ERU, Alm.del - 2011-12 - Bilag 318: Grund- og nærhedsnotat om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked, fra erhvervs- og vækstministeren

Forslag til forordning e-signatur og elektronisk identifikation1. ResuméKommissionen har den 4. juni 2012 stillet forslag om en forordning om identi-fikation og tillidstjenester. Forslaget er fremsat med henblik på at fremmeborgere og virksomheders muligheder for at anvende elektroniske tjenester påtværs af EU's indre grænser.Forslaget skal erstatte det eksisterende direktiv om elektroniske signaturer,1999/93/EF, men har et bredere anvendelsesområde, idet forordningen i tillægtil regulering af elektroniske signaturer også regulerer en bredere gruppe afelektroniske tillidstjenester samt elektroniske identiteter og dokumenter.2. BaggrundKommissionen har den 4. juni 2012 fremsat forslag til forordning om elektro-nisk identifikation og tillidstjenester til brug for elektroniske transaktioner pådet indre marked (KOM(2012) 238).Forslaget til forordningen er baseret på TEUF artikel 114 om harmonisering afmedlemsstaternes lovgivninger vedrørende det indre markeds funktion og denfrie bevægelighed for tjenesteydelser.Forslaget skal vedtages af Rådet og Europa-Parlamentet efter den almindeligelovgivningsprocedure, jf. traktatens artikel 294. Rådet træffer afgørelse medkvalificeret flertal.Baggrunden for forslaget er, at lovgivning om elektroniske signaturer samtgensidig anerkendelse af elektronisk identifikation og autentifikation ernøgletiltag i Den digitale dagsorden for Europa (KOM(2010)245).Lovgivning om gensidig anerkendelse af elektronisk identifikation ogautentifikation på EU-plan og revision af direktivet om digitale signaturer erogså blandt nøgletiltagene i akten for det indre marked (KOM(2011)206).Endelig understreger køreplanen for stabilitet og vækst (KOM(2011)669)vigtigheden af at udvikle den digitale økonomi ved hjælp af den fremtidige

lovramme, der skal sikre gensidig anerkendelse og accept af elektroniskidentifikation og autentifikation på tværs af grænserne.Den eksisterende EU-lovgivning dækker udelukkende elektroniske signaturerog udgør ikke en omfattende sektor- og grænseoverskridende EU-ramme forsikre, pålidelige og brugervenlige elektroniske transaktioner, der omfatter elek-tronisk identifikation, autentifikation og signaturer.I forbindelse med fremsættelse af det foreliggende forordningsforslag afgavKommissionen en konsekvensanalyse (KOM (2012) 238 endelig). I analysenbeskrives de overvejelser, der ligger til grund for Kommissionens forslag.Det anføres bl.a., at der er identificeret en opsplitning af markedet, idet dergælder forskellige regler for tjenesteydere afhængig af, i hvilken medlemsstatde leverer ydelsen. Disse forskellige nationale lovgivninger gør det svært forbrugerne at føle sig sikre, når de interagerer på internettet.De fire vigtigste årsager til disse problemer er ifølge Kommissionen:A. Utilstrækkeligt anvendelsesområde for det nuværende lovgrundlagB. Utilstrækkelig koordination mellem udvikling af elektroniske signatu-rer og elektronisk identifikationC. Utilstrækkelig gennemsigtighed i sikkerhedsgarantierD. Manglende bevidsthed/brugeranvendelseDet er Kommissionens vurdering, at disse problemer alene vil blive løst, hvisder introduceres ny lovgivning med en udvidelse af anvendelsesområdet. Forat sikre umiddelbar anvendelighed uden fortolkning og dermed større harmo-nisering har Kommissionen besluttet at benytte forordningsmodellen som ret-ligt instrument.Ligesom det er tilfældet med direktiv 99/93/EF, er retsgrundlaget for lovfors-laget artikel 114 i TEUF om det indre marked, fordi den har til formål at fjerneeksisterende hindringer for det indre markeds funktion ved at fremme gensidiganerkendelse og accept af elektronisk identifikation, elektroniske signaturer ogsupplerende tillidstjenester på tværs af grænserne, når det er nødvendigt i for-bindelse med elektroniske transaktioner.Kommissionen anfører, at en indsats på EU-plan er tilstrækkelig og forholds-mæssig til at gennemføre det digitale indre marked på grund af de elektronisketjenesters iboende ikke-territoriale karakter. Lovgivningsmæssige foranstalt-ninger truffet på nationalt plan kan som følge heraf ikke forventes at give detsamme udfald. Det er derfor Kommissionens vurdering, at EU-intervention erpåkrævet, hensigtsmæssig og berettiget.

