Den foreslåede bestemmelse fastlægger forslagets anvendelsesområde.
Lov om elektroniske signaturer fandt alene anvendelse på nøglecentre etableret i Danmark.
eIDAS-forordningen finder anvendelse på alle tillidstjenesteudbydere, der er hjemmehørende i Unionen. Begrebet tillidstjenesteudbyder er defineret i eIDAS-forordningens artikel 3, nr. 19, og skal forstås som det er defineret i eIDAS-forordningen. Et eksempel på en tillidstjenesteudbyder i dansk kontekst er Nets DanID A/S.
Med bestemmelsen foreslås det, at lovforslaget finder anvendelse på tillidstjenesteudbydere, som udbyder tillidstjenester, som er etableret i Danmark, og som er omfattet af eIDAS-forordningen.
Udpegning af tilsynsorganet i medfør af lov om elektroniske signaturer fremgår af § 18, stk. 1. Det foreslås, at lov om elektroniske signaturer ophæves pr. 1. juli 2016. Det fremgår af eIDAS-forordningens artikel 17, stk. 1, at medlemsstaterne skal udpege et tilsynsorgan i forhold til overholdelse af eIDAS-forordningen.
I stk. 1 foreslås det, at Digitaliseringsstyrelsen udpeges til at påse overholdelsen af eIDAS-forordningen og loven.
Det foreslås, at Digitaliseringsstyrelsen fører kontrol med, at kravene i eIDAS-forordningen og lovforslaget overholdes.
Digitaliseringsstyrelsen foreslås som tilsynsorgan efter eIDAS-forordningen, fordi Digitaliseringsstyrelsen i dag fører tilsyn med nøglecentre i henhold til lov om elektroniske signaturer. Digitaliseringsstyrelsen vurderes derfor at ligge inde med de fornødne kompetencer og den nødvendige erfaring til at varetage opgaven.
Sikkerhedskrav til nøglecentre reguleres i lov om elektroniske signaturer kapitel 4 og bekendtgørelse nr. 223 af 5. oktober 2000 om sikkerhedskrav m.v. til nøglecentre. Disse ophæves i medfør af lovforslaget.
Det følger af eIDAS-forordningens artikel 19, stk. 2, at tillidstjenesteudbydere skal underrette tilsynsorganet om konstaterede brud på sikkerheden. Et sådant krav findes ikke i lov om elektroniske signaturer, bekendtgørelse nr. 923 af 5. oktober 2000 om sikkerhedskrav m.v. til nøglecentre eller bekendtgørelse nr. 922 af 5. oktober 2000 om nøglecentres og systemrevisionens indberetning af oplysninger til Telestyrelsen.
Reguleringen af sikkerhedskrav til tillidstjenesteudbydere, herunder nøglecentre, vil fra den 1. juli 2016 være reguleret i eIDAS-forordningens artikel 19.
Det følger af eIDAS-forordningens artikel 19, stk. 1, at kvalificerede og ikke-kvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang.
Kommissionen gives i eIDAS-forordningens artikel 19, stk. 4, mulighed for at specificere de i eIDAS-forordningens artikel 19, stk. 1 omhandlede foranstaltninger yderligere.
Kommissionen har ved lovforslagets fremsættelse ikke benyttet sig af muligheden for at specificere yderligere via gennemførelsesretsakter, hvad der i eIDAS-forordningen menes med, at tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger.
Kommissionen har ved lovforslagets fremsættelse ej heller benyttet sig af muligheden for ved gennemførelsesretsakter at vedtage formater og procedurer, herunder tidsfrister, for tillidstjenesteudbydernes rapporteringer i tilfælde af konstaterede sikkerhedsbrud.
Reguleringen af passende tekniske og organisatoriske sikkerhedsforanstaltninger i eIDAS-forordningen giver plads til fortolkning, og finansministeren gives derfor i bestemmelsens stk. 1 bemyndigelse til at udstede en bekendtgørelse i lighed med tidligere bekendtgørelse udstedt i medfør af lov om elektroniske signaturer i det tilfælde, at Kommissionen ikke udarbejder gennemførelsesretsakt på dette område.
