Fremsat den 4. oktober 2023 af digitaliseringsministeren (Marie Bjerre)

Forslag

til

Lov om ændring af lov om MitID og NemLog-in

(Ret til anvendelse af MitID-løsningen og NemLog-in til autentifikation i interne it-systemer og mulighed for tilslutning til MitID-løsningen for juridiske enheder, som er registreret i et andet EU-/EØS-land)

§ 1

I lov nr. 783 af 4. maj 2021 om MitID og NemLog-in foretages følgende ændringer:

1. I § 2, nr. 6, 1. pkt., indsættes efter »digitale selvbetjeningsløsninger«: », og som sætter privatpersoner, eller erhvervsbrugere, associeret med en tjenesteudbyder i stand til at tilgå dennes interne it-systemer«.

2. § 2, nr. 9, affattes således:

»9) Juridisk enhed:

a) Juridisk enhed med CVR-nummer, jf. lov om Det Centrale Virksomhedsregister, der hverken er en offentlig myndighed eller et offentligretligt organ.

b) Juridisk enhed, som er registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister.«

3. I § 2, nr. 14, 1. pkt., indsættes efter »digitale selvbetjeningsløsninger«: »og interne it-systemer«.

4. I § 2, nr. 15, indsættes efter »digitale selvbetjeningsløsninger«: »eller et eller flere interne it-systemer«.

5. I § 2 indsættes som nr. 18:

»18) Internt it-system: En tjenesteudbyders it-system, der efter autentifikation kan tilgås af en privatperson, eller erhvervsbruger, som er associeret med tjenesteudbyderen.«

6. I § 6 indsættes som stk. 3:

»Stk. 3. Offentlige myndigheder og offentligretlige organer kan anvende MitID-løsningen til at give adgang til interne it-systemer. MitID-løsningen kan i dette tilfælde anskaffes fra Digitaliseringsstyrelsen.«

7. I § 8, stk. 2, nr. 1, indsættes efter »digitale selvbetjeningsløsninger«: », og som giver adgang til interne it-systemer«.

8. I § 8, stk. 2, nr. 3, litra a, indsættes efter »digitale selvbetjeningsløsninger«: »og interne it-systemer«.

9. I § 8 indsættes som stk. 4:

»Stk. 4. Juridiske enheder, der tilsluttes et eller flere serviceområder i NemLog-in, jf. stk. 2 og 3, skal være registreret med CVR-nummer, jf. § 2, nr. 9, litra a.«

10. I § 11 indsættes efter stk. 3 som nyt stykke:

»Stk. 4. Offentlige myndigheder og offentligretlige organer kan i rollen som tjenesteudbydere anvende serviceområdet Login og autentifikation, jf. § 8, stk. 2, nr. 1, til at give adgang til interne it-systemer.«

Stk. 4 bliver herefter stk. 5.

11. I § 11, stk. 4, der bliver stk. 5, ændres »stk. 2 og 3« til: »stk. 2-4«.

12. I § 12 indsættes efter »Juridiske enheder«: »omfattet af § 2, nr. 9, litra a,«.

§ 2

Loven træder i kraft den 1. januar 2024.

§ 3

Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvis sættes i kraft for Færøerne og Grønland med de ændringer, som henholdsvis de færøske og de grønlandske forhold tilsiger. Lovens bestemmelser kan sættes i kraft på forskellige tidspunkter.

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

1. Indledning

2. Lovforslagets hovedpunkter

2.1. Krav om registrering i Det Centrale Virksomhedsregister

2.1.1. Gældende ret

2.1.2. Digitaliserings- og Ligestillingsministeriets overvejelser og den foreslåede ordning

2.2. Anvendelse af autentifikation til interne it-systemer

2.2.1. Gældende ret

2.2.2. Digitaliserings- og Ligestillingsministeriets overvejelser og den foreslåede ordning

3. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

5. Administrative konsekvenser for borgerne

6. Klimamæssige konsekvenser

7. Miljø- og naturmæssige konsekvenser

8. Forholdet til EU-retten

9. Hørte myndigheder og organisationer mv.

10. Sammenfattende skema

1. Indledning

Centrale dele af den offentlige, nationale og digitale infrastruktur udgøres af de fællesoffentlige løsninger MitID og NemLog-in, der sammen udgør rammen for adgang til både offentlige og private tjenester. Det er derfor vigtigt, at løsningerne og administrationen heraf holdes opdateret og tilrettes de løbende forretningsbehov, der er hos aktørerne, der anvender infrastrukturen, den teknologiske udvikling samt det til enhver tid værende digitale trusselsbillede.

Bestemmelserne i lov om MitID og NemLog-in trådte i kraft på forskellige tidspunkter. Bestemmelserne om MitID trådte i kraft den 6. maj 2021, mens bestemmelserne om NemLog-in (med undtagelse af bestemmelsen om serviceområdet Erhvervsadministration til brugerorganisationer) trådte i kraft den 20. juni 2022. Bestemmelsen om serviceområdet Erhvervsadministration til brugerorganisationer trådte i kraft henholdsvis den 12. september 2022 og den 30. januar 2023.

Med lovforslaget skabes der mulighed for, at juridiske enheder i et andet EU-/EØS-land, der er registreret i et register svarende til Det Centrale Virksomhedsregister, kan anvende MitID-løsningen. Den foreslåede ordning har til formål at sikre overensstemmelse med EU-retten. Herefter skal kravet om registrering i Det Centrale Virksomhedsregister alene gælde juridiske enheder, der ønsker at tilslutte sig NemLog-in.