3. Formål og indhold3.1 IndledningForslaget til forordning har til formål at erstatte direktiv 1999/93/EF om enfællesskabsramme for elektroniske signaturer. Dette direktiv vil blive ophævetved forordningens ikrafttrædelse. Den danske implementering af direktiv1999/93/EF er sket ved lov nr. 417 af 31. maj 2000 om elektroniske signaturer.Denne lov regulerer ikke forhold ud over direktivet, hvorfor den ligeledes vedforordningens ikrafttrædelse skal ophæves.En ophævelse af lov om elektroniske signaturer forventes i sig selv ikke at ha-ve praktisk betydning for Danmark, idet der ikke i øjeblikket udstedes elektro-niske signaturer på baggrund heraf. Forslaget til forordning regulerer imidler-tid et bredere område, end hvad der følger af den eksisterende regulering. Ved-tagelse af forslaget vil derfor formentlig betyde, at den danske standard for Of-fentlige Certifikater til Elektronisk Service (OCES) og signaturer udstedt imedfør heraf vil blive omfattet af forordningen.En række væsentlige tekniske forhold, herunder særligt vedrørende anvendelseaf standarder og sikring af interoperabilitet mellem medlemsstaterne er endnuikke fastlagt. Dette betyder, at det på nuværende tidspunkt ikke er muligt præ-cist at fastslå, hvorledes forslaget til forordning vil blive udmøntet i praksis.Kommissionen er som beskrevet nedenfor bemyndiget til at vedtage nærmereom disse forhold efter forordningens ikrafttræden.Det bemærkes, at forslaget som beskrevet ovenfor i en række henseender tagerudgangspunkt i den regulering, der følger af det gældende direktiv om en fæl-lesskabsramme for elektroniske signaturer, der er gennemført i dansk ret vedlov om elektroniske signaturer. På denne baggrund vil der i det følgende ho-vedsageligt blive fokuseret på de nyskabelser og ændringer, som forslaget vilindebære.I det følgende (afsnit 3.2 til afsnit 3.7) gennemgås de enkelte kapitler i forsla-get til forordning.3.2 Generelle bestemmelser (kapitel I)I kapitel 1 fastsættes regler om forordningens genstand og formål og dens ma-terielle og territorielle anvendelsesområder. Endvidere defineres en række ud-valgte begreber.Forslaget til forordningen har til formål at sikre fri bevægelighed inden for detindre marked for tillidstjenester og produkter, der overholder forordningensbestemmelser.

Forslagets overordnede formål er at fastlægge regler for:1)Elektronisk identifikation i form af elektroniske identifikationsordninger2)Elektroniske tillidstjenester til brug for elektroniske transaktionermed det formål at sikre, at det indre marked kan fungere efter hensigten.Ad.1) Elektronisk identifikationElektroniske identifikationsordninger har i praksis karakter af nationale elek-troniske ID ordninger og har til formål at autentificere en borger over for enonlinetjeneste.Forslaget til forordning fastlægger betingelser, under hvilke medlemsstaterneskal anerkende og acceptere fysiske og juridiske personers elektroniske identi-fikationsmidler, der er omfattet af en elektronisk identifikationsordning, somer anmeldt af en anden medlemsstat.Ad. 2) Elektroniske tillidstjenesterElektroniske tillidstjenester til brug for elektroniske transaktioner adressererdet område, der er omfattet af den eksisterende regulering. Med forslaget tilforordning suppleres den eksisterende regulering af elektroniske signaturermed en række yderligere tillidstjenester.Forslaget opstiller således en retlig ramme for følgende tillidstjenester:Elektroniske signaturerElektroniske seglElektroniske tidsstemplerElektroniske dokumenterElektroniske leveringstjenesterWebstedsautentifikation

Til forskel for i dag indebærer forsalget, at alle tillidstjenester er omfattet, uan-set om de har status som kvalificeret eller ej.Det fremgår af forslaget til forordning, at den ikke finder anvendelse på leve-ring af elektroniske tillidstjenester på grundlag af privatretlige frivillige aftaler.Endelig omfatter forslaget til forordningen ikke aspekter i forbindelse medkontrakters indgåelse og gyldighed eller andre retlige forpligtelser, som ifølgenational ret eller EU-ret er undergivet formkrav.Forordningens anvendelsesområde er afgrænset til ikke at omfatte elektronisketillidstjenester på grundlag af privatretlige frivillige aftaler. Det eksisterendedirektiv undtager ligeledes udstedelse baseret på frivillige privatretlige aftaler,men kvalificerer dette som systemer med et begrænset antal deltagere. Det er

