Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Innstilling fra næringskomiteen om lov om endringer i lov 15. juni 2001 nr. 81 om elektronisk signatur og andre lover

Dette dokument

Innhold

Til Odelstinget

Elektronisk signatur er den generelle betegnelsen på teknikker som kan benyttes til å "signere" digital informasjon, og kan bl.a. benyttes til å koble innholdet til en person/avsender. Denne proposisjonen inneholder et forslag om å ta inn en forskriftshjemmel i lov 15. juni 2001 nr. 81 om elektronisk signatur slik at det vil være mulig å etablere frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger for tilbydere av elektroniske signaturer. Slike tilbydere kalles i lov om elektronisk signatur for sertifikatutstedere.

Det er relativt komplisert for brukere å avgjøre hvorvidt en elektronisk signatur og dens tilbyder oppfyller relevante krav i regelverket for de ulike bruksområder. Departementet ønsker å gjøre dette enklere ved å åpne for at det i forskrift skal kunne etableres frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger. Ved å forholde seg til at sertifikatutstederen for eksempel er sertifisert, vil en mottaker kunne være sikker på at avsenderens elektroniske signatur er til å stole på. Frivillige sertifiserings-, godkjennings- og selvdeklarasjonsordninger vil på denne måten kunne bidra til å øke tilliten til og derved øke bruken av elektroniske signaturer. Samtidig vil slike ordninger kunne koordinere krav til elektronisk signatur.

Nærings- og handelsdepartementet tar sikte på at det ved sertifiserings-, godkjennings- eller selvdeklarasjonsordningene skal kunne stilles tilleggskrav til de krav som allerede gjelder for kvalifiserte sertifikater etter lov om elektronisk signatur, samt utstedere av slike. Ordningene vil også kunne stille krav til sertifikater og sertifikatutstedere på andre sikkerhetsnivåer. I proposisjonen pkt. 3.3.3 blir det redegjort nærmere for de forskjellige ordningene. Begrepene er også definert i forslag til § 3 ny nr. 11 til nr. 13.

Omfanget og den nærmere utformingen av de forskjellige sertifiseringsordningene mv. reguleres i forskrift og vil avhenge av hvilket nivå av sikkerhet som er ønskelig for det enkelte området. I første omgang tar departementet sikte på at forskriftshjemmelen kan benyttes til å etablere en ordning for sertifisering av sertifikatutsteder i henhold til enkelte av kravene i "Kravspesifikasjon for PKI i offentlig sektor", som nylig er publisert av Moderniseringsdepartementet. Videre vil ordningen benyttes til sertifisering av løsninger som skal benyttes som gyldig legitimasjon etter hvitvaskingsregelverket. Sistnevnte vil legge til rette for en sidestilling av fysisk (dvs. tradisjonell) og elektronisk legitimasjon.

Departementet ønsker også å utforme forskriftshjemmelen slik at den gir hjemmel til å etablere frivillige sertifiseringsordninger mv. for e-signaturløsninger innenfor andre regelområder og med andre formål.

Nærmere bestemmelser om bl.a. utpeking av sertifiseringsorgan, klageadgang og gebyr reguleres i forskrift.

Det foreslås også mindre endringer i hvitvaskingsloven. Hvitvaskingsloven bruker begrepet "skriftlig legitimasjon" om det man oppfatter som tradisjonelle legitimasjonsdokumenter, jf. § 5 første ledd tredje punktum. I denne proposisjonen foreslås det at begrepet "skriftlig legitimasjon" endres til "fysisk legitimasjon". Sistnevnte blir også brukt i det følgende.

Videre foreslås det en mindre justering i ehandelsloven.

Våren 2003 vedtok Stortinget ny lov av 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. (hvitvaskingsloven). Ifølge hvitvaskingsforskriften er gyldig legitimasjon en "skriftlig" (fysisk) legitimasjon utstedt av offentlig myndighet eller annet organ som har betryggende kontrollrutiner. Hvitvaskingsloven inneholder imidlertid en forskriftshjemmel som åpner for bruk av elektroniske signaturer som gyldig legitimasjon, noe som vil muliggjøre at slike tjenester i sin helhet kan utføres elektronisk. Denne hjemmelen er ikke tatt i bruk.

Ved behandlingen av hvitvaskingsloven vedtok Stortinget i juni 2003 at Regjeringen på egnet måte skulle fremme nødvendige forslag for å sidestille "skriftlig" (fysisk) og elektronisk legitimasjon. Oppgaven med å gjennomføre sidestillingen ble lagt til Nærings- og handelsdepartementet.