Med lovforslaget tydeliggøres det, at interne it-systemer hos juridiske enheder, offentlige myndigheder og offentligretlige organer kan tilsluttes til MitID-løsningen og NemLog-in med henblik på bl.a. at anvende autentifikation. I denne sammenhæng opnår offentlige myndigheder og offentligretlige organer således en ret til at anvende MitID-løsningen og NemLog-in.

2. Lovforslagets hovedpunkter

2.1. Krav om registrering i Det Centrale Virksomhedsregister

2.1.1. Gældende ret

I lov om MitID og NemLog-in er det et krav, at juridiske enheder i rollen som brokere, brugerorganisationer og tjenesteudbydere har et CVR-nummer og således er registreret i Det Centrale Virksomhedsregister, jf. § 2, nr. 9, sammenholdt med § 2, nr. 15-17. Kravet gælder både juridiske enheders interaktion med MitID-løsningen og NemLog-in.

Kravet sikrer, at der i NemLog-in kan ske en entydig og ensartet registrering af juridiske enheder, der er i overensstemmelse med den grundlæggende kilderegistrering i Det Centrale Virksomhedsregister. Digitaliseringsstyrelsen kan desuden i regi af NemLog-ins integration til Det Centrale Virksomhedsregister anvende data derfra ved registreringen af juridiske enheder i NemLog-in og modtage opdateringer og notifikationer fra registreret, således at registreringerne i NemLog-in altid afspejler aktuel virksomhedsstatus.

2.1.2. Digitaliserings- og Ligestillingsministeriets overvejelser og den foreslåede ordning

Kravet om CVR-nummer er gældende for alle juridiske enheder, der ønsker at tilslutte sig MitID-løsningen og NemLog-in.

Efter ikrafttrædelse af lov om MitID og NemLog-in har Digitaliseringsstyrelsen vurderet, at et krav om CVR-nummer for juridiske enheder, som ønsker at anvende MitID-løsningen, kan stride imod EU-rettens regler om fri bevægelighed, som nærmere fastlagt i Traktaten om Den Europæiske Unions Funktionsmåde (TEUF) og servicedirektivet (Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked).

For at sikre at den frie bevægelighed af tjenesteydelser ikke hindres gives der med den foreslåede ordning mulighed for, at juridiske enheder, som er registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister, kan anvende MitID-løsningen.

Den foreslåede ordning vil således muliggøre, at disse juridiske enheder kan gøre brug af de services, der leveres i MitID-løsningen ved at tilslutte sig hertil i rollen som broker uden, at der kræves registrering i Det Centrale Virksomhedsregister. Tilsvarende vil den foreslåede ordning muliggøre, at tjenesteudbydere, der er registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister, kan tilslutte sig MitID-løsningen via en privat broker uden, at der kræves CVR-nummer.

Juridiske enheder, der ikke er registeret i Det Centrale Virksomhedsregister eller et register svarende til Det Centrale Virksomhedsregister i et andet EU-/EØS-land, har fortsat ikke mulighed for at blive tilsluttet MitID-løsningen med henblik på at blive broker eller tjenesteudbyder.

Krav om CVR-nummer fastholdes for juridiske enheder, der tilsluttes et eller flere serviceområder i NemLog-in.

I NemLog-in er CVR-nummer særligt kritisk for at kunne sikre ensartet og entydig identifikation af de juridiske enheder, som ønsker at anvende serviceområderne i NemLog-in. Kravet om registrering i Det Centrale Virksomhedsregister fastholdes derfor for juridiske enheder, der tilsluttes et eller flere serviceområder i NemLog-in. Dette skyldes, at Digitaliseringsstyrelsen som ansvarlig myndighed for NemLog-in har behov for en høj grad af sikkerhed for korrekt identifikation af de aktører, der tilsluttes infrastrukturen via serviceområderne og for at sikre, at der hurtigt kan reageres på ændringer i de juridiske enheders status, der registreres i Det Centrale Virksomhedsregister.

For at opretholde et højt sikkerhedsniveau i den offentlige digitale infrastruktur, baserer Digitaliseringsstyrelsen sig på opdateringer og notifikationer fra Det Centrale Virksomhedsregister om de aktører, der er tilsluttet NemLog-in. Dette giver Digitaliseringsstyrelsen mulighed for automatisk og hurtigt at reagere på ændringer i aktuel virksomhedsstatus fra Det Centrale Virksomhedsregister således, at der altid er overensstemmelse mellem kilderegistreringen i Det Centrale Virksomhedsregister, og den registrering Digitaliseringsstyrelsen har foretaget af brugerorganisationen, jf. nedenfor.

Det er en forudsætning for tilslutning til NemLog-in infrastrukturen, at en juridisk enhed oprettes som brugerorganisation i MitID Erhverv.

MitID Erhverv er identitetsgarant for de erhvervsidentiteter, der er oprettet hos brugerorganisationen, jf. § 2, nr. 16, i lov om MitID og NemLog-in. Hermed forstås, at Digitaliseringsstyrelsen dels indestår for koblingen mellem en identificeret fysisk person og erhvervsidentiteten, dels indestår for, at der er en korrekt kobling mellem erhvervsidentiteten og brugerorganisationen.

Det er centralt at sikre, at tjenesteudbydere og andre aktører, som erhvervsidentiteterne kommunikerer med via infrastrukturen, til enhver tid kan have tillid til erhvervsidentiteternes validitet. Dette sikres ved, at Digitaliseringsstyrelsen løbende modtager opdateringer om virksomhedsstatus fra Det Centrale Virksomhedsregister om den enkelte brugerorganisation uanset, hvilken virksomhedsform brugerorganisationen er registreret med.

