Erhvervs-, Vækst- og Eksportudvalget 2012-13
KOM (2012) 0238 Bilag 2
Offentligt
1163492_0001.png
SUPPLERENDE GRUND- OG
NÆRHEDSNOTAT TIL
FOLKETINGETS EUROPAUDVALG
Forslag til forordning e-signatur og elektronisk identifikation
Ændringer er markeret med streg i marginen.
1. Resumé
Kommissionen har den 4. juni 2012 stillet forslag om en forordning om identi-
fikation og tillidstjenester. Forslaget er fremsat med henblik på at fremme
borgere og virksomheders muligheder for at anvende elektroniske tjenester på
tværs af EU's indre grænser.
Forslaget skal erstatte det eksisterende direktiv om elektroniske signaturer,
1999/93/EF, men har et bredere anvendelsesområde, idet forordningen i tillæg
til regulering af elektroniske signaturer også regulerer en bredere gruppe af
elektroniske tillidstjenester samt elektroniske identiteter og dokumenter.
2. Baggrund
Kommissionen har den 4. juni 2012 fremsat forslag til forordning om elektro-
nisk identifikation og tillidstjenester til brug for elektroniske transaktioner på
det indre marked (KOM(2012) 238).
Forslaget til forordningen er baseret på TEUF artikel 114 om harmonisering af
medlemsstaternes lovgivninger vedrørende det indre markeds funktion og den
frie bevægelighed for tjenesteydelser.
Forslaget skal vedtages af Rådet og Europa-Parlamentet efter den almindelige
lovgivningsprocedure, jf. traktatens artikel 294. Rådet træffer afgørelse med
kvalificeret flertal.
Baggrunden for forslaget er, at lovgivning om elektroniske signaturer samt
gensidig anerkendelse af elektronisk identifikation og autentifikation er
nøgletiltag i Den digitale dagsorden for Europa (KOM(2010)245).
Lovgivning om gensidig anerkendelse af elektronisk identifikation og
autentifikation på EU-plan og revision af direktivet om digitale signaturer er
også blandt nøgletiltagene i akten for det indre marked (KOM(2011)206).
Endelig understreger køreplanen for stabilitet og vækst (KOM(2011)669)
PDF to HTML - Convert PDF files to HTML files
2/19
vigtigheden af at udvikle den digitale økonomi ved hjælp af den fremtidige
lovramme, der skal sikre gensidig anerkendelse og accept af elektronisk
identifikation og autentifikation på tværs af grænserne.
Den eksisterende EU-lovgivning dækker udelukkende elektroniske signaturer
og udgør ikke en omfattende sektor- og grænseoverskridende EU-ramme for
sikre, pålidelige og brugervenlige elektroniske transaktioner, der omfatter elek-
tronisk identifikation, autentifikation og signaturer.
I forbindelse med fremsættelse af det foreliggende forordningsforslag afgav
Kommissionen en konsekvensanalyse (KOM (2012) 238 endelig). I analysen
beskrives de overvejelser, der ligger til grund for Kommissionens forslag.
Det anføres bl.a., at der er identificeret en opsplitning af markedet, idet der
gælder forskellige regler for tjenesteydere afhængig af, i hvilken medlemsstat
de leverer ydelsen. Disse forskellige nationale lovgivninger gør det svært for
brugerne at føle sig sikre, når de interagerer på internettet.
De fire vigtigste årsager til disse problemer er ifølge Kommissionen:
A. Utilstrækkeligt anvendelsesområde for det nuværende lovgrundlag
B. Utilstrækkelig koordination mellem udvikling af elektroniske signatu-
rer og elektronisk identifikation
C. Utilstrækkelig gennemsigtighed i sikkerhedsgarantier
D. Manglende bevidsthed/brugeranvendelse
Det er Kommissionens vurdering, at disse problemer alene vil blive løst, hvis
der introduceres ny lovgivning med en udvidelse af anvendelsesområdet. For
at sikre umiddelbar anvendelighed uden fortolkning og dermed større harmo-
nisering har Kommissionen besluttet at benytte forordningsmodellen som ret-
ligt instrument.
Ligesom det er tilfældet med direktiv 99/93/EF, er retsgrundlaget for lov-
forslaget artikel 114 i TEUF om det indre marked, fordi den har til formål at
fjerne eksisterende hindringer for det indre markeds funktion ved at fremme
gensidig anerkendelse og accept af elektronisk identifikation, elektroniske sig-
naturer og supplerende tillidstjenester på tværs af grænserne, når det er nød-
vendigt i forbindelse med elektroniske transaktioner.
Kommissionen anfører, at en indsats på EU-plan er tilstrækkelig og forholds-
mæssig til at gennemføre det digitale indre marked på grund af de elektroniske
tjenesters iboende ikke-territoriale karakter. Lovgivningsmæssige foranstalt-
ninger truffet på nationalt plan kan som følge heraf ikke forventes at give det
samme udfald. Det er derfor Kommissionens vurdering, at EU-intervention er
påkrævet, hensigtsmæssig og berettiget.
PDF to HTML - Convert PDF files to HTML files
1163492_0003.png
3/19
3. Formål og indhold
3.1 Indledning
Forslaget til forordning har til formål at erstatte direktiv 1999/93/EF om en
fællesskabsramme for elektroniske signaturer. Dette direktiv vil blive ophævet
ved forordningens ikrafttrædelse. Den danske implementering af direktiv
1999/93/EF er sket ved lov nr. 417 af 31. maj 2000 om elektroniske signaturer.
Denne lov regulerer ikke forhold ud over direktivet, hvorfor den ligeledes ved
forordningens ikrafttrædelse skal ophæves.
