Motivering till och tillämpning av föreskrift 72. Elektroniska identifieringstjänster och betrodda elektroniska tjänster

Transkript

1 Motivering till och tillämpning av föreskrift 72 Elektroniska identifieringstjänster och betrodda elektroniska tjänster MPS 72

2 MPS 72 2 INNEHÅLL AVDELNING A CENTRALA ÄNDRINGAR OCH ÄNDRINGSHISTORIK Ändringar Delvis ändring 72A/2018 M Elektronisk identifiering Signaturcertifikat och övriga betrodda tjänster Bedömningsverksamhet De viktigaste begreppen i föreskriften... 7 Ändringshistorik... 8 Konsekvenser Grunder för förslaget och konsekvenser för informationssamhället Alternativ för reglering av krav på kvalitetsrevision av identifieringstjänster Ekonomiska konsekvenser av krav på kvalitetsrevision av identifieringstjänster Alternativ för reglering av gränssnitt och protokoll för identifieringstjänster Identifieringstjänst: behov av att reglera gränssnittet för inledande elektronisk identifiering Alternativ för reglering av informationssäkerheten i identifieringstjänster Främjande av konkurrens inom bedömningsverksamhet för identifieringstjänster och betrodda tjänster Icke-kvalificerade betrodda tjänsters och elektroniska underskrifters status Konsekvenser för myndigheternas verksamhet AVDELNING B MOTIVERING TILL ENSKILDA PARAGRAFER OCH ANVISNINGAR FÖR TILLÄMPNING KAP. ALLMÄNNA BESTÄMMELSER Föreskriftens syfte Tillämpningsområde Definitioner KAP. KRAV PÅ INFORMATIONSSÄKERHET I EN IDENTIFIERINGSTJÄNST Krav på ledning avseende informationssäkerheten hos leverantörer av identifieringstjänster Tekniska informationssäkerhetsåtgärder i identifieringssystem Motivering Tillämpning Krav på informationssäkerhet i identifieringsmetoder Motivering Tillämpning Krypteringskrav för identifieringssystem och gränssnitt Motivering och tillämpning s rekommendation om kryptering på tillitsnivån hög Krav på informationssäkerhet i gränssnitt mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för förmedling av identifiering Motivering Krav på informationssäkerhet i gränssnitt för ärendehanteringstjänster Motivering Krav på informationssäkerhet i gränssnitt för en nationell nod Motivering Störningsanmälningar från leverantörer av identifieringstjänster till Motivering Tillämpning Anmälningar mellan aktörer... 57

3 MPS KAP. FÖRMEDLING AV UPPGIFTER I FÖRTROENDENÄTET Minimiuppsättning uppgifter som ska förmedlas i förtroendenätet Motivering och tillämpning Förtroendenätets gränssnitt Förtroendenätets gränssnitt om vilka det inte finns närmare föreskrifter Uppgifter som förutsätts vid gränsöverskridande identifiering Gränssnitt mellan leverantörer av tjänster för identifieringsförmedling och en nationell nod Typ av ärendehanteringstjänst Protokoll som används vid dataöverföring samt övriga krav Motivering och tillämpning Rekommendation om användning av SAML- eller Open ID Connectprotokollet och profilerna KAP. KRITERIER FÖR KVALITETSREVISION AV EN IDENTIFIERINGSTJÄNST Kriterier för kvalitetsrevision Motivering Tillämpning, s anvisningar 211/2016 O och 215/2016 O Utredning om att övriga krav är uppfyllda Motivering Tillämpning, s anvisning 214/2016 O Grunder för bedömning av den nationella noden Motivering KAP. KOMPETENS HOS ORGAN FÖR BEDÖMNING AV IDENTIFIERINGSTJÄNSTER Krav på utomstående organ för bedömning av identifieringstjänster Motivering Tillämpning Krav på interna organ för kontroll av identifieringstjänster Motivering Tillämpning KAP. KVALIFICERADE BETRODDA TJÄNSTER Kriterier för bedömning av kvalificerad tillhandahållare av betrodda tjänster Motivering ETSIs standarder Kriterier för bedömning av kvalificerade betrodda tjänster Motivering och tillämpning Betrodda tjänster om vilka närmare föreskrifter inte meddelas KAP. ORGAN FÖR BEDÖMNING AV ÖVERENSSTÄMMELSE HOS BETRODDA TJÄNSTER Bedömning av bedömningsorgans kompetens Motivering Ackreditering och godkännande av bedömningsorgan KAP. CERTIFIERING AV KVALIFICERADE ANORDNINGAR FÖR SKAPANDE AV ELEKTRONISKA UNDERSKRIFTER OCH STÄMPLAR Krav på anordningar för skapande av elektroniska underskrifter eller stämplar Motivering Ännu inte färdiga standarder för serverbaserad anordning för underskriftsframställning och tjänsten för elektronisk signering Krav på certifieringsorgan Motivering och tillämpning KAP. IKRAFTTRÄDANDEBESTÄMMELSER Ikraftträdande och övergångsbestämmelser Motivering AVDELNING C ÖVRIGA FRÅGOR SOM HAR SAMBAND MED FÖRESKRIFTENS ÄMNESOMRÅDE... 83

4 MPS Rekommendation om tillförlitligt klockslag i identifieringssystem Avancerade elektroniska underskrifter Bakgrund Lagstiftningsbakgrund Tekniska krav på avancerade elektroniska underskrifter AVDELNING D LAGSTIFTNING Rättsgrund Finsk lagstiftning Övriga bestämmelser Statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering 169/ EU:s iidas-förordning (EU) 910/ Kommissionens genomförandeakter som gäller identifieringstjänster Kommissionens genomförandebeslut om betrodda tjänster och elektroniska underskrifter och stämplar Lag om elektronisk kommunikation i myndigheternas verksamhet 13/ Krav på elektroniska signaturer i speciallagar REFERENSLISTA FÖRTECKNING ÖVER BILAGOR BILAGA 1 BETRODDA TJÄNSTER OCH ELEKTRONISKA UNDERSKRIFTER... 98

5 MPS 72 5 Avdelning A Centrala ändringar och ändringshistorik Ändringar Delvis ändring 72A/2018 M Genom föreskriftens version 72A/2018 M förlängs i 25 övergångsperioden för uppfyllandet av vissa i 7 9 angivna informationssäkerhetskrav vid användning av Tupas-protokollet. Dessutom ändras tidtabellen i 25 för beredskap att behandla ickeobligatoriska attribut vid stark autentisering enligt 12 2 mom. Motiveringen till 12 2 mom. och 13 preciseras. 1.2 Elektronisk identifiering Kraven i föreskriften preciserar de krav som föreskrivs för identifieringssystem i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan autentiseringslagen) [1]. Autentiseringslagen innehåller även flera hänvisningar till olika stycken i bilaga 1 till EU-kommissionens förordning om tillitsnivåer (EU) 2015/1502 [2]. Kraven i föreskriften överensstämmer med både lagen och förordningen om tillitsnivåer. Bedömningskraven i lagen är nya krav som överensstämmer med EU:s förordning om tillitsnivåer. Föreskriften preciserar bedömningskriterierna på en allmän nivå. Närmare modellkriterier kommer att tas fram i form av en separat, icke tvingande anvisning. Vissa informationssäkerhetkrav för identifieringssystem och -metod preciseras jämfört med den tidigare regleringen: kraven på kryptering vid förvaring och överföring av uppgifter och kraven på åtkomst till hanteringsnätet för identifieringssystem. Processen för skapande av identifieringsverktyg görs smidigare så att det under vissa förutsättningar tillåts kombinering av personuppgifter med verktyget före inledande identifiering. De allmänna riskhanteringskrav som gäller ledning avseende informationssäkerheten och som tidigare i stor utsträckning behandlats i motiveringen till föreskrift 8 täcks delvis med informationssäkerhetskrav i föreskriften, men främst med krav på kvalitetsrevision. Kraven på anmälan om störningar preciseras. Kraven på anmälan om inledning eller ändring av verksamhet behandlas inte i föreskriften. En anvisning kommer att utfärdas om dem, och blanketterna kommer att ändras. För att främja interoperabiliteten i förmedlingen av identifieringsuppgifter hos leverantörerna av identifieringsuppgifter, föreskriver föreskrifter om de uppgifter som ska kunna överföras mellan aktörernas gränssnitt. Till denna del omfattar kraven också delvis en av Befolkningsregistercentralen upprätthållen nationell nod för gränsöverskridande identifiering. De förpliktelser som gäller interoperabiliteten i det nationella förtroendenätet för leverantörer av identifieringstjänster i enlighet med autentiserings-

6 MPS 72 6 lagen träder i kraft den 1 maj Föreskriftens krav på förtroendenätets gränssnitt börjar också tillämpas samma dag. I föreskriften ges också en övergångsperiod för vissa informationssäkerhetskrav vid användning av Tupas-protokollet samt för specificering av icke-obligatoriska identifieringsuppgifter i gränssnitten för leverantörer av identifieringstjänster vid användning av alla protokoll. Dessa krav ska vara uppfyllda senast den 18 september 2018 när kraven för gränsöverskridande identifiering enligt ei- DAS-förordningen träder i kraft till fullo. 1.3 Signaturcertifikat och övriga betrodda tjänster Reglerna omarbetas i sin helhet så att de flesta krav bygger på EU:s ei- DAS-förordning (EU) 910/2104 [3] och reglerna utvidgas från signaturcertifikat till flera andra funktioner som används vid elektroniska tjänster för ärendehantering, nämligen betrodda tjänster. Med betrodd tjänst avses en elektronisk tjänst som i allmänhet tillhandahålls mot ersättning och som består av följande: a) elektroniska underskrifter, elektroniska stämplar eller elektronisk tidsstämpling, elektroniska tjänster för rekommenderade leveranser och tjänster för skapande, kontroll och validering av certifikat i anslutning till dem, eller b) skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller c) bevarande av elektroniska underskrifter, stämplar eller certifikat i anslutning till dem. Föreskriften innehåller en förteckning över de referensstandarder som EU har berett för olika betrodda tjänster, men som Europeiska kommissionen, trots sina befogenheter, inte har utfärdat några genomförandeakter om. Standarderna är inte obligatoriska, utan tjänsterna också kan genomföras på något annat sätt. Standarderna anger dock vilken tillitsnivå som eidasförordningen förutsätter i tjänster. Om en tjänst genomförs enligt en hänvisad standard, blir kraven i eidas beaktade. Om någon annan standard med motsvarande krav används, ska genomföraren av tjänsten särskilt visa att tjänsten uppfyller kraven i eidas-förordningen. Föreskriften hänvisar inte till de standarder som bereds ännu. I detta MPSdokument behandlas dessa standarder i syfte att förtydliga utvecklingsfasen för fastställandet av krav för betrodda tjänster. Standarder som ännu inte är färdiga gäller bland annat en elektronisk tjänst för rekommenderade leveranser (edelivery) samt serverbaserad underskrift. 1.4 Bedömningsverksamhet Enligt autentiseringslagen och eidas-förordningen är bedömning av överensstämmelse i fråga om identifieringstjänster och betrodda tjänster framöver obligatorisk och en bedömningsrapport eller en inspektionsberättelse över bedömningen ska lämnas till tillsynsmyndigheten. Beroende på tjänst kan bedömningen göras av ett av FINAS [4] ackrediterat organ för bedömning av överensstämmelse, ett annat utomstående bedömningsorgan eller ett internt kontrollorgan.

7 MPS 72 7 I föreskriften fastställs de kriterier enligt vilka ett sådant organs oberoende och kompetens kan bedömas på ett objektivt sätt. Kriterierna bygger i huvudsak på internationellt eller nationellt allmänt använda standarder, bestämmelser och anvisningar. Som ett särskilt nytt delområde i föreskriften preciseras kraven i autentiseringslagen och eidas-förordningen på certifieringsorgan för anordningar för skapande av elektroniska underskrifter eller stämplar. 1.5 De viktigaste begreppen i föreskriften Följande definitioner i 2 i autentiseringslagen och i artikel 3 i eidasförordningen är de viktigaste för föreskriften: 2 i autentiseringslagen 1) stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig enligt artikel 8.2 b i EU:s förordning om elektronisk identifiering och betrodda tjänster eller tillitsnivån hög enligt artikel 8.2 c i den förordningen, 2) identifieringsverktyg ett sådant medel för elektronisk identifiering som avses i artikel 3.2 i EU:s förordning om elektronisk identifiering och betrodda tjänster, 3) leverantör av identifieringstjänster en leverantör av tjänster för identifieringsförmedling eller en leverantör av identifieringsverktyg, 4) leverantör av identifieringsverktyg en tjänsteleverantör som tillhandahåller eller ger ut identifieringsverktyg för stark autentisering till allmänheten samt tillhandahåller sitt identifieringsverktyg till leverantörer av tjänster för identifieringsförmedling för förmedling i förtroendenätet, 5) leverantör av tjänster för identifieringsförmedling en tjänsteleverantör som förmedlar identifieringstransaktioner baserade på stark autentisering till en part som förlitar sig på en elektronisk identifiering, 10) förtroendenätet de leverantörer av identifieringstjänster som har gjort en anmälan till, 11) organ för bedömning av överensstämmelse ett av godkänt organ enligt artikel 2.13 i Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93, som är ackrediterat i enlighet med den förordningen.

8 MPS 72 8 Artikel 3 i eidas-förordningen 2) medel l för elektronisk identifiering en materiell och/eller immateriell enhet som innehåller personidentifieringsuppgifter och som används för autentisering för nättjänster, 4) system för elektronisk identifiering ett system för elektronisk identifiering genom vilket medel för elektronisk identifiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person, 6) förlitande part en fysisk eller juridisk person som förlitar sig på en elektronisk identifiering eller betrodda tjänster, 16) betrodd tjänst en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av a) skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller b) skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller c) bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster 17) kvalificerad betrodd tjänst en betrodd tjänst som uppfyller tillämpliga krav i denna förordning, 20) kvalificerad tillhandahållare av betrodda tjänster en tillhandahållare av betrodda tjänster som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats status som kvalificerad av tillsynsorganet. 2 Ändringshistorik Genom föreskrift 72A/2018 M görs en delvis ändring i vissa övergångsperioder för krav på stark autentisering i 25. Övergångsperioderna gäller genomföranden som bygger på Tupas-protokollet och beredskap för behandlingen av icke-obligatoriska attribut. Föreskrift 72/2016 M ersätter s tidigare föreskrift 7 B/2009 M om skyldighet för leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat att göra en anmälan om sin verksamhet till, och föreskrift 8 C/2010 M om krav på tillförlitlighet och informationssäkerhet i verksamhet hos leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat.

