Europaudvalget 2024-25
EUU Alm.del Bilag 253
Offentligt
2973679_0001.png
KOMITÉNOTAT TIL FOLKETINGETS EUROPAUDVALG
Dato
3. februar 2025
COMMISSION IMPLEMENTING REGULATION (EU) …/... of XXX laying down
rules for the application of Regulation (EU) No 910/2014 of the European Par-
liament and of the Council as regards reactions to security breaches of Euro-
pean Digital Identity Wallets
KOM-dokument foreligger uden nummer (komitologiregistret).
Nyt notat.
1. Resumé
Europa-Kommissionen (Kommissionen) har den 27. november 2024 fremsat en
pakke med fem forslag til gennemførelsesretsakter relateret implementeringen
af en digital identitetstegnebog
(herefter ”tegnebog”) under eIDAS2-forordnin-
gen (2024/1183) (komitésag). Blandt forslagene er en gennemførelsesretsakt
om sikkerhedsbrud. Denne retsakt blev drøftet på et møde i komitéen for den
europæiske ramme for digital identitet den 11 december 2024 og forventes sat
til afstemning i februar 2024.
Gennemførelsesretsaktens bestemmelser forventes ikke i sig selv at have nogen
direkte lovgivningsmæssige, samfundsøkonomiske eller erhvervsøkonomiske
konsekvenser. Beskyttelsesniveauet for borgere, forbrugere og samfundet som
helhed vil potentielt kunne forbedres som følge af, at eIDAS2-forordningen har
til hensigt at skabe et mere data-begrænsende marked for identifikation i EU.
For så vidt angår de statsfinansielle konsekvenser, er det en meget begrænset
del af de samlede udgifter til implementeringen af eIDAS2-forordningen, der di-
rekte kan tilskrives bestemmelserne i gennemførelsesretsakten, om end det ikke
er muligt at estimere et konkret beløb.
Regeringen støtter fremsættelsen af gennemførelsesretsakten, da den er vig-
tige for dansk implementering af eIDAS2-forordningen. Det er vigtigt for rege-
ringen, at forslaget bringes i overensstemmelse med anden relevant EU-lovgiv-
 EUU, Alm.del - 2024-25 - Bilag 253: Notat om komitésag om digital identitetstegnebog: Sikkerhedsbrud i forbindelse med europæiske digitale identitetstegnebøger
2973679_0002.png
ning, og at det ikke pålægger medlemslandene urimelige byrder eller uhensigts-
mæssige krav knyttet til suspendering eller tilbagekaldelse af en given tegne-
bogsløsning.
På baggrund af ovenstående forventer regeringen at stemme for forslaget.
2. Baggrund
Den 11. april 2024 blev der opnået enighed mellem Rådet og Europa-Parlamen-
tet om en forordning om pålidelig og sikker digital identitet til alle europæere
(2024/1183) (herefter eIDAS2-forordningen). Forordningen trådte i kraft den
20. maj 2024. Forordningen udvider forordning 910/2014 om elektronisk iden-
tifikation og tillidstjenester (eIDAS-forordningen) og introducerer bl.a. en digi-
tal identitetstegnebog, som medlemsstaterne påbydes at udstede til deres bor-
gere. Den skal give borgerne kontrol over deres online identitet og data, mulig-
gøre adgang til offentlige, private og grænseoverskridende digitale tjenester
samt understøtte signering af digitale dokumenter.
Som led i implementeringen af eIDAS2-forordningen skal der vedtages en
række gennemførelsesretsakter med henblik på at fastsætte tekniske specifi-
kationer og procedurer.