På baggrund af virksomhedsnotifikationer kan Digitaliseringsstyrelsen sikre, at virksomheder, der ikke længere har den korrekte eller nødvendige virksomhedsstatus i Det Centrale Virksomhedsregister suspenderes eller spærres. Eksempelvis vil en virksomhed, der i Det Centrale Virksomhedsregister markeres som under konkurs, automatisk blive suspenderet i MitID Erhverv og kan først genåbnes af en kurator, der kan dokumentere at være udpeget af skifteretten. Dette forhindrer, at virksomhedens medarbejdere i mellemtiden kan anvende erhvervsidentiteter til at handle på vegne af virksomheden i modstrid med gældende regler.

2.2. Anvendelse af autentifikation til interne it-systemer

2.2.1. Gældende ret

Lov om MitID og NemLog-in bygger på et grundlag, hvor offentlige myndigheder og offentligretlige organer, under i loven nærmere fastsatte betingelser, enten har ret eller pligt til at anvende MitID-løsningen og serviceområderne i NemLog-in, jf. §§ 6 og 11.

Den ovenfor anførte ret eller pligt til at anvende MitID-løsningen og serviceområderne i NemLog-in danner grundlaget for, at offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere kan benytte MitID-løsningen gennem serviceområdet Login og autentifikation, jf. §§ 8, stk. 2, nr. 1, og 11, stk. 1, nr. 1, og stk. 2, nr. 1, uden at skulle gennemføre et udbud.

I § 2, nr. 15, i lov om MitID og NemLog-in, defineres en tjenesteudbyder som en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der er ansvarlig for en eller flere digitale selvbetjeningsløsninger.

En digital selvbetjeningsløsning defineres i lovens § 2, nr. 12, som et it-system, hvor privatpersoner eller erhvervsbrugere med digitale identiteter kan tilgå digital selvbetjening efter at være blevet autentificeret. Det følger af de specielle bemærkninger til bestemmelsen, at såfremt der er tale om internt anvendte onlinetjenester eller it-systemer inden for et myndighedsområde, som ikke udstiller digitale services til offentlig anvendelse, er disse ikke at anse som digitale selvbetjeningsløsninger i lovens forstand og er derfor ikke påkrævet tilslutning til NemLog-in og MitID-løsningen.

2.2.2. Digitaliserings- og Ligestillingsministeriets overvejelser og den foreslåede ordning

Definitionen af digitale selvbetjeningsløsninger omfatter ikke internt anvendte onlinetjenester, og det vurderes derfor, at det er uklart, i hvilket omfang interne it-systemer er omfattet af lov om MitID og NemLog-in, herunder i forhold til om anvendelsen er omfattet af en ret eller pligt til at tilslutte disse til NemLog-in og MitID-løsningen. Årsagen til, at internt anvendte onlinetjenester ikke er omfattet af definitionen af digitale selvbetjeningsløsninger, er, at MitID-løsningen og NemLog-in ikke i alle tilfælde vil være hensigtsmæssig at anvende til intern brug, og fordi en pligt til anvendelse ville medføre urimelige økonomiske konsekvenser, da efterlevelsen forudsætter, at relevante interne it-systemer og processer omlægges. Omvendt har det dog ikke været hensigten at forhindre anvendelsen af MitID-løsningen og NemLog-in til brug for interne it-systemer, herunder at en sådan anvendelse kan ske uden, at den pågældende offentlige myndighed eller offentligretlige organ skal gennemføre udbud heraf.

Med den foreslåede ændring af definitionen af en tjenesteudbyder, fastsættes det, at en tjenesteudbyder også kan være ansvarlig for interne it-systemer. Det tydeliggøres hermed, at tjenesteudbydere har ret til at tilslutte de interne it-systemer til NemLog-in.

Den foreslåede ordning vil medføre, at autentifikation til interne systemer omfattes af retten til anvendelse, idet der fastslås en ret til anvendelse hos offentlige myndigheder og offentligretlige organer. Offentlige myndigheder og offentligretlige organer pålægges ikke en pligt til at anvende MitID-løsningen og NemLog-in til deres interne it-systemer. Offentlige myndigheder og offentligretlige organer kan herefter vælge, om de interne it-systemer skal tilsluttes NemLog-in, eller om autentifikation til de interne it-systemer skal ske på anden vis. Den foreslåede ordning ændrer ikke på pligten til at anvende MitID-løsningen og NemLog-in i offentlige myndigheder og offentligretlige organers digitale selvbetjeningsløsninger, jf. §§ 6 og 11, stk. 1 og 2, i lov om MitID og NemLog-in.

For at sikre en afgrænsning mellem en digital selvbetjeningsløsning og et internt it-system foreslås i § 1, nr. 5, en definition af et internt it-system, som et it-system hos en tjenesteudbyder, der efter autentifikation kan tilgås af privatpersoner eller erhvervsbrugere, der begge er associeret med tjenesteudbyderen.

Der henvises i øvrigt til de specielle bemærkninger til den foreslåede § 1, nr. 5.

3. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

Lovforslaget ændrer ikke på de økonomiske konsekvenser for etablering, drift og vedligeholdelse af infrastrukturerne, der er vurderet i forbindelse med vedtagelsen af lov om MitID og NemLog-in.

Lovforslaget vurderes at leve op til de syv principper for digitaliseringsklar lovgivning og har været i høring i Digitaliseringsstyrelsens sekretariat for digitaliseringsklar lovgivning. Tydeliggørelse af forhold relateret til brug af interne it-systemer hos offentlige myndigheder og offentligretlige organer vurderes at styrke anvendelsen af MitID og NemLog-in og er dermed en realisering af princip 6 om anvendelse af offentlige digital infrastruktur.

