Signicat er en tilbyder av identitetstjenester i det europeiske markedet. Signicat har hovedkontor i Trondheim. Signicat har merknader kun til forslaget til § 3-13 i forskriften. Oppsummert er Signicats merknader følgende:
1. Hjemmelen i finansavtalelovens § 3-16 tredje ledd må tas i bruk for å åpne for andre signaturer enn kvalifisert elektronisk signatur. Dette er nødvendig fordi kvalifisert elektronisk signatur i dag ikke tilbys i det norske markedet.
2. Foreslått tekst til § 3-13 i forskriften må slettes i sin helhet. Forslaget stiller krav som er strengere enn krav til kvalifisert elektronisk signatur i henhold til EUs eIDAS-forordning, og bryter dermed med gjeldende norsk lov (lov om elektroniske tillitstjenester).
3. Forskrift til finansavtaleloven kan ikke gi tilleggskrav til kvalifiserte elektroniske signaturer. Slike signaturer er veldefinert i eIDAS-forordningen med tilhørende standarder, og tilleggskrav i nasjonale lover, forskrifter og regelverk vil medføre problemer for aktører i markedet og for aksept av utenlandske signaturer.
4. Forskrift til finansavtaleloven bør, med hjemmel i finansavtaleloven § 3-16 tredje ledd, akseptere bruk av avansert elektronisk signatur framstilt med midler som tilsvarer eID nivå «betydelig». Det kan gis en anmerkning om at denne aksepten vil kunne endres hvis kvalifisert elektronisk signatur blir allment tilgjengelig i Norge.
Ny finansavtalelov § 3-16 første ledd stiller krav om kvalifisert elektronisk signatur for finansavtaler som signeres elektronisk, men sier i § 3-16 tredje ledd at en i forskrift kan åpne for bruk av andre elektroniske signaturer. Forslag til forskrift tar ikke i bruk hjemmelen i § 3-16 tredje ledd. Det betyr at tilleggskrav som stilles i forskriften, må ansees å gjelde for kvalifiserte signaturer. Det er nødvendig å endre dette av to grunner:
1. Kvalifisert elektronisk signatur tilbys i dag ikke i det norske markedet. Dvs. at med mindre hjemmelen i § 3-16 tredje ledd tas i bruk til å åpne for andre elektroniske signaturer, vil en faktisk ikke kunne bruke BankID-signaturer eller signaturer fra andre aktører i markedet til å signere finansavtaler.
2. Forskjellige typer elektronisk signatur er definert i EUs eIDAS-forordning (Forordning (EU) nummer 910/2014) som ble inntatt i norsk lov gjennom lov om elektroniske tillitstjenester. Intensjonen er at elektroniske signaturer, og spesielt kvalifiserte elektroniske signaturer, skal fungere på tvers av landegrensene i Europa – dette er slått fast ved lov for offentlige tjenester gjennom eIDAS-forordningen Artikkel 27. Krav til tilbydere av kvalifisert elektronisk signatur er veldefinert gjennom eIDAS-forordningen og europeiske standarder. Tilleggskrav i forskjellige nasjonale lover eller forskrifter skaper en uoversiktlig situasjon og unødvendig kompleksitet for leverandørene, og en kan ikke forvente at utenlandske tilbydere av kvalifisert signatur skal forholde seg til norske særkrav. Finansavtaleloven med forskrift må legge til rette for bruk av også utenlandske kvalifiserte signaturer for finansavtaler i Norge.
Når det gjelder punkt 1 over: En kvalifisert signatur er en avansert signatur med to tilleggskrav: Identitet bekreftet av et kvalifisert sertifikat og bruk av kvalifisert elektronisk signaturframstillingssystem som definert i Vedlegg II til eIDAS-forordningen. Norske tilbydere av elektronisk signatur, BankID, Buypass og Commfides, oppfyller kravet om kvalifisert sertifikat, men ikke kravet om kvalifisert elektronisk signaturframstillingssystem. Det går fram av forarbeidene til finansavtaleloven at det er signatur på «BankID-nivå» som menes når det skrives kvalifisert elektronisk signatur i loven, men BankID har faktisk ikke kvalifisert signatur. Signicat støtter prinsippet som er nedfelt i finansavtaleloven, om at en i utgangspunktet bør kreve kvalifisert elektronisk signatur for finansavtaler, men i dagens situasjon er det dessverre ikke et realistisk krav.
