Det svenska införandet av eIDAS

eIDAS införande i Sverige Björn Scharin, PTS

PTS roll idag resp. framtida roll • PTS är tillsynsmyndighet över utfärdare av kvalificerade certifikat

• PTS föreslås bli tillsynsmyndighet över tillhandahållare av betrodda tjänster enligt eIDAS förordningen

Nyheter jämfört med signaturdirektivet • Omfattar två delar elektronisk identifiering och betrodda tjänster

• Förordning istället för direktiv • Omfattar fler betrodda tjänster än elektroniska underskrifter

• Vissa regler även för ”icke-kvalificerade” betrodda tjänster

Vad är en betrodd tjänst Betrodd tjänst: en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av • Utfärdande av certifikat för elektroniska underskrifter och stämplar • Validering av underskrifter och stämplar • Bevarande av underskrifter och stämplar • Tidsstämpling • Elektronisk rekommenderad leverans • Certifikat för autentisering av webbplatser

Vad omfattar regleringen • Tillhandahållare av betrodda tjänster och kvalificerade betrodda tjänster

• Erkännande av betrodda tjänster från andra medlemsländer • Rättsligt erkännande av •

Elektroniska underskrifter och stämplar

•

Tidsstämpling

•

Elektronisk rekommenderad leverans

•

Elektroniska dokument

• Förordningen sätter ramar, detaljregler tas fram i samarbete mellan kommissionen och medlemsländerna i genomförandeakter

Regleringen • Förordningen ställer direkta krav och detaljer kan ställas i genomförandeakter

• Flera av genomförandakterna enligt förordningen innebär en möjlighet för EUkommissionen att peka ut en standard som därmed förutsätts leda till regelefterlevnad

De sju obligatoriska genomförandeakterna Artikel

Innehåll

Klartidpunkt

Artikel 8 punkt 3

Tillitsnivåer eID scheman

2015-09-18

Artikel 12 punkt 7 Samarbete mellan medlemsländerna

2015-09-18

Artikel 12 punkt 8 Interoperabilitet mellan nationella eID-system

2015-09-18

Artikel 22 punkt 5 Förteckning över tillhandahållare av betrodda tjänster (trusted list)

2015-09-18

Artikel 23 punkt 3 Tillitsmärke för tillhandahållare av kvalificerade 2015-07-01 betrodda tjänster Artikel 27 punkt 5 Referensformat för avancerade elektroniska underskrifter

2015-09-18

Artikel 37 punkt 5 Referensformat för avancerade elektroniska stämplar

2015-09-18

Genomförandeakter – betrodda tjänster Artikel

Område

Status

17.8

Format årsrapport till kommissionen från NRA

Ej påbörjat

19.4

Tekniska och organisatoriska säkerhetsåtgärder och incidentrapportering

ENISA arbetsgrupp arbetar med ramverk för incidentrapportering

20.4

Standarder för ackreditering och granskningsregler för certifiering

Ej påbörjat

21.4

Former och förfarande för anmälan om att tillhandahålla kvalificerade betrodda tjänster

Ej påbörjat

22.5

Förteckning över kvalificerade tillhandahållare av betrodda tjänster

Beslutad

23.3

Förtroende märke för tillhandahållare av kvalificerade betrodda tjänster

Beslutad

24.5, 29.2, 30.3, 30.4, 39

Om tillförlitliga IT-system och produkter Om referenser för anordningar för skapande av kvalificerade elektroniska underskrifter Förteckning över standarder för säkerhetsbedömning av IT-produkter Delegerad akt om särskilda krav på utsedda organ Omfattar även artikel 39 med motsvarande krav men för stämplar

Arbete pågår med en möjlig genomförandeakt på området

Genomförandeakter fortsättning Artikel

Område

Arbete påbörjat

27.4, 37.4

Referensnummer för standarder för avancerade elektroniska underskrifter och stämplar

Beslutad

28.6, 38.6

Referensnummer för standarder för kvalificerade certifikat för underskrifter och stämplar

Ej påbörjad

31.3

Format och förfaranden för information om kontrollerade anordningar (för kommissionens förteckning)

Ej påbörjad

32.3, 40

Referensnummer till standarder för validering av kvalificerade underskrifter och stämplar

Ej påbörjad

33.2, 40

Referensnummer till standarder för kvalificerad valideringstjänst

Ej påbörjad

34.3, 40

Referensnummer till standarder för kvalificerade tjänster för bevarande av kvalificerade elektroniska underskrifter och stämplar

Ej påbörjad

42.2

Referensnummer till standarder för bindning av datum och tidpunkt till uppgifter och för korrekta tidskällor

Ej påbörjad

44.2

Referensnummer till standarder för processer för att sända och ta emot uppgifter

Ej påbörjad

45.2

Referensnummer till standarder för kvalificerade certifikat för autentisering av webbplatser

Ej påbörjad

Utmaningar • Förordningen är ett ramverk alla detaljregler finns inte

• Avsaknaden av detaljregler leder till osäkerhet och kan leda till behov av nationella föreskrifter • Etablering av en kvalificerad tillhandahållare av betrodda tjänster • Etablering av kvalificerade betrodda tjänster

• Det saknas reglering och genomförandeakter för krypto- och hashalgoritmer

Etablering av tillhandahållare

Pågående arbete • PTS har ett regeringsuppdrag i regleringsbrevet för 2016 att arbeta med en sömlös övergång från signaturlagen till eIDAS-förordningen • I praktiken pågår arbete med • Att bygga upp kompetens • Etablera processer och rutiner för arbetet • Identifiera behov av nationellt regelverk och påbörja arbetet med föreskrifter