En ophævelse af lov om elektroniske signaturer forventes i sig selv ikke at ha-
ve praktisk betydning for Danmark, idet der ikke i øjeblikket udstedes elektro-
niske signaturer på baggrund heraf. Forslaget til forordning regulerer imidler-
tid et bredere område, end hvad der følger af den eksisterende regulering. Ved-
tagelse af forslaget vil derfor formentlig betyde, at den danske standard for Of-
fentlige Certifikater til Elektronisk Service (OCES) og signaturer udstedt i
medfør heraf vil blive omfattet af forordningen.
En række væsentlige tekniske forhold, herunder særligt vedrørende anvendelse
af standarder og sikring af interoperabilitet mellem medlemsstaterne er endnu
ikke fastlagt. Dette betyder, at det på nuværende tidspunkt ikke er muligt præ-
cist at fastslå, hvorledes forslaget til forordning vil blive udmøntet i praksis.
Kommissionen er som beskrevet nedenfor bemyndiget til at vedtage nærmere
om disse forhold efter forordningens ikrafttræden.
Det bemærkes, at forslaget som beskrevet ovenfor i en række henseender tager
udgangspunkt i den regulering, der følger af det gældende direktiv om en fæl-
lesskabsramme for elektroniske signaturer, der er gennemført i dansk ret ved
lov om elektroniske signaturer. På denne baggrund vil der i det følgende ho-
vedsageligt blive fokuseret på de nyskabelser og ændringer, som forslaget vil
indebære.
I det følgende (afsnit 3.2 til afsnit 3.7) gennemgås de enkelte kapitler i forsla-
get til forordning.
3.2 Generelle bestemmelser (kapitel I)
I kapitel 1 fastsættes regler om forordningens genstand og formål og dens ma-
terielle og territorielle anvendelsesområder. Endvidere defineres en række ud-
valgte begreber.
Forslaget til forordningen har til formål at sikre fri bevægelighed inden for det
indre marked for tillidstjenester og produkter, der overholder forordningens
bestemmelser.
PDF to HTML - Convert PDF files to HTML files
4/19
Forslagets overordnede formål er at fastlægge regler for:
1)
Elektronisk identifikation i form af elektroniske identifikationsordninger
2)
Elektroniske tillidstjenester til brug for elektroniske transaktioner
med det formål at sikre, at det indre marked kan fungere efter hensigten.
Ad.1) Elektronisk identifikation
Elektroniske identifikationsordninger har i praksis karakter af nationale elek-
troniske ID ordninger og har til formål at autentificere en borger over for en
onlinetjeneste.
Forslaget til forordning fastlægger betingelser, under hvilke medlemsstaterne
skal anerkende og acceptere fysiske og juridiske personers elektroniske identi-
fikationsmidler, der er omfattet af en elektronisk identifikationsordning, som
er anmeldt af en anden medlemsstat.
Ad. 2) Elektroniske tillidstjenester
Elektroniske tillidstjenester til brug for elektroniske transaktioner adresserer
det område, der er omfattet af den eksisterende regulering. Med forslaget til
forordning suppleres den eksisterende regulering af elektroniske signaturer
med en række yderligere tillidstjenester.
Forslaget opstiller således en retlig ramme for følgende tillidstjenester:
Elektroniske signaturer
Elektroniske segl
Elektroniske tidsstempler
Elektroniske dokumenter
Elektroniske leveringstjenester
Webstedsautentifikation
Til forskel for i dag indebærer forsalget, at alle tillidstjenester er omfattet, uan-
set om de har status som kvalificeret eller ej.
Det fremgår af forslaget til forordning, at den ikke finder anvendelse på leve-
ring af elektroniske tillidstjenester på grundlag af privatretlige frivillige aftaler.
Endelig omfatter forslaget til forordningen ikke aspekter i forbindelse med
kontrakters indgåelse og gyldighed eller andre retlige forpligtelser, som ifølge
national ret eller EU-ret er undergivet formkrav.
Forordningens anvendelsesområde er afgrænset til ikke at omfatte elektroniske
tillidstjenester på grundlag af privatretlige frivillige aftaler. Det eksisterende
direktiv undtager ligeledes udstedelse baseret på frivillige privatretlige aftaler,
men kvalificerer dette som systemer med et begrænset antal deltagere. Det er
PDF to HTML - Convert PDF files to HTML files
5/19
uklart om det er hensigten, at forordningens anvendelsesområde skal kvalifice-
res tilsvarende.
3.3 Elektronisk identifikation (kapitel II)
I forordningsforslagets kapitel II fastlægges reglerne for elektroniske identifi-
kationsordninger.
Forslaget har til hensigt at sikre gensidig anerkendelse og accept af elektroni-
ske identifikationsordninger, således at disse kan anvendes på tværs af med-
lemsstaterne.
Forslaget forpligter således medlemsstaterne til gensidigt at anerkende og ac-
ceptere elektroniske identifikationsmidler, der er anmeldt til Kommissionen.
Forordningen forpligter ikke medlemsstaterne til at indføre eller anmelde elek-
troniske identifikationsordninger, men de skal anerkende og acceptere anmeld-
te elektroniske identifikationsmidler fra andre medlemslande for de onlinetje-
nester, hvor elektronisk identifikation er nødvendig for at få adgang på natio-
nalt plan.
Efter forslaget kan identifikationsordninger anmeldes til Kommissionen af
medlemsstaterne og de herunder udstedte identifikationsmidler skal enten være
udstedt af, udstedt på vegne af eller under ansvar af den medlemsstat, der an-
melder.
Medlemsstaterne skal påtage sig ansvaret for, at anmeldte identifikationsmid-
ler er korrekt udstedt (der er entydig tilknytning mellem juridisk eller fysisk
person og identifikationsdata) og skal til enhver tid stille en gratis autentifika-
tionsmulighed til rådighed online, så personidentifikationsdata kan valideres.