Når det gjelder punkt 2 over: Finansavtaleloven § 3-17 gir allerede tilleggskrav til tilbydere av elektroniske signaturer, og disse må tolkes til å gjelde tilbydere av kvalifiserte signaturer, så vel som tilbydere av eventuelt andre typer signaturer hjemlet i finansavtalelovens § 3-16 tredje ledd. Kravene i § 3-17 vil antagelig være oppfylt av alle tilbydere av kvalifisert signatur, men i og med at kravene er formulert annerledes enn i eIDAS-forordningen og tilhørende europeiske standarder, oppstår det et tolkningsrom som burde vært unngått. Utkastet til forskrift til finansavtaleloven gjør dessverre situasjonen langt verre ved at det stilles tilleggskrav som faktisk er strengere enn de veldefinerte kravene til kvalifisert signatur – dette MÅ endres, se nedenfor.
Imidlertid, når en hjemlet i finansavtaleloven § 3-16 tredje ledd åpner for andre elektroniske signaturer enn kvalifisert, må en i forskriften definere hvilke andre signaturer som skal kunne brukes. Det betyr at forskriften må stille krav til disse signaturene. En vil i praksis åpne for bruk av avansert elektronisk signatur som definert i eIDAS-forordningen, men i motsetning til kvalifisert signatur kan avansert elektronisk signatur ha forskjellige kvalitetsnivåer.
Dersom en hjemler forskriftens § 3-13 i finansavtalelovens § 3-16 tredje ledd, og ikke i lovens § 3-20 sjette ledd, vil en oppnå at tilleggskravene i forskriften gjelder for andre elektroniske signaturer enn kvalifiserte, mens en unngår tilleggskrav for kvalifiserte signaturer. En kan eventuelt også hjemle tilleggskrav til andre elektroniske signaturer i lovens § 3-20 sjette ledd med referanse til § 3-20 femte ledd bokstav c, og presisere at kvalifisert signatur alltid må regnes som «tilstrekkelig sikker» etter § 3-20 femte ledd bokstav c.
Forslaget til § 3-13 i forskriften gjengis her: «For at en elektronisk signatur skal kunne anses som tilstrekkelig sikker etter finansavtalelovens § 3-20 femte ledd bokstav c, må sikkerhetsløsningen som benyttes, minst tilsvare sikkerhetsnivået «høyt» til et elektronisk identifikasjonsmiddel herunder de tekniske minstespesifikasjonene, minstestandardene og minstekravene for fremgangsmåter som er fastsatt i medhold av forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked artikkel 8 nr. 3 bokstav c.»
Imidlertid sier eIDAS Artikkel 24.1 at en eID på nivå «betydelig» er tilstrekkelig til å utstede kvalifisert sertifikat for elektronisk signatur, og dette er også det vanlige referansenivået for eID til aktivering av kvalifisert elektronisk signaturframstillingssystem. Artikkel 27.3 i eIDAS-forordningen gir en klar intensjon, om enn ikke et forbud, mot å kreve elektronisk signatur med et høyere sikkerhetsnivå enn det som gjelder for kvalifiserte elektroniske signaturer. Forslaget til § 3-13 i forskriften er, ved å kreve eID nivå «høyt», i konflikt med eIDAS-forordningens artikler 24.1 og 27.3 og dermed også i konflikt med gjeldende norsk lov (lov om elektroniske tillitstjenester). eIDAS-forordningen er under revisjon, og ny versjon antas å bli vedtatt av EU-parlamentet og Rådet tidlig i 2023. Dette vil bl.a. medføre endringer i artikkel 24.1 om utstedelse av kvalifisert sertifikat, men referansen til eID-nivå «betydelig» er beholdt i forslaget til revidert eIDAS-forordning.
