Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

3. Nærmere om Lovforslaget

Definisjonene som brukes i loven er i hovedsak en oversettelse og bearbeidelse av definisjonene i direktivet. Målet er å bruke definisjoner som beskriver et produkt, en virksomhet m.v. i forhold til en teknologinøytral elektronisk signatur. Departementet ønsker videre å beholde definisjonene nærmest mulig opp til de tilsvarende nordiske definisjonene.

Lovforslaget åpner for at også sertifikatutstedere som utsteder kvalifiserte sertifikater innen lukkede systemer skal omfattes av loven. Lovens virkeområde blir dermed alle utstedere av kvalifiserte sertifikater etablert i Norge. For å falle inn under loven må sertifikatutsteder kalle sertifikatene for kvalifiserte og registrere seg hos tilsynet. Sertifikatene som utstedes må oppfylle alle krav loven oppstiller til kvalifiserte sertifikater. Alle bestemmelsene i loven vil altså komme til anvendelse etter at sertifikatutsteder har registrert seg hos tilsynet.

Lovforslaget regulerer virksomheten til fysiske eller juridiske personer som utsteder kvalifiserte sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur. Til en viss grad regulerer lovforslaget også tilbydere som går god for kvalifiserte sertifikater tilbudt av en annen. I lovforslaget anvendes begrepet sertifikatutsteder om tilbyder av sertifikattjenester. Vi får med dette en tilnærmet felles nordisk definisjon på det som kan kalles direktivets kjernebegrep.

Loven stiller krav til sertifikatutstedere som utsteder kvalifiserte sertifikater og til tjenestene de tilbyr. Det stilles krav til både den som utsteder det kvalifiserte sertifikatet og til de som eventuelt oppfyller andre oppgaver i forbindelse med håndteringen av de kvalifiserte sertifikatene på vegne av utsteder. Utstedere av andre sertifikater enn kvalifiserte reguleres ikke. Departementet mener at det ikke er aktuelt å stille krav om interoperabilitet, men er positive til at utstederne selv inngår slike avtaler.

Direktivet har visse minimumskrav til hva en bestemt type sertifikater med et høyt sikkerhetsnivå skal inneholde og krav til utstedere av slike sertifikater. Disse sertifikatene kalles «kvalifiserte sertifikater». Kravene til kvalifiserte sertifikater er implementert i lovforslaget, men vil også utdypes nærmere i forskrift. Til sertifikatene er det knyttet bestemmelser om tilsyn, erstatning og rettsvirkninger. De rettslige rammene for kvalifiserte sertifikater skal gi tillit til kvalifiserte elektroniske signaturer og dermed også legge til rette for bruken av dem.

Direktivet legger opp til at det skal kunne brukes sertifikater med pseudonymer. Det må imidlertid fremgå av sertifikatet at et pseudonym er benyttet. Dette er innarbeidet i lovforslaget. En avansert elektronisk signatur stiller krav om at den er entydig knyttet til undertegneren. Dersom man ønsker at en annen skal bruke det aktuelle pseudonymet, må sertifikatet trekkes tilbake og et nytt utstedes.

I henhold til direktivet kan landene ikke stille krav om forhåndsgodkjennelse av sertifikatutstedere. Det er imidlertid ikke noe til hinder for å kreve at sertifikatutstedere skal registrere seg før de begynner virksomheten, så fremt det ikke stilles andre krav enn at meldingen sendes inn. I proposisjonen foreslås at sertifikatutsteder skal sende inn registreringsmelding til tilsynsmyndigheten senest samtidig med at utstederen begynner å utstede kvalifiserte sertifikater. Sertifikatutstederen er deretter pålagt å sende inn melding om alle eventuelle endringer av registrerte opplysninger.

Direktivet stiller krav om at det skal føres tilsyn med utstedere av kvalifiserte sertifikater som tilbyr slike og tilhørende tjenester til allmennheten. For å oppfylle kravet om tilsyn kreves at de sertifikatutstederne det skal føres tilsyn med, registreres i et offentlig register.

Selvdeklarasjonsmodellen er foreslått som tilsynsmodell. Modellen oppfyller de krav om tilsyn som stilles i direktivet, og vil gi et reelt og funksjonelt tilsyn som vil gi den nødvendige tillit i markedet. Det kan ikke utelukkes at modellen vil måtte justeres og kompletteres når markedet er mer modent. Utviklingen i markedet må derfor følges nøye fremover. Samtidig er det en modell som i liten grad detaljregulerer markedet.

