eIDAS - mer effektiv elektronisk samhandling i Europa

Et felles europeisk regelverk for sikker elektronisk samhandling skal gi mer effektiv kommunikasjon mellom næringsliv, borgere og offentlig sektor på tvers av landegrensene. Norske løsninger ligger allerede i front.

EU-flagg

Sommeren 2016 ble eIDAS-forordningen implementert i lovverket til medlemslandene i EU. Ved årsskiftet blir den også en del av norsk lov gjennom EØS. 

 

Hovedelementene i eIDAS er at de europeiske landene godkjenner hverandres løsninger for elektronisk identifisering, eID, og en rekke såkalte tillitstjenester som legger til rette for elektronisk samhandling. Mest utbredt i dag er elektronisk signatur. I tillegg dekker forordningen

  • elektronisk segl (eSEAL)
  • tidsstempling
  • elektronisk leveringstjeneste
  • sertifikattjenester for websideautentisering

Detaljene for disse finner du lenger ned i artikkelen.

Fundamentalt nytt
Målet er at mer bruk av elektronisk kommunikasjon på tvers av landene gir mer effektiv samhandling og på den måten bidrar til sterkere økonomisk vekst. Kort sagt skal det få mer fart på det indre marked.

– Dette er noe fundamentalt nytt og åpner for helt nye tjenester. Med eIDAS sikrer vi en felles juridisk og teknisk plattform som man kan bygge nye løsninger på, sier Mads Henriksveen, fagansvarlig for sertifikater og eID hos Buypass.

Den store endringen ligger i at EØS-landene gjennom forordningen er pålagt å godkjenne hverandres løsninger. Forgjengeren eSignatur-direktivet hadde den samme hensikten, men manglet juridisk styrke. Det var opp til hvert land å formulere detaljerte lovverk og bestemmelser, og resultatet ble løsninger som i hovedsak fungerer nasjonalt.

Felleseuropeisk
Nå må alle tenke felleseuropeisk, og eID er en sentral nøkkel. Forordningen skal sikre at din elektroniske identitet nasjonalt blir akseptert for bruk mot offentlige elektroniske tjenester i andre EU/EØS-land.

Grunnlaget er en ordning der et lands myndigheter kan melde inn de nasjonale eID-løsningene som benyttes nasjonalt i dag. Eksempelvis Bank ID, Buypass og MinID i Norge. Og hvert land har plikt til å anerkjenne andre lands innmeldte eID. Da kan man logge seg på i hjemlandet og få tilgang til tjenester i andre land. Dermed fjernes de digitale landegrensene som til nå har vært et hinder for sikker og effektiv elektronisk kommunikasjon. 

Garanti
Dette medfører praktiske tilpasninger. Direktoratet for forvaltning og IKT (Difi) skriver i sin høringsuttalelse om eIDAS:

– Det etableres nødvendig infrastruktur i ID-porten for å gjøre det teknisk mulig å motta innlogginger med e-ID fra EØS og eventuelle tredjeland som følger eIDAS-standardene. Det vil åpne for at tjenesteeierne kan motta innlogginger i tråd med anerkjennelsesplikten.

Med slik godkjennelse av eID, får aktører i hvert land en garanti for at identiteten til den andre er ekte. Dermed kan de ta i bruk offentlige tjenester på tvers av landegrensene.

Sentrale nøkler
De digitale tillitstjenestene er også sentrale nøkler for digital kommunikasjon:

Elektronisk signatur har allerede et fotfeste ved digital signering av dokumenter. 

Elektronisk segl er som en elektronisk signatur for juridiske personer, altså virksomheter. Et elektronisk segl på et dokument vil være et bevis på at det er virksomheten som har forseglet/stemplet dokumentet. En virksomhet setter altså et segl på et dokument, mens en privatperson signerer dokumentet. Mye av regelverket for elektronisk signatur og segl likelydende.

Elektronisk tidsstempling skal sikre pålitelig informasjon om tidspunktet et dokument eller tilsvarende ble gyldig.

Elektroniske leveringstjenester skal sikre levering av dokumenter, og både avsender og mottaker skal benytte elektronisk signatur eller elektronisk segl. Tjenestene inkluderer sikker digital post. På dette området vil det trolig dukke opp nye leverandører, og aktører som danske E-boks og norske Digipost er ventet å ta en rolle her.

Sertifikattjenester for websideautentisering er en tillitstjeneste for autentisering av nettsteder som introduserer en ny sertifikattype: Qualified Website Authentication Certificate (QWAC).

En pålitelig og sikker nettside bekreftes med et SSL- eller TLS-sertifikat, og QWAC kan beskrives som et kvalifisert sertifikat av denne typen.  

Tillit er avgjørende
Én ting er at disse grenseoverskridende digitale tjenestene ER sikre. En annen er at de OPPFATTES som sikre - at de har tillit i markedet. Denne tilliten skal bygges med en godkjenningsordning der tilbydere av kvalifiserte tillitstjenester må kunne dokumentere at forordningens krav er tilfredsstilt. Det vil skje i form av en revisjonsrapport gjennomført av en godkjent revisor som oppfyller krav satt i eIDAS.