For at sikre at der etableres interoperabilitet mellem elektroniske identifikati-
onsmidler og for at øge sikkerheden i disse identifikationsmidler fastlægges en
samarbejdsforpligtelse mellem medlemsstaterne.
Det samlede regime knyttet til elektroniske identifikationsordninger er en væ-
sentlig nyskabelse i forhold til den eksisterende regulering, herunder særligt
det forhold at medlemsstaterne er ansvarlige for identifikationsordningen og de
heri indeholdte identifikationsmidler.
Det ansvar, der er forbundet med medlemsstaternes identifikationsordning og
konsekvenserne heraf skal afklares i forbindelse med de kommende forhand-
linger.
PDF to HTML - Convert PDF files to HTML files
6/19
3.4 Tillidstjenester (kapitel III)
3.4.1 Indledning
Forordningsforslagets kapitel III regulerer tillidstjenester. Kapitlet adresserer
således det domæne, der kendes fra den eksisterende regulering (elektroniske
signaturer), men tilføjer som noget nyt regulering af en række yderligere til-
lidstjenester, som skal bidrage til at understøtte den praktiske og juridiske
ramme for elektroniske transaktioner.
Kapitlet er opdelt i otte afdelinger, der hver regulerer et specifikt område.
I afdeling 1 fastlægges en række generelle bestemmelser, i afdeling 2 beskri-
ves den nationale tilsynsforpligtelse, i afdeling 3 fastlæggelses den juridiske
ramme for elektroniske signaturer og i afdeling 4 til 8 etableres en juridisk
ramme for de nye tillidstjenester, der introduceres med forslaget.
Forslaget fastholder terminologien fra den eksisterende regulering, hvor der
skelnes mellem kvalificerede og ikke kvalificerede ydelser (i forslaget be-
nævnt
tillidstjenester).
For at opnå ret til at udbyde tillidstjenester med betegnelsen kvalificerede skal
tjenesteyderen underlægge sig en række specifikke krav til sikkerhed og tilsyn.
3.4.2 Generelle bestemmelser (Kapitel III, Afdeling 1)
Forslaget fastlægger ansvaret for tillidstjenesteydere (tjenesteyder, der udste-
der en elektronisk tjeneste omfattet af forordningen).
Som en nyskabelse medfører forslaget en udvidelse af hvilke tillidstjeneste-
ydere, der er omfattet af det regulerede ansvar, således at dette ikke blot retter
sig mod kvalificerede tillidstjenesteydere (der udbyder kvalificerede tillidstje-
nester) men også til tillidstjenesteydere generelt.
Der fastlægges et skærpet ansvarsgrundlag i form af et præsumptionsansvar,
således at tjenesteyderen i forbindelse med en hændelse er pålagt bevisbyrden
for, at der ikke er udvist forsømmelighed.
Enhver tillidstjenesteyder er ansvarlig for enhver form for direkte skade, der
forårsages for en fysisk eller juridisk person som følge af manglende overhol-
delse af forordningsforslagets bestemmelser om god sikkerhedspraksis.
For kvalificerede tjenesteydere omfatter det skærpede ansvar alle forordnin-
gens bestemmelser, herunder de særlige krav til kvalificerede tillidstjeneste-
ydere. I forhold til i dag er dette en væsentlig udvidelse af tjenesteydernes an-
svar for udførelse af deres opgaver.
PDF to HTML - Convert PDF files to HTML files
7/19
I forslaget fastslås, at kvalificerede tillidstjenester, hvor udbyderen er etableret
i et tredjeland skal accepteres på linje med kvalificerede tillidstjenester, der le-
veres af en udbyder i Unionen. En forudsætning for accept er dog, at der fore-
ligger en aftale om anerkendelse mellem EU og tredjelande eller internationale
organisationer.
I forslaget foretages en henvisning til persondatadirektivet. På denne baggrund
pålægges tillidstjenesteudbydere og tilsynsorganer at sikre en rimelig og lovlig
behandling af personoplysninger.
Tillidstjenesteyderens ansvar understreges ved at de ifølge forordningsforsla-
get skal garantere fortroligheden og integriteten af oplysningerne vedrørende
de personer, der leveres tillidstjenester til.
På baggrund af FN-konventionen om handicappedes rettigheder, der er trådt i
kraft i EU, introducerer forordningsforslaget som noget nyt et krav om, at til-
lidstjenester og slutbrugerprodukter, der bruges til levering af disse tjenester,
skal være tilgængelige for handicappede, hvor det er muligt.
3.4.3 Tilsyn (Kapitel III – afdeling 2)
Kapitel III, afdeling 2 indeholder regler om de sikkerhedsmæssige krav, som
tillidstjenesteydere skal opfylde samt en nærmere beskrivelse af det tilsyn, der
skal udføres af et tilsynsorgan for sikre, at kravene opfyldes. Endelig indehol-
der afdeling 2 en kort beskrivelse af krav til iværksættelse af kvalificerede til-
lidstjenester.
Sikkerhedskrav
Forslaget opstiller en række krav, som tillidstjenesteyderne skal opfylde, såle-
des at der under hensyn til den teknologiske udvikling til stadighed kan garan-
teres et tilfredsstillende sikkerhedsniveau. Tillidstjenesteudbyderne pålægges
ligeledes en pligt til at informere tilsynsorganet om eventuelle brud på sikker-
heden.
Kvalificerede tillidstjenesteydere er efter forslaget underlagt en række speci-
fikke sikkerhedskrav, herunder særligt i forhold til kontrol af identiteten på de
fysiske eller juridiske personer, der skal have udstedt et kvalificeret certifikat.