Kommissionen har den 27. november 2024 fremsat en pakke med forslag til
fem gennemførelsesretsakter heriblandt denne gennemførselsretsakt vedrø-
rende sikkerhedsbrud i forbindelse med europæiske digitale identitetstegnebø-
ger. Folketingets Europaudvalg forelægges et særskilt notat for tre af de fem
gennemførselsretsakter, idet disse vurderes af væsentlig betydning. Gennem-
førselsretsakten om sikkerhedsbrud i forbindelse med europæiske digitale
identitetstegnebøger er blevet drøftet på et møde i eIDAS-komitéen den 11.
december 2024 og forventes sat til afstemning på et møde i komitéen i februar
2024. Ifølge eIDAS2-forordningen skal Kommissionen vedtage retsakten senest
den 21. november 2024, og retsakten er således forsinket.
Forslag til gennemførselsretsakt vedrørende sikkerhedsbrud har hjemmel i for-
ordningens artikel 5e(5), der omhandler fastlæggelse referencestandarder
samt tekniske specifikationer og procedurer for håndtering af sikkerhedsbrud.
Forslaget behandles efter undersøgelsesproceduren i komitéen for den euro-
pæiske ramme for digital identitet. Undersøgelsesproceduren indebærer, at
Kommissionen skal vedtage de enkelte forslag, hvis et kvalificeret flertal stem-
mer for. Hvis et kvalificeret flertal derimod stemmer imod, må Kommissionen
ikke vedtage forslagene. Hvis der hverken er kvalificeret flertal for eller imod
forslagene, kan Kommissionen enten vedtage dem eller fremsætte nye udgaver
med ændringer.
Der er yderligere gennemførselsretsakter i eIDAS2-forordningen der har en frist
for vedtagelse i 2025. Folketingets Europaudvalg vil i relevant omfang blive fo-
relagt komiténotater for disse retsakter, i takt med at de offentliggøres.
2
 EUU, Alm.del - 2024-25 - Bilag 253: Notat om komitésag om digital identitetstegnebog: Sikkerhedsbrud i forbindelse med europæiske digitale identitetstegnebøger
2973679_0003.png
3. Formål og indhold
Retsakten omhandler de procedurer, der skal følges ved sikkerhedsbrud på en
digital identitetstegnebog, samt om hvilke kriterier der gør sig gældende for, at
der er tale om et sikkerhedsbrud. Gennemførelsesretsakt fastsætter regler for,
hvordan EU-landene skal indføre mekanismer til at sikre suspension og, hvor
det er relevant, tilbagetrækning af europæiske tegnebøger, hvis der sker et helt
eller delvist brud på sikkerheden, som påvirker en tegnebogs pålidelighed.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet skal ikke udtale sig om forslaget til gennemførelsesretsakt.
5. Nærhedsprincippet
Der er tale om gennemførelsesforanstaltninger til en allerede vedtaget retsakt.
Det er derfor regeringens vurdering, at det følger heraf, at forslaget er i over-
ensstemmelse med nærhedsprincippet.
6. Gældende dansk ret
Ud over den europæiske forordning om pålidelig og sikker digital identitet til
alle europæere (2024/1183) findes der på nuværende tidspunkt ingen specifik
juridisk ramme for en europæisk digital identitetstegnebog i Danmark, og der
er heller ikke vedtaget national lovgivning på området. Dog er udviklingen og
anvendelsen af digitale tegnebøger og identiteter underlagt eksisterende lov-
givning, der ikke stiller specifikke krav til deres anvendelsesmuligheder. Allige-
vel indeholder lovgivningen regler, der blandt andet vedrører krav til identifika-
tion, beskyttelse af grundlæggende rettigheder og databeskyttelse, hvilket di-
rekte påvirker udviklingen og anvendelsen af tegnebøgerne.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Forslaget ventes ikke i sig selv at have nogen direkte lovgivningsmæssige kon-
sekvenser.