uklart om det er hensigten, at forordningens anvendelsesområde skal kvalifice-res tilsvarende.3.3 Elektronisk identifikation (kapitel II)I forordningsforslagets kapitel II fastlægges reglerne for elektroniske identifi-kationsordninger.Forslaget har til hensigt at sikre gensidig anerkendelse og accept af elektroni-ske identifikationsordninger, således at disse kan anvendes på tværs af med-lemsstaterne.Forslaget forpligter således medlemsstaterne til gensidigt at anerkende og ac-ceptere elektroniske identifikationsmidler, der er anmeldt til Kommissionen.Forordningen forpligter ikke medlemsstaterne til at indføre eller anmelde elek-troniske identifikationsordninger, men de skal anerkende og acceptere anmeld-te elektroniske identifikationsmidler fra andre medlemslande for de onlinetje-nester, hvor elektronisk identifikation er nødvendig for at få adgang på natio-nalt plan.Efter forslaget kan identifikationsordninger anmeldes til Kommissionen afmedlemsstaterne og de herunder udstedte identifikationsmidler skal enten væreudstedt af, udstedt på vegne af eller under ansvar af den medlemsstat, der an-melder.Medlemsstaterne skal påtage sig ansvaret for, at anmeldte identifikationsmid-ler er korrekt udstedt (der er entydig tilknytning mellem juridisk eller fysiskperson og identifikationsdata) og skal til enhver tid stille en gratis autentifika-tionsmulighed til rådighed online, så personidentifikationsdata kan valideres.For at sikre at der etableres interoperabilitet mellem elektroniske identifikati-onsmidler og for at øge sikkerheden i disse identifikationsmidler fastlægges ensamarbejdsforpligtelse mellem medlemsstaterne.Det samlede regime knyttet til elektroniske identifikationsordninger er en væ-sentlig nyskabelse i forhold til den eksisterende regulering, herunder særligtdet forhold at medlemsstaterne er ansvarlige for identifikationsordningen og deheri indeholdte identifikationsmidler.Det ansvar, der er forbundet med medlemsstaternes identifikationsordning ogkonsekvenserne heraf skal afklares i forbindelse med de kommende forhand-linger.

3.4 Tillidstjenester (kapitel III)3.4.1 IndledningForordningsforslagets kapitel III regulerer tillidstjenester. Kapitlet adresserersåledes det domæne, der kendes fra den eksisterende regulering (elektroniskesignaturer), men tilføjer som noget nyt regulering af en række yderligere til-lidstjenester, som skal bidrage til at understøtte den praktiske og juridiskeramme for elektroniske transaktioner.Kapitlet er opdelt i otte afdelinger, der hver regulerer et specifikt område.I afdeling 1 fastlægges en række generelle bestemmelser, i afdeling 2 beskri-ves den nationale tilsynsforpligtelse, i afdeling 3 fastlæggelses den juridiskeramme for elektroniske signaturer og i afdeling 4 til 8 etableres en juridiskramme for de nye tillidstjenester, der introduceres med forslaget.Forslaget fastholder terminologien fra den eksisterende regulering, hvor derskelnes mellem kvalificerede og ikke kvalificerede ydelser (i forslaget be-nævnttillidstjenester).For at opnå ret til at udbyde tillidstjenester med betegnelsen kvalificerede skaltjenesteyderen underlægge sig en række specifikke krav til sikkerhed og tilsyn.3.4.2 Generelle bestemmelser (Kapitel III, Afdeling 1)Forslaget fastlægger ansvaret for tillidstjenesteydere (tjenesteyder, der udste-der en elektronisk tjeneste omfattet af forordningen).Som en nyskabelse medfører forslaget en udvidelse af hvilke tillidstjeneste-ydere, der er omfattet af det regulerede ansvar, således at dette ikke blot rettersig mod kvalificerede tillidstjenesteydere (der udbyder kvalificerede tillidstje-nester) men også til tillidstjenesteydere generelt.Der fastlægges et skærpet ansvarsgrundlag i form af et præsumptionsansvar,således at tjenesteyderen i forbindelse med en hændelse er pålagt bevisbyrdenfor, at der ikke er udvist forsømmelighed.Enhver tillidstjenesteyder er ansvarlig for enhver form for direkte skade, derforårsages for en fysisk eller juridisk person som følge af manglende overhol-delse af forordningsforslagets bestemmelser om god sikkerhedspraksis.For kvalificerede tjenesteydere omfatter det skærpede ansvar alle forordnin-gens bestemmelser, herunder de særlige krav til kvalificerede tillidstjeneste-ydere. I forhold til i dag er dette en væsentlig udvidelse af tjenesteydernes an-svar for udførelse af deres opgaver.