Som noget nyt stilles der eksplicit krav om, at identiteten skal være kontrolle-
ret ved fysisk fremmøde i forbindelse med udstedelse af et kvalificeret certifi-
kat. Udstedelse på baggrund af online ansøgning kan kun ske med anvendelse
af et anmeldt identifikationsmiddel, som er udstedt på baggrund af fysisk
fremmøde.
PDF to HTML - Convert PDF files to HTML files
8/19
Kravet om fysisk fremmøde svarer grundlæggende til den eksisterende danske
regulering, hvor det fysiske fremmøde dog kan udelades, hvis tillidstjeneste-
yderen på forhånd har kendskab til den person, som certifikatet udstedes til.
Det er en nyskabelse, at der ligeledes kan udstedes certifikater til juridiske per-
soner. Det skal bemærkes, at juridiske personer skal gennemføre den samme
identifikationsproces, som fysiske personer.
Forslagets krav til sikring af identitet på den person, som et certifikat udstedes
til, suppleres af en række yderligere krav til den kvalificerede tillidstjeneste-
yder, herunder anvendelse af pålidelige systemer og processer.
Tilsyn
I overensstemmelse med den eksisterende regulering forpligtes medlemssta-
terne til at nedsætte nationale tilsynsorganer, der kan foretage overvågning af
tillidstjenesteudbydere og føre tilsyn med kvalificerede tillidstjenesteudbydere.
Forslaget til forordning indfører både udvidede forpligtelser og udvidede befø-
jelser for de nationale tilsynsorganer.
Kvalificerede tillidstjenesteydere er underlagt et tilsyn, der bl.a. omfatter at et
anerkendt uafhængigt kontrolorgan en gang om året foretager en kontrol af til-
lidstjenesteyderne og dennes kvalificerede tjenester. Dette kontrolorgan an-
vendes til at dokumentere, at den kvalificerede tillidstjenesteydere lever op til
kravene i forordningen. Resultaterne af kontrollen skal forelægges for tilsyns-
organet i en sikkerhedskontrolrapport.
Tilsynsorganet gives efter forslaget ret til at foretage kontrolbesøg hos kvalifi-
cerede tillidstjenesteydere både på eget initiativ og på anmodning fra Kommis-
sionen, hvilket er en skærpelse i forhold til eksisterende lovgivning.
I hvilket omfang, Kommissionen kan forpligte et nationalt tilsyn til at foretage
kontrolbesøg, er ikke tydeligt.
Forslaget giver tilsynsorganer ret til at udstede bindende instrukser til tillids-
tjenesteydere vedr. sikkerhedsmæssige forhold. Udstrækningen af bestemmel-
sen er uklar og bør søges klarlagt i det videre lovgivningsarbejde.
Som noget helt nyt indføres en eksplicit forpligtelse til gensidig bistand mel-
lem tilsynsorganerne i medlemsstaterne med det formål at muliggøre grænse-
overskridende tilsyn. Forslaget indfører regler om fælles foranstaltninger samt
tilsynsorganernes ret til at deltage i sådanne foranstaltninger hos de andre med-
lemsstater.
Idet alene kvalificerede tillidstjenesteudbydere er underlagt en anmeldelses-
forpligtelse, er det ikke beskrevet hvorledes tilsynsorganerne i praksis skal
PDF to HTML - Convert PDF files to HTML files
9/19
overvåge (ikke kvalificerede) tillidstjenesteudbydere. Dette forhold skal afkla-
res i forbindelse med de kommende forhandlinger.
Tilsynsorganerne bliver pålagt en række udvidede forpligtelser i forhold til af-
rapportering til Kommissionen, Det Europæiske Agentur for Net- og Informa-
tionssikkerhed (ENISA) og de øvrige medlemsstater.
Iværksættelse af en kvalificeret tillidstjeneste
Ifølge forslaget til forordning skal en tillidstjenesteyder, der ønsker at iværk-
sætte en kvalificeret tillidstjeneste foretage anmeldelse til tilsynsorganet. Her-
efter kan tillidstjenesteyderen udbyde kvalificerede tillidstjenester. Den eksi-
sterende regulering, hvorefter der ikke stilles krav om forudgående godkendel-
se af en kvalificeret tillidstjenesteyder bibeholdes således i forslaget til forord-
ning.
Efter anmeldelse af en kvalificeret tillidstjeneste til et tilsynsorgan optages den
ansøgende tjenesteyder på en positivliste, der opretholdes af medlemsstaten.
Parallelt hermed foretager tilsynsorganet en nærmere kontrol af, om vedkom-
mende udbyder, opfylder kravene i denne forordning. I perioden indtil god-
kendelse må et offentligt organ ikke afvise at bruge den anmeldte tillidstjene-
ste til at gennemføre en administrativ procedure eller formalitet.
Forslaget til forordning er uklar i forhold til de nærmere procedurer for afslag
på godkendelse af kvalificerede tillidstjenester og skal afklares i forbindelse
med de kommende forhandlinger.
Som en nyskabelse fastlægges det eksplicit, at kvalificerede tillidstjenesteyde-
re gratis skal stille oplysninger om gyldigheden på udstedte certifikater til rå-
dighed. En anden nyskabelse er forslag til eksplicitte krav til den hastighed,
hvormed kvalificerede tillidstjenesteydere skal registrere og offentliggøre til-
bagekaldelse af et certifikat.
3.4.4 Elektronisk signatur (Kapitel III – afdeling 3)
I forordningsforslagets kapitel III, afdeling 3 om elektronisk signatur fastlæg-
ges de juridiske rammer for anerkendelse af elektroniske signaturer samt spe-
cifikke tekniske krav til elektroniske signaturer og tilhørende certifikater.
