Till innehåll på sidan
Sveriges Riksdags logotyp, tillbaka till startsidan

TTE, RådsPM - Elektronisk identifiering (eIDAS), dp. 9

Bilaga till dokument från EU-nämnden 2012/13:2B642B

DOCX
TTE, RådsPM - Elektronisk identifiering (eIDAS), dp. 9(docx, 29 KB)

Rådspromemoria

2012-12-05

Näringsdepartementet

IT-politik

Rådets möte TTE den 20 december 2012

Dagordningspunkt 9

Rubrik: Förslag till Europaparlamentets och rådets förordning om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Första behandlingen)

- – Framstegsrapport

- – Orienteringsdebatt

Dokument:

Förslaget: COM(2012) 238final

Framstegsrapport: 17126/12

Tidigare dokument: Fakta-PM 2011/12:FPM162

Tidigare behandlad vid samråd med EU-nämnden: Inte tidigare behandlad

Bakgrund

Kommissionen presenterade den 4 juni 2012 ett förslag till förordning om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. Förslaget är ämnat att ersätta direktivet 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer och utvidga lagstiftningen till att utöver signaturer även omfatta andra s.k. betrodda tjänster samt elektronisk identifiering. Avsikten är att stärka förtroendet för och säkerheten i elektroniska transaktioner samt att undanröja rättslig fragmentering och brist på interoperabilitet på området. Syftet är att möjliggöra ett effektivt elektroniskt samspel mellan företag, medborgare och offentliga myndigheter över nationsgränserna.

Förslaget är en del av SMA I och EUs färdplan för stabilitet och tillväxt.

Rådsarbetsgruppen för telekom har under det cypriotiska ordförandeskapet gått igenom artiklarna i den föreslagna förordningen. Till TTE-rådet har ordförandeskapet tagit fram en framstegsrapport som beskriver hur arbetet bedrivits under hösten och vilka frågor som har diskuterats. Till rapporten har ordförandeskapet bilagt två frågor som underlag för MS:s diskussion vid TTE. Den första frågan handlar om möjligheten till snabba framsteg i förhandlingsarbetet och på vilka frågor insatserna bör fokuseras för att säkerställa sådana framsteg. Den andra frågan handlar om ifall minimisäkerhetskrav skulle bidra till att lösa medlemsstaternas bekymmer om olika säkerhetsstandarder för e-legitimationer och bidra till att en tillräcklig säkerhetsnivå uppnås?

Rättslig grund och beslutsförfarande

Förslaget grundar sig på artikel 114 i fördraget om europeiska unionens funktionssätt (EUF-fördraget), som rör antagandet av bestämmelser beträffande funktionen av den inre marknaden.

Beslut fattas av parlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet (artikel 294 EUF). I rådet krävs kvalificerad majoritet.

Svensk ståndpunkt

Regeringen är positivt till målsättningen att reglera det ömsesidiga erkännandet av e-legitimationer och stärka förtroendet för och säkerheten i elektroniska transaktioner. Detta är en nödvändighet för att den digitala inre marknaden ska kunna utvecklas, vilket bidrar till ökad tillväxt och gagnar allmänheten, företagen och den offentliga förvaltningen. En ökad användning av elektroniska tjänster kan medföra väsentliga kostnadsbesparingar för såväl offentliga som privata aktörer.

För att få ett effektivt genomslag av den gränsöverskridande användningen av e-legitimationer bör Sverige verka för att det ska finnas förutsättningar att använda befintliga e-legitimationer även i gränsöverskridande sammanhang. Regleringen behöver därför ta hänsyn till de system för e-legitimationer som redan utvecklats i medlemsländerna och att påverkan på nationella ansvarsstrukturer och affärsmodeller minimeras.

Villkoren för möjligheten att använda och acceptera e-legitimationer över nationsgränserna måste vara acceptabla för medlemsstaterna. Regleringen bör därför innefatta ett säkerhetsramverk för e-legitimationer. Detta kan uppnås antingen genom att fastställa minimisäkerhetsnivåer eller genom att i förslaget ta in en princip om reciprocitet avseende vilka säkerhetsnivåer som ska godtas. Bestämmelserna om hur incidenter ska hanteras kan också behöva justeras.

Säkerhetskraven får dock inte bli så höga att kostnaderna ökar oproportionerligt. Omfattande och svårbedömda statliga kostnader och åtaganden för e-legitimationer bör också motverkas.

Även regleringen av betrodda tjänster bör ha en lämplig avvägning mellan säkerhetskrav och kostnadsåtaganden. Kraven på tjänstetillhandahållare får inte vara så höga att tillträdet till marknaden försvåras för nya aktörer eller att utvecklingen av nya tjänster hindras.

Regeringen anser vidare att det är av vikt att förordningen får en teknikneutral utformning, vilket möjliggör för nya tekniska lösningar att utvecklas.

ORDF:s redogörelse i framstegsrapporten återspeglar väl de diskussioner som förts i rådsarbetsgruppen för telekom.

