
kan bl.a. benyttes til å koble innholdet til en person/avsender.
Denne proposisjonen inneholder et forslag om å ta inn en
forskriftshjemmel i lov 15. juni 2001 nr. 81 om
elektronisk signatur slik at det vil være mulig å etablere
frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger
for tilbydere av elektroniske signaturer. Slike tilbydere kalles
i lov om elektronisk signatur for sertifikatutstedere.
Det er relativt komplisert for brukere å avgjøre hvorvidt
en elektronisk signatur og dens tilbyder oppfyller relevante krav
i regelverket for de ulike bruksområder. Departementet ønsker å gjøre
dette enklere ved å åpne for at det i forskrift
skal kunne etableres frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger.
Ved å forholde seg til at sertifikatutstederen for eksempel
er sertifisert, vil en mottaker kunne være sikker på at
avsenderens elektroniske signatur er til å stole på.
Frivillige sertifiserings-, godkjennings- og selvdeklarasjonsordninger vil
på denne måten kunne bidra til å øke
tilliten til og derved øke bruken av elektroniske signaturer.
Samtidig vil slike ordninger kunne koordinere krav til elektronisk
signatur.
Nærings- og handelsdepartementet tar sikte på at det
ved sertifiserings-, godkjennings- eller selvdeklarasjonsordningene
skal kunne stilles tilleggskrav til de krav som allerede gjelder
for kvalifiserte sertifikater etter lov om elektronisk signatur,
samt utstedere av slike. Ordningene vil også kunne stille
krav til sertifikater og sertifikatutstedere på andre sikkerhetsnivåer.
I proposisjonen pkt. 3.3.3 blir det redegjort nærmere
for de forskjellige ordningene. Begrepene er også definert
i forslag til § 3 ny nr. 11 til nr. 13.
Omfanget og den nærmere utformingen av de forskjellige
sertifiseringsordningene mv. reguleres i forskrift og vil avhenge
av hvilket nivå av sikkerhet som er ønskelig for
det enkelte området. I første omgang tar departementet
sikte på at forskriftshjemmelen kan benyttes til å etablere
en ordning for sertifisering av sertifikatutsteder i henhold til
enkelte av kravene i "Kravspesifikasjon for PKI i offentlig sektor", som
nylig er publisert av Moderniseringsdepartementet. Videre vil ordningen
benyttes til sertifisering av løsninger som skal benyttes
som gyldig legitimasjon etter hvitvaskingsregelverket. Sistnevnte
vil legge til rette for en sidestilling av fysisk (dvs. tradisjonell)
og elektronisk legitimasjon.
Departementet ønsker også å utforme
forskriftshjemmelen slik at den gir hjemmel til å etablere
frivillige sertifiseringsordninger mv. for e-signaturløsninger
innenfor andre regelområder og med andre formål.
Nærmere bestemmelser om bl.a. utpeking av sertifiseringsorgan,
klageadgang og gebyr reguleres i forskrift.
Det foreslås også mindre endringer i hvitvaskingsloven.
Hvitvaskingsloven bruker begrepet "skriftlig legitimasjon" om det
man oppfatter som tradisjonelle legitimasjonsdokumenter, jf. § 5
første ledd tredje punktum. I denne proposisjonen foreslås det
at begrepet "skriftlig legitimasjon" endres til "fysisk legitimasjon".
Sistnevnte blir også brukt i det følgende.
Videre foreslås det en mindre justering i ehandelsloven.
Våren 2003 vedtok Stortinget ny lov av 20. juni 2003
nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare
handlinger mv. (hvitvaskingsloven). Ifølge hvitvaskingsforskriften
er gyldig legitimasjon en "skriftlig" (fysisk) legitimasjon utstedt
av offentlig myndighet eller annet organ som har betryggende kontrollrutiner.
Hvitvaskingsloven inneholder imidlertid en forskriftshjemmel som åpner
for bruk av elektroniske signaturer som gyldig legitimasjon, noe som
vil muliggjøre at slike tjenester i sin helhet kan utføres
elektronisk. Denne hjemmelen er ikke tatt i bruk.
Ved behandlingen av hvitvaskingsloven vedtok Stortinget i juni
2003 at Regjeringen på egnet måte skulle fremme
nødvendige forslag for å sidestille "skriftlig"
(fysisk) og elektronisk legitimasjon. Oppgaven med å gjennomføre
sidestillingen ble lagt til Nærings- og handelsdepartementet.