Retsvirkninger og accept af elektroniske signaturer
For at sikre ensartede retsvirkninger i medlemsstaterne af fysiske personers
anvendelse af elektroniskes signaturer indføres i forslaget en eksplicit forplig-
telse om at tillægge kvalificerede elektroniske signaturer samme retsvirkning
som håndskrevne signaturer.
PDF to HTML - Convert PDF files to HTML files
10/19
Bestemmelsen svarer til den eksisterende regulering i Danmark men sikrer, at
der på fællesskabsplan etableres en mere tydelig og eksplicit regulering af de
juridiske retsvirkninger.
Forslaget forbyder medlemsstaterne at kræve en elektronisk signatur med et
højere sikkerhedsniveau til anvendelse hos offentlige onlinetjenester end det,
der er forbundet med en kvalificeret signatur.
Forordningsforslaget indeholder en udvidelse i forhold til den eksisterende re-
gulering, idet den forpligter medlemsstater til at acceptere elektroniske signa-
turer på et lavere sikkerhedsniveau end det niveau, der er forbundet med en
kvalificeret elektronisk signatur i det omfang sådanne signaturer anvendes i
medlemsstaten som forudsætning for adgang til en offentlig onlinetjeneste.
Beskrivelsen er uklar, idet den forudsætter en sammenkobling af eID (autenti-
fikation) og elektronisk signatur, der i øvrigt er tilsigtet adskilt i reguleringen.
Tekniske krav til kvalificerede elektroniske signaturer og tilhørende certifika-
ter
I forslaget fastlægges specifikke krav til kvalificerede certifikater for elektroni-
ske signaturer, herunder krav til indholdet af certifikatet. Desuden stilles der
krav til at kvalificerede tillidstjenesteydere skal stille valideringstjenester til
rådighed. Kravene svarer i hovedtræk til, hvad der følger af eksisterende lov-
givning, dog således at der er foretaget enkelte justeringer med henblik på at
gøre anvendelsen af elektroniske signaturer mere operationel. De eksisterende
muligheder for at anføre anvendelsesbegrænsninger i certifikatet (f.eks. i form
af en beløbsgrænse) er på denne baggrund fjernet.
Forslaget opstiller krav til de systemer, der anvendes til generering af kvalifi-
cerede elektroniske signaturer (kvalificerede systemer til generering af elek-
troniske signaturer) og fastlægger, at certificering heraf skal ske ved passende
offentlige eller private organer.
Et certificeret system skal anerkendes af de øvrige medlemsstater. Medlems-
staterne skal informere Kommissionen om hvilke systemer, der er certificeret,
hvorefter Kommissionen offentliggør en liste herom.
Forordningsforslaget opstiller en række krav til validering af kvalificerede
elektroniske signaturer, herunder hvilke forhold, der skal være gældende for at
en elektronisk signatur anses for gyldig.
Med forslaget introduceres en forpligtelse til at kvalificerede tillidstjenesteyde-
re skal stille en tjeneste til rådighed til bevaring af kvalificerede elektroniske
signaturer ud over den tekniske gyldighedsperiode, således at muligheden for
validering af kvalificerede elektroniske signaturer forlænges. Det fremgår ikke
PDF to HTML - Convert PDF files to HTML files
11/19
tydeligt af forslaget, hvilken præcis karakter tjenesten har, herunder om den
skal være gratis at anvende.
3.4.5 Elektroniske segl (Kapitel III – afdeling 4)
I forslagets kapitel II, afdeling 4 introduceres en nyskabelse i form af elektro-
niske segl til juridiske personer.
Et elektronisk segl er en elektronisk pendant til et virksomheds segl eller stem-
pel, der anvendes på et dokument eller andre elektroniske aktiver til at sikre
oprindelse og integritet. Alene juridiske personer kan anvende elektroniske
segl.
Elektroniske segl tillægges retsvirkninger, der er parallelle til elektroniske sig-
naturer, herunder at elektroniske segl ikke må nægtes retlig gyldighed og aner-
kendelse som bevis under retssager alene af den grund, at det er i elektronisk
form. Tilsvarende skal et kvalificeret elektronisk segl anerkendes og accepte-
res i alle medlemsstater.
Desuden bestemmes i overensstemmelse med reguleringen af elektroniske
signaturer, at hvis en medlemsstat accepterer elektroniske segl med et sikker-
hedsniveau, som ligger under det niveau, der er forbundet med et kvalificeret
elektronisk segl, skal elektroniske segl, der har mindst samme sikkerhedsni-
veau, accepteres.
Krav til generering, validering og opbevaring af elektroniske segl svarer til,
hvad der i øvrigt gælder for elektroniske signaturer.
3.4.6 Elektronisk tidsstempel (Kapitel III – afdeling 5)
I forslagets kapitel II, afdeling 5 reguleres som noget nyt elektroniske tids-
stempler.
Et elektronisk tidsstempel sætter dato og tid på et sæt af elektroniske data
(f.eks. i form af et elektronisk dokument) og har til formål at bevise, at data
eksisterede på det pågældende tidspunkt, og at data ikke har ændret sig siden
da.
Tidsstempler sikres retsvirkninger, der er parallelle til elektroniske signaturer
og elektroniske segl, herunder at et elektronisk tidsstempel ikke må nægtes ret-
lig gyldighed og anerkendelse som bevis under retssager alene af den grund, at
det er i elektronisk form. Tilsvarende skal et kvalificeret elektronisk tidsstem-
pel anerkendes og accepteres i alle medlemsstater.
PDF to HTML - Convert PDF files to HTML files
12/19
3.4.7 Elektroniske dokumenter (Kapitel III – afdeling 6)
I forslagets kapitel III, afdeling 6 introduceres en nyskabelse i form af en spe-
cifik regulering af retsvirkningerne af elektroniske dokumenter (dokumenter i
en hvilken som helst elektronisk form).