Det vurderes, at der er mulighed for i højere grad at gøre reguleringen af underretningen af konstaterede sikkerhedsbrud praktisk anvendelig.
Denne vurdering finder støtte i det forhold, at Kommissionen i eIDAS-forordningens artikel 19, stk. 4 gives mulighed for ved gennemførelsesretsakter at vedtage formater og procedurer, herunder tidsfrister.
Det foreslås derfor i lovforslagets stk. 1, at finansministeren gives bemyndigelse til at fastsætte nærmere regler om sikkerhedskrav til tillidstjenesteudbydere. Bestemmelsen skal sikre, at der er mulighed for at præcisere indholdet af sikkerhedskravene, herunder kravene til rapportering af hændelser for at sikre et tilstrækkeligt sikkerhedsniveau. De sikkerhedskrav, der forventes at blive indeholdt i bemyndigelsen, er endnu ikke endeligt fastlagt. Det forventes dog, at der vil blive taget udgangspunkt i de sikkerhedskrav, der fremgår af lov om elektroniske signaturer, bekendtgørelse nr. 923 af 5. oktober 2000 om sikkerhedskrav m.v. til nøglecentre og relevante sikkerhedsstandarder på området, samt materiale udarbejdet af ENISA (European Union Agency for Network and Information Security). Det kan oplyses, at ENISA pt. arbejder på en fælleseuropæisk skabelon for indberetning af sikkerhedshændelser i medfør af eIDAS-forordningens artikel 19. Såfremt Kommissionen ikke udarbejder gennemførselsretsakt i medfør af eIDAS-forordningens artikel 19, stk. 4, kan finansministeren bl.a. benytte bemyndigelsen til at pege på denne skabelon i forbindelse med rapportering af sikkerhedshændelser.
Tilsyn med nøglecentre reguleres i lov om elektroniske signaturers kapitel 9 og indholdet af nøglecentres rapportering til Telestyrelsen reguleres i bekendtgørelse nr. 922 af 5.oktober 2000 om nøglecentres og systemrevisionens indberetning af oplysninger til Telestyrelsen. Disse ophæves i medfør af lovforslaget.
Reguleringen af tilsyn, herunder nøglecentres rapportering til tilsynsorganet, vil fra den 1. juli 2016 være reguleret i eIDAS-forordningens artikel 17 og 21.
Det følger af eIDAS-forordningens artikel 17, stk. 3, at tilsynsorganet skal føre tilsyn. Selve begrebet tilsyn er dog ikke nærmere defineret i eIDAS-forordningen.
Det følger af eIDAS-forordningens artikel 21, stk. 1 og 17, stk. 4, b, at tilsynsorganet henholdsvis skal modtage og analysere overensstemmelsesvurderingsrapporter fra tillidstjenesteudbyderne.
Begrebet overensstemmelsesvurderingsrapport er ikke nærmere defineret. Det følger dog af eIDAS-forordningens artikel 21, stk. 4, 1. pkt., at Kommissionen ved hjælp af gennemførelsesretsakter kan fastlægge formater og procedurer for tillidstjenesternes indsendelse og kontrol af overensstemmelsesvurderingsrapporter.
Kommissionen har ved lovforslagets fremsættelse ikke benyttet sig af muligheden for ved hjælp af gennemførelsesretsakter at vedtage sådanne formater og procedurer.
