Kommunal- og moderniseringsdepartementet
Lysaker 4. februar 2019
Høringssvar - forslag til ny selvdeklarasjonsforskrift og Rammeverk for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor og ny forskrift for selvdeklarasjon for elektroniske tjenester.
Commfides Norge AS svarer med dette samlet på forslag til nytt Rammeverk for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor og ny selvdeklarasjonsforskrift.
Commfides imøteser gjennomføringen ny eSignaturlov med rammeverk og etterlevelsen av EUs eIDAS forordning med forventning om at dette vil gi tilbydere av tillittstjenester klarhet i forhold til tekniske og prosedyremessige standarder og gjenbruk av norske løsninger i et europeisk marked. Vi har derfor fokus på at vi gjennomfører regelverket med de samme standarder som eIDAS forordningen legger seg på.
Commfides har ingen kommentarer til gjennomføringsrettsaktene og anbefaler å gjennomføre disse i tråd med Høringsnotates anbefalinger.
Den første anbefaling til endring gjelder i forhold til Rammeverk for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.
Ref pt 3.2.3 Oversikt over nivåene – noen sentrale sikkerhetsegenskaper.
Vi anbefaler at det i tabellen i pt 3.2.3 der det for Utleveringskrav nivå høyt er angitt «Utlevering baseres på personlig fremmøte», endres til «Utlevering baseres på personlig fremmøte eller tilsvarende sikkerhet».
Vi anbefaler dette på bakgrunn av eIDAS forordningens ordlyd på dette området slik det fremkommer i Article 24, Punkt 1 d i I REGULATION EU No 910 2014:
“by using other identification methods recognised at national level which provide equivalent assurance in terms of reliability to physical presence. The equivalent assurance shall be confirmed by a conformity assessment body.”
ETSI 319 411 – 2 standardens mer presise ordlyd ref kopi fra standardens punkt 6.2.2:
6.2.2 Initial Identity Validation
The requirements identified in ETSI EN 319 411-1 [2], clause 6.2.2 shall apply.
In addition the following particular requirements apply.
a) [QCP-n] and [QCP-n-qscd] the identity of the natural person and, if applicable, any specific attributes of the
person, shall be verified:
i) by the physical presence of the natural person; or
ii) using methods which provide equivalent assurance in terms of reliability to the physical presence and for
which the TSP can prove the equivalence.
NOTE 1: The proof of equivalence can be done according to the Regulation (EU) N° 910/2014 [i.1].
NOTE 2: The proof of equivalence needs to consider the impersonation risks inherent to remote applications. In
particular, an uninterrupted chain of subsequent remote registrations can increase such risks, because the
person can never be actually seen for years, and/or because the traceability with the initial face to face is
For å oppnå konsistens for andre punkter som referer til persomlig fremmøte for validering på sikkerhetsnivå bør tilsvarende endring gjøres i punktene 3.4.3 (begge kulepunktene) og 3.5.1 tredje avsnitt.
Vi baserer vår anbefaling på at det utvikles teknologi for sikker digital validering. Vi er selv involvert i denne utviklingen, har investert betydelige ressurser i dette og har løsningen i drift i et av EU landene. Vi arbeider med-, og forventer å få denne heldigitale valideringsprosessen sertifisert på høyste nivå i løpet av 2019. Det er derfor viktig at rammeverket vi forholder oss til i Norge er i tråd med eIDAS forordningen og ETSI standarden og de tekniske muligheter denne åpner for. Utelatelse av å oppnå samsvar med ETSI standarden og eIDAS på dette viktige punktet skaper usikkerhet om vi kan tilby en ny og fremtidsrettet tjeneste i Norge og internasjonalt så lenge vi er registrert som sertifikatutsteder i Norge og underlagt det norske rammeverket.
Anbefaling 2 gjelder i forhold til Forslag til ny forskrift om selvdeklarasjon for elektroniske tjenester.
Vår anbefaling er at det ikke etableres en selvdeklarasjonsordning på nivå høyt.
I forhold til krav i § 3 Selvdeklarasjon – e-ID nivå høyt, skal tjenesten oppfylle krav som er beskrevet i Rammeverket for e-ID nivå høyt. Et av kravene er revisjon av ekstern revisor som i praksis må være akkreditert for revisjon for dette formålet og på dette nivået. Når en utsteder oppnår dette kravet er utstederen i praksis på eIDAS nivå høyt.
Vi finner det selvmotsigende at et godkjenningsnivå som krever ekstern revisor og dermed er en ekstern godkjenning skal løftes tilbake til et internt nivå som en selvdeklarsjonsordning i praksis er. Vi menere videre at dette vil skape forvirring for brukerne og undergrave det arbeidet som gjøres av seriøse aktører som oppnår eIDAS sertifisering. Det vil også føre til økte kostnader å opprettholde to ulike metoder for godkjenning.
Vi vil advare mot bruk av selvdeklarasjon også på nivå betydelig. Det er etablert godkjenningsordning gjennom eIDAS. Det er derfor ingen grunn til å etablerer et lokalt paralelt regime som er egnet til å forvirre brukerne og undergrave eIDAS sertifiserte utstedere.
Det bør også stilles spørsmål om det er relevant å ha en selvdeklarasjon for nivå lavt. Ved å gi nivå lavt et godkjenningsstempel kan man bidra til gi dette nivået en oppfattet sikkerthetsprofil eller kvalitetsstempel det ikke har. Dette kan igjen skape forvirring for brukerne og undergrave tillitten til sertifiserte e-ID generelt. I tråd med intensjonen med eIDAS forordningen om å skape trygghet og tillitt på nett mener vi det beste er å droppe hele selvdeklarsjons-ordningen.