9 MPS 72 9 Föreskrift 7 innehöll bestämmelser om anmälan om inledande och ändring av verksamhet och om störningar. Föreskrift 8 innehöll bestämmelser om informationssäkerhetskrav. Bestämmelser om kvalificerade certifikat utfärdades första gången år 2003, och år 2009 kompletterades de med krav på tjänster för stark autentisering Konsekvenser Grunder för förslaget och konsekvenser för informationssamhället Identifieringstjänster Enligt autentiseringslagen förutsätts det även på nationell nivå att minst kraven på tillitsnivån väsentlig enligt bilagan till EU:s förordning om tillitsnivåer uppfylls när identifieringstjänster tillhandahålls. Målet är att det ska vara enkelt för aktörerna att ansöka om att få sitt system anmält till EU i vilket skede som helst när de uppfyller de nationella kraven. Leverantörerna av identifieringstjänster behöver inte ta fram särskilda identifieringslösningar för gränsöverskridande situationer och nationell identifiering. Beredningen av föreskriften har också utgått från samma mål. Avsikten i beredningen har varit att utnyttja så många internationella standarder, kravspecifikationer och anmälningssätt som möjligt. Syftet med lösningen är att göra det lättare att tillhandahålla gränsöverskridande tjänster och att undvika nationellt anpassade krav. Betrodda tjänster Det allmänna målet för regleringen av betrodda tjänster är utveckling av informationssamhället och ökat förtroende för elektronisk ärendehantering. Reglerna för betrodda tjänster hjälper leverantörerna och användarna av elektroniska tjänster att känna igen de tjänster där det är möjligt att implementera olika funktioner för elektroniska ärendehanteringstjänster med högsta möjliga informationssäkerhet. Målet för föreskriften är att förtydliga de krav som ställs på kvalificerade betrodda tjänster i eidas-förordningen genom hänvisningar till de internationella standarder som har tagits upp i EU:s beredningsarbete och som åtminstone hittills inte har hänvisats till genom kommissionens genomförandeakter, trots att kommissionen har befogenheter för det enligt eidasförordningen. Hänvisningarna till standarderna stöder också de faktorer som åtminstone ska beaktas som kompetenskrav på eventuella organ för bedömning av överensstämmelse, när organen ackrediteras. Bedömningsverksamhet Målet för s föreskrift är att för aktörerna och organen för bedömning av överensstämmelse förtydliga kraven på betrodda tjänster till den del kommissionen inte har utövat sin lagstiftningskompe-

10 MPS tens gällande betrodda tjänster och utfärdat genomförandeakter med hänvisningar till nödvändiga standarder. När det gäller bedömning av identifieringstjänster är målet för föreskriften att för aktörerna förtydliga på vilken grund de kvalitetsrevisorer som aktörerna använder är behöriga att göra kvalitetsrevisioner i identifieringssystem. De kvalitetsrevisorer som anlitas av leverantörerna av identifieringstjänster behöver inte särskilt ansöka om godkännande, om kvalitetsrevisorn inte är ett organ för bedömning av överensstämmelse. Målet för föreskriften är att aktörerna ska kunna utnyttja så många kvalitetsrevisioner som möjligt, som de gör eller har låtit göra redan tidigare. Föreskrift eller någon annan styrmetod Vid beredningen av alla krav i föreskriften har det också granskats om målen för lagen skulle kunna uppnås på ett mer effektivt och ändamålsenligt sätt med någon annan styrmetod än genom en föreskrift. Följande alternativa eller kompletterande metoder har granskats: - anvisningar och rekommendationer som inte är tvingande på samma sätt som en föreskrift - samreglering, där branschen utfärdar anvisningar om förfaranden i syfte att uppnå målen i lagen, och som i alla fall utövas i förtroendenätet för leverantörer av identifieringstjänster under styrning av statsrådets förordning om förtroendenätet 169/2016 [5] och under ledning av - informationsstyrning, där aktörerna eller myndigheten tar fram kommensurabel, offentlig information. En föreskrift har valts till en styrmetod i situationer där det finns tecken på att de övriga metoderna inte är tillräckligt förutsebara och jämlika för aktörerna eller tillräckligt effektiva med tanke på användare av tjänster och parter som förlitar sig på tjänsterna, för att målen för regleringen ska kunna uppnås. Vid upprättande av en föreskrift, anvisningar och rekommendationer finns det i alla fall starka samregleringsegenskaper, eftersom arbetet utförs i arbetsgrupper i öppet samarbete med aktörerna. 3.2 Alternativ för reglering av krav på kvalitetsrevision av identifieringstjänster Krav på kvalitetsrevision av identifieringstjänster i allmänhet Autentiseringslagen förutsätter att leverantörer av identifieringstjänster skaffar sig en bedömning av överensstämmelse. Enligt 29 i lagen kan bedömningen göras av ett organ för bedömning av överensstämmelse, ett annat utomstående bedömningsorgan eller ett internt kontrollorgan. Enligt punkt i bilagan till EU:s förordning om tillitsnivåer ska bedömningen omfatta alla delar som är relevanta för tillhandahållandet av tjänster. Hänvisningen till förordningen om tillitsnivåer ingår i 8 1 mom. 5 punkten i autentiseringslagen, som gäller ledning av informationssäkerheten. Be-

11 MPS stämmelser om kraven på oberoende och kompetens hos bedömningsorgan fastställs i 33 i den lagen. I 42 i autentiseringslagen har befogenhet att meddela föreskrifter om grunderna för bedömningen av överensstämmelsen hos en identifieringstjänst och om kompetenskraven för bedömningsorgan. Bedömning av alternativen till och konsekvenserna av de kvalitetsrevisionskrav som preciserar lagen är det viktigaste delområdet i beredningen av föreskriften med tanke på informationssäkerheten, jämlikt bemötande av aktörerna, ekonomiska konsekvenser för aktörerna och resursfördelningen i myndigheternas verksamhet. I avsnitten nedan behandlas de alternativ som har övervägts vid beredningen av kraven på kvalitetsrevision och kraven på oberoende och kompetens hos bedömningsorgan. Målet för föreskriften är att precisera de allmänna kraven i lagen för att aktörerna ska kunna förutse vilka krav regleringen ställer på kvalitetsrevisioner och bedömningsorgan. Det bör beaktas att alla aktörer har genomfört kvalitetsrevisioner redan tidigare, trots att sådana inte uttryckligen förutsattes i den tidigare autentiseringslagen. har av aktörerna samlat in uppgifter om genomförda kvalitetsrevisioner och de kvalitetsrevisionskriterier som har använts vid revisionerna, och använt uppgifterna som stöd vid konsekvensbedömningen Krav för omfattningen av kvalitetsrevisioner av identifieringstjänster Fråga som ska bedömas: Ska kvalitetsrevisioner omfatta alla de delområden av kraven som föreskrivs i autentiseringslagen och EU:s förordning om tillitsnivåer, som autentiseringslagen hänvisar till? Utgångspunkter för konsekvensbedömning Enligt EU:s förordning om tillitsnivåer ska regelbundna revisioner omfatta alla delar som är relevanta för tillhandahållandet av tjänster för att garantera efterlevnaden av relevant policy. De relevanta delarna kan grovt sett grupperas i följande tre delområden: tjänsteleverantörens tillförlitlighet, identifieringssystemets tillförlitlighet och identifieringsmetodens tillförlitlighet. De två sist nämnda gäller ledning och implementering av informationssäkerheten som kvalitetsrevisioner av informationssäkerheten också i övrigt riktas till. Kraven ska gälla alla aktörer på ett jämlikt sätt. Därför ska de delområden som är föremål för kvalitetsrevision vara desamma hos alla aktörer i stället för att aktörerna själva, inom vissa gränser, får välja vilka delområden som ska bli föremål för oberoende kvalitetsrevision och för vilka delområden ak-

12 MPS törerna ska ge en egen utredning av överensstämmelse med krav. Kontroll av kommensurabla rapporter är också effektiv ur myndighetens synvinkel. Riktlinjer En kvalitetsrevision behöver inte omfatta tjänsteleverantörens allmänna tillförlitlighet och inte heller uppgifter som lämnas om tjänsten till användare och förlitande parter (principer för identifiering, avtalsvillkor, prislistor), utan det räcker med en utredning från aktören. Kvalitetsrevisionen ska omfatta alla delområden av informationssäkerheten i verksamhet som inverkar på tillhandahållandet av identifieringstjänsten, och av informationssäkerheten i identifieringsmetoden. Bedömningen kan sammanställas utifrån kvalitetsrevisioner som har gjorts enligt flera kriterier framtagna av flera kvalitetsrevisorer eller bedömningsorgan. Föreskriftens 15 och 16 har utfärdats enligt dessa riktlinjer. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. En rekommendation kan göra det lättare för aktörer att uppfatta på vilket sätt de kan göra en nödvändig sammanställning av nuvarande kvalitetsrevisioner och vad som eventuellt behövs som tillägg. publicerar anvisningen om modellkriterier för kvalitetsrevision hos leverantörer av identifieringstjänster 211/2016 O [6]. Samreglering. Inte relevant. De uppförandekoder som för tillfället tas fram för förtroendenätet för leverantörer av identifieringstjänster är lika förpliktande som s rekommendation. Fastställandet av omfattningen av kvalitetsrevisioner handlar om i vilken omfattning bedömningsarbetet omfattas av s tillsyn och till vilka delar säkring av överensstämmelse stöds av regelbundna, oberoende och kompetenta kvalitetsrevisioner. Informationsstyrning. Som ett alternativ skulle vi kunna granska att uppgifterna om omfattningen av aktörernas kvalitetsrevisioner publiceras. Det är dock svårt att se hur detta ska kunna uppmuntra till att vissa frågor inte lämnas för bedömning vid. Detta skulle vara ojämlikt med tanke på att registrerings- och tillsynsavgiften är densamma för alla aktörer. Det kan vara problematiskt att publicera uppgifter om omfattningen av kvalitetsrevisioner som sådana, även med tanke på affärshemligheter Noggrannhetsnivå enligt föreskriften för kriterierna för kvalitetsrevision av en identifieringstjänst Fråga som ska bedömas: Med vilken noggrannhet utarbetas kraven för bedömning av en identifieringstjänst, dvs. kriterierna för kvalitetsrevision, i föreskriften? Alternativen är detaljerade, enhetliga

13 MPS kriterier eller allmänna kriterier som kompletteras med en tillämpningsrekommendation. Utgångspunkter för konsekvensbedömning Generellt sett främjar fastställande av bedömningskriterier i föreskriften en jämlik konkurrens, eftersom alla är tvungna att satsa på bedömning på samma nivå. Fastställande av en miniminivå för bedömningar i föreskriften främjar dessutom underhållet av informationssäkerheten. Den bedöms i sig ligga på i genomsnitt god nivå, men miniminivån har betydelse för nivån på nya aktörers verksamhet. För verksamheten i förtroendenätet är det viktigt att nätets medlemmar med säkerhet kan lita på att tjänsteleverantörer som inte tidigare varit verksamma i branschen också uppfyller den förutsatta miniminivån på informationssäkerhet. Det är lättare för att utgående från enhetliga rapporter om kvalitetsrevisioner (i lagen inspektionsberättelser) göra jämlika bedömningar av om aktörer, inklusive nya aktörer, uppfyller de krav som ställs på aktörerna i autentiseringslagen eller eidas-förordningen. I regleringen förbereder man sig för att nya aktörer kommer in på marknaden särskilt för att tillhandahålla tjänster för identifieringsförmedling, men även identifieringsverktyg. Alternativ 1, noggranna kriterier i föreskriften. Ett enhetligt genomförande och en enhetlig styrning skulle bidra till att minska kostnaderna i myndigheternas verksamhet för utredning och tolkning av kraven för enskilda företag samt risken för att tillsynsmyndigheten inte anser att ett företags tolkning är tillräcklig. Enhetliga kriterier är också ett bra verktyg för till exempel dem som gör interna kontroller. Vanligen är en identifieringstjänst endast en liten del av den produktionshelhet som ska inspekteras, och den interna kontrollen kan inte nödvändigtvis så enkelt ställa alla relaterade specialfrågor. Därför skulle kriterierna vara ett bra stöd även i detta. Det är dock svårt att fastställa kvalitetsrevisionskriterier som är både noggranna och tillräckligt flexibla. Aktörerna kan ha svårt att tillämpa noggranna kriterier i full skala i de kvalitetsrevisioner som de använder. Dessutom behöver noggranna kriterier sannolikt ändras oftare än allmänna kriterier. Detta inverkar också på s arbetsbörda. Alternativ 2, allmänna kriterier i föreskriften. Allmänna kriterier är flexibla, eftersom de kan uppfyllas genom flera olika typer av kvalitetsrevisioner. Dessutom kan de tillämpas längre än noggranna kriterier. Å andra sidan kan planeringen av en kvalitetsrevision i detta alternativ vara mer arbetskrävande för aktören, eftersom denne måste försäkra sig om att

14 MPS dess egna kriterier omfattar alla krav. Denna tillämpning kan stödas med en rekommendation som förklarar de allmänna kriterierna i föreskriften. Den rapport som ska lämnas om kvalitetsrevision (i lagen inspektionsberättelse) till kan sammanställas utifrån flera kvalitetsrevisioner. När det finns en allmän, enhetlig indelning är kontrollen av rapporter lättare. Riktlinjer En allmän förteckning över de faktorer som en bedömning ska omfatta kommer att göras upp för föreskriften. Förteckningen bygger på grupperingen av kraven i EU:s förordning om tillitsnivåer. I så fall kan aktörerna smidigt använda de kriterier för kvalitetsrevision som de också i övrigt redan använder. Å andra sidan ska aktörerna uppskatta och försäkra sig om att alla de på olika standarder baserade kriterier som aktörerna använder verkligen omfattar alla de krävda delområdena av bedömningen av identifieringssystem. När kontrollerar inspektionsberättelser är verket tvunget att även utvärdera om det ovannämnda förverkligas eller inte. Föreskriftens 15 har utfärdats enligt dessa riktlinjer. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Som s anvisning 211/2016 O utarbetas kvalitetsrevisionskriterier som preciserar de allmänna kraven i föreskriften. Genom att uppfylla kriterierna uppfyller aktören åtminstone kraven på kvalitetsrevision. Det utarbetas s anvisning 215/2016 O om berättelser om bedömning av identifieringstjänster och betrodda tjänster [7] som gör beredningen och anskaffningen av revisionen enklare. Samreglering. Vid beredningen har det inte framkommit att det finns behov av att ta in några krav på kvalitetsrevision i de uppförandekoder som för tillfället tas fram för förtroendenätet. Med tanke på tröskeln för att komma in i branschen och eventuella konkurrensrättsliga frågor är det bättre att myndigheten ansvarar för att ställa minimikraven. Utbyte av information om användning av olika kriterier och om tolkningsfrågor kan dock omfattas av samreglering. Informationsstyrning. Vid beredningen har det som ett alternativ övervägts att uppgifter om de kriterier som aktörerna använder för kvalitetsrevisioner publiceras i ett register på s webbplats. Underhåll av informationssäkerheten är dock ett grundläggande krav vars miniminivå inte kan anses vara en konkurrensfråga.