Den 9. mars 2004 sendte Nærings- og handelsdepartementet
ut et høringsforslag om endringer i lov om elektronisk
signatur. Forslaget besto i å ta inn en forskriftshjemmel
i loven for å kunne etablere frivillige sertifiserings-
og godkjenningsordninger.
Departementet ønsket høringsinstansenes synspunkter
på forslaget om å ta inn en forskriftshjemmel i
lov om elektronisk signatur som gir adgang til å etablere
frivillige sertifiserings- og godkjenningsordninger innenfor andre
områder enn hva som er nødvendig for å følge
opp Stortingets anmodningsvedtak. Departementet ønsket
videre høringsinstansenes synspunkter på hvorvidt
det er hensiktsmessig å ha en slik forskriftshjemmel i
et sektornøytralt regelverk som lov om elektronisk signatur.
Det store flertallet av høringsinstansene er positive
til etablering av en frivillig sertifiserings- eller godkjenningsordning.
Det er også bred enighet blant høringsinstansene
om at det er fornuftig at hjemmelen for slike ordninger legges i
sektornøytralt regelverk, dvs. i lov om elektronisk signatur.
Finansnæringens Hovedorganisasjon og Sparebankforeningen
har motforestillinger til at det etableres en slik forskriftshjemmel
i lov om elektronisk signatur. Begrunnelsen for dette er bl.a. at
det etter deres mening vil innebære et fordyrende, begrensende
og byråkratisk element i utviklingen av næringsinitierte løsninger
for elektroniske signaturer. Statskonsult er av den oppfatning at
forslaget burde begrenses til kun å ivareta behovet for å oppnå sidestilling
mellom fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket.
Norsk Akkreditering anbefaler at sertifiseringsordningen baseres
på en akkreditert ordning, da det vil fremme en internasjonal
harmonisering ved at internasjonale standarder kan anvendes.
Departementet mener at det vil være viktig for tilliten
til og utbredelsen av elektroniske signaturer at slike ordninger
kommer på plass. Ordningene vil videre kunne brukes til å koordinere
kravene i forhold til elektronisk kommunikasjon. På denne
måten vil ordningene kunne virke positivt på utbredelsen
av elektroniske signaturer, ikke begrensende. Hvordan ordningene
skal tilrettelegges må vurderes konkret ved utformingen
av forskriftene.
For å oppfylle våre internasjonale forpliktelser etter
direktiv om elektroniske signaturer (1999/93/EF)
vil det være viktig at kravene til de frivillige sertifiseringsordningene
mv. er klare, proporsjonale, transparente og ikke-diskriminerende.
Som et generelt krav stilles at det ikke skal være noen
begrensninger i antall sertifiserte tjenestetilbydere. Det er videre ikke ønskelig å begrense
den foreslåtte forskriftshjemmelen til kun å omfatte
akkreditert sertifisering.
Med den foreslåtte forskriftshjemmelen vil departementet
også følge opp arbeidet i VideRe-prosjektet (tidligere
eRegelprosjektet). Prosjektets formål er å fjerne
unødige rettslige hindringer for elektronisk kommunikasjon
og at elektronisk kommunikasjon skal bli like akseptert, tillitsvekkende
og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon.
Etter departementets vurdering er det hensiktsmessig å åpne
for å kunne kreve gebyr for sertifiseringsordninger mv.
Det foreslås derfor at departementet i forskrift kan bestemme
at det skal betales gebyr til organet som utpekes som ansvarlig
for ordningene. Gebyret må imidlertid ikke overstige kostnadene
ved organets virksomhet knyttet til den aktuelle ordningen.
Departementet foreslo i høringsnotatet å åpne
for å straffesanksjonere overtredelser av krav i forskrift hjemlet
i ny § 16 a foretatt av sertifikatutsteder.
Høringsnotatet pekte også på behovet
for å etablere ordninger for tilbakekalling av sertifiseringer eller
godkjenninger, samt mulighet for bruk av tvangsmulkt. Det ble påpekt
at slike bestemmelser må tilpasses de ulike sertifiserings-
eller godkjenningsordningene, og derfor burde reguleres nærmere i
forskrift til § 16 a. Departementet foreslo
at det i lov om elektronisk signatur § 21 første
ledd bokstav e skulle tas inn en bestemmelse om at forsettlig eller grov
uaktsom overtredelse av bestemmelser i forskrift hjemlet i § 16
a kan straffes med bøter.