Det bemærkes dog, at implementeringen af eIDAS2-forordningen og dertilhø-
rende gennemførselsretsakter planlægges at foregå trinvist, og der vil være be-
hov for særlige nationale tilpasninger og hensyntagen til eksisterende it-løsnin-
ger. På den baggrund vil der sandsynligvis opstå et gradvist behov for ny lovgiv-
ning, som tidligst kan træde i kraft fra 2026.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Det er ikke muligt at fastslå, hvor stor en del af de samlede udgifter til imple-
menteringen af eIDAS2-forordningen, der direkte kan tilskrives bestemmel-
serne i gennemførelsesretsakten. Dette skyldes, at de primære udgifter vurde-
res at være forbundet med eIDAS2-forordningens krav til tegnebogens funktio-
nalitet, snarere end de specifikke bestemmelser i gennemførselsretsakten om,
hvordan denne funktionalitet skal implementeres i praksis.
3
 EUU, Alm.del - 2024-25 - Bilag 253: Notat om komitésag om digital identitetstegnebog: Sikkerhedsbrud i forbindelse med europæiske digitale identitetstegnebøger
2973679_0004.png
Digitaliseringsstyrelsen har gennemført en overordnet kortlægning af de for-
ventede statsfinansielle konsekvenser ved implementeringen og efterlevelsen
af eIDAS2-forordningens samlede forpligtelser. Det vurderes, at der vil være
samlede udgifter på forventet ca. 1,7 mia. i perioden 2024-2036, til it-udvikling,
drift og vedligehold af tegnebogen. Estimatet er dog behæftet med meget stor
usikkerhed og der pågår arbejde med at yderligere kvalificere estimatet.
Tegnebogen skønnes dog også på sigt at kunne reducere fremtidige udgifter til
implementering af ny EU-lovgivning, idet den fremadrettet vil kunne udgøre
den tekniske løsning på en række problemstillinger, der søges løst digitalt på
tværs af EU (fx mobilkørekort, handicap-bevis, fuldmagter mv.). Fremfor at der
fremstilles forslag, der fører til behov for at etablere flere nye selvstændige na-
tionale it-systemer, er der således et potentiale i at fremtidige tværeuropæiske
digitale løsninger konsekvent sammentænkes med tegnebogen. Det konkrete
potentiale for reducering af fremtidige udgifter kan dog ikke kvantificeres på
nuværende tidspunkt.
Det bemærkes, at afledte nationale udgifter som følge af EU-retsakter afholdes
inden for de berørte myndigheders eksisterende bevillingsramme, jf. budget-
vejledningens bestemmelser herom.
Samfundsøkonomiske konsekvenser
Forslagets bestemmelser ventes ikke i sig selv at have nogen direkte samfunds-
økonomiske konsekvenser.
eIDAS2-forordningen vurderes at kunne få positive samfundsøkonomiske kon-
sekvenser på sigt, såfremt de nye tegnebøger kan bidrage til at styrke tilliden i
online transaktioner samt skabe bedre muligheder for brug af grænseoverskri-
dende tillidstjenester som fx signeringsløsninger og dokumentation af speci-
fikke personlige attributter, såsom alder, til forskelige anvendelser og formål.
Erhvervsøkonomiske konsekvenser
Forslagets bestemmelser ventes ikke i sig selv at have nogen direkte erhvervs-
økonomiske konsekvenser.
Andre konsekvenser og beskyttelsesniveauet
Forslaget vil potentielt kunne forbedre beskyttelsesniveauet for borgere, for-
brugere og samfundet som helhed som følge af, at eIDAS2-forordningen har til
hensigt at skabe et mere data-begrænsende marked for identifikation i EU, idet
tegnebøgerne giver borgere i EU større kontrol over deres personlige oplysnin-
ger. Med de nye digitale tegnebøger kan borgerne selv styre, hvilke data de vil
dele, og kun de nødvendige oplysninger skal deles, når de bliver bedt om det.
8. Høring
Sagen har været sendt i høring i EU-specialudvalget for digitalisering med frist
for bemærkninger den 14. januar 2025. Der er indkommet bemærkninger fra
ATP, Energinet og Forbrugerrådet Tænk.