Når lov om elektroniske tillitstjenester og dermed eIDAS-forordningen legges til grunn, må det konkluderes med at en kvalifisert elektronisk signatur alltid vil være tilstrekkelig til å oppfylle kravet i finansavtaleloven § 3-20 femte ledd bokstav c om at den elektroniske signeringen må være «tilstrekkelig sikker». Det skal ikke stilles tilleggskrav til kvalifiserte elektroniske signaturer for å oppfylle denne bokstaven.
Imidlertid må det, når en skal akseptere andre elektroniske signaturer med hjemmel i finansavtaleloven § 3-16 tredje ledd, spesifiseres hvilke krav som gjelder for disse signaturene. BankID og andre aktører i markedet tilbyr signatur på nivået «avansert elektronisk signatur med kvalifisert sertifikat» som er nevnt i eIDAS-forordningen artikkel 27.2. Dette nivået må minimum aksepteres. Imidlertid brukes det også andre typer signering for finansavtaler i dag. F.eks. bruker Lånekassen den offentlige fellestjenesten for elektronisk signatur med «autentiseringsbasert signatur» med eID nivå «høyt» som autentiseringsmekanisme. Dette er en type avansert elektronisk signatur som er allment akseptert i norsk offentlig sektor. En kan videre stille spørsmål ved behovet for eID nivå «høyt» for avansert elektronisk signatur når nivå «betydelig» er tilstrekkelig for kvalifisert elektronisk signatur. BankID er i ferd med å lansere en ny eID-tjeneste på nivå «betydelig», og denne antas å kunne brukes i 95 % av brukstilfellene for digitale tjenester i Norge. Spørsmålet er om den også skal ansees som tilstrekkelig for «autentiseringsbasert signatur» eller andre typer avansert elektronisk signatur for finansavtaler?
Ut fra vurderingene over vil Signicat foreslå følgende ordlyd for § 3-13 i forskriften til finansavtaleloven, med hjemmel i finansavtalelovens § 3-16 tredje ledd (og ikke i finansavtalelovens § 3-20 sjette ledd):
"En avansert elektronisk signatur i samsvar med forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked artikkel 26 kan aksepteres som elektronisk signatur forutsatt at identifisering av underskriver og enekontroll over bruken av elektroniske signaturframstillingdata er sikret minst i henhold til kravene til sikkerhetsnivå «betydelig» i medhold av forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked artikkel 8 nr. 2 bokstav b."
En kan gi følgende kommentarer til denne forskriftsteksten:
- Dette betyr at slike signaturer anses som tilstrekkelig sikre, ref. finansavtaleloven § 3-20 femte ledd bokstav c.
- Åpning for bruk av avansert elektronisk signatur kan trekkes tilbake dersom kvalifisert elektronisk signatur blir allment tilgjengelig i Norge.
Tilleggskommentar: Ordlyden i §§ 3-16 til 3-21 i finansavtaleloven kan tolkes til at kvalifisert elektronisk segl er tilstrekkelig til å inngå en finansavtale for en juridisk person. Dette er i tilfelle en utvidelse av det tiltenkte formålet for et elektronisk segl i eIDAS-forordningen Artikkel 35 som sier: «For et kvalifisert elektronisk segl skal det formodes at integriteten til dataene som det kvalifiserte elektroniske seglet er knyttet til, er intakt, og at dataenes opprinnelse er riktig.» Det er antagelig ikke i strid med eIDAS-forordningen om en i nasjonal lov eller forskrift tilordner andre funksjoner til kvalifiserte elektroniske segl, men det er et område som bør vurderes nøye. Det kan være behov for å avklare, gjerne i forskriften, hvordan elektronisk segl kan brukes for finansavtaler, og om dette er tilstrekkelig alene, uten elektronisk signatur fra autorisert fysisk person knyttet til den juridiske personen. Signicat har ingen forslag til eventuelt innhold i forskriften på dette området.