I forslaget fastslås, at kvalificerede tillidstjenester, hvor udbyderen er etablereti et tredjeland skal accepteres på linje med kvalificerede tillidstjenester, der le-veres af en udbyder i Unionen. En forudsætning for accept er dog, at der fore-ligger en aftale om anerkendelse mellem EU og tredjelande eller internationaleorganisationer.I forslaget foretages en henvisning til persondatadirektivet. På denne baggrundpålægges tillidstjenesteudbydere og tilsynsorganer at sikre en rimelig og lovligbehandling af personoplysninger.Tillidstjenesteyderens ansvar understreges ved at de ifølge forordningsforsla-get skal garantere fortroligheden og integriteten af oplysningerne vedrørendede personer, der leveres tillidstjenester til.På baggrund af FN-konventionen om handicappedes rettigheder, der er trådt ikraft i EU, introducerer forordningsforslaget som noget nyt et krav om, at til-lidstjenester og slutbrugerprodukter, der bruges til levering af disse tjenester,skal være tilgængelige for handicappede, hvor det er muligt.3.4.3 Tilsyn (Kapitel III – afdeling 2)Kapitel III, afdeling 2 indeholder regler om de sikkerhedsmæssige krav, somtillidstjenesteydere skal opfylde samt en nærmere beskrivelse af det tilsyn, derskal udføres af et tilsynsorgan for sikre, at kravene opfyldes. Endelig indehol-der afdeling 2 en kort beskrivelse af krav til iværksættelse af kvalificerede til-lidstjenester.SikkerhedskravForslaget opstiller en række krav, som tillidstjenesteyderne skal opfylde, såle-des at der under hensyn til den teknologiske udvikling til stadighed kan garan-teres et tilfredsstillende sikkerhedsniveau. Tillidstjenesteudbyderne pålæggesligeledes en pligt til at informere tilsynsorganet om eventuelle brud på sikker-heden.Kvalificerede tillidstjenesteydere er efter forslaget underlagt en række speci-fikke sikkerhedskrav, herunder særligt i forhold til kontrol af identiteten på defysiske eller juridiske personer, der skal have udstedt et kvalificeret certifikat.Som noget nyt stilles der eksplicit krav om, at identiteten skal være kontrolle-ret ved fysisk fremmøde i forbindelse med udstedelse af et kvalificeret certifi-kat. Udstedelse på baggrund af online ansøgning kan kun ske med anvendelseaf et anmeldt identifikationsmiddel, som er udstedt på baggrund af fysiskfremmøde.

Kravet om fysisk fremmøde svarer grundlæggende til den eksisterende danskeregulering, hvor det fysiske fremmøde dog kan udelades, hvis tillidstjeneste-yderen på forhånd har kendskab til den person, som certifikatet udstedes til.Det er en nyskabelse, at der ligeledes kan udstedes certifikater til juridiske per-soner. Det skal bemærkes, at juridiske personer skal gennemføre den sammeidentifikationsproces, som fysiske personer.Forslagets krav til sikring af identitet på den person, som et certifikat udstedestil, suppleres af en række yderligere krav til den kvalificerede tillidstjeneste-yder, herunder anvendelse af pålidelige systemer og processer.TilsynI overensstemmelse med den eksisterende regulering forpligtes medlemssta-terne til at nedsætte nationale tilsynsorganer, der kan foretage overvågning aftillidstjenesteudbydere og føre tilsyn med kvalificerede tillidstjenesteudbydere.Forslaget til forordning indfører både udvidede forpligtelser og udvidede befø-jelser for de nationale tilsynsorganer.Kvalificerede tillidstjenesteydere er underlagt et tilsyn, der bl.a. omfatter at etanerkendt uafhængigt kontrolorgan en gang om året foretager en kontrol af til-lidstjenesteyderne og dennes kvalificerede tjenester. Dette kontrolorgan an-vendes til at dokumentere, at den kvalificerede tillidstjenesteydere lever op tilkravene i forordningen. Resultaterne af kontrollen skal forelægges for tilsyns-organet i en sikkerhedskontrolrapport.Tilsynsorganet gives efter forslaget ret til at foretage kontrolbesøg hos kvalifi-cerede tillidstjenesteydere både på eget initiativ og på anmodning fra Kommis-sionen, hvilket er en skærpelse i forhold til eksisterende lovgivning.I hvilket omfang, Kommissionen kan forpligte et nationalt tilsyn til at foretagekontrolbesøg, er ikke tydeligt.Forslaget giver tilsynsorganer ret til at udstede bindende instrukser til tillids-tjenesteydere vedr. sikkerhedsmæssige forhold. Udstrækningen af bestemmel-sen er uklar og bør søges klarlagt i det videre lovgivningsarbejde.Som noget helt nyt indføres en eksplicit forpligtelse til gensidig bistand mel-lem tilsynsorganerne i medlemsstaterne med det formål at muliggøre grænse-overskridende tilsyn. Forslaget indfører regler om fælles foranstaltninger samttilsynsorganernes ret til at deltage i sådanne foranstaltninger hos de andre med-lemsstater.Idet alene kvalificerede tillidstjenesteudbydere er underlagt en anmeldelses-forpligtelse, er det ikke beskrevet hvorledes tilsynsorganerne i praksis skal