15 MPS Vilka standarder används som underlag när modellkriterier för kvalitetsrevision av en identifieringstjänst tas fram? Fråga som ska bedömas: Vilka källkriterier används vid framtagning av modellkriterier? Möjliga källkriterier är exempelvis ISO och ISO 27002, Katakri, PCI-DSS, Webtrust och/eller Finansinspektionens föreskrifter. Utgångspunkter för konsekvensbedömning Aktörerna kan använda modellkriterier i anvisning 211/2016 O som hjälpmedel vid anskaffning av kvalitetsrevisioner eller vid kontroll av omfattningen av sina egna interna kontroller. Kriterierna ställer inga egentliga informationssäkerhetskrav, utan de innehåller en checklista över de frågor som ska kvalitetsrevideras. Vid beredningen av både de ovan behandlade kriterier som ska tas in i föreskriften och de riktgivande modellkriterierna har det genom en enkät utretts vilka kriterier och standarder aktörerna för närvarande använder. Utgående från detta har syftet varit att bedöma för det första vilka standarder som används mest och för det andra i vilken omfattning aktörerna eventuellt behöver göra nya kvalitetsrevisioner. Utifrån enkäten kunde inte få en klar bild av i vilken utsträckning aktörernas nuvarande kvalitetsrevisioner totalt sett omfattar de olika delområden av identifieringssystemet. Utifrån svaren verkar det som om implementeringen av identifieringssystemet inte särskilt har specificerats vid kvalitetsrevisionerna och som om de frågor som har kvalitetsreviderats inte har jämförts med kraven för identifieringssystem. Utbudet av de standarder och anvisningar som ska användas är också stort, visade enkäten. Å andra sidan stärkte svaren den uppfattningen att användningen av kvalitetsrevisioner i sig är etablerad. Vid beredningen har det som ett alternativ övervägts det nationella Katakriverktyget, eftersom man vid skapandet av Katakri har använt flera kriterier och tagit fram en del användbara konkreta kriterier. Kriterier som bygger på internationella standarder och kvalitetsrevisioner utifrån sådana kriterier är dock också kända i länder utanför Finland. Dessutom kan nationella kriterier höja tröskeln för att komma in på marknaden. Riktlinjer Modellkriterier tas fram främst utgående från standarden ISO [8], eftersom denna används mest och är standarden för tillämpningsguiden för förordningen om tillitsnivåer. Nödvändiga preciseringar görs utifrån standarden ISO som kompletterar ISO Som kompletteringar granskas andra internationella standarder, av vilka WebTrust-reglerna beaktas i tillämpningsguiden för EU:s förordning om tillitsnivåer på samma sätt som ISO ETSI standard ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [9] innehåller i sin tur element som lämpar sig för identi-

16 MPS fiering med certifikat, trots att standarden har samband med betrodda tjänster i EU:s regelverk (se hänvisningen i avsnitt 20.1 i avdelning B). Fristående kontrollpunkter som bygger på Katakri tas inte in i modellkriterierna. Vid beredningen av modellkriterierna granskas banksektorns sektorspecifika anvisningar och standarder inte i detalj, men aktörerna kan använda dem under förutsättning att de vid kvalitetsrevisioner tar hänsyn till kraven för identifieringssystem. Detta hänsynstagande ska visas i en inspektionsberättelse som lämnas till. Anvisning 211/2016 O har utfärdats enligt dessa riktlinjer Oberoende och kompetens för interna kontrollorgan hos leverantörer av identifieringstjänster Fråga som ska bedömas: Hur kan kraven på intern kontroll av identifieringstjänster fastställas förutsebart och allmängiltigt så att kraven säkerställer en objektivt sett tillförlitlig, oberoende och kompetent bedömning och samtidigt möjliggör ett kontrollramverk som bygger på någon annan lagstiftning inom en viss sektor, till exempel finanssektorn? Synpunkter på konsekvensbedömningen De allmänna kraven på oberoende och kompetens i 33 i autentiseringslagen gäller också intern kontroll. kan meddela föreskrifter om kompetenskraven för bedömningsorgan och om de grunder som ska användas vid bedömning av överensstämmelsen hos en identifieringstjänst. Som bedömningsgrunder kan det utfärdas regelverk samt Europeiska unionens eller något annat internationellt organs bestämmelser eller guider, offentliggjorda eller allmänt eller regionalt tillämpliga anvisningar om informationssäkerheten och allmänt använda informationssäkerhetsstandarder eller -förfaranden. Syftet med föreskriftens krav är att säkerställa att kompetenskraven för intern kontroll är allmängiltiga, jämlika och förutsebara. Målet har varit att samla exempelhänvisningar till regelverk som en intern kontrolls oberoende och kompetens objektivt bedömt ska kunna bygga på, och inte enbart på aktörens egen bedömning och verksamhetssätt. Vid beredningen av kompetenskraven för intern kontroll har syftet varit att utreda särskilt regleringsgrunden för intern kontroll i banker, eftersom användningen av en intern kontroll är etablerad inom branschen och reglerad genom bland annat Finansinspektionens föreskrifter och anvisningar. I anslutning till beredningen av föreskriften lämnade arbetsgruppen ingen information om vare sig regler, standarder eller anvisningar för intern kontroll i andra branschen.

17 MPS I den inofficiella tillämpningsguiden för EU:s förordning om tillitsnivåer [10] konstateras följande: Standard EN ISO innehåller vägledning för kvalitetsrevision av ledningssystem, inklusive principer för intern och extern revision, och vägledning för hur kompetensen hos personer som deltar i revisionsprocessen kan bedömas. Vid beredningen har den aktuella standarden däremot bedömts som synnerligen allmän och sektorn för bedömning av informationssäkerheten har uppgett att det finns IIA-standarder för intern kvalitetsrevision. Vid beredningen har det inte tagits del av IIA-standarderna och ingen av de nuvarande aktörerna har uppgett att de tillämpar standarderna, men de har beaktats i föreskriften. Riktlinjer Kraven för intern kontroll fastställs i föreskriften så att exemplen ger en klar bild av vilka regler, standarder eller anvisningar oberoende och kompetens kan bygga på. Målet är att särskilt bankerna ska kunna utnyttja sina revisioner som bygger på sektorspecifika regler. Förutsättningen är att dessa revisioner också riktas till identifieringssystem. Föreskriftens 19 har utfärdats enligt dessa riktlinjer. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Vid beredningen har bedömt att kraven behöver fastställas på ett förutseende sätt genom en tvingande bestämmelse för att det vid behov också ska finnas grunder för att avvisa interna bedömningar som bygger på aktörers subjektiva syn. Samreglering. Har inte granskats. Informationsstyrning. Framtagning av jämförbara data som metod för att styra kvaliteten på intern kontroll har inte granskats separat. I övrigt har det vid beredningen konstaterats att informationssäkerhet och ledning av informationssäkerheten är grundläggande krav vars miniminivå inte är en konkurrensfråga. 3.3 Ekonomiska konsekvenser av krav på kvalitetsrevision av identifieringstjänster Under beredningen har samlat in data om de kvalitetsrevisioner som leverantörerna av identifieringstjänster har låtit göra, och använt dem som underlag för föreskriftsarbetet. Syftet med insamlingen har varit att få heltäckande uppgifter om de genomförda kvalitetsrevisionerna och å andra sidan att göra en bedömning av vilket extra arbete föreskriftens kvalitetsrevisionskrav eventuellt skulle medföra för aktörerna. Utifrån en enkät för aktörerna och tillämpningsguiden för EU:s förordning om tillitsnivåer har sammanställt en förteckning

18 MPS över exempelstandarder utifrån vilka bedömningar av identifieringstjänster ska göras. Utifrån enkäten beslutade att kraven på utomstående och interna bedömningsorgan som identifieringstjänsterna anlitar ska fastställas på ett neutralt sätt så att aktörerna kan utnyttja de redan använda ramverken för kvalitetsrevision i så stor omfattning som möjligt. Syftet med denna lösning är att hålla aktörernas kostnader till följd av kraven på kvalitetsrevision av identifieringstjänster så måttliga som möjligt. De standarder som lyfts fram i enkäten har beaktats i föreskriften som alternativ när det gäller att visa kvalitetsrevisorernas oberoende och kompetens. På så sätt kan aktörerna utnyttja sina nuvarande kvalitetsrevisioner i så stor omfattning som möjligt. De delområden av kraven som ska vara föremål för oberoende kvalitetsrevision har också begränsats såsom beskrivs i Alternativ för reglering av gränssnitt och protokoll för identifieringstjänster Gränssnitt i allmänhet Enligt 12 a 2 mom. i autentiseringslagen ska en leverantör av identifieringstjänster erbjuda tekniska gränssnitt som skapar förutsättningar för verksamheten mellan aktörerna som tillhandahåller identifieringstjänster och aktörerna som använder tjänsterna. Enligt 12 a 2 mom. i statsrådets förordning om förtroendenätet (169/2016) är tekniska gränssnitt 1) gränssnittet mellan leverantörer av identifieringsverktyg, 2) gränssnittet mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för förmedling av identifiering, och 3) gränssnittet mellan en leverantör av tjänster för förmedling av identifiering och en part som förlitar sig på identifieringstjänsterna. Enligt förordningen ska en leverantör av identifieringstjänster som hör till förtroendenätet i vartdera av de gränssnitt som avses i 1 mom. 1 2 punkten tillhandahålla minst ett tekniskt gränssnitt som baserar sig på en allmänt tillämpad standard. kan meddela föreskrifter om egenskaperna enligt 12 a 2 mom. hos förtroendenätets gränssnitt. I avsnitten nedan görs en närmare utvärdering av - om bestämmer i de protokoll som ska användas - hur den minimiuppsättning uppgifter som förmedlas i gränssnittet ska definieras - vad som ska göras med den faktor att Tupas-protokollets egenskaper och användningssätt inte uppfyller de krav som vid beredningen av föreskriften bedömts som nödvändiga med tanke på interoperabiliteten och informationssäkerheten.

19 MPS Gränssnitt: reglering av protokoll Fråga som ska bedömas: Med vilken noggrannhet ska kraven på gränssnitt fastställas i föreskriften i förhållande till enskilda protokoll, som SAML och Open ID Connect? Ska med andra ord användning av andra protokoll också möjliggöras? Hur beaktas det rent nationella Tupas-protokollet som inte till alla delar uppfyller kraven och vars utvecklingsplaner eller -möjligheter man inte har haft säker kännedom om vid beredningen av föreskriften? Utgångspunkter för bedömning Vid beredningen har tre protokoll granskats: SAML, Open ID Connect och Tupas. SAML är ett globalt allmänt protokoll och har också definierats som ett protokoll för gränssnitt för internationell förmedling i de EU-regler och den EUvägledning som preciserar eidas-förordningen. Open ID Connect blir allt vanligare och används särskilt för mobilcertifikat. Eftersom bankernas identifikatorer bygger på det gamla, rent nationellt definierade TUPAs-protokollet, har det vid beredningen av föreskriften övervägts ett undantag från den allmänt iakttagna principen om att internationellt allmänna standarder iakttas i första hand. Om Tupas-protokollet tas med påverkar det verksamhetens kontinuitet positivt, eftersom det nuvarande utbudet av identifieringsverktyg för ärendehanteringstjänster kan fortsätta utan avbrott. Detta förutsätter inga direkta ändringar i tjänsterna för ärendehantering. Konsekvenserna för konkurrensen och den tekniska utvecklingen kan vara negativa, eftersom några utvecklingsplaner inte ska göras upp för Tupas och nya förmedlingsaktörer därför är tvungna att anpassa sig till det rent nationella protokollet. Detta kan i sin tur bidra till ett minskat intresse för inträde på marknaden. Finansbranschens Centralförbund, som äger rättigheterna till Tupas-protokollet, har dock i samarbete med sina intressenter inlett en kartläggning av möjligheterna att utveckla protokollet. Syftet med protokollet är att göra en interoperativ kontroll av data och överföringssätt för att data ska kunna överföras mellan olika aktörer. Ju mindre antal olika protokoll aktörerna använder, desto lättare är det till denna del att ingå avtal mellan aktörerna i förtroendenätet. Riktlinjer Vilka protokoll som ska användas fastställs inte, utan aktörerna får avtala om detta själva. Däremot fastställs det resultat som ska uppnås med protokollet, det vill säga den minimiuppsättning uppgifter som ska kunna överföras med hjälp av protokollet (se avsnittet nedan), och kraven på informationssäkerhet i gränssnitt.

20 MPS Modellprofiler tas fram som s rekommendation 212/2016 S [11] och 213/2016 S [12] för protokollen SAML 2.0 och Open ID Connect och användning av dessa rekommenderas. Utvecklingen av Tupas-protokollet [13] följs upp aktivt. Föreskriftens 14 har utfärdats enligt dessa riktlinjer Gränssnitt, bedömning av icke-obligatoriska attribut i 12 2 mom. år 2018 Frågor som ska bedömas: Hur förändras övergångsperioden för de icke-obligatoriska eidas-attributen i 12 2 mom. i föreskriften? Hur snabbt och i vilka situationer kan det ses behov av attributen vid nationell identifiering och vid den gränsöverskridande identifiering som finns i föreskriftens 13? Ska det finnas olika skyldigheter för identifieringsverktyg och för tjänster för identifieringsförmedling? Utgångspunkter för konsekvensbedömning Enligt föreskrift 72/2016 skulle aktörerna ha beredskap att förmedla ickeobligatoriska attribut senast den 18 september Med beredskap avses att uppgifterna har specificerats för gränssnittet. Då föreskriften meddelades år 2016 bedömde man att icke-obligatoriska uppgifter kan vara behövliga för vissa tjänster för ärendehantering och att specificering av attributen för gränssnittet skulle göra det lättare att ta dem i användning vid behov. Aktörerna har inte tagit de icke-obligatoriska attributen i bruk och den övergångsperiod för deras specificering som gavs år 2016 kommer inte att uppnås. Vid omvärderingen av regleringen betraktas 1) Rollen för identifieringsverktyg och tjänster för identifieringsförmedling med tanke på icke-obligatoriska attribut 2) Skillnaden mellan nationell identifiering och gränsöverskridande identifiering 3) Eventuella situationer där icke-obligatoriska attribut används, i synnerhet behovet för en uppgift som anger om det är fråga om privat eller offentlig tjänst för ärendehantering. Med tanke på den nationella noden ska det i enlighet med föreskriftens 13 1 mom. vid identifiering av användare med finländska identifieringsverktyg i utländska tjänster för ärendehantering kunna förmedlas en uppgift om huruvida identifieringstransaktionen gäller en offentlig eller en privat tjänst för ärendehantering. Bestämmelsen gäller gränsöverskridande identifiering via den nationella noden.

21 MPS I den nationella noden fokuseras det först på identifiering i offentliga tjänster för ärendehantering och i följande fas görs en mera detaljerad bedömning av möjligheterna att genomföra identifiering i privata tjänster för ärendehantering. Eftersom den nationella noden ännu inte kan användas för identifiering i privata tjänster för ärendehantering kan kunder som använder utländska identifieringsverktyg identifieras i finländska tjänster för ärendehantering utifrån avtal. Tillförlitligheten i utländska identifieringstjänster kunde konstateras på basis av anmälningar, eventuell reglering i identifieringstjänstens hemstat eller avtal. Samarbetet mellan de nordiska och baltiska ländernas förvaltningar i frågor som gäller bland annat utredning av möjligheter att på basis av avtal erkänna andra staters elektroniska identifiering också när identifieringsverktyg inte har anmälts till kommissionen påskyndar utvecklingen av gränsöverskridande identifiering. Offentlig/privat ärendehanteringsuppgift behövs vid gränsöverskridande identifiering. Mellan länderna betalas det i enlighet med eidasförordningen inte några avgifter för identifiering i offentliga tjänster för ärendehantering. I Finland betalas avgifter för användningen av finländska identifieringsverktyg i utländska offentliga tjänster för ärendehantering av statens medel; av statens medel betalas dock inte identifiering i privata tjänster för ärendehantering. Vid den nationella identifieringen bedömer om uppgift om privat eller offentlig tjänst för ärendehantering kan vara nödvändig i förtroendenätet av orsaker som beror på villkor för identifieringsförmedling. Förmedling av identifieringstransaktioner i den offentliga sektorns tjänster för ärendehantering kan eventuellt påverka till exempel villkor som gäller utbyte av information vid störningar, dataskydd eller prissättning. Utifrån den information som erhållits under beredningen finns det inte något klart akut behov för uppgiften. Vid den nationella identifieringen bedömer om uppgift om privat eller offentlig tjänst för ärendehantering kan vara nödvändig i förtroendenätet av orsaker som beror på villkor för identifieringsförmedling. Förmedling av identifieringstransaktioner i den offentliga sektorns tjänster för ärendehantering kan eventuellt påverka till exempel villkor som gäller utbyte av information vid störningar, dataskydd eller prissättning. Utifrån den information som erhållits under beredningen finns det inte något klart akut behov för uppgiften. Icke-obligatoriska attribut för en fysisk person kan enligt s uppfattning behövas närmast i situationer där finländska tjänster för ärendehantering vill identifiera personer med utländska identifieringsverktyg som i stället för en entydig finländsk personbeteckning ger ickeobligatoriska attribut från utlandet i form av kompletterande tilläggsinformation.