1. Hjemmelen i finansavtalelovens § 3-16 tredje ledd må tas i bruk for å åpne for andre signaturer enn kvalifisert elektronisk signatur. Dette er nødvendig fordi kvalifisert elektronisk signatur i dag ikke tilbys i det norske markedet.
2. Foreslått tekst til § 3-13 i forskriften må slettes i sin helhet. Forslaget stiller krav som er strengere enn krav til kvalifisert elektronisk signatur i henhold til EUs eIDAS-forordning, og bryter dermed med gjeldende norsk lov (lov om elektroniske tillitstjenester).
3. Forskrift til finansavtaleloven kan ikke gi tilleggskrav til kvalifiserte elektroniske signaturer. Slike signaturer er veldefinert i eIDAS-forordningen med tilhørende standarder, og tilleggskrav i nasjonale lover, forskrifter og regelverk vil medføre problemer for aktører i markedet og for aksept av utenlandske signaturer.
4. Forskrift til finansavtaleloven bør, med hjemmel i finansavtaleloven § 3-16 tredje ledd, akseptere bruk av avansert elektronisk signatur framstilt med midler som tilsvarer eID nivå «betydelig». Det kan gis en anmerkning om at denne aksepten vil kunne endres hvis kvalifisert elektronisk signatur blir allment tilgjengelig i Norge.
Ny finansavtalelov § 3-16 første ledd stiller krav om kvalifisert elektronisk signatur for finansavtaler som signeres elektronisk, men sier i § 3-16 tredje ledd at en i forskrift kan åpne for bruk av andre elektroniske signaturer. Forslag til forskrift tar ikke i bruk hjemmelen i § 3-16 tredje ledd. Det betyr at tilleggskrav som stilles i forskriften, må ansees å gjelde for kvalifiserte signaturer. Det er nødvendig å endre dette av to grunner:
1. Kvalifisert elektronisk signatur tilbys i dag ikke i det norske markedet. Dvs. at med mindre hjemmelen i § 3-16 tredje ledd tas i bruk til å åpne for andre elektroniske signaturer, vil en faktisk ikke kunne bruke BankID-signaturer eller signaturer fra andre aktører i markedet til å signere finansavtaler.
2. Forskjellige typer elektronisk signatur er definert i EUs eIDAS-forordning (Forordning (EU) nummer 910/2014) som ble inntatt i norsk lov gjennom lov om elektroniske tillitstjenester. Intensjonen er at elektroniske signaturer, og spesielt kvalifiserte elektroniske signaturer, skal fungere på tvers av landegrensene i Europa – dette er slått fast ved lov for offentlige tjenester gjennom eIDAS-forordningen Artikkel 27. Krav til tilbydere av kvalifisert elektronisk signatur er veldefinert gjennom eIDAS-forordningen og europeiske standarder. Tilleggskrav i forskjellige nasjonale lover eller forskrifter skaper en uoversiktlig situasjon og unødvendig kompleksitet for leverandørene, og en kan ikke forvente at utenlandske tilbydere av kvalifisert signatur skal forholde seg til norske særkrav. Finansavtaleloven med forskrift må legge til rette for bruk av også utenlandske kvalifiserte signaturer for finansavtaler i Norge.
Når det gjelder punkt 1 over: En kvalifisert signatur er en avansert signatur med to tilleggskrav: Identitet bekreftet av et kvalifisert sertifikat og bruk av kvalifisert elektronisk signaturframstillingssystem som definert i Vedlegg II til eIDAS-forordningen. Norske tilbydere av elektronisk signatur, BankID, Buypass og Commfides, oppfyller kravet om kvalifisert sertifikat, men ikke kravet om kvalifisert elektronisk signaturframstillingssystem. Det går fram av forarbeidene til finansavtaleloven at det er signatur på «BankID-nivå» som menes når det skrives kvalifisert elektronisk signatur i loven, men BankID har faktisk ikke kvalifisert signatur. Signicat støtter prinsippet som er nedfelt i finansavtaleloven, om at en i utgangspunktet bør kreve kvalifisert elektronisk signatur for finansavtaler, men i dagens situasjon er det dessverre ikke et realistisk krav.