Det vurderes således, at lovforslaget ikke har økonomiske konsekvenser eller implementeringskonsekvenser for det offentlige.

4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Det forhold, at juridiske enheder, der er registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister, kan tilslutte sig som brokere og/eller tjenesteudbydere til MitID-løsningen uden at være registreret i Det Centrale Virksomhedsregister, giver en øget fri bevægelighed for juridiske enheder i EU-/EØS-lande. Dette kan således minimere de økonomiske og administrative konsekvenser for juridiske enheder, der ikke skal afholde omkostninger med henblik på at blive registreret i Det Centrale Virksomhedsregister.

Der vurderes ikke at være yderligere økonomiske og administrative konsekvenser for erhvervslivet.

5. Administrative konsekvenser for borgerne

Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.

6. Klimamæssige konsekvenser

Lovforslaget vurderes ikke at have klimamæssige konsekvenser.

7. Miljø- og naturmæssige konsekvenser

Lovforslaget vurderes ikke at have miljø- og naturmæssige konsekvenser.

8. Forholdet til EU-retten

Med lovforslaget sikres det, at muligheden for at anvende MitID-løsningen bringes i overensstemmelse med EU-rettens krav til den frie bevægelighed af tjenesteydelser. Det i lov om MitID og NemLog-in fastsatte krav om, at alle juridiske enheder skal have et CVR-nummer for at kunne tilslutte sig MitID-løsningen ændres, idet krav om registrering i Det Centrale Virksomhedsregister for at kunne anvende MitID vurderes at kunne være i strid med bestemmelserne i Traktaten om Den Europæiske Unions Funktionsmåde, navnlig art. 56, og servicedirektivet.

Opretholdelsen af krav om CVR-nummer for tilslutning til serviceområderne i NemLog-in er begrundet i sikkerhedshensyn og særlige krav til tilliden i denne del af infrastrukturen, hvor det bl.a. er af særlig kritisk betydning, at virksomhedsregistreringer i NemLog-in løbende opdateres fra Det Centrale Virksomhedsregister. Digitaliseringsstyrelsen modtager automatisk notifikationer fra Det Centrale Virksomhedsregister om ændringer i virksomhedsstatus for tilsluttede juridiske enheder, hvorved styrelsen i egne services løbende afspejler den grundlæggende virksomhedsregistrering. Dette er særlig vigtigt, idet NemLog-in over for såvel offentlige som private tjenesteudbydere er identitetsgarant for erhvervsidentiteter oprettet hos NemLog-in i serviceområdet Erhvervsadministration. Virksomhedsstatus fra Det Centrale Virksomhedsregister muliggør fx, at Digitaliseringsstyrelsen kan lukke for brugerorganisationer og derved rettigheder for tilknyttede erhvervsbrugere, hvis den pågældende brugerorganisation markeres som ophørt i Det Centrale Virksomhedsregister.

9. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslaget har i perioden fra den 21. juni 2023 til den 17. august 2023 været sendt i høring hos følgende myndigheder og organisationer m.v.:

Beskæftigelsesministeriet, Børne- og Undervisningsministeriet, Digitaliserings- og Ligestillingsministeriet, Erhvervsministeriet, Finansministeriet, Forsvarsministeriet, Justitsministeriet, Kirkeministeriet, Klima-, Energi- og Forsyningsministeriet, Kulturministeriet, Miljøministeriet, Ministeriet for Fødevarer, Landbrug og Fiskeri, Skatteministeriet, Social-, Bolig- og Ældreministeriet, Indenrigs- og Sundhedsministeriet, Transportministeriet, Uddannelses- og Forskningsministeriet, Udenrigsministeriet, Udlændinge- og Integrationsministeriet, Økonomiministeriet, ATP, Advokatsamfundet, AE - Arbejderbevægelsens Erhvervsråd, BL - Danmarks almene boliger, Danmarks Statistik, Danmarks Nationalbank, Dansk IT, Dansk standard, Forum for digital sikkerhed, Danske advokater, DI Digital /Dansk Industri, DKCERT, Finans Danmark, Finanstilsynet, Forbrugerrådet Tænk, Foreningen Danske Revisorer, FSR - danske revisorer, Forsikring og Pension, Landsforeningen Ældre Sagen, Landbrug og Fødevarer, LOS - Landsorganisationen for private tilbud, Microsoft Danmark, Rådet for Digital Sikkerhed, Rådet for Socialt Udsatte, TI - Teleindustrien, Danske Handicaporganisationer, Dansk Arbejdsgiverforening, Dansk Erhverv, Danske Regioner, Dataetisk Råd, Datatilsynet, Den Danske Dommerforening, Det centrale Handicapråd, SMVdanmark, IBIZ-center, IT-Branchen, Institut for menneskerettigheder, IT-Politisk Forening, KMD, KL - Kommunernes Landsforening, KOMBIT, Konkurrence- og Forbrugerstyrelsen, Prosa, Forbundet af IT-Professionelle, Rigsombudsmanden i Grønland, Naalakkersuisut (via Rigsombudsmanden i Grønland), Rigsombudsmanden på Færøerne, Landsstyret (via Rigsombudsmanden på Færøerne), Rigsrevisionen, Psykiatrifonden, Nets DanID A/S og Aeven A/S.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1

Det følger af § 2, nr. 6, i lov om MitID og NemLog-in, at NemLog-in defineres som den fællesoffentlige digitale infrastrukturløsning, som sætter privatpersoner og erhvervsbrugere med digitale identiteter i stand til at interagere med digitale selvbetjeningsløsninger. Bestemmelsen fastsætter desuden, at NemLog-in er den nationale identitetsgarant for erhvervsidentiteter, og at NemLog-in indeholder de serviceområder, som angives i lovens § 8, stk. 2, og 3.