22 MPS I offentliga tjänster förmedlas de icke-obligatoriska attributen från en annan stat till den offentliga förvaltningens tjänster via den nationella noden utan att meddelandena går via förtroendenätet. Icke-obligatoriska attribut för en juridisk person kan bli nödvändiga om de finländska leverantörerna av identifieringsverktyg börjar kommersialisera juridiska personers starka identifieringsverktyg eller om det för tjänster för ärendehantering uppstår behov av att utnyttja de utländska företagens starka autentisering. Än så länge finns det i Finland inte tillgång till juridiska personers starka elektroniska identifieringsverktyg och det är svårt att förutspå om det uppstår efterfrågan på och tillhandahållande av identifieringsverktyg till exempel för elektroniska avtal. Vid den offentliga förvaltningens gränsöverskridande verksamhet kan den nationella noden vid behov också förmedla utländska juridiska personers icke-obligatoriska uppgifter till inhemska myndigheter, men utan finländska juridiska personers identifieringsverktyg är det oklart vilket håll som skulle verifiera de finländska juridiska personernas uppgifter när de agerar med utländska myndigheter eller privata aktörer. Beredskap för tjänster för identifieringsförmedling att förmedla ickeobligatoriska attribut till tjänster för ärendehantering kan bli viktigare än beredskapen för leverantörer av identifieringsverktyg. Leverantörerna av identifieringstjänster har ändå ofta båda roller. Om skyldigheten avgränsas till en del av leverantörerna av identifieringsverktyg skulle det betyda en mera komplicerad reglering av gränssnittet i stället för att enhetligt iaktta de modeller som standarder möjliggör. övervägde följande alternativ för reglering: - i första hand att specificeringskraven i stort sett förblir oförändrade - i första hand att tidsfristen förlängs en aning så att den är samma som tidsfristen för specificeringen av Tupas-övergången, dvs. den 1 oktober 2018, och i andra hand att tidsfristen förlängs t.o.m. den 1 januari att skyldigheten begränsas till sådana tjänster för identifieringsförmedling som tillhandahåller identifiering till tjänster för ärendehantering med flera än ett identifieringsverktyg - i sista hand att specificering av icke-obligatoriska attribut blir en rekommendation i stället för att vara ett krav. Riktlinjer drog följande riktlinjer för ändringen av regleringen.

23 MPS Kravet för beredskap till icke-obligatoriska attribut kvarstår i föreskriften. anser att det är motiverat att förbättra beredskapen för gränsöverskridande identifiering även om det just nu inte finns något akut behov för användningen av uppgifterna. Syftet med icke-obligatoriska attribut är att stöda identifiering och ärendehantering i de situationer där obligatoriska attribut inte är tillräckliga. Utifrån utlåtandena finns det ett ökat behov för gränsöverskridande identifiering. anser att eftersom det går långsamt att ändra gränssnitt är det motiverat att börja planera höjning av förtroendenätets beredskap för behandlingen av icke-obligatoriska attribut. Enligt verkets uppskattning skulle en rekommendation inte tillräckligt främja beaktandet av de icke-obligatoriska attributen, då föreskriften från år 2016 inte heller inledde planeringsarbete hos alla aktörer. Planeringen ska vara klar senast den 1 oktober 2018, alltså samtidigt som det nya gränssnittet även i övrigt specificeras. Verket preciserar motiveringen i fråga om hurdan beredskap som krävs. beräknar att även de identifieringstjänster som ännu inte gjort det utan oskäligt besvär kan beakta de icke-obligatoriska datafältena vid planeringen av gränssnitten. anser att det är ändamålsenligt att öka beredskapen steg för steg och med beaktande av företagens tidtabeller för utvecklingen av systemen. I det första skedet räcker det att attributen beaktas vid planeringen av gränssnittet och identifieringssystemet. Med planering av identifieringssystem avses att det utreds vilka andra ändringar som behandlingen av icke-obligatoriska attribut skulle förutsätta förutom att de specificeras i gränssnittet. anser att planeringen vid behov påskyndar användningen. Här kan aktörerna använda s SAML- och OIDC-specifikationer. Det är inte nödvändigt att föra attributen in i systemen innan det uppstår användningsbehov. Vid teknisk konfigurering ska man beakta att ickeobligatoriska attribut inte påverkar identifieringstransaktioner om man inte kommit överens om användningen av dem. På basis av utlåtandena beräknar att den egentliga användningen av icke-obligatoriska attribut kan förutsätta tolkning eller diskussioner i samarbetsgruppen för förtroendenätet i fråga om tillämpningen av kraven eller genomförandemodellens interoperabilitet. Beredskapen att förmedla icke-obligatoriska attribut gäller alla identifieringstjänster även i framtiden. Skyldigheten begränsas inte till sådana tjänster för identifieringsförmedling som tillhandahåller identifiering till tjänster för ärendehantering med flera än ett (eget) identifieringsverktyg.

24 MPS Utifrån utlåtandena bedömer att om skyldigheten avgränsas till en del av leverantörerna av identifieringsverktyg skulle det betyda en mera komplicerad reglering av gränssnittet i stället för att enhetligt iaktta de modeller som standarder möjliggör. På basis av utlåtandena finns det inte skäl att förplikta aktörer att behandla attributet offentligt/privat i den nationella identifieringen på ett annat sätt än övriga icke-obligatoriska attribut Gränssnitt: attribut och övriga uppgifter som ska förmedlas Frågor som ska bedömas: Ska det på nationell nivå krävas samma minimiuppsättning uppgifter som eidas-förordningen förutsätter vid gränsöverskridande överföring? Hur beaktas de ickeobligatoriska attributen som ingår i eidas-förordningen? Ska föreskriften ta ställning till vilka uppgifter den som beviljat ett verktyg ska förmedla till förmedlingstjänsten? Används personbeteckningen eller den elektroniska kommunikationskoden? Utgångspunkter för konsekvensbedömning Den minimiuppsättning uppgifter som ska förmedlas kan definieras enligt nationell praxis eller med beaktande av den minimiuppsättning uppgifter som har upprättats med tanke på gränsöverskridande identifiering enligt eidas-förordningen. För fysiska personer finns det inga väsentliga skillnader mellan minimiuppsättningen uppgifter enligt eidas och den nationella praxisen. De icke-obligatoriska uppgifterna i eidas används nästan inte alls. Enligt lagen har starka elektroniska identifieringsverktyg för juridiska personer hittills inte varit möjliga, och därför saknas vedertagen praxis om deras identifieringsuppgifter. Minimiuppsättningen uppgifter räcker till för att identifiera fysiska eller juridiska personer på ett tillförlitligt sätt. Icke-obligatoriska uppgifter kan vara behövliga för vissa tjänster för ärendehantering. De icke-obligatoriska uppgifterna för fysiska personer enligt eidas-förordningen är i sig uppgifter som vid behov kan inhämtas från befolkningsdatasystemet på ett tillförlitligt sätt. I fråga om juridiska personer bygger icke-obligatoriska uppgifter på EU-regler, och därför kan det antas att de vid behov är tillgängliga per sektor. När en sådan gränsöverskridande identifiering som är målet i eidasförordningen i sinom tid börjar användas inom den offentliga sektorn och eventuellt även inom den privata sektorn, är det lättare att genomföra den när de uppgifter som ska förmedlas redan har definierats enligt eidas. Riktlinjer Den minimiuppsättning uppgifter som krävs på nationell nivå definieras för både fysiska personer och juridiska personer så att uppgifterna överens-

25 MPS stämmer med kraven i eidas och en och samma profil är användbar både nationellt och internationellt. Det förutsätts att gränssnitten har beredskap även för att förmedla ickeobligatoriska uppgifter enligt eidas. Förmedling av icke-obligatoriska uppgifter är en avtalsfråga som föreskriften tar ställning till. Teknisk beredskap gör att det vid behov är lättare att ingå avtal. Eftersom aktörerna inte sedan förut använt icke-obligatoriska uppgifter, ges det en övergångsperiod t.o.m. den 18 september 2018 enligt aktörernas förslag. Personbeteckningen eller den elektroniska kommunikationskoden kan användas som identifikator för fysiska personer, och båda beaktas som alternativ i modellprofilerna. Dessutom reserveras ett fält för annan identifikator, till exempel en branschspecifik eller avtalsbaserad identifikator eller en identifikator som förmedlas vid gränsöverskridande identifiering. I fråga om icke-obligatoriska uppgifter gäller det också att fundera på om inhämtning av uppgifter till exempel från befolkningsdatasystemet ankommer på den som beviljat identifieringsverktyget eller på förmedlingstjänsten. Lagen verkar inte innehålla några grunder för att ta ställning till denna fråga i föreskriften, och i frågan ingår förmodligen en tolkning av den högsta ersättning som fastställs i 12 a i autentiseringslagen. Därför behandlas frågan inte i denna föreskrift. Föreskriftens 12 och 13 har utfärdats enligt dessa riktlinjer Gränssnitt: Bedömning av Tupas-övergången år 2018 Frågor som ska bedömas med tanke på leverantör av identifieringstjänster: Vilka ändringar måste banker som tillhandahåller identifiering som bygger på Tupas-protokollet göra i sin identifieringstjänst till den delen de tillhandahåller tjänsten direkt till tjänster för ärendehantering? Vilken övergångsperiod är möjlig med beaktande av aktörernas utlåtanden enligt vilka tidsfristen enligt den gällande föreskriften, den 18 september 2018, inte kommer att lyckas? Vilka faser kan övergångsperioden omfatta? Hur påverkar ändringarna i andra betaltjänstdirektivet (PSD2)? Utgångspunkter för konsekvensbedömning, leverantörer av identifieringstjänster: De praktiska alternativen är antingen att ändra det på Tupas-protokollet baserade gränssnittet genom att lägga till de krävda funktionerna och attributen eller att ta i bruk ett annat protokoll. Finans Finland (FA) har anmält att Tupas-protokollet inte utvecklas centraliserat. har utfärdat och publicerat specifikationerna för förtroendenätets interna gränssnitt för SAML- och OIDC-protokollet. Specifikationerna kan även användas i gränssnitt för ärendehanteringstjänster även om de inte utfärdats med tanke på dem.

26 MPS På basis av samrådet med aktörerna kommer de att ta SAML- och/eller OIDC-protokollet i bruk. Ingen aktör har berättat om planerna att lägga till kryptering i Tupas. De tekniska ändringarna i identifieringstjänsten ska beaktas enligt behov i principerna för identifiering enligt 14 i autentiseringslagen samt i användningsvillkor för tjänster för ärendehantering. Leverantörer av andra starka identifieringsverktyg och Befolkningsregistercentralen, som upprätthåller den offentliga förvaltningens suomi.fiidentifiering, har kritiserat den långa övergångsperioden som ojämlik för aktörerna och som icke önskvärt med tanke på informationssäkerheten. anser dock att det är nödvändigt att beakta de faktiska verkningarna för tjänster för ärendehantering, eftersom bankerna på basis av samrådet inte kan följa en snabbare tidtabell. Kraven i den ändrade betaltjänstdirektivet (PSD2) kompletteras genom en teknisk tillsynsstandard som träder i kraft den 14 september Kraven gäller metoden för stark autentisering i de tjänster som överensstämmer med regleringen i fråga samt nya gränssnitt för betaltjänster och kontoinformationstjänster. Bankerna anser att en förlängning av övergångsperioden för s autentiseringsföreskrift underlättar och effektiviserar systemutvecklingen där bankerna ska beakta kraven på såväl identifieringsreglering som PSD2-reglering. Å andra sidan har bankerna ansett att PSD2- gränssnitten är helt separata från förtroendenätets autentiseringsgränssnitt. I samband med samrådet om ändringen av föreskriften har man också försökt betrakta de tekniska skillnaderna mellan PSD2- och eidas-kraven på identifieringsmetod och bedömt att ett och samma grundmetod kan uppfylla båda krav men att det behövs kompletteringar i betalningstransaktioner i förhållande till den grundläggande identifieringen. Frågor som ska bedömas med tanke på tjänster för ärendehantering: Vilka ändringar måste tjänster för ärendehantering göra i sina egna system så att de kan använda den ändrade identifieringstjänsten med kryptering på meddelandenivå? Vilken information behövs om ändringen? Inom vilken tid kan tjänster för ärendehantering göra ändringarna? Utgångspunkter för konsekvensbedömning, tjänster för ärendehantering Många leverantörer av identifieringstjänster har konstaterat att de övergår till SAML- eller OIDC-protokollet i stället för Tupas-protokollet också i gränssnitten för ärendehanteringstjänster. Tjänster för ärendehantering ska alltså göra tekniska ändringar eller uppdateringar vid elektronisk identifiering av sina kunder. Ärendehanteringstjäns-

27 MPS terna kan vid en ändring också undersöka möjligheten att skaffa sina identifieringstjänster från tjänsterna för identifieringsförmedling. SAML och OIDC är globala protokoll för identifiering/auktorisering och det finns produkter, bibliotek och källkoder för hanteringen av dem. Jämfört med det internationella grundläggande protokollet ska användarna av SAML och OIDC åtminstone lägga till de nationella attributen i gränssnittspecifikationerna. Uppgifter som ska förmedlas (personbeteckning och namn) är i och för sig samma som tidigare. I Tupas har det varit tillräckligt att leverantören av identifieringstjänster har skapat en MAC-nyckel som skyddar informationens integritet och levererat den till tjänsten för ärendehantering. I framtiden förutsätter även användning av kryptering på meddelandenivå, som skyddar identifieringstransaktionens konfidentialitet, att tjänsten för ärendehantering skapar egna krypteringsnycklar och att krypteringsnycklarna byts tryggt med leverantör av identifieringstjänster. Om en ärendehanteringstjänst anlitar en identifieringsförmedling för identifiering av sina kunder som använder olika identifieringsverktyg behöver även krypteringsnycklar endast bytas med identifieringsförmedlingen. bereder vid behov och i samarbete med leverantörer av identifieringstjänster en rekommendation om bästa praxis när det gäller att skapa och byta nycklar. Detta förenklar arbetet för identifieringstjänster, tjänster för ärendehantering och ICT-tjänster vid ändringen. Metoden används redan vid identifiering med mobilcertifikat. De totala verkningarna och kostnaderna för tjänster för ärendehantering beror på alla de identifieringstjänster de använder. Ärendehanteringstjänsternas möjligheter att skaffa och konkurrensutsätta identifieringstjänster blir så småningom bättre genom bestämmelserna för förtroendenätet, och det är inte längre nödvändigt att skaffa varje identifieringstjänst separat. På betaltjänstmarknaden kan det också ses ändringar genom ikraftträdandet av betaltjänstdirektivet. har övervägt följande alternativ för reglering: - Övergången sker i tre huvudfaser: planering, tillhandahållande av det nya gränssnittet vid sidan om det gamla och ändringar även i gamla avtalsförhållanden. - Tillhandahållandet av det nya gränssnittet sker också i faser: först görs testgränssnittet tillgängligt och sedan produktionsgränssnittet. - Det övervägdes att tidsfristen för planeringsfasen skulle vara den 1 oktober 2018.

28 MPS Det övervägdes att den primära tidsfristen för tillhandahållandet av det nya gränssnittet skulle vara den 1 januari 2019 och den sekundära tidsfristen mars På basis av de gamla avtalsförhållandena övervägdes att tidsfristen för ändringar av de gränssnitt som tjänster för ärendehantering använder skulle vara den 14 september 2019 eller den 1 oktober Riktlinjer På basis av samrådet med aktörerna anser att det är klart att identifieringstjänster kommer att ersätta de på Tupasprotokollet baserade identifieringstjänster för tjänster för ärendehantering med en tjänst som bygger på SAML- eller OIDC-protokollet och att det därför inte längre är nödvändigt att bedöma utvecklingen av Tupasprotokollet. Övergången sker i faser. Faserna följer de normala produktionsfaserna: planering och produktion av ny tjänst parallellt med den gamla tjänsten. Faserna hjälper också att övervaka hur ändringen framskrider. Tidsfristen för planeringen är den 1 oktober Krypteringskraven har specificerats den 2 november Specificeringen stöds av s rekommendationer om SAML- och OIDCgränssnitten som publicerades i januari Som utkast har de varit tillgängliga redan tidigare. I samråden i mars 2018 har en del av aktörerna konstaterat att specifikationerna redan har gjorts. Detta stöder det antagandet att det med befintlig information har varit möjligt att planera ett produktionsfärdigt gränssnitt som uppfyller kraven. Därför kan det skäligen förutsättas att alla har det senast den 1 oktober Tidsfristen för tillgången till den nya tjänsten är den 1 mars Det är viktigt att de nya tjänsterna finns tillgängliga för sådana tjänster för ärendehantering som har beredskap att ta dem i användning. Flera utlåtanden stöder s uppfattning om att det med befintlig information har varit möjligt att planera ett produktionsfärdigt gränssnitt som uppfyller kraven, även inom den ursprungliga tidtabellen. I utlåtandena har man av grundad anledning framfört att den föreslagna tidsfristen för tillhandahållande av nya gränssnitt, den 1 januari 2019, är besvärlig då den infaller med den tid då det i regel inte görs några större IT-ändringar.