Den 9. mars 2004 sendte Nærings- og handelsdepartementet ut et høringsforslag om endringer i lov om elektronisk signatur. Forslaget besto i å ta inn en forskriftshjemmel i loven for å kunne etablere frivillige sertifiserings- og godkjenningsordninger.

Departementet ønsket høringsinstansenes synspunkter på forslaget om å ta inn en forskriftshjemmel i lov om elektronisk signatur som gir adgang til å etablere frivillige sertifiserings- og godkjenningsordninger innenfor andre områder enn hva som er nødvendig for å følge opp Stortingets anmodningsvedtak. Departementet ønsket videre høringsinstansenes synspunkter på hvorvidt det er hensiktsmessig å ha en slik forskriftshjemmel i et sektornøytralt regelverk som lov om elektronisk signatur.

Det store flertallet av høringsinstansene er positive til etablering av en frivillig sertifiserings- eller godkjenningsordning. Det er også bred enighet blant høringsinstansene om at det er fornuftig at hjemmelen for slike ordninger legges i sektornøytralt regelverk, dvs. i lov om elektronisk signatur.

Finansnæringens Hovedorganisasjon og Sparebankforeningen har motforestillinger til at det etableres en slik forskriftshjemmel i lov om elektronisk signatur. Begrunnelsen for dette er bl.a. at det etter deres mening vil innebære et fordyrende, begrensende og byråkratisk element i utviklingen av næringsinitierte løsninger for elektroniske signaturer. Statskonsult er av den oppfatning at forslaget burde begrenses til kun å ivareta behovet for å oppnå sidestilling mellom fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket. Norsk Akkreditering anbefaler at sertifiseringsordningen baseres på en akkreditert ordning, da det vil fremme en internasjonal harmonisering ved at internasjonale standarder kan anvendes.

Departementet mener at det vil være viktig for tilliten til og utbredelsen av elektroniske signaturer at slike ordninger kommer på plass. Ordningene vil videre kunne brukes til å koordinere kravene i forhold til elektronisk kommunikasjon. På denne måten vil ordningene kunne virke positivt på utbredelsen av elektroniske signaturer, ikke begrensende. Hvordan ordningene skal tilrettelegges må vurderes konkret ved utformingen av forskriftene.

For å oppfylle våre internasjonale forpliktelser etter direktiv om elektroniske signaturer (1999/93/EF) vil det være viktig at kravene til de frivillige sertifiseringsordningene mv. er klare, proporsjonale, transparente og ikke-diskriminerende. Som et generelt krav stilles at det ikke skal være noen begrensninger i antall sertifiserte tjenestetilbydere. Det er videre ikke ønskelig å begrense den foreslåtte forskriftshjemmelen til kun å omfatte akkreditert sertifisering.

Med den foreslåtte forskriftshjemmelen vil departementet også følge opp arbeidet i VideRe-prosjektet (tidligere eRegelprosjektet). Prosjektets formål er å fjerne unødige rettslige hindringer for elektronisk kommunikasjon og at elektronisk kommunikasjon skal bli like akseptert, tillitsvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon.

Etter departementets vurdering er det hensiktsmessig å åpne for å kunne kreve gebyr for sertifiseringsordninger mv. Det foreslås derfor at departementet i forskrift kan bestemme at det skal betales gebyr til organet som utpekes som ansvarlig for ordningene. Gebyret må imidlertid ikke overstige kostnadene ved organets virksomhet knyttet til den aktuelle ordningen.

Departementet foreslo i høringsnotatet å åpne for å straffesanksjonere overtredelser av krav i forskrift hjemlet i ny § 16 a foretatt av sertifikatutsteder.

Høringsnotatet pekte også på behovet for å etablere ordninger for tilbakekalling av sertifiseringer eller godkjenninger, samt mulighet for bruk av tvangsmulkt. Det ble påpekt at slike bestemmelser må tilpasses de ulike sertifiserings- eller godkjenningsordningene, og derfor burde reguleres nærmere i forskrift til § 16 a. Departementet foreslo at det i lov om elektronisk signatur § 21 første ledd bokstav e skulle tas inn en bestemmelse om at forsettlig eller grov uaktsom overtredelse av bestemmelser i forskrift hjemlet i § 16 a kan straffes med bøter.

Det er først og fremst i forhold til forslaget om straffebestemmelser i høringsnotatet at høringsinstansene har merknader.