Det foreslås, at der i § 2, nr. 6, 1. pkt., efter »digitale selvbetjeningsløsninger« indsættes », og som sætter privatpersoner, eller erhvervsbrugere, associeret med en tjenesteudbyder i stand til at tilgå dennes interne it-systemer«.

Med den foreslåede ændring omfattes interne it-systemer af definitionen af NemLog-in, således at det fremgår, at NemLog-in både sætter privatpersoner og erhvervsbrugere med digitale identiteter i stand til at interagere med digitale selvbetjeningsløsninger og til at tilgå en tjenesteudbyders interne it-systemer. Interaktion med interne it-systemer forudsætter, at privatpersonen eller erhvervsbrugeren er associeret med tjenesteudbyderen af det pågældende interne it-system, jf. den foreslåede definition af internt it-system i § 2, nr. 18.

Den foreslåede ændring af § 2, nr. 6, 1. pkt., er en konsekvens af den foreslåede § 11, stk. 4, om retten til at tilslutte interne it-systemer til NemLog-in.

Der henvises endvidere til pkt. 2.1 i lovforslagets almindelige bemærkninger.

Til nr. 2

Der findes gældende ret på området for så vidt angår juridiske enheder, der er registeret med et CVR-nummer i henhold til lov om Det Centrale Virksomhedsregister.

Det foreslås i § 2, nr. 9, at definere juridisk enhed som a) Juridisk enhed med CVR-nummer, jf. lov om Det Centrale Virksomhedsregister, der hverken er en offentlig myndighed eller et offentligretligt organ eller b) Juridisk enhed, som er registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister.

Den foreslåede bestemmelse i § 2, nr. 9, litra a, medfører, at begrebet juridisk enhed defineres som en juridisk enhed med et CVR-nummer, jf. lov om det Centrale Virksomhedsregister, der ikke enten er en offentlig myndighed, jf. lov om MitID og NemLog-in § 2, nr. 10, eller et offentligretligt organ, jf. den gældende lov om MitID og NemLog-in § 2, nr. 11. Til definitionen af begrebet juridisk enhed hører således ikke offentlige myndigheder og offentligretlige organer, uanset om de i andre sammenhænge, bl.a. i lov om det Centrale Virksomhedsregister, betragtes som juridiske enheder. Offentlige myndigheder og offentligretlige organer er selvstændigt defineret. For afgrænsningen af en offentlig myndighed eller et offentligretligt organ henvises til lov om MitID og NemLog-in § 2, nr. 10 og 11.

Den foreslåede bestemmelse i § 2, nr. 9, litra b, medfører at begrebet juridisk enhed defineres som en juridisk enhed, som er registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister.

Juridiske enheder kan eksempelvis være kapitalselskaber og offentlige myndigheder i andre EU-/EØS-lande. For at et register kan anses som svarende til det Det Centrale Virksomhedsregister, skal det pågældende register være autoritativt. Ved autoritativt register skal i denne sammenhæng forstås, at registret udgør en officiel og anerkendt kilde for registreringer af juridiske enheder i det pågældende EU-/EØS-land.

Den foreslåede udvidelse af definitionen af en juridisk enhed skal bringe reglerne i overensstemmelse med den frie bevægelighed for tjenesteydelser, som fastlagt i Traktaten om Den Europæiske Unions Funktionsmåde (TEUF) og servicedirektivet.

For så vidt angår MitID-løsningen skabes der med bestemmelsen hjemmel til, at juridiske enheder uden CVR-nummer kan omfattes af tilrådighedsstillelsen af MitID-løsningen som fastsat i § 3, stk. 1, i lov om MitID og NemLog-in, såfremt de er registreret i et register i et andet EU/EØS-land svarende til Det Centrale Virksomhedsregister. Dette vil betyde, at sådanne juridiske enheder, der ønsker at gøre brug af de services, der leveres i MitID-løsningen kan tilslutte sig hertil i rollen som broker uden, at der kræves CVR-nummer. Tilsvarende kan tjenesteudbydere tilslutte sig MitID-løsningen via en privat broker uden, at der kræves CVR-nummer.

Juridiske enheder uden CVR-nummer kan ikke tilsluttes til serviceområderne i NemLog-in. Der henvises til den foreslåede bestemmelse i § 8, stk. 4, og de specielle bemærkninger hertil.

Der henvises endvidere til pkt. 2.1 i lovforslagets almindelige bemærkninger.

Til nr. 3

Det følger af § 2, nr. 14, i lov om MitID og NemLog-in, at et elektronisk identifikationsmiddel defineres som en materiel enhed, en immateriel enhed eller en kombination af disse, der indeholder personidentifikationsdata, og som bruges til autentifikation i digitale selvbetjeningsløsninger. Et elektronisk identifikationsmiddel består af et eller flere elementer, der hver især er et elektronisk identifikationsmiddel.

Det foreslås, at der i § 2, nr. 14, 1. pkt., efter »digitale selvbetjeningsløsninger« indsættes »og interne it-systemer«.

Med den foreslåede ændring omfattes interne it-systemer af definitionen af et elektronisk identifikationsmiddel, således at det fremgår, at det elektroniske identifikationsmiddel både bruges til autentifikation over for digitale selvbetjeningsløsninger og interne it-systemer.