29 MPS Befolkningsregistercentralen påminner i sitt utlåtande om att en övergångsperiod som enbart gäller Tupas-genomföranden inte är jämlik för aktörerna och att en lång övergångsperiod är oönskad med tanke på informationssäkerheten. anser att aktörerna har haft möjlighet att bereda specifikationerna. Verket anser också att planeringen av överföring till produktion skulle kunna inledas redan före den föreslagna tidsfristen för tekniska specifikationer, den 10 oktober 2018, vilket skulle betyda att produktionstiden i praktiken skulle vara längre än 1 oktober - 30 november 2018, dvs. från tidsfristen för specifikationerna till början av den tid då större IT-arbeten undviks. måste dock konstatera att man i flera utlåtanden inte svarar på frågan hur långt man hunnit med planeringen och specificeringen av SAML- och/eller OIDC-gränssnitten. På basis av utlåtandena är produktionstiden kort och den skulle inträffa vid årsskiftet. På dessa grunder anser att alla bankers förmåga att tillförlitligt tillhandahålla nya gränssnitt för tjänster för ärendehantering den 1 januari 2019 är så pass osäker att det är tryggare att sätta en längre deadline för tillhandahållandet. En deadline den 1 mars 2019 möjliggör igen mera omfattande IT-ändringar efter årsskiftet. rekommenderar att de banker som kan genomföra ändringen tidigare, gör gränssnitten tillgängliga före den sista deadlinen. anser att deadline för ändringen av gränssnittet mellan identifieringstjänster och tjänster för ärendehantering så att gränssnittet överensstämmer med kraven kan fastställas till den 1 oktober Detta förlänger den ursprungliga övergångsperioden med ett år. I utlåtandena anser man att tidtabellen är utmanande men möjlig för tjänster för ärendehantering. Identifieringstjänster som bygger på Tupasprotokollet kan hållas tillgängliga parallellt med det nya gränssnittet till slutet av övergångsperioden för att undvika avbrott i ärendehanteringstjänsternas identifieringstjänster. anser att det är i första hand identifieringstjänsternas uppgift att informera tjänster för ärendehantering om ändringsbehovet, men informerar om saken med till buds stående medel. Befolkningsregistercentralen har framfört övergångsperiodens återverkningar på konkurrensutsättningen av tjänsten suomi.fi. instämmer med åsikten att övergångsperioderna försvårar upphandlingen. anser dock att det är nödvändigt att förlänga övergångsperioden så att tjänster för ärendehantering för en privat sektor hinner göra ändringarna.

30 MPS Gränssnitt: Frågor kring TUPAS Fråga som ska bedömas: Till vilka delar kan samma krav ställas på TUPAS-protokollet som andra protokoll? Till vilka delar kan kraven uppfyllas med TUPAS egenskaper (motsvarande) eller på något annat sätt, till vilka delar krävs ändringar och vilka är övergångsperioderna för de krävda ändringarna? Allmän granskning av TUPAS-protokollet Vid beredningen har TUPAS-protokollet [13] och dess vedertagna användningssätt utvärderats utifrån två synpunkter: med tanke på informationssäkerhetskraven och de attribut som ska förmedlas. Informationssäkerhet Som viktigaste iakttagelse vid bedömningen av TUPAS-protokollet konstaterades under beredningen av föreskriften att protokollet inte uppfyller kraven på kryptering på meddelandenivå. Finansbranschens Centralförbund har inlett ett arbete för kartläggning av utvecklingsbehoven av protokollet. Attribut som ska förmedlas Med TUPAS-protokollet är det inte möjligt att förmedla obligatoriska tillitsnivådata och inte heller data om huruvida en ärendehanteringstjänst är offentlig eller privat. Vid användning av TUPAS kan obligatoriska personuppgifter förmedlas, men formuleringen av uppgifterna kan variera eftersom den inte har angetts på ett enhetligt sätt. Vid användning av TUPAS får en förmedlingstjänst eller en ärendehanteringstjänst därför inte i utgångsläget via gränssnittet de uppgifter som absolut ska förmedlas enligt föreskriften. Detta kan eventuellt förutsätta en särskild överenskommelse om hur tillitsnivån fastslås, vilket inte är förenligt med tanken bakom kraven på interoperabilitet i förtroendenätet. Förmedling av personuppgifter i gränssnittet för TUPASärendehanteringstjänsten Fråga som ska bedömas: Ska det krävas att det nuvarande TUPASprotokollet och dess användning måste ändras så att det inte längre är tillåtet att förmedla personbeteckningar i klartext, utan att andra, tidigare fastställda sätt för protokollet måste användas? Om en ändring krävs, hur lång övergångsperiod ska det fastställas?

31 MPS Gränssnittsspecifikationerna mellan en tjänst för ärendehantering och en tjänst för identifieringsförmedling inverkar på hur tjänsten för ärendehantering ska genomföra sitt system. När det gäller gränssnittet har det vid beredningen tagits upp en för TUPAS-protokollet kännetecknande informationssäkerhetsfråga som gäller förmedling av personbeteckning i klartext på URL till en tjänst för ärendehantering. TUPAS möjliggör i sig flera alternativ för överföring av personbeteckningar, med andra ord har även ett säkert alternativ fastställts. I praktiken anpassas dock implementeringen till kraven på tjänst för ärendehantering, och rådande praxis är förmedling av personbeteckning i klartext. Enligt s bedömning uppfyller förmedling av okrypterade personbeteckningar inte följande krav i EU:s förordning om tillitsnivåer: Tekniska kontroller (LÄS: Kontroller eller åtgärder) LÅG 1. Proportionella tekniska kontroller ska finnas för att hantera riskerna för tjänsternas säkerhet, och för att skydda de behandlade uppgifternas sekretess, integritet och tillgänglighet. 2. Elektroniska kommunikationskanaler som används för att utbyta personuppgifter eller känslig information skyddas mot avlyssning, manipulation och omspelning. 5. Elektroniska kommunikationskanaler som används för att utbyta personuppgifter eller känslig information skyddas mot avlyssning, manipulation och omspelning. Tillämpningsguide: Det är viktigt att hålla bedömningen av kraven på skydd av sekretess och bedömningen av kraven på skydd av integritet åtskilda. Skyddet av integritet (dvs. autenticitet) fastställs i princip enligt tillitsnivå, medan sekretessen för personuppgifter också beror på typ av uppgifter och eventuella lagstadgade krav för skyddet. Sekretessen för personuppgifter ska skyddas och det ska finnas säkerhetsåtgärder baserade på en utvärdering som utnyttjar en riskbaserad metod i enlighet med det utvalda ledningssystemet för informationssäkerhet. Delområden som säkerhetsåtgärderna kan omfatta är exempelvis dataintrång, missbruk, blockeringsattacker och spridda blockeringsattacker Autentiseringsmekanism LÅG 2. Om personidentifieringsuppgifter lagras som en del av autentiseringsmekanismen är dessa uppgifter säkrade för att skydda mot förlust och från att den äventyras, inklusive offline-analys. Tillämpningsguide: Åtkomsten till lagrade personuppgifter ska övervakas noggrant. Metoder för att skydda personers identifieringsuppgifter är bland annat kryptering och komprimering enligt Europeiska byrån för nät- och informationssäkerhet

32 MPS ENISAs handling Algorithms, Key Sizes and Parameters Report, nationella krypteringsanvisningar eller annan god praxis. Behörigheter ska alltid övervakas. Utifrån autentiseringslagen ska personbeteckning betraktas som en identifikator som ska behandlas särskilt noga. Bland punkterna ovan kan åtminstone punkt i EU:s förordning om tillitsnivåer anses vara direkt tillämplig även för gränssnitt för ärendehanteringstjänster. Trots att kraven på denna punkt och de övriga utvalda punkterna gäller direkt identifieringstjänstleverantörers egna system, stöder de också skyddet av personuppgifter i gränssnitt för ärendehanteringstjänst. Om personbeteckningar måste skyddas strikt i tjänsteleverantörernas system, står det inte i något förhållande till dessa krav, om personbeteckningar kan överlåtas i ärendehanteringstjänstens gränssnitt så att deras sekretess kan förloras. Om det nuvarande förfarandet bevaras i ärendehanteringstjänsternas gränssnitt äventyrar det alltså informationssäkerheten för personuppgifter. Personbeteckningar som har sparats i en webbläsare kan avslöjas för andra användare av webbläsaren, vilket är en beaktansvärd risk åtminstone i samanvända enheter. Informationssäkerheten för personbeteckningar skulle förbättras betydligt om personbeteckningar krypterades i ärendehanteringstjänsternas gränssnitt. Övergång till krypterad förmedling av personbeteckningar skulle förutsätta ändringar i ärendehanteringstjänsternas system (förmåga att dekryptera). För leverantörer av identifieringstjänster skulle övergången förutsätta ändringar i avtalen om tjänst för ärendehantering. Ett problem är att tjänsterna för ärendehantering inte har några incitament för att övergå till ett säkrare förfarande. Leverantörerna av identifieringstjänster borde övergå till ett säkrare förfarande som en enhetlig front för att fortsättning av nuvarande praxis inte ska ge en ogrundad konkurrensfördel. Om endast en del aktörer övergick till ny praxis, skulle det kunna leda till att tjänsterna för ärendehantering inte längre godtar de nya identifikatorerna. Detta skulle begränsa möjligheterna för vissa innehavare av identifieringsverktyg att använda sina egna starka elektroniska identifikatorer i tjänsterna för ärendehantering. På ovan nämnda grunder uppskattar att det enda sättet att till denna del vidareutveckla informationssäkerheten är att fastställa att kryptering av personbeteckningar är obligatorisk vid förmedling till ärendehanteringstjänster. Dessutom skulle detta vara en regleringslösning enligt eidas-förordningen. En övergångsperiod borde fastställas för kravet så att tjänsterna för ärendehantering och leverantörerna av identifieringstjänster kan göra ändringarna utan att verksamheten avbryts och genom att periodisera det ändringsarbete som krävs. Övergångsperioden ska kunna gälla exempelvis till den 18 september 2018, då medlemsstaterna senast ska vara beredda att ta emot anmälda identifikatorer från varandra.

33 MPS I förhållande till den övriga lagstiftningen ska hänsyn tas till att behandlingen av personbeteckningar och andra personuppgifter är reglerad genom personuppgiftslagen, som om några år ersätts med EU:s dataskyddsförordning. Dessa reglerar informationssäkerheten vid behandling av personuppgifter, och dataskyddsförordningen medför också betydande påföljdsavgifter. Personuppgiftslagen och i framtiden dataskyddsförordningen övervakas av dataombudsmannen. I förhållande till lagstiftningen om personuppgifter är eidas, autentiseringslagen och denna föreskrift specialbestämmelser. Lagstiftningen om personuppgifter är tillämplig till den del inget annat har föreskrivits i specialbestämmelserna. I samband med beredningen av föreskriften har dataombudsmannen i sitt utlåtande konstaterat att lagstiftningen om personuppgifter inte hindrar att krav på informationssäkerhet i identifieringstjänster får meddelas genom s föreskrift. 3.5 Identifieringstjänst: behov av att reglera gränssnittet för inledande elektronisk identifiering Fråga som ska bedömas: Ska det krävas att data om den som gjort den inledande identifieringen, identitetshandlingen och den som gjort den sammankopplade identifieringen ska förmedlas via gränssnittet mellan dem som beviljat identifieringsverktyget? s befogenhet att meddela föreskrifter gäller tekniska specifikationer av lagens krav. Den eventuella regleringen av gränssnittet för inledande identifiering ska också granskas utifrån den synvinkel att verksamheten mellan leverantörer av identifieringstjänster för att möjliggöra elektronisk inledande identifiering också är en konkurrensfråga vid beviljande av nya verktyg. Aktörerna har redan i flera år använt gränssnittet för elektronisk inledande identifiering (SAML/TUPAS). Verksamheten har grundat sig på bilaterala avtal. Tekniskt sett motsvarar gränssnittet det gränssnitt som tillhandahålls för ärendehanteringstjänster. Till följd av en ändring av 17 i autentiseringslagen har leverantörer av identifieringsverktyg i obegränsad omfattning kunnat sammankoppla identifiering, det vill säga skapa nya elektroniska identifieringsverktyg genom att lita på de elektroniska identifikatorer som andra leverantörer tillhandahåller. Den som litar på en annan leverantörs identifieringsverktyg och beviljar verktyget har utifrån 17 4 mom. i autentiseringslagen skadeståndsansvar. Sammankoppling förutsätter därför att den som beviljar verktyget och utnyttjar sammankopplingen bedömer vilken risk som eventuellt är förknippad med den betrodda identifikatorn. Faktorer som påverkar denna risk är hur lång tid det har gått efter den ursprungliga personliga identifieringen och vilket identitetsbevis som har använts vid identifieringen, om sammankopplingen omfattar flera parter som beviljar identifieringsverktyg,

34 MPS om någon av dessa parter har upphört med sin verksamhet och om parterna har drabbats av sådana kränkningar av informationssäkerheten som kan ha påverkat uppgifternas integritet. Vid beredningen av föreskriften har det konstaterats att uppgifter om inledande identifiering och parter som är med i sammankopplingen stöder riskbedömningen och -hanteringen. Vid beredningen har det övervägts ett krav på att det fastställs för gränssnitt hur uppgifter om inledande identifiering och sammankoppling ska förmedlas. Under beredningen har aktörerna däremot berättat att elektronisk inledande identifiering redan använts utan problem, fastän på ett sätt som den tidigare lagen tillåtit, det vill säga endast genom det uttryckliga avtalet mellan två identifierande parter. Enligt påvisar detta dock inte att det inte uppstår problem vid sammankoppling av flera verktyg. Vid utredning av kränkningar av informationssäkerheten är det viktigt att uppgiften om sammankoppling är utredbar på ett eller annat sätt. Om en leverantör av identifieringsverktyg beviljar till exempel identifikatorer utifrån stulna eller falska identitetbevis, ska man kunna utreda om nya identifieringsverktyg har ansökts på elektronisk väg med sådana elektroniska identifieringsverktyg som en fel person förfogar över. Med tanke på informationssäkerheten och den allmänna tillförlitligheten i elektronisk identifiering skulle förmedling av uppgifter medföra fördelar. Vid inrikesförvaltningen pågår ett projekt för en tjänst där leverantörer av identifieringsverktyg fr.o.m. den 1 maj 2017 kan kontrollera om ett identitetsbevis gäller eller är förkommet eller stulet. Detta har också beaktats i 7 b i autentiseringslagen (Information om giltighet för pass eller identitetskort). Tjänsten minskar risken åtminstone i personlig inledande identifiering. En sådan kontroll av personuppgifter i befolkningsdatasystemet som enligt 6 i autentiseringslagen förutsätts vid beviljande av identifieringsverktyg och tillräckligt ofta därefter minskar risken för att elektroniska identifieringsverktyg beviljas utifrån personbeteckningar som inte finns i befolkningsdatasystemet. I utlåtandena om förslaget till ändring av autentiseringslagen ansåg flera instanser att obegränsad sammankopplad identifiering inte bör vara tillåten. I flera utlåtanden framfördes också åsikten om att elektronisk inledande identifiering inte har blivit lättare genom den tidigare ändringen av lagen, eftersom priset för inledande identifiering sätts högt. Kommunikationsministeriet har sommaren 2016 startat ett projekt för ändring av lagstiftningen om att reglera priset på inledande identifiering. Specificering av dessa frågor hör inte till s föreskrift och befogenhet att meddela föreskrifter, men vid konsekvensbedömningen ska hänsyn tas till vilka konsekvenser regleringsalternativen har för konkurrensen.