Denne rapporten fremlegges for en nasjonal tilsynsmyndighet, som utarbeider en nasjonal tillitsliste over kvalifiserte leverandører og deres godkjente tillitstjenester. Dette skal sikre at disse tjenestene aksepteres på tvers av EU/EØS. I Norge er det Nasjonal kommunikasjonsmyndighet som vil få denne tilsynsrollen.

Ordningen er strengere enn den norske selvdeklarasjonsordningen som praktiseres i dag. Se under.

Nye sikkerhetsnivåer
Sikkerhets- eller tillitsnivåene i eIDAS er kategorisert som «Lavt», Betydelig» og «Høyt». En offentlig tjeneste som krever et gitt tillitsnivå, skal dermed akseptere eID fra andre land som er meldt inn på samme eller høyere tillitsnivå.

Norge har i dag nivåene 1 til 4. I praksis benyttes kun nivå 3 og 4, og disse må tilpasses de europeiske kategoriene.

Forretningsmodellen
Brukerstedene skal slippe å kreve betaling av private borgere. Det skal være mulig for en nordmann å bruke offentlige tjenester i Spania uten å betale noe ekstra.

Tillitstjenestene er mer myntet på bedriftsmarkedet, og målet er å skape et marked for slike tjenester. Derfor vil det bli markedsbasert prising av for eksempel sertifikater for elektronisk segl.

Norske utfordringer med eIDAS

Sikkerhetsnivåene i Norge skiller seg fra eIDAS-nivåene, og norske myndigheter må avklare disse ulikhetene. Det er grunn til å tro at det norske nivå 4 vil tilsvare eIDAS’ nivå høyt, mens nivå 3 settes som betydelig.

Public Key Infrastructure (PKI) i Norge blir til gjenstand for europeisk tilpasning. Gjeldende kravspesifikasjon bygger på blant annet esignaturloven, som blir erstattet av eIDAS-forordningen og mister dermed noe av sitt juridiske fundament.

Selvdeklarasjonsordningen er potensielt i konflikt med det nye tillitsregimet i eIDAS. Norske sertifikatutstedere oppgir selv at de oppfyller kravene og er kvalifisert. Nkom foretar kontroller i etterkant. Med eIDAS kreves en uavhengig revisjonsrapport og godkjenning i forkant.

Teknologiske utfordringer som tar tid og koster penger. I sin høringsuttalelse peker KS på at kommunenes løsninger kun klarer å lese eID-innlogging basert på 11 siffer og at det vil medføre administrative og økonomisk kostnader å sette disse løsningene i stand til å håndtere ID-nummer med annen lengde.


Buypass i forkant

Buypass er godt forberedt til omleggingen som eIDAS krever.

Virksomheten utsteder allerede SSL/TLS-sertifikater på såkalt EV-nivå (Extended Validation) i tråd med spesifikasjonene fra CA/Browser Forumog vil som en sertifikatutsteder også utstede kvalifiserte SSL/TLS-sertifikater (QWAC) i henhold til eIDAS.

Buypass ligger allerede godt an for en plass på leverandørlisten for tillitstjenester. Her er samsvarsvurderingen avgjørende, og den gjennomføres ved at tilbydere underlegges revisjon av godkjent revisor for de relevante tillitstjenestene.

Som utsteder av SSL/TLS-sertifikat gjennomfører Buypass allerede regelmessig revisjoner ihht. ETSI-standarden for å tilfredsstille krav i rotsertifikat-program fra blant andre Microsoft, Mozilla, Google og Apple. En slik revisjonsrapport baseres på tilsvarende ETSI-standarder som kommer med eIDAS. Virksomhetssertifikater er inkludert i Buypass’ revisjon/sertifisering, noe som gir et godt grunnlag for å bli revidert og godkjent i hht. eIDAS i løpet av 2016.

Buypass er benyttet som rådgiver i eIDAS-prosessen gjennom norske myndigheter og ved sin deltakelse i CA/Browser Forum.

Fakta om eIDAS -forordningen

Europaparlamentets og rådsforordning nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked
Formålet er å skape et felles grunnlag for sikker elektronisk samhandling mellom borgere virksomheter og offentlig myndigheter
Det skal øke effektiviteten til offentlige og private nett-tjenester, elektronisk forretningsdrift og elektronisk handel i unionen
Sterkere grunnlag

eIDAS-forordningen gir et tydeligere pålegg til medlemsstatene om samarbeid over grensene.

Dagens regelverk for elektronisk signatur er basert på EU-direktivet om elektronisk signatur. Et EU-direktiv er en rettsakt som fastsetter et mål som skal oppnås, og det er opp til det enkelte land å definere hvordan dette skal implementeres i nasjonal lovgivning.

Dette har bidratt til ulike implementasjoner av eSignatur-direktivet i EU/EØS, noe som har gjort det vanskelig å få utbredelse på tvers av medlemsland.

eIDAS bygger på en forordning, som innebærer at EU har vedtatt en lov på vegne av hele EU/EØS. Det vil i større grad sikre et felles regelverk og gi større utbredelse av elektronisk signatur og de andre tillitstjenestene.

Her finner du mer informasjon om Buypass tillitstjenester, inkludert kvalifiserte eIDAS-sertifikater for nettsider (QWAC) og eSegl for digital signering (QC eSeal).