Etter en nærmere vurdering har departementet valgt ikke å foreslå straffesanksjoner for overtredelser av krav i forskrift hjemlet i ny § 16 a, slik det ble foreslått i høringsnotatet. Departementet har vurdert alvorlighetsgraden i mulige overtredelser av den kommende forskriftsreguleringen og antar at det vil være tilstrekkelig med tilbakekall og eventuelt tvangsmulkt som reaksjoner ved brudd på forskriften. Ulovlig bruk av en elektronisk signatur, f.eks. utstedelse av og bruk av "falsk" signatur eller ulovlig bruk av annens elektroniske signatur, vil kunne straffes i henhold til bl.a. straffelovens bestemmelser om dokumentfalsk og bedrageri. Departementet ser derfor ikke behov for ytterligere straffehjemler. Departementet opprettholder forslaget om mulighet til å etablere ordninger hvor det ansvarlige organ kan tilbakekalle sertifiseringer/godkjenninger, og finner det naturlig at nærmere regler om dette gis i forskrift.

Etter at direktivet om elektronisk signatur ble vedtatt og Ot.prp. nr. 82 (1999-2000) om lov om elektronisk signatur ble fremmet for Stortinget, har det på europeisk nivå pågått standardiseringsarbeid for å følge opp viktige rettslige krav i direktivet. Ifølge standarden TS 101 862, utarbeidet av ETSI (European Telecommunications Standards Institute), finnes det to muligheter for å angi at sertifikatet er utstedt som et kvalifisert sertifikat. Den ene muligheten er å ha en peker i sertifikatet til en sertifikatpolicy, den andre måten er at det i selve sertifikatet klart fremgår at de samme kravene er oppfylt. Blant annet på denne bakgrunn anbefalte departementet i høringsnotatet at kravet i lov om elektronisk signatur også skulle kunne oppfylles ved å ha en peker fra det kvalifiserte sertifikatet til en angitt sertifikatpolicy.

Etter at høringsnotatet ble sendt på alminnelig høring har ETSIs standarddokument "Qualified Certificate Profile" TS 101 862 blitt justert, slik at det stilles krav om at kvalifiserte sertifikater skal innholde opplysninger om at de er utstedt som kvalifiserte. Departementet har imidlertid valgt å opprettholde det opprinnelige forslaget. Det vil ikke være hensiktsmessig å stille krav som unødig begrenser antallet sertifikattilbydere som kan tilby kvalifiserte sertifikater eller som vil gjøre bruken av slike dyrere, uten at det samtidig fører til bedre eller sikrere produkter og tjenester.

Videre er det allerede etablert en praksis for å godkjenne sertifikater med slike pekere som kvalifiserte sertifikater. Det ville være forbundet med store kostnader for aktørene i markedet om man skulle reversere denne praksisen, og departementet har heller ikke kunnet registrere noen svikt i sikkerheten eller mindre tillit pga. praksisen.

Direkte økonomiske eller administrative konsekvenser vil oppstå først når den nå foreslåtte forskriftshjemmelen blir tatt i bruk og det etableres sertifiseringsordninger mv. i tråd med den. Selv om konsekvensene vil avhenge av innholdet i de forskrifter som opprettes etter denne hjemmel, ser departementet for seg at lovforslaget med kommende forskrifter vil kunne få en samordnende funksjon i forhold til de krav som skal stilles for sertifikattjenester, f.eks. elektronisk signatur. Dette vil kunne føre med seg økonomiske og administrative fordeler både for offentlig og privat sektor. Bruk av sertifiseringsordninger mv. kan begrense antallet forskjellige løsninger for bruk av f.eks. elektronisk signatur. Videre er det en fordel for brukerne av elektronisk kommunikasjon at flere brukersteder støtter samme typer av løsninger slik at f.eks. samme elektroniske melding kan brukes i kontakt med ulike brukersteder i offentlig forvaltning og eventuelt også med private aktører.

Komiteen, medlemmene fra Arbeiderpartiet, lederen Olav Akselsen, Bendiks H. Arnesen, Grethe Fossli og Aud Gaundal, fra Høyre, Silja Ekeland Bjørkly, Ivar Kristiansen og Michael Momyr, fra Fremskrittspartiet, Øystein Hedstrøm og Lodve Solholm, fra Sosialistisk Venstreparti, Åsa Elvik og Inge Ryan, fra Kristelig Folkeparti, May-Helen Molvær Grimstad og Einar Steensnæs, og fra Senterpartiet, Odd Roger Enoksen, har merket seg at lovforslaget kommer på bakgrunn av Stortingets vedtak i forbindelse med behandlingen av hvitvaskingsloven i 2003, der man ba Regjeringen ved Nærings- og handelsdepartementet om å komme tilbake til Stortinget med nødvendige forslag for å sidestille "skriftlig" og elektronisk legitimasjon.