35 MPS Riktlinjer Det verkar som om förmedling av uppgifter om inledande identifiering och sammankoppling via gränssnittet mellan leverantörer av identifieringsverktyg främjar beviljande av nya identifieringsverktyg och på så sätt också konkurrensen, eftersom det underlättar riskbedömningen och -hanteringen. Aktörerna i arbetsgrupperna har dock ansett att det är onödigt att specificera gränssnitt. Av denna anledning är det i detta skede inte ändamålsenligt att ta in ytterligare krav på gränssnitt för inledande identifiering i föreskriften. Med tanke på långsiktigare utveckling har man dock framfört önskemål om att man ska kunna förmedla uppgifter om inledande identifiering via gränssnittet (t.ex. vad personlig inledande identifiering har grundat sig på: pass, ID-kort, elektronisk identifiering). I detta skede har det inte gjorts någon närmare analys av om det är mer arbetsamt att fastställa dessa uppgifter nu för framtiden än senare när behovet uppstår, och inte heller av hur det i gränssnitten beaktas att någon redan nu är beredd att tillhandahålla uppgifterna. Alternativa styrmetoder till föreskriften har inte heller granskats mer detaljerat. Det skulle dock vara möjligt att i form av en samregel eller en rekommendation utarbeta tekniska definitioner av uppgifter som ska förmedlas via gränssnittet för inledande identifiering. I s arbetsgrupp för identifieringstjänster och betrodda tjänster har det på finansministeriets initiativ diskuterats om en möjlighet att utföra ett pilotprojekt om blockkedjeteknologins lämplighet för hantering av information om sammankopplad inledande identifiering. På så sätt kan det vara möjligt att nå en samreglerings- eller självregleringslösning. Det är bra att beakta att förtroendenätets samregleringsgrupp inte i något fall kommer att behandla prissättningsfrågor eller diskutera prissättningen. 3.6 Alternativ för reglering av informationssäkerheten i identifieringstjänster Informationssäkerhet i identifieringstjänster: differentieringskrav Fråga som ska bedömas: Är någon av följande åtgärder nödvändig på grund av kraven på informationssäkerhet: differentiering av personalens arbetsuppgifter, differentiering av fysiska arbetslokaler och -verktyg eller en eventuell differentiering av teknisk servicemiljö och servermiljöer från övrig produktion? Utgångspunkter för bedömning I 8 1 mom. 4 punkten i autentiseringslagen finns bestämmelser om kraven för ett säkert och tillförlitligt identifieringssystem. Dessutom hänvisar

36 MPS lagen till punkterna 2.2.1, och i bilagan till EU:s förordning om tillitsnivåer. Punkt innehåller bestämmelser om autentiseringsmekanismens förmåga att skydda sig mot externa hot och punkt bestämmelser om tekniska kontroller (åtgärder) för att skydda uppgifter, kommunikationskanaler och kryptografiskt material, upprätthålla informationssäkerheten, hantera risker, incidenter och överträdelser och sörja för medel som innehåller personuppgifter. kan meddela föreskrifter om kraven enligt 8 1 mom. 4 punkten på säkerhet och tillförlitlighet hos identifieringssystemet. Tillitsnivåerna väsentlig och hög bör granskas separat. De faktorer som utvärderats vid beredningen har valts ut på den grunden att de har väckt frågor hos aktörerna i arbetsgruppens arbete med att bereda kriterierna för kvalitetsrevision. Riktlinjer Differentiering av personalens arbetsuppgifter behövs åtminstone för att en och samma person inte ska kunna skapa ett identifieringsverktyg och administrera logguppgifter som hänför sig till skapande och införande av identifieringsverktyg. Detta förverkligas antagligen redan genom normal ledning, planering och kvalitetsrevision av informationssäkerheten och behöver därför inte bestämmas särskilt. Differentiering av arbetsverktyg är nödvändig för att en och samma arbetsstation inte åtminstone på tillitsnivån hög ska användas i hanteringsnätet och kontorsnätet. På tillitsnivån väsentlig gäller det att nöja sig med en utvärdering av i synnerhet informationssäkerhetsrisker på arbetsstationer, om åtkomst till både hanteringsnätet och kontorsnätet är möjlig på stationen. Bestämmelser om frågan ska införas, eftersom behovet av att förtydliga kraven i detta hänseende lyftes fram starkt i arbetsgruppen. I detta skede kopplas detaljerna i den övriga differentieringen till den allmänna hanteringen, planeringen och kvalitetsrevisionen av informationssäkerheten. Föreskriftens 5 och i synnerhet dess 2 mom. har utfärdats enligt dessa riktlinjer. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Detaljerna i informationssäkerheten i verksamheten beaktas i de exempel på god praxis som fogas till modellkriterierna för kvalitetsrevision i anvisning 211/2016 O. Samreglering. I förtroendenätets samregleringsgrupp kan eller aktörerna lyfta fram frågor om implementering av informationssäkerheten genom utbyte av information om god praxis. I 16 i autentiseringslagen finns bestämmelser om skyldighet till utbyte av information vid störningar och å andra sidan även om förbud om missbruk.

37 MPS Informationsstyrning. På grund av informationssäkerheten och affärshemligheter lämpar sig publicering av information i princip inte för att styra företags implementeringar i detalj Informationssäkerhet i identifieringstjänster: krypteringskrav Fråga som ska bedömas: Ska minimikrav fastställas för de krypteringsalgoritmer, hashalgoritmer och nyckellängder som används för olika gränssnitt, och vilken är kravnivån? Är det möjligt att fastställa olika minimikrav för tillitsnivåerna väsentlig och hög? Utgångspunkter för bedömning I 8 1 mom. 4 punkten i autentiseringslagen finns bestämmelser om kraven för ett säkert och tillförlitligt identifieringssystem. Dessutom hänvisar lagen till punkterna 2.2.1, och i bilagan till EU:s förordning om tillitsnivåer. Punkt innehåller bestämmelser om autentiseringsmekanismens förmåga att skydda sig mot externa hot: på tillitsnivån väsentlig gäller detta hot som till allvarlighetsgraden är måttliga (moderate) och på tillitsnivån hög hot som till allvarlighetsgraden är stora (high). kan meddela föreskrifter om kraven enligt 8 1 mom. 4 punkten på säkerhet och tillförlitlighet hos identifieringssystemet. Det finns olika källor om nivån på krypteringsmetoder, bland annat ENISAs årliga rapport och definitionerna av nationella noder i eidas. Till s uppgifter hör utifrån den övriga lagstiftningen bedömning av krypteringsprodukter, och vid bedömning av metoder går det att använda även den information som tagits fram i denna uppgift. Användbarheten och användarnas webbläsarversioner ska beaktas vid fastställande av krav. Dessutom gäller det att beakta de ändringsbehov som förorsakas leverantörerna av identifieringstjänster och tjänster för ärendehantering. Kravnivån ska dimensioneras enligt hot. Krypteringskraven på tillitsnivån väsentlig och tillitsnivån hög har åtskilts i specifikationerna i eidas. Riktlinjer Kravnivåerna fastställs i regel för krypteringsmetoder utifrån minst versionen TLS 1.2. Sedan 2011 har versionen varit standarden för de allmänna webbläsare som användarna använder, och sedan 2009 finns det support för versionen. Mobilterminalutrustningen stöder dock inte i samma omfattning versionen TLS 1.2, och därför ska också versionen 1.1 tillåtas vid behov. Kraven fastställs relativt detaljerat i föreskriften. Krypteringsmetoderna stärks så långsamt att föreskriften kan ändras vid behov. Vid fastställandet av kraven utnyttjas s information om krypteringsmetodernas styrkegrad med beaktande av att det inte ska ställas strängare krav än i guiden för eidas-förordningen. Tillitsnivåerna väsentlig och hög

38 MPS åtskiljs inte i föreskriftens tvingande krav, men för tillitsnivån hög ges en rekommendation. s rekommendation om kryptering på tillitsnivån hög i föreskriftens 7 och i avsnitt 7.2 i avdelning B har utarbetats enligt dessa riktlinjer. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Vid beredningen har det uppskattats att minimikraven kan formuleras på ett allmängiltigt sätt i föreskriften. Kraven på kryptering på tillitsnivån hög ges som rekommendation. Samreglering. Har inte granskats. Informationsstyrning. Är antagligen irrelevant, eftersom miniminivån på informationssäkerheten inte är någon konkurrensfråga. 3.7 Främjande av konkurrens inom bedömningsverksamhet för identifieringstjänster och betrodda tjänster Fråga som ska bedömas: Går det genom föreskriftens krav att främja utbudet eller konkurrensen mellan bedömningsorgan? Utgångspunkter för bedömning De grundläggande kraven på anlitande av bedömningsorgan och kraven på bedömningsorgan fastställs i eidas och i autentiseringslagen. I konsekvensbedömningen av föreskriften utvärderas vare sig konsekvenserna av eidas eller autentiseringslagen, utan deras mål är också mål som främjas genom föreskriften. Kraven på organ för bedömning av överensstämmelse bygger på EU:s bestämmelser och standarder, och därför kan påverka inrättande av sådana organ genom en smidig process och i samarbete med FINAS. Positiva erfarenheter av detta har fåtts i anslutning till inrättandet av bedömningsorgan för informationssäkerhet. Kraven i EU:s förordning om tillitsnivåer och i autentiseringslagen är mer allmänna för de utomstående bedömningsorgan som används av identifieringstjänsterna än för organ för bedömning av överensstämmelse hos betrodda tjänster. Vid meddelandet av föreskriften ska det sörjas för att kraven är så neutrala som möjligt. Konkurrens och utbud beror framförallt på efterfrågan. Riktlinjer Utbudet av bedömningstjänster kan främst främjas genom att se till att bestämmelserna är tydliga och internationellt enhetliga. Därför hänvisar föreskriften (enbart) till internationella standarder, vars ställning inte i övrigt är juridiskt klar.

39 MPS Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Anvisningarna 211/2016 O om modellkriterier för kvalitetsrevisioner och 215/2016 O om berättelser om bedömning av identifieringstjänster och betrodda tjänster gör konkurrensutsättningen av revisionen enklare. Samreglering. Detta kan granskas i det skede bedömningsverksamhet börjar bedrivas. Informationsstyrning. I detta skede finns det inga jämförande uppgifter som kan främja konkurrensen om uppgifterna publiceras. 3.8 Icke-kvalificerade betrodda tjänsters och elektroniska underskrifters status Icke-kvalificerade betrodda tjänster och förteckning över betrodda tjänsteleverantörer Fråga som ska bedömas: Finns det i Finland grunder eller behov att införa även andra tjänster än kvalificerade betrodda tjänster i en förteckning över betrodda tjänster (trusted list)? Är detta möjligt utifrån eidas och autentiseringslagen? Synpunkter på bedömningen eidas tillåter införande av icke-kvalificerade betrodda tjänster i en förteckning över betrodda tjänsteleverantörer med denna status. De tjänster som kan införas i förteckningen anges i ETSI specifikation TS v (obs! versionnummer) [14]. Medlemsstaterna får själv bestämma om de vill införa icke-kvalificerade betrodda tjänster i förteckningen. Att tjänsten införs i förteckningen över betrodda tjänster som ickekvalificerad betrodd tjänst skulle, inom ramen för eidas, kunna gälla både tjänsteleverantörer som inte vill ansöka om kvalificerad status för den betrodda tjänsten och typer av tjänster för vilka det på basis av regleringen inte är möjligt att ansöka om kvalificerad status, t.ex. tjänster för elektroniska underskrifter. Företag som tillhandahåller elektroniska tjänster, exempelvis olika underskriftstjänster, skulle kunna gynnas av att deras tjänster införs i en förteckning över betrodda tjänster, exempelvis enbart som icke-kvalificerade betrodda tjänster. I vissa länder agerar man redan så här inom ramen för det tidigare regelverket (innan eidas-förordningen trädde i kraft byggde förteckningen över betrodda tjänsteleverantörer på direktivet om elektroniska signaturer och tjänstedirektivet). Fastställande av statusen för i icke-kvalificerade betrodda tjänster skulle också kunna öka förtroendet hos användarna och leverantörerna av tjänster för ärendehantering och tillförlitligheten i den elektroniska kommunikationen.

40 MPS Tolkningslinjer: I Finland kan endast kvalificerade betrodda tjänster föras in i förteckningen över betrodda tjänsteleverantörer. I 42 a i autentiseringslagen föreskrivs att ska föra förteckningar över kvalificerade tillhandahållare av betrodda tjänster och över de kvalificerade betrodda tjänster som dessa tillhandahåller. I lagen finns inga bestämmelser om grunderna eller förfarandet för bedömning av icke-kvalificerade betrodda tjänster. Dessutom finns det inga resurser för vare sig styrning eller tillsyn. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Inte relevant. En betrodd status som myndigheten ska fastställa skulle förutsätta en grund i lagstiftningen. Samreglering. Inte relevant. Det skulle vara svårt att på ett tillräckligt jämlikt sätt skapa och fastställa en särskild gruppering av betrodda tjänster genom samreglering, utan att det medför konkurrensrättsliga problem. Informationsstyrning. Inte relevant. En förteckning över betrodda tjänster är i sig ett naturligt instrument för informationsstyrning. Eventuella andra konkurrerande och nationellt fastställda publikationer (andra än förteckningen över betrodda tjänster) skulle medföra oklarhet och aktörerna skulle inte nå status på EU-nivå genom sådana publikationer Tillsyn över elektroniska signaturer Fråga som ska bedömas: På vilket sätt deltar i den utvärdering om någon implementering är en avancerad elektronisk underskrift? Synpunkter på bedömningen Enligt eidas-förordningen är avancerade elektroniska underskrifter inte sådana kvalificerade betrodda tjänster. På basis av 42 a i autentiseringslagen införs de inte i en förteckning över betrodda tjänsteleverantörer enligt artikel 22 i förordningen. På basis av 42 a i autentiseringslagen och artikel 17.3 i eidas-förordningen övervakar ickekvalificerade betrodda tjänster endast i efterhand. Vissa lagar förutsätter signatur genom avancerad elektronisk underskrift, som föreskrivs i artikel 26 i eidas. får frågor om huruvida vissa tillhandahållna tjänster uppfyller kraven för avancerade elektroniska underskrifter och om tjänsterna på så vis är användbara för signering av handlingar. Såsom konstaterads ovan i innehåller autentiseringslagen inga bestämmelser om vare sig tillsynen över avancerade elektroniska underskrifter eller tillsynsresurserna, vilket motsvarar nuläget. Leverantörerna av tjänster för elektronisk ärendehantering (t.ex. den offentliga förvaltningen) och leverantörerna av tjänster för elektronisk signe-