Den foreslåede ændring af § 2, nr. 14, 1. pkt., er en konsekvens af den foreslåede § 11, stk. 4, om retten til at tilslutte interne it-systemer til NemLog-in.

Der henvises endvidere til pkt. 2.1 i lovforslagets almindelige bemærkninger.

Til nr. 4

Det følger af § 2, nr. 15, i lov om MitID og NemLog-in, at en tjenesteudbyder defineres som en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der er ansvarlig for en eller flere digitale selvbetjeningsløsninger.

Det foreslås, at der i § 2, nr. 15, efter »digitale selvbetjeningsløsninger« indsættes »eller et eller flere interne it-systemer«.

Med den foreslåede ændring i § 2, nr. 15, kan en tjenesteudbyder ligeledes være ansvarlig for et eller flere interne-it-systemer.

Tjenesteudbyder kan således anvende MitID-løsningen og/eller NemLog-in til autentifikation af en privatperson eller en erhvervsbruger, til digitale selvbetjeningsløsninger og til at give adgang til interne it-systemer.

Der henvises i øvrigt til definitionen af et internt it-system i de specielle bemærkninger nedenfor til den foreslåede bestemmelse i § 2, nr. 18.

Der henvises endvidere til pkt. 2.2 i lovforslagets almindelige bemærkninger.

Til nr. 5

Der findes ikke gældende ret på området.

Det forslås, at der i § 2, nr. 18, indsættes en bestemmelse hvorefter et internt it-system defineres som en tjenesteudbyders it-system, der efter autentifikation kan tilgås af privatpersoner, eller erhvervsbrugere, som er associeret med tjenesteudbyder.

Interne it-systemer kan fx være en tjenesteudbyders interne sagsbehandlingssystemer og intranet.

Begrebet "associeret med" skal forstås som både medarbejdere ansat hos tjenesteudbyderen og personer med anden tilknytning, uden at der foreligger et ansættelsesforhold mellem personen og tjenesteudbyderen. Denne forståelse er i overensstemmelse med NSIS-standardens beskrivelse af associering mellem fysiske personer og juridiske enheder, jf. National Standard for Identiteters Sikringsniveauer, punkt 1.4.

De privatpersoner og erhvervsbrugere, der er omfattet af brugerkredsen for et internt it-system, vil altid være underlagt en på forhånd etableret associering med tjenesteudbyderen. Et system, der stilles til rådighed for privatpersoner og erhvervsbrugere, der ikke på forhånd er associeret med tjenesteudbyderen vil have karakter af en digital selvbetjeningsløsning og ikke et internt it-system. Der henvises i øvrigt til definitionen af en digital selvbetjeningsløsning i § 2, nr. 12, i lov om MitID og NemLog-in.

Bestemmelsen ændrer ikke på princippet om dobbelt frivillighed, jf. § 9, stk. 2, i lov om MitID og NemLog-in, hvorefter både erhvervsbrugeren og brugerorganisationen skal acceptere, at erhvervsbrugerens private MitID-identifikationsmiddel benyttes i sammenhæng med erhvervsidentiteten.

Det forventes, at autentifikation med MitID og NemLog-in over for interne it-systemer primært vil blive anvendt af erhvervsbrugere. Privatpersoner uden erhvervsidentiteter i MitID Erhverv kan dog også anvende disse fx som grundlag for en identitetssikring hos offentlige myndigheder eller offentligretlige organer ved fornyelse af et lokalt password for at opnå adgang til myndighedens interne it-systemer. Typisk vil privatpersoner i de relevante anvendelsesscenarier være medarbejdere ansat hos tjenesteudbyderen uden dog at være registreret med en erhvervsidentitet.

Der henvises i øvrigt til pkt. 2.2 i lovforslagets almindelige bemærkninger.

Til nr. 6

Interne it-systemer er ikke reguleret i lov om MitID og NemLog-in og nævnes alene i lovens bemærkninger. Det fremgår således ikke med tilstrækkelig tydelighed, om offentlige myndigheder og offentligretlige organers interne it-systemer kan eller skal tilsluttes MitID-løsningen.

Det foreslås, at der indsættes et nyt stk. 3 i § 6, hvorefter offentlige myndigheder og offentligretlige organer kan anvende MitID-løsningen til at give adgang til interne it-systemer. MitID-løsningen kan i dette tilfælde anskaffes fra Digitaliseringsstyrelsen.

Formålet med den foreslåede bestemmelse er at tydeliggøre, at offentlige myndigheder og offentligretlige organer har mulighed for at anvende MitID-løsningen til brug for autentifikation over for interne it-systemer uden, at der samtidig etableres en pligt til at anskaffe MitID-løsningen fra Digitaliseringsstyrelsen. Bestemmelsen finder anvendelse uanset, om der fra det interne it-system udføres en myndighedsopgave eller ej.

Med den foreslåede bestemmelse opnår offentlige myndigheder og offentligretlige organer ret til at give adgang til interne it-systemer med MitID uden at gennemføre et selvstændigt udbud, såfremt løsningen anskaffes fra Digitaliseringsstyrelsen.

Det bemærkes, at den foreslåede ret til at anvende MitID-løsningen til interne it-systemer bliver omfattet af § 15, stk. 2, i lov om MitID og NemLog-in, hvoraf fremgår, at offentlige myndigheder og offentligretlige organer betaler for MitID-løsningen og NemLog-in gennem fælles offentlig finansiering eller ved betaling af vederlag fastsat af finansministeren, nu digitaliserings- og ligestillingsministeren.