Ifølge forslaget skal elektroniske dokumenter betragtes som ligestillet med pa-
pirdokumenter og kan godtages som bevismateriale under retssager under hen-
syntagen til graden af sikkerhed for dokumentets ægthed og integritet.
Hvis et elektronisk dokument er underskrevet med en kvalificeret elektronisk
signatur eller bærer et kvalificeret elektronisk segl gælder en specifik formod-
ning om integritet og autenticitet.
Forslaget fastsætter, at hvis der som forudsætning for at yde en offentlig tjene-
ste skal forelægges et originaldokument eller en bekræftet genpart skal elek-
troniske dokumenter, der er udstedt af personer med kompetence hertil, og
som anses for originaler eller bekræftede genparter i henhold til national ret i
oprindelsesmedlemsstaten, accepteres i andre medlemsstater, uden at der stil-
les yderligere krav.
3.4.8 Kvalificeret elektronisk leveringstjeneste (Kapitel III – afdeling 7)
Kapitel III, afdeling 7 introducerer en nyskabelse i form af en kvalificeret elek-
tronisk leveringstjeneste.
En elektronisk leveringstjeneste er en tjeneste, der gør det muligt at sende data
ad elektronisk vej samtidig med, at behandlingen af de sendte data dokumente-
res.
Forslaget sikrer, at data der sendes eller modtages via en elektronisk leverings-
tjeneste kan godtages som bevismateriale under retssager. Data der sendes el-
ler modtages via en kvalificeret elektronisk leveringstjeneste opnår en særsta-
tus, idet der herefter gælder en formodning om data’s integritet og nøjagtighe-
den af den dato og det tidspunkt for afsendelse eller modtagelse af data, som
den kvalificerede elektroniske leveringstjeneste angiver.
Der opstilles i forslaget en række tekniske krav til kvalificerede elektroniske
leveringstjenester, der bl.a. sikrer bevis for afsendelse og modtagelse af data
og giver beskyttelse mod tyveri, beskadigelse og uautoriseret ændring.
3.4.9 Webstedsautentifikation (Kapitel III – afdeling 8)
Kapitel III, afdeling 9 introducerer en nyskabelse i form af et kvalificeret certi-
fikat til webstedsautentifikation.
PDF to HTML - Convert PDF files to HTML files
13/19
Et kvalificeret certifikat for webstedsautentifikation er en attestering, som gør
det muligt at autentificere et websted og knytter webstedet til den person, som
certifikatet er udstedt til
Forslaget fastsætter en række tekniske krav til det kvalificerede certifikat, der i
vidt omfang er parallelle til de øvrige certifikater og fastslår, at certifikatet skal
anerkendes og accepteres i alle medlemsstater.
3.5 Delegerede retsakter (kapitel IV)
Med henblik på at sikre, at forslaget til forordning kan suppleres fleksibelt og
hurtigt delegerer forslaget i udstrakt grad beføjelser til Kommissionen til at
vedtage retsakter om visse detaljerede tekniske aspekter, der er nødvendige at
regulere mere detaljeret for at opnå formålet med forordningen.
Det understreges i præamblen, at Kommissionen i denne forbindelse bør gen-
nemføre relevante høringer under sit forberedende arbejde, herunder på ek-
spertniveau.
3.6 Gennemførelsesretsakter (forordningens kapitel V)
Med henblik på at sikre ensartede betingelser for gennemførelsen af forslaget
til forordning tillægges Kommissionen ifølge forslaget gennemførelsesbeføjel-
ser, navnlig beføjelse til at opstille referencenumre på standarder, hvis brug gi-
ver formodning om overensstemmelse med bestemte krav, der er fastlagt i
denne forordning eller i delegerede retsakter. Disse beføjelser udøves i over-
ensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr.
182/2011 af 16. februar 2011 om de generelle regler og principper for, hvor-
dan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemfø-
relsesbeføjelser.
3.7 Afsluttende bestemmelser (kapitel VI)
Der fastlægges bestemmelser vedr. Kommissionens afrapportering til Europa-
Parlamentet og Rådet om anvendelsen af forordningen.
Ved sin ikrafttræden ophæver forordningen det eksisterende direktiv
1999/93/EF og fastlægger, at henvisninger til det ophævede direktiv betragtes
som henvisninger til nærværende forordning.
Desuden fastlægger forslaget overgangsregler for kvalificerede certifikater ud-
stedt i overensstemmelse med gældende regler, hvorefter de vil være gyldige
indtil ordinært udløb, dog højst i fem år regnet fra forordningens ikrafttræden.
Der fastlægges ligeledes overgangsregler for sikre signaturgenereringssyste-
mer.
PDF to HTML - Convert PDF files to HTML files
1163492_0014.png
14/19
Forordningen skal træde i kraft på tyvendedagen efter offentliggørelsen i Den
Europæiske Unions Tidende og er herefter bindende i alle enkeltheder og gæl-
der umiddelbart i hver medlemsstat.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet har endnu ikke udtalt sig.
5. Nærhedsprincippet
Kommissionen har vurderet, at forslaget er i overensstemmelse med nær-
hedsprincippet.
Det er Kommissionens opfattelse, at forordningsforslagets bestemmelser er
nødvendige af hensyn til at sikre en effektiv anvendelse af identifikations-
midler og elektroniske tillidstjenester på EU-plan. Det er Kommissionens
vurdering, at man i øjeblikket ikke når disse mål ved hjælp af frivillig koor-
dinering mellem medlemsstaterne, og det er heller ikke sandsynligt, at dette
vil ske i fremtiden.