41 MPS ring ska utvärdera om en viss tjänst uppfyller kännetecknen och kraven för avancerade elektroniska underskrifter eller inte. Både den offentliga förvaltningen som tillhandahåller tjänster för ärendehantering och leverantörerna av signeringstjänster skulle behöva en utvärdering av om tjänsterna motsvarar kraven i eidas eller inte. Tolkningen bör vara enhetlig. Avancerade elektroniska underskrifter behandlas i större omfattning i kapitel 2 i avdelning C. Riktlinjer ger allmänna råd om elektronisk underskrift, men gör inte utvärderingar av om enskilda implementeringar uppfyller kraven i eidas eller inte. Leverantörerna av tjänster för elektronisk ärendehantering och leverantörerna av tjänster för elektronisk signering ska utvärdera om en viss tjänst uppfyller kännetecknen och kraven för avancerade elektroniska underskrifter eller inte. Alternativa styrmetoder till föreskriften Rekommendation/anvisning. Avancerade elektroniska underskrifter behandlas i kapitel 2 i avdelning C i detta dokument. Samreglering. Har inte granskats. Kraven ingår i sig i eidas och kan inte fastställas genom samreglering. Informationsstyrning. Utbyte av information om tillhandahållare eller användare (t.ex. inom statsförvaltningen) av avancerade underskrifter skulle vara mycket möjligt. Informationen skulle inte stärka statusen för tjänsteleverantörens tjänst som avancerad elektronisk underskrift, utan den skulle snarare fungera som peer knowledge. har än så länge inte planerat att avsätta resurser för att organisera informationsutbytet. 3.9 Konsekvenser för myndigheternas verksamhet Utifrån avgiftsbestämmelserna i autentiseringslag kan det i s styrning och övervakning av elektronisk identifiering och betrodda tjänster ses att totalinkomsterna av tillsynsavgifter inte räcker till för att tillgodose alla de styrbehov och branschens önskemål om myndighetens verksamhet som de föränderliga bestämmelserna och branschutvecklingen ger upphov till. måste med nämnda totalinkomster finansiera alla nationella och internationella styr-, tillsyns- och rådgivningsuppgifter inom elektronisk identifiering och betrodda tjänster samt upprätthållandet av den kompetens som behövs för dessa uppgifter. Med det nuvarande antalet aktörer förväntas totalinkomsterna minska, trots att behovet av resurser förväntas åtminstone fördubblas. Orsaken till

42 MPS detta är i sin tur att uppgifterna och de ärenden som förutsätter sakkännedom kommer att öka betydligt. Därför ska vid beredningen av föreskrifter sträva efter att även effektivisera sin egen verksamhet genom att minimera behovet av resurser. På så sätt kan säkerställa att de nödvändigaste lagstadgade tillsynsuppgifterna blir skötta. Behovet av en effektiv myndighetsverksamhet har särskilt beaktats i kriterierna för kvalitetsrevision av identifieringstjänster så att alla aktörer omfattas av enhetliga krav på till vilka delar verksamheten ska kvalitetsrevideras oberoende och till vilka delar det räcker med att organisationen lämnar en egen utredning om att kraven uppfylls. Dessutom ansvarar leverantörerna av identifieringstjänster för att utreda och visa hur kvalitetsrevisionerna riktas och att revisionerna är tillräckliga jämfört med kraven på identifieringssystem. AVDELNING B Motivering till enskilda paragrafer och anvisningar för tillämpning 1 kap. Allmänna bestämmelser Detta kapitel behandlar de förpliktelser som fastställs i föreskriftens kapitel 1. 1 Föreskriftens syfte Syftet med denna föreskrift är att 1) främja informationssäkerheten och den tekniska interoperabiliteten i identifieringsverktyg för stark autentisering och i tjänster för identifieringsförmedling, 2) precisera kriterierna för bedömning av överensstämmelse i fråga om tjänster för stark autentisering och kriterierna för oberoende och kompetens hos bedömningsorgan 3) komplettera kraven för kvalificerade betrodda elektroniska tjänster och kriterierna för bedömning av överensstämmelse i fråga om deras oberoende och kompetens till den del bestämmelser om dessa inte ingår i Europeiska unionens lagstiftning 4) komplettera kriterierna för certifiering av anordningar för skapande av elektroniska underskrifter eller stämplar till den del bestämmelser om dessa kriterier inte ingår i Europeiska unionens lagstiftning. Motivering Paragrafen beskriver kortfattat de huvudsakliga målen för föreskriften. Bestämmelsen är informativ och fastställer inte mer noggrant tillämpningsområdet för kraven. 2 Tillämpningsområde Denna föreskrift tillämpas på tillhandahållande av sådana verktyg för stark autentisering och sådana tjänster för identifieringsförmedling som avses i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan benämnd autentiseringslagen) och som har anmälts till samt på bedömning av deras överensstämmelse.

43 MPS Denna föreskrift tillämpas på sådana betrodda elektroniska tjänster, en sådan bedömning av deras överensstämmelse och en sådan certifiering av anordningar för skapande av elektroniska underskrifter eller stämplar som avses i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan benämnd EU:s förordning om elektronisk identifiering och betrodda tjänster, eller eidas-förordningen). Denna föreskrift tillämpas på sådana system för stark autentisering som ska anmälas till Europeiska kommissionen eller på betrodda tjänster enligt 2 mom. och på bedömning av deras överensstämmelse samt certifiering av anordningar för skapande av elektroniska underskrifter eller stämplar endast om inget annat följer av eidas-förordningen eller kommissionens genomförandeakter som har getts med stöd av eidas. Motivering Föreskriften tillämpas på samma sätt som de tidigare föreskrifterna på tillhandahållande av starka elektroniska identifieringsverktyg. Starka elektroniska identifieringsverktyg är verktyg som har anmälts till och som uppfyller de föreskrivna kraven. Föreskriften tillämpas också på sådana tjänster för identifieringsförmedling som har anmälts till. Med tjänster för identifieringsförmedling avses förmedling av identifieringstjänster till tjänster för ärendehantering. Ett och samma företag kan vid behov tillhandahålla både verktyg och förmedlingstjänst. Föreskriften tillämpas också på kvalificerade betrodda tjänster enligt ei- DAS-förordningen, och med dem avses betrodda tjänster som uppfyller kraven i den förordningen. Föreskriften tillämpas inte på betrodda tjänster för vilka godkännande inte har ansökts. är också tvunget att övervaka informationssäkerheten i icke-kvalificerade betrodda tjänster till den del de vidtar nödvändiga tekniska och organisatoriska åtgärder för att hantera risker i informationssäkerheten i sina betrodda tjänster. Vid tolkning av informationssäkerhetskrav i en tillsynssituation jämförs verksamheten dock troligen med samma standarder som gäller kvalificerade tjänster. Exakta hänvisningar till EU-lagstiftningen behövs som förtydligande information bland annat därför att EU-rättens primära ställning framgår tydligt. 3 Definitioner I denna föreskrift avses med 1) gränssnitt specifikationer och implementeringar som gäller dataöverföring mellan två olika system eller delar av systemen, 2) e-idas-gränssnitt ett gränssnitt mellan en nationell nod och en annan stats nationella nod. I övrigt tillämpas samma definitioner i denna föreskrift som i autentiseringslagen och eidasförordningen. Motivering

44 MPS Definitionen av gränssnitt omfattar både en närmare specificering av faktorer enligt det protokoll som används vid dataöverföring och optionella faktorer. Den omfattar också praktisk implementering, det vill säga urvalet och formen för de informationsinnehåll som ska överföras. Flera definitioner i 2 i autentiseringslagen och i artikel 3 i eidasförordningen är viktiga för föreskriften, och de beskrivs närmare i avsnitt 1.4 i avdelning A. 2 kap. Krav på informationssäkerhet i en identifieringstjänst Detta kapitel behandlar de skyldigheter som gäller kraven på informationssäkerhet i identifieringstjänster och som fastställs i föreskriftens kapitel 2. 4 Krav på ledning avseende informationssäkerheten hos leverantörer av identifieringstjänster Vid ledning avseende informationssäkerheten i identifieringssystem ska leverantörerna av identifieringstjänster använda standard ISO/IEC eller någon annan allmänt känd motsvarande standard för ledning avseende informationssäkerhet. Ledningen avseende informationssäkerheten kan också bygga på en kombination av flera standarder. Ledningen avseende informationssäkerheten ska omfatta följande delområden som påverkar tillhandahållandet av en identifieringstjänst: 1) identifieringstjänsteleverantörens omvärld som en helhet 2) styrning, organisering och administration av ledningen avseende informationssäkerheten 3) hantering av informationssäkerhetsrisker vid tillhandahållande av en identifieringstjänst 4) resurser för informationssäkerheten, kompetens, personalens medvetenhet om informationssäkerheten, kommunikation och dokumentation samt administration av dokumenterad information 5) planering och styrning av tillhandahållandet av en identifieringstjänst för att informationssäkerhetskraven ska kunna uppfyllas 6) bedömning av effektivitet och funktion i ledningen avseende informationssäkerheten. Motivering Paragrafen innehåller allmänna bestämmelser om vilka faktorer som ska beaktas vid ledning avseende informationssäkerheten i identifieringssystem. Med tillhandahållande av en identifieringstjänst avses hela identifieringssystemet som omfattar helheten av hela identifieringstjänsten. Punkt i bilaga 1 till EU:s förordning om tillitsnivåer [2] förutsätter att det finns ett effektivt ledningssystem för informationssäkerhet för hantering och kontroll av informationssäkerhetsrisker. I 8 1 mom. 5 punkten i autentiseringslagen finns bestämmelser om ledning avseende informationssäkerhet och hänvisningar till bland annat punkt i förordningen om tillitsnivåer. I 1 mom. i paragrafen preciseras kravet i autentiseringslagen och EUförordningen om tillitsnivåer. Åtminstone standard ISO/IEC [8] är en allmänt känd och giltig standard för ledning avseende informationssäkerhet. En annan standard eller en kombination av standarder kan också användas under förutsättning att standarden verkligen gäller ledning avse-

45 MPS ende informationssäkerhet. Standarden kan vara en internationell standard, som ISO, men också en nationell standard, som KATAKRI [15]. I 2 mom. i paragrafen uppräknas de delområden av verksamheten som ledningen avseende informationssäkerheten ska omfatta. Kraven motsvarar i stort sett 8 2 mom. i den tidigare föreskriften om ledning avseende informationssäkerhet. Nu har kraven komprimerats med hjälp av grupperingen på övre nivån av kraven i ISO/IEC Kraven i paragrafen har följande samband med ISO/IEC 27001: 4 i föreskriften och tillämpning ISO/IEC ) identifieringstjänsteleverantörens omvärld som en helhet 4 organisationens omvärld kännedom om och hänsynstagande till relevanta interna och externa tekniska, rättsliga och organisationens administrativa krav, behov och frågor 2) styrning, organisering och administration av ledningen avseende informationssäkerheten ska dokumenteras i informationssäkerhetspolicyn eller motsvarande styrdokument 3) hantering av informationssäkerhetsrisker vid tillhandahållande av en identifieringstjänst 4) resurser för informationssäkerheten, kompetens, personalens medvetenhet om informationssäkerheten, kommunikation och dokumentation samt administration av dokumenterad information 5) planering och styrning av tillhandahållandet av en identifieringstjänst för att informationssäkerhetskraven ska kunna uppfyllas 6) bedömning av effektivitet och funktion i ledningen avseende informationssäkerheten 5 ledarskap 9.2 intern kvalitetsrevision 9.3 ledningens syn 10 förbättring av ledningssystem 6 planering 7 stödfunktioner 8 funktion 9.1 uppföljning, mätning, analys och bedömning. det vill säga hur stor effekt ledningen avseende informationssäkerheten har på de faktorer, processer och problem som inverkar på informationssäkerheten i identifieringssystem

46 MPS Tekniska informationssäkerhetsåtgärder i identifieringssystem Ett identifieringssystem ska planeras, genomföras och administreras med beaktande av följande faktorer: 1) datakommunikationssäkerhet a) säkerhet i nätstrukturen b) indelning av datakommunikationsnätet i zoner c) filtreringsregler enligt principen om behovsenlig behörighet d) administration av filtrering och kontrollsystem under hela livscykeln e) administrationsförbindelser 2) säkerhet i informationssystem a) administration av åtkomsträttigheter b) identifiering av användare av system c) härdande av system d) skydd mot skadliga program e) spårning av säkerhetshändelser f) förmåga att observera avvikelser samt återhämtning g) internationellt eller nationellt rekommenderade krypteringslösningar till andra delar än vad som föreskrivs i 7 3) säkerhet i användning a) hantering av förändringar b) behandlingsmiljön för sekretessbelagt material c) distansanvändning och -administration d) hantering av programsårbarheter e) säkerhetskopiering. Ett produktionsnät och administrationsförbindelser i 1) e) samt distansanvändning och -administration i 3) c) ovan ska genomföras så att informationssäkerhetshot som orsakas av organisationens övriga tjänster, som e-post eller webbsurfning, samt informationssäkerhetshot som orsakas av organisationens terminalenhet vid hantering av andra funktioner än de som är nödvändiga för hanteringen är a) speciellt bedömda och minimerade på tillitsnivån väsentlig och b) förhindrade som helhet på tillitsnivån hög. 5.1 Motivering Paragrafen preciserar de åtgärder som behövs för att genomföra informationssäkerheten. Allmänna bestämmelser om kraven finns i 8 1 mom. 4 punkten i autentiseringslagen, som innehåller hänvisningar till punkterna 2.2.1, och i bilagan till EU:s förordning om tillitsnivåer. Punkt förutsätter på tillitsnivån väsentlig informationssäkerhetsåtgärder för att förhindra informationssäkerhetshot som till allvarlighetsgraden är måttliga (gissningar, tjuvlyssning, omspelning eller manipulation). Punkt innehåller bestämmelser om åtgärderna för att skydda uppgifternas sekretess, integritet och tillgänglighet och elektroniska kommunikationskanaler mot avlyssning, manipulation och omspelning, om förmågan att agera om risknivån förändras eller vid incidenter och säkerhetsöverträdelser och om informationssäkerheten i alla medel. En sådan säkerhet i datakommunikation, informationssystem och användning som avses i 1 mom. i paragrafen säkerställer genomförande av den informationssäkerhet som krävs i lagstiftningen.