overvåge (ikke kvalificerede) tillidstjenesteudbydere. Dette forhold skal afkla-res i forbindelse med de kommende forhandlinger.Tilsynsorganerne bliver pålagt en række udvidede forpligtelser i forhold til af-rapportering til Kommissionen, Det Europæiske Agentur for Net- og Informa-tionssikkerhed (ENISA) og de øvrige medlemsstater.Iværksættelse af en kvalificeret tillidstjenesteIfølge forslaget til forordning skal en tillidstjenesteyder, der ønsker at iværk-sætte en kvalificeret tillidstjeneste foretage anmeldelse til tilsynsorganet. Her-efter kan tillidstjenesteyderen udbyde kvalificerede tillidstjenester. Den eksi-sterende regulering, hvorefter der ikke stilles krav om forudgående godkendel-se af en kvalificeret tillidstjenesteyder bibeholdes således i forslaget til forord-ning.Efter anmeldelse af en kvalificeret tillidstjeneste til et tilsynsorgan optages denansøgende tjenesteyder på en positivliste, der opretholdes af medlemsstaten.Parallelt hermed foretager tilsynsorganet en nærmere kontrol af, om vedkom-mende udbyder, opfylder kravene i denne forordning. I perioden indtil god-kendelse må et offentligt organ ikke afvise at bruge den anmeldte tillidstjene-ste til at gennemføre en administrativ procedure eller formalitet.Forslaget til forordning er uklar i forhold til de nærmere procedurer for afslagpå godkendelse af kvalificerede tillidstjenester og skal afklares i forbindelsemed de kommende forhandlinger.Som en nyskabelse fastlægges det eksplicit, at kvalificerede tillidstjenesteyde-re gratis skal stille oplysninger om gyldigheden på udstedte certifikater til rå-dighed. En anden nyskabelse er forslag til eksplicitte krav til den hastighed,hvormed kvalificerede tillidstjenesteydere skal registrere og offentliggøre til-bagekaldelse af et certifikat.3.4.4 Elektronisk signatur (Kapitel III – afdeling 3)I forordningsforslagets kapitel III, afdeling 3 om elektronisk signatur fastlæg-ges de juridiske rammer for anerkendelse af elektroniske signaturer samt spe-cifikke tekniske krav til elektroniske signaturer og tilhørende certifikater.Retsvirkninger og accept af elektroniske signaturerFor at sikre ensartede retsvirkninger i medlemsstaterne af fysiske personersanvendelse af elektroniskes signaturer indføres i forslaget en eksplicit forplig-telse om at tillægge kvalificerede elektroniske signaturer samme retsvirkningsom håndskrevne signaturer.

Bestemmelsen svarer til den eksisterende regulering i Danmark men sikrer, atder på fællesskabsplan etableres en mere tydelig og eksplicit regulering af dejuridiske retsvirkninger.Forslaget forbyder medlemsstaterne at kræve en elektronisk signatur med ethøjere sikkerhedsniveau til anvendelse hos offentlige onlinetjenester end det,der er forbundet med en kvalificeret signatur.Forordningsforslaget indeholder en udvidelse i forhold til den eksisterende re-gulering, idet den forpligter medlemsstater til at acceptere elektroniske signa-turer på et lavere sikkerhedsniveau end det niveau, der er forbundet med enkvalificeret elektronisk signatur i det omfang sådanne signaturer anvendes imedlemsstaten som forudsætning for adgang til en offentlig onlinetjeneste.Beskrivelsen er uklar, idet den forudsætter en sammenkobling af eID (autenti-fikation) og elektronisk signatur, der i øvrigt er tilsigtet adskilt i reguleringen.Tekniske krav til kvalificerede elektroniske signaturer og tilhørende certifika-terI forslaget fastlægges specifikke krav til kvalificerede certifikater for elektroni-ske signaturer, herunder krav til indholdet af certifikatet. Desuden stilles derkrav til at kvalificerede tillidstjenesteydere skal stille valideringstjenester tilrådighed. Kravene svarer i hovedtræk til, hvad der følger af eksisterende lov-givning, dog således at der er foretaget enkelte justeringer med henblik på atgøre anvendelsen af elektroniske signaturer mere operationel. De eksisterendemuligheder for at anføre anvendelsesbegrænsninger i certifikatet (f.eks. i formaf en beløbsgrænse) er på denne baggrund fjernet.Forslaget opstiller krav til de systemer, der anvendes til generering af kvalifi-cerede elektroniske signaturer (kvalificerede systemer til generering af elek-troniske signaturer) og fastlægger, at certificering heraf skal ske ved passendeoffentlige eller private organer.Et certificeret system skal anerkendes af de øvrige medlemsstater. Medlems-staterne skal informere Kommissionen om hvilke systemer, der er certificeret,hvorefter Kommissionen offentliggør en liste herom.Forordningsforslaget opstiller en række krav til validering af kvalificeredeelektroniske signaturer, herunder hvilke forhold, der skal være gældende for aten elektronisk signatur anses for gyldig.Med forslaget introduceres en forpligtelse til at kvalificerede tillidstjenesteyde-re skal stille en tjeneste til rådighed til bevaring af kvalificerede elektroniskesignaturer ud over den tekniske gyldighedsperiode, således at muligheden forvalidering af kvalificerede elektroniske signaturer forlænges. Det fremgår ikke