Regeringen er umiddelbart enig med Kommissionen i, at elektronisk identi-
fikation, autentifikation og e-signatur tjenesters grænseoverskridende karak-
ter kræver handling på EU-niveau. Det er på den baggrund regeringens fore-
løbige holdning, at forslaget er i overensstemmelse med nærhedsprincippet.
6. Gældende dansk ret
Lov om elektroniske signaturer (Lov nr. 417 af 31. maj 2000).
Bekendtgørelser udstedt i medfør af loven:
- Bekendtgørelse nr. 922 af 5. oktober 2000 om nøglecentres og system-
revisionens indberetning af oplysninger til Telestyrelsen
- Bekendtgørelse nr. 923 af 5. oktober 2000 om sikkerhedskrav m.v. til
nøglecentre.
7. Lovgivningsmæssige og statsfinansielle konsekvenser
Lovgivningsmæssige konsekvenser
Det følger af EUF-traktatens artikel 288, at en forordning er almengyldig, samt
at den binder i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Hertil kommer, at forordningsforslaget efter sit indhold bl.a. har til formål at
erstatte det eksisterende direktiv om elektroniske signaturer (direktiv
1999/EF). En konsekvens af forslaget vil derfor være, at regulering som følger
af lov nr. 417 af 31. maj 2000 om elektroniske signaturer samt tilhørende be-
PDF to HTML - Convert PDF files to HTML files
1163492_0015.png
15/19
kendtgørelser vil skulle ophæves. Idet lov om elektroniske signaturer alene
implementerer EU-direktivet og ikke har en selvstændig regulering herudover
vurderes det på nuværende tidspunkt relevant at foretage ændringer heri.
I en række danske love er der krav om anvendelse af digital signatur. Den
gældende anbefaling fra Digitaliseringsstyrelsen (og tidligere IT- og Telesty-
relsen) er, at sådanne krav indføres i lovgivningen med følgende ordlyd:
”..digital signatur med et sikkerhedsniveau svarende til OCES-standarden eller
højere”.
Det skal analyseres nærmere, om krav om anvendelse af digital signatur i lyset
af forordningsforslagets bestemmelser om gensidig anerkendelse og accept af
elektroniske identifikationsmekanismer og elektroniske tillidstjenester vil kun-
ne opretholdes, men i det omfang den angivne terminologi er anvendt i lov-
givningen vil der formentlig ikke være behov for ændringer.
Forslagets bestemmelser vedr. retsvirkninger af elektroniske signaturer og fuld
anerkendelse af elektroniske dokumenter vurderes at være i overensstemmelse
med gældende dansk ret, herunder som følge af lov om elektroniske signatu-
rer. Det skal dog analyseres nærmere, om der er behov for yderligere regule-
ring som følge af forordningen.
Det skal endvidere analyseres nærmere, om forordningens bestemmelser om
fuld anerkendelse af elektroniske dokumenter og underskrifter har betydning
for gældende dansk ret.
Statsfinansielle konsekvenser
Forslagets statsfinansielle konsekvenser skal analyseres nærmere, men
umiddelbart vurderes det, at forslaget vil kunne have statsfinansielle konse-
kvenser.
Forslaget medfører et behov for at gennemføre ændringer i den tekniske in-
frastruktur, der understøtter anvendelse af OCES digital signatur (udmøntet
i NemID løsningen). Ændringerne skal bl.a. gennemføres med henblik på at
kunne sikre, at der gives adgang til danske offentlige tjenester ved anven-
delse af udenlandske identifikationsmekanismer og elektroniske signaturer.
Kravet om gratis valideringsmulighed for såvel elektroniske identifikations-
ordninger som kvalificerede elektroniske signaturer udfordrer dels den nu-
værende finansieringsmodel for NemID, der baserer sig på, at validering i
professionelle forhold udløser betaling af vederlag til Nets DanID, dels kan
det være forbundet med omkostninger at tilvejebringe den tekniske under-
støttelse af gratis validering.
PDF to HTML - Convert PDF files to HTML files
1163492_0016.png
16/19
Endeligt kan de skærpede krav til tilsynsmyndigheden, der ligger hos Digi-
taliseringsstyrelsen under Finansministeriet, have statsfinansielle konse-
kvenser.
8. Samfundsøkonomiske konsekvenser
Kommissionen vurderer, at forslaget vil give øget vækst på baggrund af mu-
lighederne for administrative lettelser, øget mulighed for samhandel og højere
grad af konkurrence. Regeringen er i vidt omfang enig i heri, idet forslaget
forventes at kunne skabe større interoperabilitet i det indre marked til gavn
for borgere, virksomheder og myndigheder, hvilket i høj grad vil understøtte
et digitalt indre marked.
9. Administrative konsekvenser for erhvervslivet
Kommissionens forslag vurderes at medføre administrative lettelser for er-
hvervslivet.
En øget anvendelse af elektroniske identifikationsmidler og elektroniske
signaturer vil muliggøre reduktion i de administrative byrder ved kommuni-
kation med offentlige myndigheder, herunder offentlige myndigheder i ud-
landet.
10. Høring
Forslaget har været sendt i høring i EU-Specialudvalg for Konkurrenceevne,
Vækst og Forbrugerspørgsmål med frist den 1. august 2012.
Der er modtaget høringssvar fra
Lønmodtagernes Dyrtidsfond
Foreningen af Statsautoriserede Revisorer
IT-Branchen
Nationalbanken
Finansrådet
Signaturgruppen
ATP
Dansk Aktionærforening
Lønmodtagernes Dyrtidsfond er positive over for en europæisk løsning, der vil
lette elektronisk kommunikationen med en lang række af fondens medlemmer,
der er bosat i udlandet, forudsat at den elektroniske løsning har samme rets-
virkninger som en håndskrevet underskrift.
