Definisjonene som brukes i loven er i hovedsak en oversettelse
og bearbeidelse av definisjonene i direktivet. Målet er å bruke
definisjoner som beskriver et produkt, en virksomhet m.v. i forhold
til en teknologinøytral elektronisk signatur. Departementet ønsker
videre å beholde definisjonene nærmest mulig opp
til de tilsvarende nordiske definisjonene.
Lovforslaget åpner for at også sertifikatutstedere som
utsteder kvalifiserte sertifikater innen lukkede systemer skal omfattes
av loven. Lovens virkeområde blir dermed alle utstedere
av kvalifiserte sertifikater etablert i Norge. For å falle
inn under loven må sertifikatutsteder kalle sertifikatene
for kvalifiserte og registrere seg hos tilsynet. Sertifikatene som
utstedes må oppfylle alle krav loven oppstiller til kvalifiserte sertifikater.
Alle bestemmelsene i loven vil altså komme til anvendelse
etter at sertifikatutsteder har registrert seg hos tilsynet.
Lovforslaget regulerer virksomheten til fysiske eller juridiske
personer som utsteder kvalifiserte sertifikater eller tilbyr andre
tjenester relatert til elektronisk signatur. Til en viss grad regulerer
lovforslaget også tilbydere som går god for kvalifiserte
sertifikater tilbudt av en annen. I lovforslaget anvendes begrepet sertifikatutsteder
om tilbyder av sertifikattjenester. Vi får med dette en
tilnærmet felles nordisk definisjon på det som
kan kalles direktivets kjernebegrep.
Loven stiller krav til sertifikatutstedere som utsteder kvalifiserte
sertifikater og til tjenestene de tilbyr. Det stilles krav til både
den som utsteder det kvalifiserte sertifikatet og til de som eventuelt
oppfyller andre oppgaver i forbindelse med håndteringen
av de kvalifiserte sertifikatene på vegne av utsteder.
Utstedere av andre sertifikater enn kvalifiserte reguleres ikke.
Departementet mener at det ikke er aktuelt å stille krav
om interoperabilitet, men er positive til at utstederne selv inngår
slike avtaler.
Direktivet har visse minimumskrav til hva en bestemt type sertifikater
med et høyt sikkerhetsnivå skal inneholde og krav
til utstedere av slike sertifikater. Disse sertifikatene kalles «kvalifiserte
sertifikater». Kravene til kvalifiserte sertifikater er
implementert i lovforslaget, men vil også utdypes nærmere
i forskrift. Til sertifikatene er det knyttet bestemmelser om tilsyn,
erstatning og rettsvirkninger. De rettslige rammene for kvalifiserte
sertifikater skal gi tillit til kvalifiserte elektroniske signaturer
og dermed også legge til rette for bruken av dem.
Direktivet legger opp til at det skal kunne brukes sertifikater
med pseudonymer. Det må imidlertid fremgå av sertifikatet
at et pseudonym er benyttet. Dette er innarbeidet i lovforslaget.
En avansert elektronisk signatur stiller krav om at den er entydig
knyttet til undertegneren. Dersom man ønsker at en annen skal
bruke det aktuelle pseudonymet, må sertifikatet trekkes
tilbake og et nytt utstedes.
I henhold til direktivet kan landene ikke stille krav om forhåndsgodkjennelse
av sertifikatutstedere. Det er imidlertid ikke noe til hinder for å kreve
at sertifikatutstedere skal registrere seg før de begynner
virksomheten, så fremt det ikke stilles andre krav enn
at meldingen sendes inn. I proposisjonen foreslås at sertifikatutsteder
skal sende inn registreringsmelding til tilsynsmyndigheten senest
samtidig med at utstederen begynner å utstede kvalifiserte
sertifikater. Sertifikatutstederen er deretter pålagt å sende
inn melding om alle eventuelle endringer av registrerte opplysninger.
Direktivet stiller krav om at det skal føres tilsyn med
utstedere av kvalifiserte sertifikater som tilbyr slike og tilhørende
tjenester til allmennheten. For å oppfylle kravet om tilsyn
kreves at de sertifikatutstederne det skal føres tilsyn
med, registreres i et offentlig register.
Selvdeklarasjonsmodellen er foreslått som tilsynsmodell.
Modellen oppfyller de krav om tilsyn som stilles i direktivet, og
vil gi et reelt og funksjonelt tilsyn som vil gi den nødvendige
tillit i markedet. Det kan ikke utelukkes at modellen vil måtte
justeres og kompletteres når markedet er mer modent. Utviklingen
i markedet må derfor følges nøye fremover.