Den foreslåede bestemmelses stk. 1 henviser til de tilsynsopgaver, som Digitaliseringsstyrelsen foreslås at blive ansvarlig for. Disse opgaver består i:
– at analysere overensstemmelsesvurderingsrapporter, jf. eIDAS-forordningens artikel 17, stk. 4, litra b
– at underrette andre tilsynsorganer og offentligheden om brud på sikkerheden eller tab af integritet jf. eIDAS-forordningens artikel 17, stk. 4, litra c
– at aflægge rapport til Kommissionen om sin primære virksomhed jf. eIDAS-forordningens artikel 17, stk. 4, litra d
– at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere jf. eIDAS-forordningens artikel 17, stk. 4, litra e
– at samarbejde med databeskyttelsesmyndighederne navnlig ved hurtigst muligt at underrette dem om resultaterne af kontrolundersøgelser af kvalificerede tillidstjenesteudbydere, hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger jf. eIDAS-forordningens artikel 17, stk. 4, litra f
– at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage jf. eIDAS-forordningens artikel 17, stk. 4, litra g
– at underrette det organ, der er ansvarligt for den nationale positivliste, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret jf. eIDAS-forordningens artikel 17, stk. 4, litra h
– at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige jf. eIDAS-forordningens artikel 17, stk. 4, litra i
– at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i forordningen, jf. eIDAS-forordningens artikel 17, stk. 4, litra j
– at oprette, vedligeholde og ajourføre en tillidsinfrastruktur i overensstemmelse med reglerne i national ret, jf. eIDAS-forordningens artikel 17, stk. 5
– senest den 31. marts hvert år at forelægge Kommissionen en rapport om det foregående kalenderårs primære tilsynsvirksomhed sammen med en sammenfatning af de indberetninger af brud på sikkerheden, som er modtaget fra tillidstjenesteudbydere, jf. artikel 17, stk. 6.
I stk. 2. foreslås det, at finansministeren bemyndiges til at fastsætte yderligere bestemmelser om Digitaliseringsstyrelsens tilsyn med tillidstjenesteudbydere, herunder bestemmelser om indholdet af overensstemmelsesvurderingsrapporter i henhold til eIDAS-forordningens artikel 21, stk. 1.
Den foreslåede bestemmelse er indsat, fordi der ikke er fastsat nogen endelig frist for Kommissionens eventuelle yderligere regulering af tilsynet med tillidstjenesteudbyderne og overensstemmelsesvurderingsrapporten. Bestemmelsen giver således mulighed for at indføre bestemmelser til regulering af områder, der i dag er mere detaljeret reguleret i lov om elektroniske signaturer og bekendtgørelserne dertil. Det begrundes i det forhold, at lov om elektroniske signaturer og bekendtgørelserne ophæves, hvilket vil medføre at området vil henstå utilstrækkeligt reguleret.
De tilsynsbestemmelser, der forventes at blive indeholdt i bemyndigelsen, er endnu ikke endeligt fastlagt. Det forventes dog, at der vil blive taget udgangspunkt i de tilsynsbestemmelser, der fremgår af lov om elektroniske signaturer og i bekendtgørelse nr. 922 af 5. oktober 2000 om nøglecentres og systemrevisionens indberetning af oplysninger til Telestyrelsen og relevante sikkerhedsstandarder på området, samt materiale udarbejdet af ENISA (European Union Agency for Network and Information Security).
Der er ingen bestemmelser om tavshedspligt for tilsynsførende i lov om elektroniske signaturer, bekendtgørelse nr. 922 af 5. oktober 2000 om nøglecentres og systemrevisionens indberetning af oplysninger til Telestyrelsen eller bekendtgørelse nr. 923 af 5. oktober 2000 om sikkerhedskrav m.v. til nøglecentre.
Det fremgår af betragtning 11 til eIDAS-forordningen, at tillidstjenesteudbydere og tilsynsorganer bør opfylde kravene i direktiv 95/46/EF om fortrolighed og behandlingssikkerhed.
Direktiv 95/46/EF omhandler beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Direktiv 95/46/EF vedrører således ikke oplysninger om tillidstjenesteudbydernes systemers tekniske- og sikkerhedsmæssige indretning samt processer for opretholdelse, vedligeholdelse og drift af sikkerheden omkring systemerne.
Bestemmelsen regulerer tavshedspligten for personer, der udøver tilsyn med tillidstjenesteudbyderne.