tydeligt af forslaget, hvilken præcis karakter tjenesten har, herunder om denskal være gratis at anvende.3.4.5 Elektroniske segl (Kapitel III – afdeling 4)I forslagets kapitel II, afdeling 4 introduceres en nyskabelse i form af elektro-niske segl til juridiske personer.Et elektronisk segl er en elektronisk pendant til et virksomheds segl eller stem-pel, der anvendes på et dokument eller andre elektroniske aktiver til at sikreoprindelse og integritet. Alene juridiske personer kan anvende elektroniskesegl.Elektroniske segl tillægges retsvirkninger, der er parallelle til elektroniske sig-naturer, herunder at elektroniske segl ikke må nægtes retlig gyldighed og aner-kendelse som bevis under retssager alene af den grund, at det er i elektroniskform. Tilsvarende skal et kvalificeret elektronisk segl anerkendes og accepte-res i alle medlemsstater.Desuden bestemmes i overensstemmelse med reguleringen af elektroniskesignaturer, at hvis en medlemsstat accepterer elektroniske segl med et sikker-hedsniveau, som ligger under det niveau, der er forbundet med et kvalificeretelektronisk segl, skal elektroniske segl, der har mindst samme sikkerhedsni-veau, accepteres.Krav til generering, validering og opbevaring af elektroniske segl svarer til,hvad der i øvrigt gælder for elektroniske signaturer.3.4.6 Elektronisk tidsstempel (Kapitel III – afdeling 5)I forslagets kapitel II, afdeling 5 reguleres som noget nyt elektroniske tids-stempler.Et elektronisk tidsstempel sætter dato og tid på et sæt af elektroniske data(f.eks. i form af et elektronisk dokument) og har til formål at bevise, at dataeksisterede på det pågældende tidspunkt, og at data ikke har ændret sig sidenda.Tidsstempler sikres retsvirkninger, der er parallelle til elektroniske signaturerog elektroniske segl, herunder at et elektronisk tidsstempel ikke må nægtes ret-lig gyldighed og anerkendelse som bevis under retssager alene af den grund, atdet er i elektronisk form. Tilsvarende skal et kvalificeret elektronisk tidsstem-pel anerkendes og accepteres i alle medlemsstater.

3.4.7 Elektroniske dokumenter (Kapitel III – afdeling 6)I forslagets kapitel III, afdeling 6 introduceres en nyskabelse i form af en spe-cifik regulering af retsvirkningerne af elektroniske dokumenter (dokumenter ien hvilken som helst elektronisk form).Ifølge forslaget skal elektroniske dokumenter betragtes som ligestillet med pa-pirdokumenter og kan godtages som bevismateriale under retssager under hen-syntagen til graden af sikkerhed for dokumentets ægthed og integritet.Hvis et elektronisk dokument er underskrevet med en kvalificeret elektronisksignatur eller bærer et kvalificeret elektronisk segl gælder en specifik formod-ning om integritet og autenticitet.Forslaget fastsætter, at hvis der som forudsætning for at yde en offentlig tjene-ste skal forelægges et originaldokument eller en bekræftet genpart skal elek-troniske dokumenter, der er udstedt af personer med kompetence hertil, ogsom anses for originaler eller bekræftede genparter i henhold til national ret ioprindelsesmedlemsstaten, accepteres i andre medlemsstater, uden at der stil-les yderligere krav.3.4.8 Kvalificeret elektronisk leveringstjeneste (Kapitel III – afdeling 7)Kapitel III, afdeling 7 introducerer en nyskabelse i form af en kvalificeret elek-tronisk leveringstjeneste.En elektronisk leveringstjeneste er en tjeneste, der gør det muligt at sende dataad elektronisk vej samtidig med, at behandlingen af de sendte data dokumente-res.Forslaget sikrer, at data der sendes eller modtages via en elektronisk leverings-tjeneste kan godtages som bevismateriale under retssager. Data der sendes el-ler modtages via en kvalificeret elektronisk leveringstjeneste opnår en særsta-tus, idet der herefter gælder en formodning om data’s integritet og nøjagtighe-den af den dato og det tidspunkt for afsendelse eller modtagelse af data, somden kvalificerede elektroniske leveringstjeneste angiver.Der opstilles i forslaget en række tekniske krav til kvalificerede elektroniskeleveringstjenester, der bl.a. sikrer bevis for afsendelse og modtagelse af dataog giver beskyttelse mod tyveri, beskadigelse og uautoriseret ændring.3.4.9 Webstedsautentifikation (Kapitel III – afdeling 8)Kapitel III, afdeling 9 introducerer en nyskabelse i form af et kvalificeret certi-fikat til webstedsautentifikation.