Når det gjelder punkt 2 over: Finansavtaleloven § 3-17 gir allerede tilleggskrav til tilbydere av elektroniske signaturer, og disse må tolkes til å gjelde tilbydere av kvalifiserte signaturer, så vel som tilbydere av eventuelt andre typer signaturer hjemlet i finansavtalelovens § 3-16 tredje ledd. Kravene i § 3-17 vil antagelig være oppfylt av alle tilbydere av kvalifisert signatur, men i og med at kravene er formulert annerledes enn i eIDAS-forordningen og tilhørende europeiske standarder, oppstår det et tolkningsrom som burde vært unngått. Utkastet til forskrift til finansavtaleloven gjør dessverre situasjonen langt verre ved at det stilles tilleggskrav som faktisk er strengere enn de veldefinerte kravene til kvalifisert signatur – dette MÅ endres, se nedenfor.
Imidlertid, når en hjemlet i finansavtaleloven § 3-16 tredje ledd åpner for andre elektroniske signaturer enn kvalifisert, må en i forskriften definere hvilke andre signaturer som skal kunne brukes. Det betyr at forskriften må stille krav til disse signaturene. En vil i praksis åpne for bruk av avansert elektronisk signatur som definert i eIDAS-forordningen, men i motsetning til kvalifisert signatur kan avansert elektronisk signatur ha forskjellige kvalitetsnivåer.
Dersom en hjemler forskriftens § 3-13 i finansavtalelovens § 3-16 tredje ledd, og ikke i lovens § 3-20 sjette ledd, vil en oppnå at tilleggskravene i forskriften gjelder for andre elektroniske signaturer enn kvalifiserte, mens en unngår tilleggskrav for kvalifiserte signaturer. En kan eventuelt også hjemle tilleggskrav til andre elektroniske signaturer i lovens § 3-20 sjette ledd med referanse til § 3-20 femte ledd bokstav c, og presisere at kvalifisert signatur alltid må regnes som «tilstrekkelig sikker» etter § 3-20 femte ledd bokstav c.
Forslaget til § 3-13 i forskriften gjengis her: «For at en elektronisk signatur skal kunne anses som tilstrekkelig sikker etter finansavtalelovens § 3-20 femte ledd bokstav c, må sikkerhetsløsningen som benyttes, minst tilsvare sikkerhetsnivået «høyt» til et elektronisk identifikasjonsmiddel herunder de tekniske minstespesifikasjonene, minstestandardene og minstekravene for fremgangsmåter som er fastsatt i medhold av forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked artikkel 8 nr. 3 bokstav c.»
Imidlertid sier eIDAS Artikkel 24.1 at en eID på nivå «betydelig» er tilstrekkelig til å utstede kvalifisert sertifikat for elektronisk signatur, og dette er også det vanlige referansenivået for eID til aktivering av kvalifisert elektronisk signaturframstillingssystem. Artikkel 27.3 i eIDAS-forordningen gir en klar intensjon, om enn ikke et forbud, mot å kreve elektronisk signatur med et høyere sikkerhetsnivå enn det som gjelder for kvalifiserte elektroniske signaturer. Forslaget til § 3-13 i forskriften er, ved å kreve eID nivå «høyt», i konflikt med eIDAS-forordningens artikler 24.1 og 27.3 og dermed også i konflikt med gjeldende norsk lov (lov om elektroniske tillitstjenester). eIDAS-forordningen er under revisjon, og ny versjon antas å bli vedtatt av EU-parlamentet og Rådet tidlig i 2023. Dette vil bl.a. medføre endringer i artikkel 24.1 om utstedelse av kvalifisert sertifikat, men referansen til eID-nivå «betydelig» er beholdt i forslaget til revidert eIDAS-forordning.
