Dette indlæg er alene udtryk for skribentens egen holdning.

Nye EU-regler om elektronisk identifikation og tillidstjenster

11. juni 2012 kl. 11:301
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

EU-kommissionen fremsatte den 4. juni 2012 et forslag til en ny forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked.

Forordningen skal erstatte det eksisterende direktiv om elektroniske signaturer – og dermed den danske lov om dette fra 2000.

I modsætning til et direktiv får en forordning direkte retskraft i medlandslandende, dvs. der skal ikke ske en egentlig implementering i national lov. Forordningsmodellen har til formål at sikre, at forskelligheder i nationale implementeringer ikke i praksis umuliggør ambitionen om et indre marked for elektroniske tjenester, hvilket til dels er tilfældet for det eksisterende direktiv om elektroniske signaturer.

Valget af forordning som redskab til at introducere ny lovgivning i medlemslandene er i øvrigt lige blevet brugt i forbindelse med forslag til nye regler på persondataområdet. Her planlægges det eksisterende persondatadirektiv ligeledes at blive erstattet af en forordning.

Artiklen fortsætter efter annoncen

Forslaget til en forordning om elektronisk identifikation, elektroniske signaturer og hertil relaterede tjenester bygger videre på de eksisterende regler om elektroniske signaturer og supplerer som noget nyt de eksisterende signaturer med en bredere palette af online-tillidstjenester i form af tidsstempling, elektroniske segl, website autentifikation og elektroniske leveringstjenester.

Desuden er der en specifik regulering af elektroniske dokumenter, der skal sikre, at disse accepteres og opnår juridisk gyldighed i alle medlemsstater.

Alle disse tjenester har til formål at levere en juridisk og teknisk væg til væg understøttelse af elektronisk kommunikation mellem borgere, virksomheder og offentlige myndigheder.

En anden nyskabelse, der i særlig grad har til formål at sikre et indre marked for elektroniske tjenester, er introduktionen af elektroniske identifikationsordninger (eID) og et tilhørende notifikationssystem.

Artiklen fortsætter efter annoncen

Notifikationssystemet giver mulighed for, at medlemslandene kan anmelde deres nationale identifikationssystemer til Kommissionen med henblik på godkendelse, hvorefter de kan benyttes i alle medlemsstater til at tilgå nationale offentlige elektroniske online tjenester.

Det er frivilligt, om de enkelte medlemslande ønsker at anmelde et identifikationssystem, men man slipper ikke for at acceptere de andre medlemslandes systemer. Medlemslandene skal i øvrigt sikre, at verifikation af de nationale eID gøres gratis.

Kommissionen har med introduktionen af forordningen tydeligt understreget, at den ikke har kompetence til at fastlægge regler for nationale identifikationssystemer, og at der ikke er ambitioner om at udstede et europæiske eID kort. Centralt for reguleringen er, at man anerkender og accepterer de øvrige medlemsstaters (anmeldte) eID ordninger på linje med egne eID.

Med forordningen er der forsøgt at skabe en tydelig opsplitning af eID som identifikationsværktøj til sikring af autentifikation og elektronisk signatur, der i højere grad bliver afgrænset til at være en elektronisk underskrift. I en række europæiske lande er der allerede foretaget sådan opsplitning mellem eID og elektronisk signatur, hvorimod vi i Danmark med NemID har en samlet løsning, der både tilbyder autentifikation og signatur. Selv om NemID er en fuldgyldig elektronisk signatur (baseret på den nationale OCES standard), så anvendes den dog i høj grad til formål, der er inden for anvendelsesområdet for eID.

Det er i øvrigt værd at bemærke, at der i forslaget til forordningen ser ud til at være en accept af central nøgleopbevaring, der anvendes i den løsning, der leveres af Nets DanID.

Der vil sikkert blive debat om de konkrete modeller, som Kommissionen har fremlagt og meget kan ændre sig inden der foreligger en endelig forordning, men det er uomtvisteligt, at der er en stor lyst til at understøtte effektiv elektronisk kommunikation mellem medlemslandende. Og det er meget positivt.

I lyset af at den danske infrastruktur i høj grad er standardiseret og centraliseret via NemID (OCES) og NemLog-in, bør vi i Danmark umiddelbart være godt forberedte på at kunne understøtte de visioner, der er fremlagt i forslaget fra Kommissionen om eID.

Forslaget til forordning skal nu behandles i Europaparlamentet og Ministerrådet, inden det kan vedtages. Den proces kan let tage et par år. Så man må væbne sig med tålmodighed lidt endnu, hvis man gerne vil bruge sit NemID til autentifikation i udlandet.

I Danmark er forslaget netop sendt i høring af Erhvervs- og Vækstministeriet.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
12. juni 2012 kl. 16:56

Det er i øvrigt værd at bemærke, at der i forslaget til forordningen ser ud til at være en accept af central nøgleopbevaring, der anvendes i den løsning, der leveres af Nets DanID.

Ja, det er ret slemt. I annex II, stykke 3 skriver de:

3. Generating or managing electronic signature creation data on behalf of the signatory shall be done by a qualified trust service provider.

Det kunne næsten lyde, som om det ligefrem skal være ulovligt at opbevare sin private nøgle selv.

Omvendt skriver de i artikel 3, stk 7, at en avanceret elektronisk signatur (og dermed også en kvalificeret) skal være

[...] created using electronic signature creation data that the signatory can, with high level of confidence, use under his sole control[...]

Det med tilliden udelukker jo NemID :-)

Men måske kan man helt slippe for NemID. I artikel 4 skriver de:

1. There shall be no restriction on the provision of trust services in the territory of a MemberState by a trust service provider established in another Member States for reasons which fall within the fields covered by this Regulation.</p>
<ol start="2"><li>Products which comply with this Regulation shall be permitted to circulate freely in the internal market.

Så måske kan man bruge SwedID eller nogen, der profilerer sig med at tænke brugerne.

I alle tilfælde er der jo kun tale om et forslag fra kommisionen. Man kan håbe på, at der bliver pillet ved noget af det undervejs.