Et kvalificeret certifikat for webstedsautentifikation er en attestering, som gørdet muligt at autentificere et websted og knytter webstedet til den person, somcertifikatet er udstedt tilForslaget fastsætter en række tekniske krav til det kvalificerede certifikat, der ividt omfang er parallelle til de øvrige certifikater og fastslår, at certifikatet skalanerkendes og accepteres i alle medlemsstater.3.5 Delegerede retsakter (kapitel IV)Med henblik på at sikre, at forslaget til forordning kan suppleres fleksibelt oghurtigt delegerer forslaget i udstrakt grad beføjelser til Kommissionen til atvedtage retsakter om visse detaljerede tekniske aspekter, der er nødvendige atregulere mere detaljeret for at opnå formålet med forordningen.Det understreges i præamblen, at Kommissionen i denne forbindelse bør gen-nemføre relevante høringer under sit forberedende arbejde, herunder på eks-pertniveau.3.6 Gennemførelsesretsakter (forordningens kapitel V)Med henblik på at sikre ensartede betingelser for gennemførelsen af forslagettil forordning tillægges Kommissionen ifølge forslaget gennemførelsesbeføjel-ser, navnlig beføjelse til at opstille referencenumre på standarder, hvis brug gi-ver formodning om overensstemmelse med bestemte krav, der er fastlagt idenne forordning eller i delegerede retsakter. Disse beføjelser udøves i over-ensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr.182/2011 af 16. februar 2011 om de generelle regler og principper for, hvor-dan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemfø-relsesbeføjelser.3.7 Afsluttende bestemmelser (kapitel VI)Der fastlægges bestemmelser vedr. Kommissionens afrapportering til Europa-Parlamentet og Rådet om anvendelsen af forordningen.Ved sin ikrafttræden ophæver forordningen det eksisterende direktiv1999/93/EF og fastlægger, at henvisninger til det ophævede direktiv betragtessom henvisninger til nærværende forordning.Desuden fastlægger forslaget overgangsregler for kvalificerede certifikater ud-stedt i overensstemmelse med gældende regler, hvorefter de vil være gyldigeindtil ordinært udløb, dog højst i fem år regnet fra forordningens ikrafttræden.Der fastlægges ligeledes overgangsregler for sikre signaturgenereringssyste-mer.

Forordningen skal træde i kraft på tyvendedagen efter offentliggørelsen i DenEuropæiske Unions Tidende og er herefter bindende i alle enkeltheder og gæl-der umiddelbart i hver medlemsstat.4. Europa-Parlamentets udtalelserEuropa-Parlamentet har endnu ikke udtalt sig.5. NærhedsprincippetKommissionen har vurderet, at forslaget er i overensstemmelse med nær-hedsprincippet.Det er Kommissionens opfattelse, at forordningsforslagets bestemmelser ernødvendige af hensyn til at sikre en effektiv anvendelse af identifikations-midler og elektroniske tillidstjenester på EU-plan. Det er Kommissionensvurdering, at man i øjeblikket ikke når disse mål ved hjælp af frivillig koor-dinering mellem medlemsstaterne, og det er heller ikke sandsynligt, at dettevil ske i fremtiden.Regeringen er umiddelbart enig med Kommissionen i, at elektronisk identi-fikation, autentifikation og e-signatur tjenesters grænseoverskridende karak-ter kræver handling på EU-niveau. Det er på den baggrund regeringens fore-løbige holdning, at forslaget er i overensstemmelse med nærhedsprincippet.6. Gældende dansk retLov om elektroniske signaturer (Lov nr. 417 af 31. maj 2000).Bekendtgørelser udstedt i medfør af loven:- Bekendtgørelse nr. 922 af 5. oktober 2000 om nøglecentres og system-revisionens indberetning af oplysninger til Telestyrelsen- Bekendtgørelse nr. 923 af 5. oktober 2000 om sikkerhedskrav m.v. tilnøglecentre.7. Lovgivningsmæssige og statsfinansielle konsekvenserLovgivningsmæssige konsekvenserDet følger af EUF-traktatens artikel 288, at en forordning er almengyldig, samtat den binder i alle enkeltheder og gælder umiddelbart i hver medlemsstat.Hertil kommer, at forordningsforslaget efter sit indhold bl.a. har til formål aterstatte det eksisterende direktiv om elektroniske signaturer (direktiv1999/EF). En konsekvens af forslaget vil derfor være, at regulering som følgeraf lov nr. 417 af 31. maj 2000 om elektroniske signaturer samt tilhørende be-