Tilsynet baserer sig på indberetninger fra tillidstjenesteudbyderne, herunder oplysninger fra overensstemmelsesvurderingsorganet indeholdt i de såkaldte overensstemmelsesvurderingsrapporter. Begrebet overensstemmelsesvurderingsorgan er defineret i eIDAS-forordningen, artikel 3, nr. 18 og skal forstås som defineret i eIDAS-forordningen. Det er afgørende, at tilsynet får indsigt i alle oplysninger, der fremkommer i forbindelse med tilsynet om f.eks. risiko- og sikkerhedsvurderinger, herunder eventuelle sårbarheder. Disse oplysninger kan indikere svagheder i både systemer, systeminstallationer samt de sikkerhedsmæssige processer, som kan betyde, at tilsynet vil kræve forbedring af systemer, ændrede sikkerhedsmæssige processer eller lignende. Det er derfor afgørende, at disse oplysninger kan indberettes i fortrolighed, da kendskab til og indsigt i systemers og processers eventuelle svagheder vil øge risikoen for angreb på og kompromittering af sikkerheden. Det offentlige har inden for de seneste år været genstand for et stigende antal sikkerhedsmæssige hændelser, og det vurderes, at denne tendens vil fortsætte. Angreb på systemer af så central karakter som fx NemID, kan have vidtrækkende konsekvenser for borgere og erhvervsdrivende samt hele den offentlige sektor. Denne type angreb vil ligeledes mindske tilliden til digitale tjenester og kan dermed hindre digitalisering og begrænse mulige gevinster.
Det er således en forudsætning for, at tilsynsorganet kan føre det nødvendige tilsyn med tillidstjenesteudbydere, at alle oplysninger og sikkerhedsmæssige procedurer om systemer, sårbarheder m.v. indgår i den rapportering, der indgives til tilsynsorganet. Der vurderes samtidig ikke at være hensyn, der tilsiger, at borgere skal være bekendt med de mere specifikke tekniske indretninger og sikkerhedsmæssige procedurer, som er med til at skabe sikkerheden i systemerne, og som derfor indgår i tilsynsarbejdet.
Lovforslaget indfører derfor en særlig tavshedspligt, der medfører, at myndigheder og personer, der udøver tilsyn med tillidstjenesteudbydere, samt enhver, der i øvrigt yder bistand til tilsynet, iagttager ubetinget tavshed over for uvedkommende med hensyn til oplysninger om tillidstjenesteudbydernes systemers tekniske- og sikkerhedsmæssige indretning samt processer for opretholdelse, vedligeholdelse og drift af sikkerheden omkring systemerne.
Sanktionering af nøglecentre findes i lov om elektroniske signaturer, kapitel 11, § 24. Det foreslås i lovforslaget, at lov om elektroniske signaturer ophæves.
Bestemmelserne om sanktionering i lov om elektroniske signaturer har ikke været bragt i praktisk anvendelse, idet der ikke har været afgivet påbud eller gennemført andre sanktioner i medfør af loven. Dette er et resultat af, at der kun i begrænset omfang har eksisteret kvalificerede nøglecentre i Danmark, og der således ikke har været situationer, der har betinget sanktioner. På den baggrund findes der ingen praktisk erfaring med anvendelse af sanktioneringsbestemmelser på området.
eIDAS-forordningen og dermed lovforslaget vedrører ikke alene specifikt certifikater, som det er tilfældet med lov om elektroniske signaturer. Forordningen og dermed lovforslaget vedrører derimod tillidstjenesteudbydere og deres virksomhed i bredere forstand. Det vurderes, at såfremt en tillidstjenesteudbyder overtræder de bestemmelser, der er sanktioneret i lov om elektroniske signaturer, § 24, stk. 1, nr. 1 vil dette tillige være i strid med eIDAS-forordningens artikel 19, stk. 1 som påbyder tillidstjenesteudbydere at træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder.
For så vidt angår behandling af personoplysninger er dette reguleret i lov nr. 429 af 31/05/2000 om behandling af personoplysninger. I eIDAS-forordningen er der således ikke specifikke bestemmelser om persondata, men der er en pligt for tilsynet til at samarbejde med databeskyttelsesmyndighederne og rapportere om hændelser relateret til persondata.
Lovforslaget indeholder sanktionering af manglende overholdelse af sikkerhedskrav og underretningspligt for tillidstjenesteudbydere, jf. eIDAS-forordningens artikel 19, stk. 1 og 2. Derudover sanktioneres tillidstjenesteudbydernes afgivelse af urigtige oplysninger til tilsynsorganet. eIDAS-forordningens artikel 19, stk. 1 pålægger tillidstjenesteudbydere at træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser. Efter eIDAS-forordningens artikel 19, stk. 2 skal tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.
Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.
Det følger af eIDAS-forordningens artikel 16, at medlemsstaterne skal fastsætte regler om sanktioner for overtrædelse af eIDAS-forordningen. Sanktionerne skal være effektive samt stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.
Det vurderes, at den foreslåede bestemmelse indfrier dette ved at sanktionere for overtrædelse af eIDAS-forordningens bestemmelser om sikkerhedskrav, underretningspligt for tillidstjenesteudbydere og afgivelse af urigtige oplysninger.
Lovforslaget foreslås at træde i kraft den 1. juli 2016, samtidig med eIDAS-forordningens ikrafttræden.
I medfør af stk. 2 foreslås det, at lov om elektroniske signaturer ophæves. Som konsekvens heraf vil de bekendtgørelser, der er udstedt i medfør af lov om elektroniske signaturer, bortfalde.
Lovforslaget indeholder i § 8 en ændring af lov om fragtaftaler ved international vejtransport (CMR-loven), jf. lovbekendtgørelse nr. 1122 af 18. september 2015. Efter CMR-lovens § 6, stk. 5, skal digitale signaturer, som anvendes i forbindelse med elektroniske fragtbreve, være baseret på den gældende OCES-standard eller opfylde kravene i lov om elektroniske signaturer, der foreslås ophævet med dette lovforslag.
Den foreslåede ændring indebærer, at digitale signaturer på elektroniske fragtbreve fra den 1. juli 2016 skal være baseret på den gældende OCES-standard eller opfylde kravene i eIDAS-forordningen.
Det foreslås i stk. 1, at loven træder i kraft den 1. juli 2016.
I stk. 2 foreslås det, at lov nr. 417 af 31. maj 2000 om elektroniske signaturer ophæves samtidig med lovens i ikrafttræden.
Lov om supplerende bestemmelser til forordning om elektronis...
Gældende
LOV nr 617 af 08/06/2016
Digitaliseringsministeriet
Ændringer:
0
Lov om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked
VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:
Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:
Denne lov finder anvendelse på tillidstjenesteudbydere, som udbyder tillidstjenester og er etableret på det danske marked, og som er omfattet af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (eIDAS-forordningen).
Digitaliseringsstyrelsen påser overholdelsen af eIDAS-forordningen og regler fastsat i medfør af eIDAS-forordningen. Digitaliseringsstyrelsen påser endvidere overholdelsen af denne lov og regler fastsat i medfør af loven.
Digitaliseringsstyrelsen er ansvarlig for tilsynsopgaver i Danmark i medfør af eIDAS-forordningens artikel 17.
Stk. 2. Finansministeren kan fastsætte nærmere regler om Digitaliseringsstyrelsens tilsyn efter stk. 1, herunder bestemmelser om indholdet af overensstemmelsesvurderingsrapporter udstedt i henhold til eIDAS-forordningens artikel 21, stk. 1.
Myndigheder og personer, der udøver opgaver efter eIDAS-forordningens artikel 17 og 20, og enhver, der i øvrigt yder bistand hertil, er under ansvar efter straffelovens §§ 152-152 f forpligtet til at iagttage ubetinget tavshed over for uvedkommende med hensyn til oplysninger om tillidstjenesteudbydernes systemers tekniske og sikkerhedsmæssige indretning samt processer for opretholdelse, vedligeholdelse og drift af sikkerheden omkring systemerne.
Medmindre strengere straf er forskyldt efter anden lovgivning, straffes med bøde den, der
ikke overholder sikkerhedskrav til tillidstjenesteudbydere, jf. eIDAS-forordningens artikel 19, stk. 1,
ikke overholder underretningspligt for tillidstjenesteudbydere, jf. eIDAS-forordningens artikel 19, stk. 2, eller
afgiver urigtige eller vildledende oplysninger til Digitaliseringsstyrelsen om forhold inden for eIDAS-forordningens eller denne lovs anvendelsesområde.
Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
I lov om fragtaftaler ved international vejtransport, jf. lovbekendtgørelse nr. 1122 af 18. september 2015, foretages følgende ændring:
I § 6, stk. 5, ændres »lov om elektroniske signaturer« til: »forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF«.