Lysaker 4. februar 2019
Høringssvar - forslag til ny selvdeklarasjonsforskrift og Rammeverk for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor og ny forskrift for selvdeklarasjon for elektroniske tjenester.
Commfides Norge AS svarer med dette samlet på forslag til nytt Rammeverk for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor og ny selvdeklarasjonsforskrift.
Commfides imøteser gjennomføringen ny eSignaturlov med rammeverk og etterlevelsen av EUs eIDAS forordning med forventning om at dette vil gi tilbydere av tillittstjenester klarhet i forhold til tekniske og prosedyremessige standarder og gjenbruk av norske løsninger i et europeisk marked. Vi har derfor fokus på at vi gjennomfører regelverket med de samme standarder som eIDAS forordningen legger seg på.
Commfides har ingen kommentarer til gjennomføringsrettsaktene og anbefaler å gjennomføre disse i tråd med Høringsnotates anbefalinger.
Den første anbefaling til endring gjelder i forhold til Rammeverk for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.
Ref pt 3.2.3 Oversikt over nivåene – noen sentrale sikkerhetsegenskaper.
Vi anbefaler at det i tabellen i pt 3.2.3 der det for Utleveringskrav nivå høyt er angitt «Utlevering baseres på personlig fremmøte», endres til «Utlevering baseres på personlig fremmøte eller tilsvarende sikkerhet».
Vi anbefaler dette på bakgrunn av eIDAS forordningens ordlyd på dette området slik det fremkommer i Article 24, Punkt 1 d i I REGULATION EU No 910 2014:
“by using other identification methods recognised at national level which provide equivalent assurance in terms of reliability to physical presence. The equivalent assurance shall be confirmed by a conformity assessment body.”
ETSI 319 411 – 2 standardens mer presise ordlyd ref kopi fra standardens punkt 6.2.2:
6.2.2 Initial Identity Validation
The requirements identified in ETSI EN 319 411-1 [2], clause 6.2.2 shall apply.
In addition the following particular requirements apply.
a) [QCP-n] and [QCP-n-qscd] the identity of the natural person and, if applicable, any specific attributes of the
person, shall be verified:
i) by the physical presence of the natural person; or
ii) using methods which provide equivalent assurance in terms of reliability to the physical presence and for
which the TSP can prove the equivalence.
NOTE 1: The proof of equivalence can be done according to the Regulation (EU) N° 910/2014 [i.1].
NOTE 2: The proof of equivalence needs to consider the impersonation risks inherent to remote applications. In
particular, an uninterrupted chain of subsequent remote registrations can increase such risks, because the
person can never be actually seen for years, and/or because the traceability with the initial face to face is
For å oppnå konsistens for andre punkter som referer til persomlig fremmøte for validering på sikkerhetsnivå bør tilsvarende endring gjøres i punktene 3.4.3 (begge kulepunktene) og 3.5.1 tredje avsnitt.
Vi baserer vår anbefaling på at det utvikles teknologi for sikker digital validering. Vi er selv involvert i denne utviklingen, har investert betydelige ressurser i dette og har løsningen i drift i et av EU landene. Vi arbeider med-, og forventer å få denne heldigitale valideringsprosessen sertifisert på høyste nivå i løpet av 2019. Det er derfor viktig at rammeverket vi forholder oss til i Norge er i tråd med eIDAS forordningen og ETSI standarden og de tekniske muligheter denne åpner for. Utelatelse av å oppnå samsvar med ETSI standarden og eIDAS på dette viktige punktet skaper usikkerhet om vi kan tilby en ny og fremtidsrettet tjeneste i Norge og internasjonalt så lenge vi er registrert som sertifikatutsteder i Norge og underlagt det norske rammeverket.
Anbefaling 2 gjelder i forhold til Forslag til ny forskrift om selvdeklarasjon for elektroniske tjenester.
Vår anbefaling er at det ikke etableres en selvdeklarasjonsordning på nivå høyt.
I forhold til krav i § 3 Selvdeklarasjon – e-ID nivå høyt, skal tjenesten oppfylle krav som er beskrevet i Rammeverket for e-ID nivå høyt. Et av kravene er revisjon av ekstern revisor som i praksis må være akkreditert for revisjon for dette formålet og på dette nivået. Når en utsteder oppnår dette kravet er utstederen i praksis på eIDAS nivå høyt.
Vi finner det selvmotsigende at et godkjenningsnivå som krever ekstern revisor og dermed er en ekstern godkjenning skal løftes tilbake til et internt nivå som en selvdeklarsjonsordning i praksis er. Vi menere videre at dette vil skape forvirring for brukerne og undergrave det arbeidet som gjøres av seriøse aktører som oppnår eIDAS sertifisering. Det vil også føre til økte kostnader å opprettholde to ulike metoder for godkjenning.
Vi vil advare mot bruk av selvdeklarasjon også på nivå betydelig. Det er etablert godkjenningsordning gjennom eIDAS. Det er derfor ingen grunn til å etablerer et lokalt paralelt regime som er egnet til å forvirre brukerne og undergrave eIDAS sertifiserte utstedere.
Det bør også stilles spørsmål om det er relevant å ha en selvdeklarasjon for nivå lavt. Ved å gi nivå lavt et godkjenningsstempel kan man bidra til gi dette nivået en oppfattet sikkerthetsprofil eller kvalitetsstempel det ikke har. Dette kan igjen skape forvirring for brukerne og undergrave tillitten til sertifiserte e-ID generelt. I tråd med intensjonen med eIDAS forordningen om å skape trygghet og tillitt på nett mener vi det beste er å droppe hele selvdeklarsjons-ordningen.