Der henvises i øvrigt til pkt. 2.2. i lovforslagets almindelige bemærkninger.

Til nr. 7

Det følger af § 8, stk. 2, nr. 1, i lov om MitID og NemLog-in, at serviceområdet Login og autentifikation sikrer, at privatpersoner og erhvervsbrugere kan tilgå digitale selvbetjeningsløsninger.

Det foreslås, at der i § 8, stk. 2, nr. 1, efter »digitale selvbetjeningsløsninger« indsættes », og som giver adgang til interne it-systemer«.

Med bestemmelsen foreslås det således, at interne it-systemer også kan tilsluttes serviceområdet Login og autentifikation. Tilslutningen forventes at ske på samme måde og på samme vilkår som tilslutningen af digitale selvbetjeningsløsninger.

Vilkår for tilslutning af offentlige myndigheder og offentligretlige organers digitale selvbetjeningsløsninger er fastsat i bekendtgørelse nr. 968 af 10. juni 2022 om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer. Vilkår for tilslutning af juridiske enheders digitale selvbetjeningsløsninger fremgår af www.nemlog-in.dk. Vilkår fastsat i bekendtgørelse og vilkår for tilslutning af juridiske enheder, der omfattes af den foreslåede § 2, nr. 9, vil i fornødent omfang blive opdateret som følge af lovforslaget.

Der henvises endvidere til pkt. 2.2. i lovforslagets almindelige bemærkninger.

Til nr. 8

Det følger af § 8, stk. 2, nr. 3, litra a, i lov om MitID og NemLog-in, at offentlige myndigheder, offentligretlige organer og juridiske enheder kan udstille digital signering af dokumenter i digitale selvbetjeningsløsninger.

Det foreslås, at der i § 8, stk. 2, nr. 3, litra a, efter »digitale selvbetjeningsløsninger« indsættes »og interne it-systemer«.

Men den foreslåede ændring af § 8, stk. 2, nr. 3, litra a, indføres ret til at udstille digital signering af dokumenter i interne it-systemer.

Med bestemmelsen foreslås det således, at interne it-systemer kan tilsluttes serviceområdet Digital signering. Tilslutningen forventes at ske på samme måde og på samme vilkår som tilslutningen af digitale selvbetjeningsløsninger.

Vilkår for tilslutning af offentlige myndigheder og offentligretlige organers digitale selvbetjeningsløsninger er fastsat i bekendtgørelse nr. 968 af 10. juni 2022 om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer. Vilkår for tilslutning af juridiske enheders digitale selvbetjeningsløsninger fremgår af www.nemlog-in.dk. Vilkår fastsat i bekendtgørelse og vilkår for tilslutning af juridiske enheder der omfattes af den foreslåede § 2, nr. 9, vil i fornødent omfang blive opdateret som følge af lovforslaget.

Der henvises endvidere til pkt. 2.2. i lovforslagets almindelige bemærkninger.

Til nr. 9

I lov om MitID og NemLog-in er det et krav, at juridiske enheder, der tilsluttes NemLog-in, skal være registreret i Det Centrale Virksomhedsregister. Dette følger af definitionen af en juridisk enhed, jf. § 2, nr. 9, i lov om MitID og NemLog-in.

Det foreslås, at der indsættes et nyt stk. 4 i § 8. Efter den foreslåede bestemmelse kræves det, at juridiske enheder, der tilsluttes et eller flere serviceområder i NemLog-in, jf. stk. 2 og 3, fortsat skal være registreret med CVR-nummer, jf. den foreslåede § 2, nr. 9, litra a.

Med den foreslåede ændring til § 2, nr. 9, omfatter juridiske enheder fremover både juridiske enheder registreret i Det Centrale Virksomhedsregister og juridiske enheder registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister. For at fastholde gældende ret således, at juridiske enheder, der tilsluttes et eller flere serviceområder i NemLog-in, fortsat skal have et CVR-nummer, har den foreslåede § 8, stk. 4, til formål at sikre dette ved at kræve, at tilsluttede juridiske enheder skal være omfattet af den foreslåede § 2, nr. 9, litra a.

Der henvises i øvrigt til pkt. 2.1 i lovforslagets almindelige bemærkninger.

Til nr. 10

Interne it-systemer er ikke reguleret i lov om MitID og NemLog-in og nævnes alene i lovens bemærkninger. Det fremgår således ikke med tilstrækkelig tydelighed, om offentlige myndigheder og offentligretlige organers interne it-systemer kan eller skal tilsluttes NemLog-in.

Det foreslås, at der indsættes et nyt stk. 4 i § 11. Efter den foreslåede bestemmelse kan offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere anvende serviceområdet Login og autentifikation, jf. § 8, stk. 2, nr. 1, til at give adgang til interne it-systemer.

Pligter og rettigheder for offentlige myndigheder og offentligretlige organers anvendelse af NemLog-in er reguleret i § 11 i lov om MitID og NemLog-in for så vidt angår anvendelse af NemLog-in til digitale selvbetjeningsløsninger.

Med den foreslåede bestemmelse i § 11, stk. 4, skabes der en ret for offentlige myndigheder og offentligretlige organer til, i rollen som tjenesteudbydere, at give adgang til interne it-systemer.

Den foreslåede bestemmelse muliggør, at der efter autentifikation af digitale identiteter kan logges på interne it-systemer gennem NemLog-in hos offentlige myndigheder eller offentligretlige organer. Forslaget indebærer, at offentlige myndigheder og offentligretlige organer får mulighed for at anvende serviceområdet Login og autentifikation til interne it-systemer.