Direktivet legger opp til at tilsynet kan være et offentlig eller privat organ. Departementet har kommet til at det bør velges et offentlig tilsynsorgan. bl.a. ut fra antagelsen om at et offentlig tilsynsorgan har størst tillit i markedet. På bakgrunn av Post- og teletilsynets erfaring med liknende oppgaver foreslås det at tilsynsoppgavene legges til Post- og teletilsynet. Departementet mener videre at det bør følge av loven at Kongen utpeker tilsynet og at dette ikke gjøres direkte i lovteksten.

Kravene loven stiller til utstedere av kvalifiserte sertifikater vil bli nærmere presisert i forskrifter. En av tilsynets hovedoppgaver vil være å utdype disse kravene ved å ta stilling til hvilken policy og praksis som oppfyller lovens krav. Tilsynet må kommunisere disse til sertifikatutstedere som ønsker å tilby kvalifiserte sertifikater, og se til at sertifikatutstedernes virksomhet er i overensstemmelse med de presiserte krav.

Lovforslaget utpeker ikke klageorgan for Post- og teletilsynets avgjørelser, men gir Kongen hjemmel til å utpeke et slikt organ. Det legges ikke opp til at klageadgangen skal være videre enn hva som følger av forvaltningslovens regler.

Sikre signaturfremstillingssystem kan godkjennes på to måter. De skal være i samsvar med standarder fastsatt av EU-kommisjonen eller godkjent av et oppnevnt nasjonalt organ. Når et signaturfremstillingssystem er godkjent av et annet nasjonalt organ innenfor EØS-området, må denne godkjennelsen aksepteres av det norske tilsynet. En sertifikatutsteder som omfattes av det norske tilsynet kan altså bruke dette systemet uten å måtte innhente en ny godkjennelse i Norge.

Departementet har kommet til at Norge bør gjennomføre en minimumsregulering av sertifikatutsteders erstatningsansvar i samsvar med direktivet. Sertifikatutsteder er erstatningsansvarlig i henhold til lovforslagets § 22 så sant utstederen ikke kan bevise at han/hun ikke handlet uaktsomt. Slik omvendt bevisbyrde innebærer en tyngre bevisbyrde for utsteder og er det eneste unntaket fra den alminnelige erstatningsrett. Et skjerpet krav om bevisbyrde skal være med på å sikre den nødvendige tillit og dermed øket anvendelse av kvalifiserte sertifikater. Erstatningsansvar for en utsteder som ikke utsteder kvalifiserte sertifikater reguleres i henhold til den alminnelige erstatningsretten. Forslaget åpner for at sertifikatutsteder og undertegner kan avtale begrensninger i sertifikatets anvendelsesområde og begrensninger for hvor store beløp som skal kunne overføres med signaturen. Slike begrensninger vil tilsvarende begrense sertifikatutsteders erstatningsansvar.

Direktivets bestemmelse innebærer at et krav om signatur alltid vil være oppfylt av en kvalifisert elektronisk signatur, på samme måte som en håndskreven signatur, såfremt lovgivningen åpner for at disposisjonen kan gjennomføres elektronisk. Ved å likestille kvalifisert elektronisk signatur med håndskreven underskrift skapes en felles standard for elektronisk signatur innenfor hele EØS-området.

Videre krever direktivet at det må sikres at kvalifiserte elektroniske signaturer kan legges frem som bevis ved domstolene og at elektronisk signatur, på annet nivå enn kvalifisert, ikke skal fratas rettsvirkning eller gyldighet som bevis bare på grunnlag av at signaturen er i elektronisk form, ikke er basert på et kvalifisert sertifikat, ikke er basert på et kvalifisert sertifikat utstedt av en akkreditert tilbyder eller ikke er fremstilt av et sikkert signaturfremstillingsystem. Disse bestemmelsene behøver ikke tas inn i loven da de allerede er i samsvar med gjeldende rett. Ettersom bestemmelsen om rettsvirkninger er en sentral del av direktivet som implementeres ved denne lov, bør imidlertid også dette reguleres i loven.

Kongen gis i forslaget hjemmel til å regulere bruk av elektroniske signaturer ved kommunikasjon med og i offentlig sektor. Regjeringen har oppnevnt et utvalg som skal utrede forslag til policy for bruk av digital signatur med tilhørende infrastruktur i offentlig sektor. Utvalgets forslag skal danne grunnlag for slik fremtidig regulering.