Vad gäller orienteringsdebattens första fråga avser SE framhålla att förslaget utgör en prioriterad lagstiftning inom EU och att SE aktivt vill bidra till att slutföra förhandlingarna så snart som möjligt utan att för den skull pruta på kravet att få fungerande och välavvägda bestämmelser. Arbetet bör fokuseras på att villkoren för den gränsöverskridande användningen av e-legitimationer är godtagbara för medlemsstaterna och att osäkerheter undanröjs. Prioriterade frågor här är att få till stånd acceptabla säkerhetsnivåer och ansvarsstrukturer samt att bestämmelserna får rimliga ekonomiska konsekvenser. Det är väsentligt att medlemsstaterna både kan och vill anmäla sina eID-system för användning över nationsgränserna. Först då kan allmänhet, företag och myndigheter gagnas genom förslaget. I annat fall riskerar vi att få en verkningslös reglering.

För orienteringsdebattens andra fråga avser SE understryka vikten av att medlemsstaterna känner tillit till att de olika systemen har en tillräcklig säkerhetsstandard för att den gränsöverskridande användningen av e-legitimationer ska gynnas i största möjliga utsträckning. Enligt SE:s bedömning kan detta lösas antingen genom att reglera minimisäkerhetsnivåer eller genom att införa en princip om reciprocitet för vilka säkerhetsnivåer som ska godtas.

Europaparlamentets inställning

Inte känt.

Förslaget

Förslaget ställer upp villkor under vilka förhållanden e-legitimationer som utfärdats i en medlemsstat ska erkännas och godtas för åtkomst till e-tjänster som tillhandahålls i andra medlemsstater. Medlemsstaterna förpliktigas också att erkänna och godta kvalificerade elektroniska signaturer, sigill och tidsstämplar samt kvalificerade certifikat för autentisering av webbplatser.

Intentionen är att hålla förordningen så ”enkel” som möjligt såtillvida att den endast ska innehålla grundläggande principer och regelverk. Tanken är att förordningen ska bilda ett juridiskt ramverk på vilken tekniska lösningar och standarder sedan kan vila, men att sådana tekniska referenser inte ska ingå i själva förordningen. Detta för att tillförsäkra att förordningen är tillräckligt flexibel för att inte behöva ändras till följd av tex tekniska utvecklingar. Reglering av mer teknisk karaktär kommer därför ske i delegerade (eller genomförande) akter.

Förslaget innebär inget tvång på att använda eller tillhandahålla vissa typer av betrodda tjänster. Tjänstetillhandahållare är alltså fria att själva välja vilken eller vilka tjänster som ska tillhandahållas. Det finns heller inget krav på att använda sig av valideringstjänster, bevarandetjänster osv.

Vad gäller e-legitimationer avser förslaget inte att reglera de nationella systemen utan bygger på principen om ömsesidigt erkännande. Medlemsstaterna kan själva välja att anmäla sitt – eller sina – e-legitimationssystem för gränsöverskridande användning. Samtliga system som har anmälts måste dock accepteras av alla medlemsstater, oaktat om en medlemsstat själv valt att anmäla sitt system eller inte. Alla system som anmälts ska kunna användas mot samtliga e-tjänster i medlemsstaterna där e-legitimation krävs för åtkomst. För att kunna anmäla ett system krävs att vissa villkor är uppfyllda, bl.a. att MS ska se till att autentiseringen av e-legitimationen är gratis för förlitande parter i andra medlemsstater. Vidare ska medlemsstaterna b.la. ta på sig skadeståndsansvaret för att e-legitimationen har utfärdats till rätt person.

Vad gäller betrodda tjänster omfattas sådana tjänster som uppfyller vissa krav och därigenom anges vara kvalificerade. Sådana tjänster är bland annat certifikat för elektroniska signaturer och sigill samt till signaturer och sigill angränsande tjänster såsom validering, bevarande och tidsstämpling. Vidare omfattas bl.a. elektroniska leveranstjänster, elektroniska dokument och certifikat för autentisering av webbplatser. Förutom krav på tjänsterna som sådana och krav på medlemsstaterna att godkänna och acceptera vissa av dessa ställer förslaget upp krav som ska uppfyllas av tillhandahållare av sådana tjänster som omfattas av förslaget. Detta innefattar bl.a. säkerhetskrav på och skadeståndsansvar för tjänstetillhandahållare. Förslaget innehåller även bestämmelser om tillsyn och incidentrapportering.

Gällande svenska regler och förslagets effekter på dessa

Signaturdirektivet är genomfört i svensk rätt genom lagen (2000:832) om kvalificerade elektroniska signaturer, som i huvudsak reglerar kvalificerade certifikat och krav på dem som utfärdar sådana certifikat samt tillsynsregler. Enligt förslaget ska signaturdirektivet upphävas. Det medför att lagen om kvalificerade elektroniska signaturer också behöver upphävas. Vidare krävs följdändringar i ett antal författningar som hänvisar till lagen.