Når lov om elektroniske tillitstjenester og dermed eIDAS-forordningen legges til grunn, må det konkluderes med at en kvalifisert elektronisk signatur alltid vil være tilstrekkelig til å oppfylle kravet i finansavtaleloven § 3-20 femte ledd bokstav c om at den elektroniske signeringen må være «tilstrekkelig sikker». Det skal ikke stilles tilleggskrav til kvalifiserte elektroniske signaturer for å oppfylle denne bokstaven.
Imidlertid må det, når en skal akseptere andre elektroniske signaturer med hjemmel i finansavtaleloven § 3-16 tredje ledd, spesifiseres hvilke krav som gjelder for disse signaturene. BankID og andre aktører i markedet tilbyr signatur på nivået «avansert elektronisk signatur med kvalifisert sertifikat» som er nevnt i eIDAS-forordningen artikkel 27.2. Dette nivået må minimum aksepteres. Imidlertid brukes det også andre typer signering for finansavtaler i dag. F.eks. bruker Lånekassen den offentlige fellestjenesten for elektronisk signatur med «autentiseringsbasert signatur» med eID nivå «høyt» som autentiseringsmekanisme. Dette er en type avansert elektronisk signatur som er allment akseptert i norsk offentlig sektor. En kan videre stille spørsmål ved behovet for eID nivå «høyt» for avansert elektronisk signatur når nivå «betydelig» er tilstrekkelig for kvalifisert elektronisk signatur. BankID er i ferd med å lansere en ny eID-tjeneste på nivå «betydelig», og denne antas å kunne brukes i 95 % av brukstilfellene for digitale tjenester i Norge. Spørsmålet er om den også skal ansees som tilstrekkelig for «autentiseringsbasert signatur» eller andre typer avansert elektronisk signatur for finansavtaler?
Ut fra vurderingene over vil Signicat foreslå følgende ordlyd for § 3-13 i forskriften til finansavtaleloven, med hjemmel i finansavtalelovens § 3-16 tredje ledd (og ikke i finansavtalelovens § 3-20 sjette ledd):
"En avansert elektronisk signatur i samsvar med forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked artikkel 26 kan aksepteres som elektronisk signatur forutsatt at identifisering av underskriver og enekontroll over bruken av elektroniske signaturframstillingdata er sikret minst i henhold til kravene til sikkerhetsnivå «betydelig» i medhold av forordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked artikkel 8 nr. 2 bokstav b."
En kan gi følgende kommentarer til denne forskriftsteksten:
- Dette betyr at slike signaturer anses som tilstrekkelig sikre, ref. finansavtaleloven § 3-20 femte ledd bokstav c.
- Åpning for bruk av avansert elektronisk signatur kan trekkes tilbake dersom kvalifisert elektronisk signatur blir allment tilgjengelig i Norge.
Tilleggskommentar: Ordlyden i §§ 3-16 til 3-21 i finansavtaleloven kan tolkes til at kvalifisert elektronisk segl er tilstrekkelig til å inngå en finansavtale for en juridisk person. Dette er i tilfelle en utvidelse av det tiltenkte formålet for et elektronisk segl i eIDAS-forordningen Artikkel 35 som sier: «For et kvalifisert elektronisk segl skal det formodes at integriteten til dataene som det kvalifiserte elektroniske seglet er knyttet til, er intakt, og at dataenes opprinnelse er riktig.» Det er antagelig ikke i strid med eIDAS-forordningen om en i nasjonal lov eller forskrift tilordner andre funksjoner til kvalifiserte elektroniske segl, men det er et område som bør vurderes nøye. Det kan være behov for å avklare, gjerne i forskriften, hvordan elektronisk segl kan brukes for finansavtaler, og om dette er tilstrekkelig alene, uten elektronisk signatur fra autorisert fysisk person knyttet til den juridiske personen. Signicat har ingen forslag til eventuelt innhold i forskriften på dette området.