Der kan være mange forskelligartede behov for autentifikation til interne it-systemer samt forskellige tekniske og organisatoriske krav hertil. Offentlige myndigheder og offentligretlige organer forpligtes derfor ikke, da anvendelsen af NemLog-in ikke nødvendigvis kan imødekomme de forskellige behov og krav, der kan være knyttet til anvendelse af interne it-systemer.

Når offentlige myndigheder og offentligretlige organer gives en ret til at anvende serviceområdet Login og autentifikation til interne it-systemer, understøttes de digitale arbejdsgange gennem autentifikation på et veldefineret sikringsniveau, som allerede er kendt på tværs af offentlige digitale selvbetjeningsløsninger. Det kan fx for nogle offentlige myndigheder og offentligretlige organer, som allerede har en digital selvbetjeningsløsning, der kan tilgås via NemLog-in, være en administrativ lettelse at anvende den samme autentifikationsløsning til at tilgå den interne del af myndighedens it-systemer. Dette muliggøres ved den foreslåede lovændring.

Der henvises endvidere til pkt. 2.2 i lovforslagets almindelige bemærkninger.

Til nr. 11

I lov om MitID og NemLog-in fremgår det i § 11, stk. 4, der med lovforslaget bliver til stk. 5, at offentlige myndigheder og offentligretlige organer i de i § 11, stk. 2 og 3 anførte tilfælde kan anskaffe serviceområderne fra Digitaliseringsstyrelsen.

Det foreslås, at § 11, stk. 5 ændres fra »stk. 2 og 3« til »stk. 2-4«.

Den foreslåede ændring medfører, at 2. led udvides med en ret til at anvende NemLog-in ved autentifikation over for interne it-systemer. Den foreslåede ændring er en konsekvens af den foreslåede § 11, stk. 4, om retten til at tilslutte interne it-systemer til NemLog-in.

Der henvises endvidere til pkt. 2.2 i lovforslagets almindelige bemærkninger.

Til nr. 12

I lov om MitID om NemLog-in § 12 fastslås det, at juridiske enheder kan indgå aftale med Digitaliseringsstyrelsen om anvendelse af serviceområderne nævnt i § 8, stk. 2, nr. 1 og 3, og stk. 3.

Det foreslås, at der i § 12, efter »Juridiske enheder« indsættes »omfattet af § 2, nr. 9, litra a,«

I lov om MitID og NemLog-in er det et krav, at juridiske enheder, der tilsluttes NemLog-in, skal være registreret i Det Centrale Virksomhedsregister. Dette følger af definitionen af en juridisk enhed, jf. § 2, nr. 9, i lov om MitID og NemLog-in.

Med den foreslåede ændring af § 2, nr. 9, omfatter juridiske enheder både juridiske enheder registreret i Det Centrale Virksomhedsregister, og juridiske enheder registreret i et register i et andet EU-/EØS-land svarende til Det Centrale Virksomhedsregister. For at fastholde gældende ret således, at juridiske enheder, der indgår aftale med Digitaliseringsstyrelsen om anvendelse af serviceområderne nævnt i lovens § 8, stk. 2, nr. 1 og nr. 3, og stk. 3, fortsat skal have et CVR-nummer, er det nødvendigt at foretage den foreslåede ændring i § 12 i lov om MitID og NemLog-in.

Om den nærmere begrundelse for at fastholde kravet om CVR-nummer ved tilslutning til NemLog-in henvises til de almindelige bemærkninger punkt 2.1.2 og de specielle bemærkninger til den foreslåede § 8, stk. 4.

Til § 2

Loven foreslås at træde i kraft den 1. januar 2024.

Til § 3

Det følger af § 26 i lov om MitID og NemLog-in, at loven ikke gælder for Færøerne og Grønland, men ved kongelig anordning helt eller delvis kan sættes i kraft for Færøerne og Grønland med de ændringer, som henholdsvis de færøske og de grønlandske forhold tilsiger. Det følger af bestemmelsen, at loven endvidere kan sættes i kraft på forskellige tidspunkter.

For så vidt angår Grønland er der udstedt kongelig anordning nr. 2090 af 23. november 2021 om ikrafttræden for Grønland af lov om MitID og NemLog-in.

Ved bekendtgørelse nr. 920 af 10. juni 2022 er § 3, § 4, § 5, stk. 1, § 15, stk. 3, og §§ 18-22 i kongelig anordning nr. 2090 af 23. november 2021 sat i kraft pr. 1. juli 2022.

Der er i medfør af § 4, stk. 2, og § 5, stk. 1, i kongelig anordning nr. 2090 af 23. november 2021 om ikrafttræden for Grønland af lov om MitID og NemLog-in, udstedt bekendtgørelse om MitID til privatpersoner (bekendtgørelse nr. 921 af 10. juni 2022). Bekendtgørelsen trådte i kraft 1. juli 2022.

Lov om MitID og NemLog-in er ikke sat i kraft for Færøerne.

Det foreslås, at loven ikke skal gælde for Færøerne og Grønland, men ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som henholdsvis de færøske og de grønlandske forhold tilsiger. Det foreslås endvidere, at lovens bestemmelser kan sættes i kraft på forskellige tidspunkter.

Den foreslåede § 3 medfører, at loven ikke vil gælde for Færøerne og Grønland, men ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som henholdsvis de færøske og de grønlandske forhold tilsiger. Den foreslåede bestemmelse medfører, at lovens bestemmelser kan sættes i kraft på forskellige tidspunkter. Bestemmelsen svarer til territorialbestemmelsen i lov om MitID og NemLog-in.