4
 EUU, Alm.del - 2024-25 - Bilag 253: Notat om komitésag om digital identitetstegnebog: Sikkerhedsbrud i forbindelse med europæiske digitale identitetstegnebøger
2973679_0005.png
ATP
bemærker, at der er uklare snitflader i forhold til anden lovgivning, hvilket
bør minimeres. For eksempel foreslås et rapporteringssystem for væsentlige
hændelser, der påvirker tegnebøgerne. Dette kan omfatte IT-hændelser, der
også skal rapporteres til de relevante myndigheder i henhold til cybersikker-
hedsreglerne i NIS2-direktivet og DORA. Det vil være en fordel, hvis den samme
hændelse kun skal indberettes ét sted og med de samme oplysninger. Desuden
støtter ATP fortsat fokus på at undgå unødvendige administrative byrder, der
ikke står mål med den opnåede nytteværdi.
Energinet
stiller sig positivt overfor eIDAS2 samt nærværende notat.
Forbrugerrådet Tænk
ser positivt på den foreslåede procedure for håndtering
af sikkerhedsbrud, herunder krav om suspendering af kompromitterede digi-
tale ID-tegnebøger og information til brugerne ved genetablering. Det anbefa-
les, at tilbagerulning af voldsomt kompromitterede digitale ID-tegnebøger bør
finde anvendeles tidligere og inkludere en henvisning til alternative digitale ID-
tegnebøger for brugere og modtagerparter, såfremt mere end én løsning stilles
til rådighed.
Man mener at en effektiv procedure for sikkerhedsbrud, i situationer hvor det
er muligt, bør give brugere mulighed for fortsat at anvende en digital ID-tegne-
bog i stedet for potentielt mindre sikre alternativer, hvis en tegnebog tilbage-
trækkes. Muligheden for at kunne skifte mellem forskellige digitale ID-tegne-
bøger kan ikke efterleves i praksis, hvorfor der kræves tydelig adgang til en liste
over godkendte alternativer. Man foreslår, at notifikationer vedrørende kom-
promitterede tegnebøger inkludere en oversigt over godkendte udbydere.
Endelig finder man det positivt, at kompromitterede tegnbøger suspenderes
inden for 24 timer efter opdagelse af sikkerhedsbrist, hvilket reducerer bruger-
nes eksponering for risici.
9. Generelle forventninger til andre landes holdninger
Der har været afholdt ét møde i eIDAS-komitéen d. 11. december 2024, hvor
medlemslandene har drøftet indholdet af forslaget. Det forventes at flere med-
lemslande vil kritisere den manglende definition af sikkerhedsbrud i forslaget,
samt at kravene, som medlemslandene skal tage højde for, er af meget varie-
rende detaljeringsgrad. Endvidere har enkelte medlemslande udtrykt kritik af
uklare snitflader til anden EU-lovgivning vedrørende produktsikkerhed og cy-
bersikkerhed.
10. Regeringens generelle holdning
Regeringen hilser arbejdet om at fremsætte gennemførselsretsakter vedrø-
rende tegnebogen velkommen, idet de udgør vigtige forudsætninger for en
dansk implementering af eIDAS2-forordningen.
Regeringen finder at forslaget i dets nuværende form er præget af uklarhed og
manglende overensstemmelse med anden relevant EU-lovgivning, navnlig
NIS2-direktivet og Cyber Resilience Act.
5
 EUU, Alm.del - 2024-25 - Bilag 253: Notat om komitésag om digital identitetstegnebog: Sikkerhedsbrud i forbindelse med europæiske digitale identitetstegnebøger
2973679_0006.png
Det er afgørende for regeringen at medlemslandene ikke pålægges urimelige
byrder eller uhensigtsmæssige krav knyttet til suspendering eller tilbagekal-
delse af en given tegnebogsløsning, men at kravene i forslaget er klare, præcise
og relevante.
Regeringen forventer på den baggrund at stemme for forslaget, såfremt kra-
vene til suspendering eller tilbagekaldelse af en given tegnebogsløsning er
klare, præcise, relevante og står i rimeligt forhold til risikoen.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt Folketingets Europaudvalg.
6