Allerede den 1. juli i trer en ny EU-forordning om blant annet elektronisk identifisering, signatur og sertifikater i kraft i EU-landene. I Norge trer forordningen, som kalles for eIDAS, først i kraft den 1. januar 2017.
Noe av hensikten med forordningen er å få til en harmonisering på tvers av EU/EØS-landene og å legge til rette for økt elektronisk samhandling på tvers av landegrensene, som en del av det indre, digitale markedet.
En som har god kjennskap til hva eIDAS kan bety for norske privatpersoner, bedrifter og myndigheter, er Mads Henriksveen.
_logo.svg.png){kind=logo}
Han er fagansvarlig for blant annet digitale sertifikater og elektronisk ID hos Buypass, som er et av de norske selskapene som størst grad vil være berørt av den kommende forordningen. Dette fordi selskapet tilbyr produkter og tjenester innenfor de fleste av områdene som eIDAS omhandler.
– Når forordningen trer i kraft, blir dagens e-signaturdirektiv erstattet. Direktiver som dette setter en målsetning, men det er opp til hvert enkelt land å lage implementasjoner, forteller Henriksveen.
– Forordningen gjelder derimot i alle land, og må tas inn i nasjonalt lovverk som det er. Omfanget er dessuten større, blant annet er eID-delen helt ny med forordningen, forklarer han.
- Bakgrunn: Europa blir ett digitalt rike
Elektronisk ID på tvers av landegrensene
Den delen av forordningen som omhandler eID, er nok det som i størst grad vil få betydning for norske borgere. Forordningen åpner nemlig for norske, elektroniske ID-er, som MinID, BankID, Buypass ID og Commfides, vil kunne brukes på tvers av alle EU/EØS-landene. Samtidig vil nasjonalt aksepterte eID-er fra andre land kunne brukes mot norske tjenester.
Det er i alle fall målet.
Men det er noen utfordringer. Blant annet slik som hvordan et personnummer skal gjenkjennes på tvers av landene. Dessuten har eIDAS tre sikkerhetsnivåer (lavt, betydelig og høyt), men man i Norge opererer med fire (1-4).
– Disse må mappes inn på hverandre, sier Henriksveen.
BankID
BankID er også godt i gang med forberedelsene til eIDAS. Men produktsjef Nils Inge Brurberg åpner med å si at det litt vanskelig å svare bombastisk på spørsmål om eIDAS, da det er en del som er litt uklart ennå. Dette inkluderer hvilke norske eID-er som vil kunne brukes utenlands.
– Det er myndighetene som bestemmer hvilke id-løsninger som skal representere Norge. Men de kommer trolig til å melde inn de samme som brukes i forbindelse med offentlige tjenester i Norge i dag, sier Brurberg til digi.no.
– Når det gjelder bruken av norske eID-er ute, avhenger dette av landene der ute setter opp tjenester som kan bruke andre lands eID-er.
Brurberg forteller videre at det foregår flere prosjekter hvor eIDAS testes ut.
– Vi har samarbeidet litt med Difi, norske og engelske myndigheter, samt den britiske banken Barclays, for å se om en norsk person kan bruke BankID for å bli kunde av Barclays. Dette er foreløpig et forprosjekt, men et alfaprosjekt vil trolig være satt opp i september, forteller Brurberg.
Han legger til at BankID også er i samtaler med banker og finansorganisasjoner i andre nordiske land for å se på samme opplegg som hos Barclays, men da for å opprette kontoer begge veier.
– Vi kjenner også til at norske myndigheter har samarbeidet med svenske myndigheter for å sette opp en eIDAS-basert tjeneste for at å opprette selskap med det andre landets eID, sier Brurberg.
- Leste du denne? Svenskene fryktet app-kaos. Apples vilkår ødela for bank-id
Signaturer og segl
eIDAS-forordningen omfatter også elektroniske signaturer og segl. Elektroniske signaturer kan kun brukes av fysiske personer. Ifølge Henriksveen skilles det mellom avanserte og kvalifiserte elektroniske signaturer, hvor avanserte signaturer kan baseres på kvalifiserte sertifikater, mens kvalifiserte signaturer i tillegg krever et sikkert og kvalifisert signaturfremstillingssystem.
– Dette er relativt dyrt, sier Henriksveen. I Norge ligger nivået til blant annet Buypass og BankID på avanserte signaturer og bruk av kvalifiserte sertifikater, og Henriksveen mener at dette er et passe nivå ut fra både praktiske og sikkerhetsmessige forhold.
– For privatpersoner kan dette bety at det blir lettere å inngå kontrakter med virksomheter i EU-land, sier han.
Elektroniske segl kan derimot brukes av juridiske personer, altså virksomheter, som et bevis på at virksomheten har forseglet eller stemplet dokumentet. Ifølge Henriksveen er mye av regelverket for signaturer og segl likelydende.
– I Norge har vi virksomhetssertifikater som en særnorsk ordning, sier Henriksveen, som mener dette ligner veldig på de nye, elektroniske seglene.
– Det kan utgjøre dette god åpning for norske virksomheter som kommuniserer og sender dokumenter ut av landet. For eksempel kan skoler signere vitnemål med et elektronisk segl som aksepteres i hele Europa, sier han.
– Adobe har allerede tatt inn og aksepterer elektronisk signatur i PDF-dokumenter, basert på EUs Trusted List, og vil gjøre det samme med elektroniske segl.
TLS-sertifikater
En tredje område som eIDAS omfatter, gjelder en ny type websertifikater, QWAC – Qualifed Website Authentication Certificate, som Buypass legges på tilsvarende tillitsnivå som dagens EV-sertifikater (Extended Validation). I dag er det bare nettleserleverandørene som har godkjenningsordninger for sertifikatutstedere. Med eIDAS vil også myndighetene ha en slik ordning.
– Det kommer en innstramming for utstedere. I dag har vi en selvdeklareringsmodell. Med eIDAS får vi en del strengere krav til oss, vi må revideres etter et kravsett som kommer med eIDAS og levere inn en revisjonsrapport hvert annet år. Rapporten må utarbeidet og underskrevet av en akkreditert revisor. I Norge er det Nkom som er tilsynsmyndighet, sier Henriksveen.
Han legger dog til at kravene som Buypass og andre sertifikatutstedere skal revideres mot, i mange tilfeller er de samme som nettleserleverandørene krever for å akseptere sertifikater fra de samme utstederne. Dessuten krever nettleserleverandørene årlig revisjon.
Ifølge Henriksveen er det også krav til rapportering av sikkerhetshendelser. En utløsende faktor for dette var hendelsene med nederlandske Diginotar i 2011.
- Les mer: Meldeplikt om IT-angrep
Reviderte tilbydere vil lagt til i en norsk «trusted list» av Nkom. Listen er allerede tilgjengelig i forbindelse med kvalifiserte sertifikater for elektronisk signatur, via denne siden, men vil nå bli utvidet, forteller Henriksveen.
Han påpeker dog at det er uklart om norske utstedere vil bli anerkjent i resten av Europa før eIDAS blir innført i Norge, altså den 1. januar.
Buypass arrangerer i september et gratisseminar om eIDAS, med foredragsholdere fra blant annet EU-kommisjonen og Difi. Ifølge Henriksveen er det allerede stor interesse for dette seminaret.