Det er først og fremst i forhold til forslaget om straffebestemmelser
i høringsnotatet at høringsinstansene har merknader.
Etter en nærmere vurdering har departementet valgt ikke å foreslå straffesanksjoner
for overtredelser av krav i forskrift hjemlet i ny § 16
a, slik det ble foreslått i høringsnotatet. Departementet
har vurdert alvorlighetsgraden i mulige overtredelser av den kommende
forskriftsreguleringen og antar at det vil være tilstrekkelig
med tilbakekall og eventuelt tvangsmulkt som reaksjoner ved brudd
på forskriften. Ulovlig bruk av en elektronisk signatur,
f.eks. utstedelse av og bruk av "falsk" signatur eller ulovlig bruk
av annens elektroniske signatur, vil kunne straffes i henhold til
bl.a. straffelovens bestemmelser om dokumentfalsk og bedrageri.
Departementet ser derfor ikke behov for ytterligere straffehjemler.
Departementet opprettholder forslaget om mulighet til å etablere
ordninger hvor det ansvarlige organ kan tilbakekalle sertifiseringer/godkjenninger,
og finner det naturlig at nærmere regler om dette gis i
forskrift.
Etter at direktivet om elektronisk signatur ble vedtatt og Ot.prp.
nr. 82 (1999-2000) om lov om elektronisk signatur ble fremmet
for Stortinget, har det på europeisk nivå pågått
standardiseringsarbeid for å følge opp viktige
rettslige krav i direktivet. Ifølge standarden TS 101 862,
utarbeidet av ETSI (European Telecommunications Standards Institute),
finnes det to muligheter for å angi at sertifikatet er
utstedt som et kvalifisert sertifikat. Den ene muligheten er å ha
en peker i sertifikatet til en sertifikatpolicy, den andre måten
er at det i selve sertifikatet klart fremgår at de samme
kravene er oppfylt. Blant annet på denne bakgrunn anbefalte
departementet i høringsnotatet at kravet i lov om elektronisk
signatur også skulle kunne oppfylles ved å ha
en peker fra det kvalifiserte sertifikatet til en angitt sertifikatpolicy.
Etter at høringsnotatet ble sendt på alminnelig høring
har ETSIs standarddokument "Qualified Certificate Profile" TS 101 862
blitt justert, slik at det stilles krav om at kvalifiserte sertifikater
skal innholde opplysninger om at de er utstedt som kvalifiserte. Departementet
har imidlertid valgt å opprettholde det opprinnelige forslaget.
Det vil ikke være hensiktsmessig å stille krav
som unødig begrenser antallet sertifikattilbydere som kan
tilby kvalifiserte sertifikater eller som vil gjøre bruken
av slike dyrere, uten at det samtidig fører til bedre eller
sikrere produkter og tjenester.
Videre er det allerede etablert en praksis for å godkjenne
sertifikater med slike pekere som kvalifiserte sertifikater. Det
ville være forbundet med store kostnader for aktørene
i markedet om man skulle reversere denne praksisen, og departementet
har heller ikke kunnet registrere noen svikt i sikkerheten eller mindre
tillit pga. praksisen.
Direkte økonomiske eller administrative konsekvenser
vil oppstå først når den nå foreslåtte
forskriftshjemmelen blir tatt i bruk og det etableres sertifiseringsordninger
mv. i tråd med den. Selv om konsekvensene vil avhenge av
innholdet i de forskrifter som opprettes etter denne hjemmel, ser
departementet for seg at lovforslaget med kommende forskrifter vil
kunne få en samordnende funksjon i forhold til de krav
som skal stilles for sertifikattjenester, f.eks. elektronisk signatur.
Dette vil kunne føre med seg økonomiske og administrative
fordeler både for offentlig og privat sektor. Bruk av sertifiseringsordninger
mv. kan begrense antallet forskjellige løsninger for bruk
av f.eks. elektronisk signatur. Videre er det en fordel for brukerne
av elektronisk kommunikasjon at flere brukersteder støtter
samme typer av løsninger slik at f.eks. samme elektroniske
melding kan brukes i kontakt med ulike brukersteder i offentlig
forvaltning og eventuelt også med private aktører.