Förslaget till förordning innebär en utvidgad reglering av elektroniska signaturer än vad som omfattas av dagens lagstiftning. Förslaget innebär också utvidgade tillsynsregler, varför tillsynsmyndighetens (idag Post- och telestyrelsen) tillsynsverksamhet sannolikt kommer att påverkas.

E-legitimationer och betrodda tjänster är i huvudsak inte reglerade i svensk lagstiftning. Förslaget kan dock komma att leda till att vissa till förordningen kompletterande bestämmelser behövs.

Ekonomiska konsekvenser

Kommissionen har gjort en konsekvensanalys av förslaget (SWD(2012) 135 final) där det bl.a. anges att förslaget är förenligt med den gällande fleråriga budgetramen och att förslaget inte påverkar budgetens inkomstsida.

Det är inte möjligt att i nuläget fullt ut bedöma eventuella budgetära konsekvenser för svensk del. Förslaget kan komma att påverka kostnader för staten, tillhandahållare av betrodda tjänster och tillhandahållare av
e-tjänster (främst statliga och kommunala myndigheter). En ökad användning av elektroniska tjänster kan dock väntas medföra väsentliga samhällsekonomiska vinster och kan leda till betydande kostnadsbesparingar för såväl offentliga som privata aktörer.

Förslaget innebär att medlemsstaterna ska se till att e-legitimationer ska kunna autentiseras kostnadsfritt för förlitande parter i andra medlemsstater. Detta kan komma att innebära ökade statliga kostnader för användningen av e-legitimationer. Hur stora dessa kostnader kan bli är emellertid svårt att bedöma då det beror på transaktionsvolymen.

Förslaget innebär vidare att medlemsstaterna ska ta på sig skadeståndsansvaret för otvetydigheten i anmälda e-legitimationer och autentiseringen av dessa. Detta medför framför allt en risk att drabbas av kostnader, i den mån en förlitande part i annan medlemsstat lider skada av en brist i e-legitimationssystemet. Det är svårt att bedöma vilka budgetära konsekvenser dessa skadeståndsansvar kan få.

Kostnader för att utveckla de gränssnitt och den infrastruktur som behövs för interoperabilitet mellan olika medlemsstaters e-legitimation kommer att uppstå. Dessa kostnader kommer för svensk del framför allt att träffa tillhandahållare av e-tjänster (dvs. framför allt myndigheter). Kostnaderna för detta bedöms av kommissionen vara begränsade och endast uppgå till ca 100 000 euro. Sverige har dock ett stort antal tillhandahållare av e-tjänster. Den sammanlagda kostnaden för svensk del kan därför komma att bli högre än den av kommissionen förutsedda. Kostnaden för anpassning av systemen kommer dessutom att vara beroende av vilka närmare krav som kan komma att ställas upp. Det finns idag inget tekniskt stöd för att hantera e-legitimationer utan personnummer som identifieringsverktyg.

Ökade kostnader för tillsyn kan också förutses. Enligt kommissionen kan kostnaderna för tillsyn komma att fördubblas jämfört med idag. Tillsynskostnader varierar, kommissionen uppskattar att de idag ligger mellan 100 0000 och 200 000 euro årligen för många medlemsstater. I genomsnitt bedömer kommissionen att tillsynskostnaderna därmed kommer att öka med ca 150 000 euro årligen per medlemsstat jämfört med idag. För Sveriges del ligger dagens tillsynskostnad dock lägre än vad kommissionen uppger, men kostnaden för tillsyn enligt förslaget bedöms också öka med mer än det dubbla. Det uppskattas att ytterligare tre årsarbetskrafter till tillsynsmyndigheten kan komma att behövas.

Tillhandahållare av betrodda tjänster kan drabbas av ökade kostnader till följd av bestämmelserna om skärpta säkerhetskrav, anmälningsplikt avseende säkerhetsöverträdelser samt utvidgat skadeståndsansvar. Ytterligare kostnader skulle vidare kunna uppstå för tjänstetillhandahållare om dessa måste lämna in kompletterande uppgifter till den myndighet som ska upprätta förteckningen över tjänsteleverantörer.

Kostnader för säkerhetsrevisioner kommer också att drabba tillhandahållare av kvalificerade betrodda tjänster. Enligt kommissionen kan kostnader för säkerhetsrevision uppgå till 25 000 – 30 0000 euro per år om detta utförs av en privat aktör. Om säkerhetsrevisionen utförs av en tillsynsmyndighet kan kostnaden enligt kommissionen uppgå till 3 000 – 5 000 euro årligen. Om tillsynsmyndigheten ska tillhandahålla en tjänst för säkerhetsrevision är bedömningen för svensk del emellertid att en sådan tjänst behöver upphandlas av myndigheten från marknaden, varför kostnaden troligen skulle bli densamma.

Övrigt