kendtgørelser vil skulle ophæves. Idet lov om elektroniske signaturer aleneimplementerer EU-direktivet og ikke har en selvstændig regulering herudovervurderes det på nuværende tidspunkt relevant at foretage ændringer heri.I en række danske love er der krav om anvendelse af digital signatur. Dengældende anbefaling fra Digitaliseringsstyrelsen (og tidligere IT- og Telesty-relsen) er, at sådanne krav indføres i lovgivningen med følgende ordlyd:”..digital signatur med et sikkerhedsniveau svarende til OCES-standarden ellerhøjere”.Det skal analyseres nærmere, om krav om anvendelse af digital signatur i lysetaf forordningsforslagets bestemmelser om gensidig anerkendelse og accept afelektroniske identifikationsmekanismer og elektroniske tillidstjenester vil kun-ne opretholdes, men i det omfang den angivne terminologi er anvendt i lov-givningen vil der formentlig ikke være behov for ændringer.Forslagets bestemmelser vedr. retsvirkninger af elektroniske signaturer og fuldanerkendelse af elektroniske dokumenter vurderes at være i overensstemmelsemed gældende dansk ret, herunder som følge af lov om elektroniske signatu-rer. Det skal dog analyseres nærmere, om der er behov for yderligere regule-ring som følge af forordningen.Det skal endvidere analyseres nærmere, om forordningens bestemmelser omfuld anerkendelse af elektroniske dokumenter og underskrifter har betydningfor gældende dansk ret.Statsfinansielle konsekvenserForslagets statsfinansielle konsekvenser skal analyseres nærmere, menumiddelbart vurderes det, at forslaget vil kunne have statsfinansielle konse-kvenser.Forslaget medfører et behov for at gennemføre ændringer i den tekniske in-frastruktur, der understøtter anvendelse af OCES digital signatur (udmønteti NemID løsningen). Ændringerne skal bl.a. gennemføres med henblik på atkunne sikre, at der gives adgang til danske offentlige tjenester ved anven-delse af udenlandske identifikationsmekanismer og elektroniske signaturer.Kravet om gratis valideringsmulighed for såvel elektroniske identifikations-ordninger som kvalificerede elektroniske signaturer udfordrer dels den nu-værende finansieringsmodel for NemID, der baserer sig på, at validering iprofessionelle forhold udløser betaling af vederlag til Nets DanID, dels kandet være forbundet med omkostninger at tilvejebringe den tekniske under-støttelse af gratis validering.

Endeligt kan de skærpede krav til tilsynsmyndigheden, der ligger hos Digi-taliseringsstyrelsen under Finansministeriet, have statsfinansielle konse-kvenser.8. Samfundsøkonomiske konsekvenserKommissionen vurderer, at forslaget vil give øget vækst på baggrund af mu-lighederne for administrative lettelser, øget mulighed for samhandel og højeregrad af konkurrence. Regeringen er i vidt omfang enig i heri, idet forslagetforventes at kunne skabe større interoperabilitet i det indre marked til gavnfor borgere, virksomheder og myndigheder, hvilket i høj grad vil understøtteet digitalt indre marked.9. Administrative konsekvenser for erhvervslivetKommissionens forslag vurderes at medføre administrative lettelser for er-hvervslivet.En øget anvendelse af elektroniske identifikationsmidler og elektroniskesignaturer vil muliggøre reduktion i de administrative byrder ved kommuni-kation med offentlige myndigheder, herunder offentlige myndigheder i ud-landet.10. HøringForslaget er den 7. juni 2012 sendt i høring i specialudvalg for konkurrence-evne, vækst og forbrugerspørgsmål samt hos øvrige relevante aktører medfrist for bemærkninger den 1. august 2012.11. ForhandlingssituationenDer er ikke på nuværende tidspunkt kendskab til medlemslandenes holdnin-ger til forslaget.