Videre registrerer komiteen at høringsinstansene er nesten utelukkende positive til at det med lovforslaget åpnes for å etablere frivillige sertifiserings- og godkjenningsordninger.

Komiteen har merket seg at formålet med forskriftshjemmelen er å høyne nivået på sertifikattjenester og dermed bidra til økt tillit til, og sidestilling av fysisk og elektronisk legitimasjon.

Komiteen er enig i at hjemmelen skal utformes slik at den gir adgang til å etablere frivillige sertifiserings- eller selvdeklarasjons- eller godkjenningsordninger innenfor andre områder og med andre formål enn bare å akseptere elektronisk identifisering etter hvitvaskingsregelverket.

Komiteens tilråding fremmes av en samlet komité.

Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Odelstinget til å gjøre følgende

vedtak til lov

om endringer i lov 15. juni 2001 nr. 81 om elektronisk signatur og andre lover

I

I lov 15. juni 2001 nr. 81 om elektronisk signatur gjøres følgende endringer:

Lovens tittel skal lyde:

Lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven)

§ 2 første ledd skal lyde:

Loven gjelder for sertifikatutstedere som er etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer, med unntak av § 6 annet punktum, § 7 og § 16 a som gjelder alle elektroniske signaturer.

§ 3 nr. 10 og ny nr. 11 til 13 skal lyde:

10. sertifikatutsteder: en fysisk eller juridisk person som utsteder sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur,

11. sertifiseringsordning: enhver ordning der en tredjepart skriftlig bekrefter at en sertifikatutsteders produkter, prosesser eller tjenester oppfyller spesifiserte krav, og der sertifikatutsteder ikke er berettiget til å utøve de rettighetene som sertifiseringen gir før vedkommende har mottatt tredjeparts bekreftelse,

12. godkjenningsordning: enhver ordning der en tredjepart gir tillatelse til at en sertifikatutsteders produkter, prosesser eller tjenester markedsføres eller brukes til nærmere angitte formål eller under angitte betingelser,

13. selvdeklarasjonsordning: enhver ordning der sertifikatutstedere sender inn en selvdeklarasjon til tredjepart med angivelse av at nærmere angitte krav er oppfylt.

§ 15 første ledd bokstav b skal lyde:

b) opplysninger om eventuelle frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger, og

Nytt kapittel III a skal lyde:

Kapittel III a Frivillige sertifiseringsordninger, godkjenningsordninger eller selv­deklarasjonsordninger

§ 16 a Etablering av frivillige sertifiserings­ordninger, godkjenningsordninger eller selvdeklarasjonsordninger

Departementet kan ved forskrift innføre frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger med sikte på å høyne nivået for sertifikattjenester for å øke tilliten til og bruken av slike tjenester.

Departementet kan i forskriften bestemme hvilke krav som skal stilles for slike ordninger, utpeke ansvarlig organ og bestemme at det skal betales gebyr til organet. Gebyrene må ikke overstige kostnadene ved organets virksomhet.

For å bringe lovstridig virksomhet til opphør eller sikre at pålegg eller vilkår gitt i forskrift med hjemmel i denne bestemmelsen etterkommes, kan organet utpekt etter annet ledd ilegge løpende tvangsmulkt etter reglene i § 20.

§ 25 annet ledd bokstav a skal lyde:

a) utstederen oppfyller kravene i en EØS-stat og har blitt godkjent i henhold til en frivillig sertifiserings- eller godkjenningsordning i den staten,

II

I lov 23. mai 2003 nr. 35 om visse sider av elektronisk handel og andre informasjonssamfunnstjenester skal § 19 første ledd lyde:

Bestemmelsene i §§ 16 til 18 medfører ikke at tjenesteyteren har en generell plikt til å kontrollere eller overvåke den informasjonen som lagres eller overføres på oppfordring fra en tjenestemottaker, eller en generell plikt til å undersøke forhold som antyder ulovlig virksomhet.

III

I lov 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. skal § 5 første ledd lyde:

Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Plikten gjelder også for den rapporteringspliktiges ansatte. Som gyldig legitimasjon regnes alltid fysisk legitimasjon.

IV

Loven gjelder fra den tid Kongen bestemmer.

Oslo, i næringskomiteen, den 12. mai 2005

Olav Akselsen Silja Ekeland Bjørkly
leder ordfører