Samtidig er det en modell som i liten grad detaljregulerer markedet.
Direktivet legger opp til at tilsynet kan være et offentlig
eller privat organ. Departementet har kommet til at det bør
velges et offentlig tilsynsorgan. bl.a. ut fra antagelsen om at
et offentlig tilsynsorgan har størst tillit i markedet.
På bakgrunn av Post- og teletilsynets erfaring med liknende
oppgaver foreslås det at tilsynsoppgavene legges til Post-
og teletilsynet. Departementet mener videre at det bør
følge av loven at Kongen utpeker tilsynet og at dette ikke
gjøres direkte i lovteksten.
Kravene loven stiller til utstedere av kvalifiserte sertifikater
vil bli nærmere presisert i forskrifter. En av tilsynets
hovedoppgaver vil være å utdype disse kravene
ved å ta stilling til hvilken policy og praksis som oppfyller
lovens krav. Tilsynet må kommunisere disse til sertifikatutstedere
som ønsker å tilby kvalifiserte sertifikater,
og se til at sertifikatutstedernes virksomhet er i overensstemmelse
med de presiserte krav.
Lovforslaget utpeker ikke klageorgan for Post- og teletilsynets
avgjørelser, men gir Kongen hjemmel til å utpeke
et slikt organ. Det legges ikke opp til at klageadgangen skal være
videre enn hva som følger av forvaltningslovens regler.
Sikre signaturfremstillingssystem kan godkjennes på to
måter. De skal være i samsvar med standarder fastsatt
av EU-kommisjonen eller godkjent av et oppnevnt nasjonalt organ.
Når et signaturfremstillingssystem er godkjent av et annet
nasjonalt organ innenfor EØS-området, må denne
godkjennelsen aksepteres av det norske tilsynet. En sertifikatutsteder
som omfattes av det norske tilsynet kan altså bruke dette systemet
uten å måtte innhente en ny godkjennelse i Norge.
Departementet har kommet til at Norge bør gjennomføre
en minimumsregulering av sertifikatutsteders erstatningsansvar i
samsvar med direktivet. Sertifikatutsteder er erstatningsansvarlig
i henhold til lovforslagets § 22 så sant
utstederen ikke kan bevise at han/hun ikke handlet uaktsomt.
Slik omvendt bevisbyrde innebærer en tyngre bevisbyrde
for utsteder og er det eneste unntaket fra den alminnelige erstatningsrett.
Et skjerpet krav om bevisbyrde skal være med på å sikre
den nødvendige tillit og dermed øket anvendelse
av kvalifiserte sertifikater. Erstatningsansvar for en utsteder
som ikke utsteder kvalifiserte sertifikater reguleres i henhold
til den alminnelige erstatningsretten. Forslaget åpner
for at sertifikatutsteder og undertegner kan avtale begrensninger
i sertifikatets anvendelsesområde og begrensninger for
hvor store beløp som skal kunne overføres med
signaturen. Slike begrensninger vil tilsvarende begrense sertifikatutsteders
erstatningsansvar.
Direktivets bestemmelse innebærer at et krav om signatur
alltid vil være oppfylt av en kvalifisert elektronisk signatur,
på samme måte som en håndskreven signatur,
såfremt lovgivningen åpner for at disposisjonen
kan gjennomføres elektronisk. Ved å likestille kvalifisert
elektronisk signatur med håndskreven underskrift skapes
en felles standard for elektronisk signatur innenfor hele EØS-området.
Videre krever direktivet at det må sikres at kvalifiserte
elektroniske signaturer kan legges frem som bevis ved domstolene
og at elektronisk signatur, på annet nivå enn
kvalifisert, ikke skal fratas rettsvirkning eller gyldighet som
bevis bare på grunnlag av at signaturen er i elektronisk
form, ikke er basert på et kvalifisert sertifikat, ikke
er basert på et kvalifisert sertifikat utstedt av en akkreditert
tilbyder eller ikke er fremstilt av et sikkert signaturfremstillingsystem.
Disse bestemmelsene behøver ikke tas inn i loven da de allerede
er i samsvar med gjeldende rett. Ettersom bestemmelsen om rettsvirkninger
er en sentral del av direktivet som implementeres ved denne lov,
bør imidlertid også dette reguleres i loven.
Kongen gis i forslaget hjemmel til å regulere bruk av
elektroniske signaturer ved kommunikasjon med og i offentlig sektor.
Regjeringen har oppnevnt et utvalg som skal utrede forslag til policy
for bruk av digital signatur med tilhørende infrastruktur
i offentlig sektor. Utvalgets forslag skal danne grunnlag for slik fremtidig
regulering.