Lønmodtagernes Dyrtidsfond påpeger behovet for, at der skal findes en natio-
nal løsning, der letter den tekniske modtagelse af elektroniske ID fra andre
medlemsstater.
PDF to HTML - Convert PDF files to HTML files
1163492_0017.png
17/19
Foreningen af Statsautoriserede Revisorer mener, at kravene til uafhængighed
for det organ, der årligt skal føre kontrol med de tjenesteydere, der udsteder
kvalificerede tillidstjenester, bør svare til tilsvarende krav ved revision af års-
regnskaber for børsnoterede virksomheder, og at der bør stilles kompetence-
mæssige krav om revisionsfaglig og teknisk indsigt i løsningerne. Det uaf-
hængige organ bør endvidere være omfattet af passende forsikringsordninger,
der dækker den udførte kontrol, hvilket kan opfyldes, hvis kontrollen udføres
af en godkendt revisor.
Desuden anbefaler Foreningen af Statsautoriserede Revisorer indførelse af
krav til, at sikkerhedskontrol rapporterne omfatter såvel generelle it-kontroller
som kontroller i systemer, der anvendes til generering af nøgler, nøglekompo-
nenter samt registrering, udstedelse, verifikation, opbevaring og spærring af
certifikater eller til udveksling af data med andre parter.
IT-Branchen udtrykker støtte til forslagets formål, men finder, at der bør være
større fokus på at fremme tillidsbaseret samhandel mellem virksomheder og
private. IT-Branchen ønsker, at forslaget udvides med regler om private virk-
somheders gensidige anerkendelse af medarbejdercertifikater samt til sikring
af elektroniske dokumenter over tid.
IT-Branchen understreger, at der er et stort potentiale for tillidsbaseret sam-
handel i det private erhvervsliv på tværs af grænser, hvilket bør understøttes af
forordningen ved specifikke reguleringer, der sikrer en ensartet anvendelse i
medlemslandende samt understøtter en positiv business case for det private er-
hvervsliv.
Nationalbanken er positiv over for forslaget og vurderer, at det kan øge anven-
delsen af elektronisk identifikation på tværs af landegrænser.
Finansrådet udtrykker principiel støtte til forslaget. Finansrådet konstaterer, at
forslaget ikke regulerer NemID til netbankerne og således ikke direkte vil re-
gulere banksektoren. Idet Danmark i vidt omfang opererer med én fælles iden-
tifikations-/sikkerhedsløsning, vil forslaget dog få en afledt effekt for banker-
ne.
Det anføres af Finansrådet, at det må forventes, at en kommende forordning vil
medføre betydelige investeringer, hvis Danmark skal understøtte udenlandske
eID samt omkostninger til en evt. ændring af de eksisterende danske signaturer
baseret på den nationale OCES-standard til kvalificerede certifikater efter eu-
ropæisk standard, idet dette vil kræve et fysisk fremmøde for indehaverne af
certifikater.
PDF to HTML - Convert PDF files to HTML files
1163492_0018.png
18/19
Finansrådet ønsker en afklaring af grænsen mellem forslaget til forordning og
de eksisterende regler om hvidvask (krav til identifikation af en bruger/kunde).
Endeligt anfører Finansrådet, at det er positivt, at konkrete sikkerhedsstandar-
der og formater ikke er fastlagt i forordningen, idet dette bl.a. vil kunne hindre
innovation. Det samlede sikkerhedsniveau for elektroniske løsninger er en væ-
sentligt faktor for anvendelse af nye teknologier og for overblikket over de
samlede økonomiske omkostninger, hvorfor sikkerhedsniveauet for konkrete
løsninger bør behandles inden vedtagelsen af forordningen.
Signaturgruppen anfører, at forslaget i den eksisterende form udgør et godt
udgangspunkt for det videre arbejde, idet standardisering og koordinering på
området er stærkt nødvendigt. Det er i denne forbindelse Signaturgruppens
vurdering, at forordningen særligt fokuserer på identitetsløsninger, der er ejet
eller finansieret af det offentlige og derfor ikke understøtter en dynamisk mar-
kedsudvikling.
Det anføres af Signaturgruppen, at kravene til udbydere af kvalificerede tillids-
tjenester synes unødigt byrdefulde, idet forslaget forudsætter et meget bredt
sortiment af ydelser fra alle kvalificerede tillidstjenester, hvilket potentielt vil
hindre en naturlig specialisering mellem markedsdeltagere. Signaturgruppen
anfører ligeledes, at kravene til tilsyn kan betyde øgede omkostninger til kvali-
ficerede tjenesteydere, og at det i den forbindelse er vigtigt at sikre, at disse
tjenesteydere skal stilles ens uanset hvilket medlemsland, de opererer fra.
Endelig har Signaturgruppen afgivet en række specifikke tekniske bemærk-
ninger til forordningens enkeltbestemmelser.
ATP og Dansk Aktionærforening har meddelt, at de ikke har bemærkninger til
forslaget.
11. Forhandlingssituationen
Der er ikke på nuværende tidspunkt kendskab til medlemslandenes holdnin-
ger til forslaget.
12. Regeringens generelle holdning
Regeringen er overordnet set positiv over for Kommissionens forslag.
Regeringen støtter Kommissionens intention om at fremme anvendelighe-
den af elektroniske identifikationsordninger og elektroniske signaturer på
tværs af EU's medlemsstater og finder det hensigtsmæssigt at udvide lov-
givningens virkefelt som foreslået.
PDF to HTML - Convert PDF files to HTML files
1163492_0019.png
19/19
Regeringens nærmere holdning til forslaget vil blive fastlagt på baggrund af
en nærmere analyse af forslagets konsekvenser, herunder statsfinansielle
konsekvenser. Regeringen vil arbejde for, at forslagets økonomiske konse-
kvenser minimeres.
13. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.