47 MPS Tillämpning I 2 mom. i paragrafen preciseras de allmänna kraven i 1 mom. som gäller administrationsförbindelser och distansanvändning av dem. Anställdas terminalenheter som tillåter åtkomst till ledningssystem lätt kan utgöra en informationssäkerhetsrisk om inte särskild uppmärksamhet fästs vid det. Om en terminalenhet till exempel är försedd med ett e-postprogram eller andra motsvarande program, är risken för infektion på grund av ett skadligt program verklig och administrationen av identifieringssystemet är också utsatt för infektionsrisken. Av tillgänglighetsskäl och praktiska skäl är det däremot bra att personalen kan sköta alla sina arbetsuppgifter med en och samma enhet. Därför förutsätter tillitsnivån väsentlig endast en noggrann riskbedömning. Naturligtvis gäller det att vidta olika åtgärder för att hantera risken för infektion i terminalenheter. Tillitsnivån hög förutsätter att åtkomst till hanteringsnät endast ska vara möjlig med terminalenheter där alla förbindelser och funktioner som är onödiga för administration av hanteringsnätet har tagits bort. Administrationsförbindelser enligt 1 mom. 1 e punkten kan vara organisationens interna och externa kommunikationsförbindelser. Identifiering av användare enligt 1 mom. 2 b punkten innebär i praktiken att användarnamn ska vara personliga och inte kan användas gemensamt. Sådana krypteringslösningar som avses i 1 mom. 2 g punkten finns i bland annat följande källor: - ENISA [16], - Material producerat av Cybersäkerhetscentret vid (National Communications Security Authority, NCSA-FI) [17], - NISTs (National Institute of Standards and Technology) FIPSstandarder (Federal Information Processing Standards) [18] eller - SANS (The SANS Institute) [19]. Med tanke på 2 mom. anses internet och kontorsnätet vara icke-betrodda nät, om inte kontorsnätet omfattas av bedömning av överensstämmelse. Överföringskanalen ska alltså i distansanvändning vara skyddat och de risker som kontorsnätet kan orsaka måste beaktas. Kraven på tillitsnivån väsentlig är normala och kan täckas genom att tillämpa kraven i t.ex. standarden ISO På tillitsnivån hög kan kraven i 2 mom. genomföras åtminstone så att det från arbetsstationer som är i distansanvändning förhindras åtkomst till organisationens övriga tjänster, som e-post, och att det från arbetsstationen tas bort möjligheten att använda andra funktioner än de som är nödvän-

48 MPS diga för användning av hanteringsnätet. I praktiken betyder detta alltså att det behövs en separat arbetsstation för hantering. Helhetsbedömningen på tillitsnivån hög betyder att om man använder en annan än en sådan härdad arbetsstation som beskrivs ovan, ska man i genomförandet beakta separering av produktionssystemet och övriga arrangemang med vilka informationssäkerhetshot kan hanteras. I princip förutsätter det en virtuell terminering eller en lösning som baserar sig på kvm-principen (keyboard, video, mouse; distansskrivbord). Det väsentliga är vad man gör med den terminalenheten som tar virtuell kontakt och därför är t.ex. en two-factor VPN-förbindelse till ett virtuellt skrivbord inte ensam en lösning. Det är inte heller tillräckligt att man använder antivirusprogram och web-proxy. Vid överföring av nödvändiga filer från en terminalenhet till en annan ska man också ta hänsyn till risk för skadliga program bl.a. genom att endast använda tillförlitliga källor och säkerställa informationssäkerheten (integriteten) med alla behövliga metoder. 6 Krav på informationssäkerhet i identifieringsmetoder 6.1 Motivering Identifieringsverktyg får inte kombineras med den sökande förrän en inledande identifiering av den sökande har gjorts, eller så ska det vid processen för beviljande av identifieringsverktyg annars säkerställas att identifieringsverktyget inte kan användas innan den sökande har gjort en inledande identifiering enligt 17 i autentiseringslagen. Tjänsteleverantören ska säkerställa att hemliga uppgifter om identifieringsverktyget inte i någon situation röjs för dess personal. Tjänsteleverantören får inte kopiera hemliga uppgifter om identifieringsverktyget. Genom kraven i paragrafen preciseras vissa detaljer som hänför sig till tilllämpningen vid skapande och beviljande av identifieringsverktyg. De gäller enstaka förfaranden närmast vid beviljande av identifieringsverktyg med vilka säkerställs att verktyget endast används av den verkliga innehavaren. Om säkerheten i identifieringsmetoden och -systemet föreskrivs mera omfattande i 8 och 8 a i autentiseringslagen. Motsvarande krav har i övrigt varit i kraft även i tidigare föreskrift 8, men kravet i 1 mom. har blivit flexiblare så att det tillåter olika processer vid beviljande av identifieringsverktyg. Enligt 2 mom. i paragrafen ska tjänsteleverantören säkerställa att hemliga uppgifter om identifieringsverktyget inte i någon situation röjs för dess personal. Kravet har varit i den tidigare föreskriften och behålls också i denna föreskrift, eftersom det fortfarande förekommer situationer där hemliga uppgifter, såsom PIN-kod, kan röjas för tjänsteleverantörens personal under beviljandeprocessen. Kravet i paragrafens 3 mom. tryggar att endast den som ansöker om (innehar) ett identifieringsverktyg vet eller kan använda de hemliga uppgif-

49 MPS Tillämpning terna. Med detta säkerställs att ingen annan kan använda identifieringsverktyget. Kravet i 1 mom. i paragrafen innebär att identifieringsverktyg i regel inte kan skapas liksom på lager för att vänta på eventuella kunder på så sätt att identifieringsverktyget är försett med personuppgifter. Den sökande ska alltså göra en inledande identifiering innan personuppgifterna kombineras med identifieringsverktyget. I 1 mom. möjliggörs även en sådan process där personuppgifterna kombineras med det ansökta verktyget redan innan den sökande har gjort en inledande identifiering enligt 17 i autentiseringslagen. Detta kan vara behövligt till exempel om den sökandes inledande identifiering görs vid ett personligt besök och man vill sköta beviljandeprocessen på ett besök. Sådana behov finns av grundad anledning till exempel vid produktion av identifieringscertifikat som Beolkningsregistercentralen beviljar personer som finns utomlands. Om personuppgifterna kombineras med identifieringsverktyget före inledande identifiering, ska man vid andra sök- och beviljandeprocesser använda sådana arrangemang att man beaktar risken för felaktigt skapade identifieringsverktyg (med fel personuppgifter eller utan avsikt att ansöka om identifieringsverktyg) och risken för att identifieringsverktyget används innan den inledande identifieringen har gjorts. Riskerna kan minimeras genom att kontrollera saken i befolkningsdatasystemet innan personuppgifterna kombineras med verktyget, genom att tekniskt förhindra användningen av identifieringsverktyg före inledande identifiering och genom att kontrollera att de ansökta och beställda identifieringsverktygen motsvarar de levererade. Som primära skyddsmetoder rekommenderar att användningen av identifieringsverktyget förhindras tekniskt med hjälp av en spärrlista tills alla förutsättningar för beviljande och leverans är uppfyllda. Ett återkallat certifikat får på basis av lagstiftningen inte tas i bruk igen, men detta förbund hindrar inte ett arrangemang där användningen av ett certifikat som blivit anhängigt tekniskt är förhindrad och certifikatet aktiveras för användning efter det att den sökande har gjort en inledande identifiering. Närmare bestämmelser om överlåtelse av identifieringsverktyg till sökande finns i 21 i autentiseringslagen. Enligt i EU:s förordning om tillitsnivåer förutsätter identifieringsverktyg på tillitsnivån hög dessutom en separat aktiveringsprocess. I processen ska man naturligtvis också se till att inledande identifiering hänför sig till beviljande av identifieringsverktyg och att användaren är medveten om det. I detta sammanhang är det också möjligt att även tillhandahålla andra tjänster, såsom mobilabonnemang, och identifiera personen också för dem.

50 MPS Sådana hemliga uppgifter som avses i paragrafens 2 mom. är åtminstone en privat nyckel som hänför sig till identifieringsverktyget och en PIN-kod som behövs för att använda verktyget. Kravet i 3 mom. i paragrafen innebär i praktiken att till exempel en PIN-kod för ett identifieringsverktyg inte i något skede får röjas för personalen på registreringsstället och att koden inte får förmedlas via sådana datasystem där den blir kopierad, till exempel e-post. 7 Krypteringskrav för identifieringssystem och gränssnitt Trafiken i gränssnitten mellan leverantörer av identifieringstjänster och mellan leverantörer av identifieringstjänster och tjänster för ärendehantering ska krypteras. Följande metoder ska användas vid kryptering, nyckelutbyte och i underskrifter i anslutning till kryptering: 1) Nyckelutbyte: DHE-metoder, eller ECDHE-metoder som använder elliptiska kurvor, ska användas vid nyckelutbyte. Den ändliga kroppen (finite field) som används i räkneoperationer ska utgöra minst bitar i DHE-metoden och minst 224 bitar i ECDHE-metoden. 2) Underskrifter: Vid användning av RSA för elektronisk underskrift ska nyckeln utgöra minst bitar. Vid användning av ECDSA-metoden för elliptisk kurva ska den ändliga kroppen nedan utgöra minst 224 bitar. 3) Symmetrisk kryptering: Krypteringsalgoritmen ska vara AES eller Serpent. Nyckeln ska utgöra minst 128 bitar. Krypteringsmoden ska vara CBC, GCM, XTS eller CTR. 4) Hashfunktioner: Hashfunktionen ska vara SHA-2, SHA-3 eller Whirlpool. Med SHA-2 avses funktionerna SHA224, SHA256, SHA384 och SHA512. Krypteringsinställningarna ska tekniskt tvingas till miniminivåerna ovan för att förhandlingar om inställningar inte ska resultera i inställningar som är sämre än miniminivåerna. Vid användning av protokollet SSL/TLS ska TLS-version 1.2 eller nyare användas. TLS-version 1.1 kan användas endast om användarens terminalutrustning inte stöder nyare versioner. Integriteten och sekretessen för meddelanden med personuppgifter ska skyddas förutom med kryptering som avses i 1 mom. också på meddelandenivå enligt 1 mom. Man ska sörja för integriteten och sekretessen för uppgifter som lagras i identifieringssystem. Om skyddet av uppgifterna endast baserar sig på kryptering, tillämpas kraven på underskrift, symmetrisk kryptering och hashfunktioner i 1 mom. ovan. 7.1 Motivering och tillämpning I paragrafen ges närmare föreskrifter om minimikraven på kryptering som ska tillämpas mellan leverantörer av identifieringstjänster och vid behov också vid förvaring av uppgifterna i identifieringssystemet. Kraven hänför sig till kryptering av uppgifterna både vid förvaring och överföring av dem. Med krypteringskraven vill man säkerställa identifieringstransaktionernas och -loggarnas integritet och tillförlitlighet. Kraven påverkar också i gränssnitt för ärendehantering och i användargränssnitt, vilka behandlas i 9.

51 MPS Kraven motsvarar det som eidas-bestämmelserna förutsätter mellan nationella noder i dokumentet eidas Cryptographic requirements for the Interoperability Framework, TLS and SAML [20]. Förkortningarna i paragrafen: AES = Advanced Encryption Standard (krypteringsmetod) DH = Diffie-Hellman (protokoll för nyckelutbyte) DHE = DH med ephemeral-nycklar ECDH = Elliptic Curve Diffie-Hellman (protokoll för nyckelutbyte) ECDHE = ECDH med ephemeral-nycklar ECDSA = Elliptic Curve Digital Signature Algorithm (signaturmetod) RSA = Rivest-Shamir-Adleman (asymmetrisk krypterings- och signaturmetod) SHA = Secure Hash Algorithm (hashfunktion) (SSL/)TLS = Transport Layer Security (krypteringsprotokoll) 1 mom. i paragrafen omfattar föreskrifter om kryptering av datakommunikation. Kraven gäller datakommunikation i synnerhet när kommunikationen sker utanför ett skyddat fysiskt utrymme. De tillämpas också när uppgifter överförs till underleverantörer. Ordningen för ärendena i momenet bygger på en normal kryptografisk planeringsordning samt krav. Värdena har inhämtats från rekommendation av Cybersäkerhetscentret vid [17]. Rekommendationen har utarbetats för bedömning av säkerhet i krypteringslösningar i situationer där data överförs i icke betrodda nät. Med icke betrodda nät avses i rekommendationen internet, kontorsnät eller andra nät där informationssäkerheten inte har bedömts i omfattande utsträckning. Enligt paragrafens 1 mom. 1 punkten avses med nyckelutbyte metoder som i sig hör t.ex. till TLS-progokollet. I föreskriften anges närmare de krypteringsmetoder som används vid nyckelutbyte. Kraven på nyckelutbyte kan uppfyllas genom att använda IANAs (Internet Assigned Numbers Authority) DH-grupper 14-21, 23, 24 och 26 enligt IKEv2-parametrar [21]. Grunden för paragrafens 1 mom. 2 punkten är att RSA är en standard som NCSA har utvärderat/rekommenderar och ECDSA ger en motsvarande tillitsnivå. I praktiken finns det inga andra alternativ enligt s uppskattning. Det är värt att noter att 3DES har lämnats bort i förteckningen i paragrafens 1 mom. 3 punkten. Den har raderats i rekommendationerna sommaren Kravet på tekniskt tvingande avseende krypteringsinställningar i 2 mom. i paragrafen innebär att sämre standardvärden inte är tillåtna vid konfigurering av system eller att systemet inte får kringgå kraven. Programmens och utrustningarnas standardfunktioner baserar sig ofta på att operabiliteten

52 MPS stöds flexibelt genom så många alternativa specifikationer som möjligt, men vid kryptering av identifieringssystem ska en svagare inställning förhindras. I paragrafens 3 mom. behandlas krav på datakommunikationsprotokoll. När föreskriften bereddes, nämnes SSL/TLS, IPsec och SSH i paragrafutkasten. I föreskriften finns kvar TLS, eftersom det är det dominerande protokollet. Om en aktör använder något annat protokoll än TLS för att säkerställa integritet och tillförlitlighet, ska genomförandet ge en motsvarande kryptografisk nivå. I föreskriften krävs att TLS version 1.2 eller nyare i regel ska användas, eftersom de är mer informationssäkra än deras äldre versioner. TLS-version 1.1 får användas endast om användarens terminalutrustning inte stöder en nyare version. Äldre versioner får inte användas. Som undantag till huvudprincipen tillåts i föreskriften användning av TLS 1.1 därför att mobilterminalerna ännu inte på ett heltäckande sätt stöder version 1.2, även om webbläsarna i allmänhet har stött denna version sedan Vid användning av TLS uppfyller bl.a. följande cipher suites kraven i 1 mom. [21]: - TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 För att krypteringskraven blir uppfyllda i systemet i praktiken, ska man, förutom att specificera cipher suites, också säkerställa att DH-parametrarna och de asymmetriska nycklarna och certifikaten i TLS -konfigurationen är tillräckligt starka. Enligt paragrafens 4 mom. ska meddelanden med personuppgifter krypteras förutom att datakommunikationsförbindelsen är krypterad enligt 1 mom. Motsvarande krav gäller meddelanden i trafiken mellan nationella noder. Krypteringens styrka ska uppfylla kraven i 1 mom. Kravet på krypteringens styrka på meddelandenivå gäller trafik; i fråga om uppgifter som ska bevaras anges närmare i 5 mom. Paragrafens 5 mom. gäller uppgifter som lagras i identifieringssystem. Klassificering av uppgifterna behandlas inte närmare i denna paragraf. Aktörerna ska klassificera uppgifterna enligt god sed inom informationssäkerhet och i allmänhet ska de speciellt skydda förutom personuppgifter också till exempel integriteten och tillförlitligheten i hemliga uppgifter vid administration av identifieringssystem.

53 MPS Om man lagrar skyddad information i systemen så att informationens tillförlitlighet och/eller integritet endast eller i huvudsak skyddas med kryptografiska metoder, ska man använda de metoder som anges i 1 mom. med undantag för krav på nyckelutbyte. De är inte tillämpliga, då det inte är typiskt att använda nyckelutbyte vid diskkryptering. Alternativt kan man använda till exempel omsorgsfull åtkomsthantering. 7.2 s rekommendation om kryptering på tillitsnivån hög När det gäller kraven i 7 1 mom. rekommenderas att följande värden inom parentes tillämpas på tillitsnivån hög i identifieringssystem i stället för de värden som förutsätts: 1) Nyckelutbyte: DHE-metoder, eller ECDHE-metoder som använder elliptiska kurvor, ska användas vid nyckelutbyte. Den ändliga kroppen (finite field) som används i räkneoperationer ska utgöra minst (3 072 på tillitsnivån hög) bitar i DHE-metoden och minst 224 (256 på tillitsnivån hög) bitar i ECDHE-metoden. DH-grupperna 14-21, 23, 24 och 26 (15-21 på tillitsnivån hög) enligt IANAs IKEv2-parametrar uppfyller kraven ovan. 2) Underskrifter: Vid användning av RSA för elektronisk underskrift ska nyckeln utgöra minst (3 072 på tillitsnivån hög) bitar. Vid användning av ECDSA-metoden för elliptisk kurva ska den ändliga kroppen nedan utgöra minst 224 (256 på tillitsnivån hög) bitar. 3) Symmetrisk kryptering: Krytperingsalgoritmen ska vara AES eller Serpent (på tillitsnivån hög AES eller Serpent). Nyckeln ska utgöra minst 128 (128 på tillitsnivån hög) bitar. Krypteringsmoden ska vara CBC, GCM, XTS eller CTR. 4) Hashfunktioner: Hashfunktionen ska vara SHA-2, SHA-3 eller Whirlpool. Med SHA-2 avses funktionerna SHA224, SHA256, SHA384 och SHA512 (SHA256, SHA384, SHA512 och SHA-3 på tillitsnivån hög). 8 Krav på informationssäkerhet i gränssnitt mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för förmedling av identifiering Krypteringsmetoderna ska uppfylla kraven i mom. Metadata eller motsvarande metoder som garanterar motsvarande informationssäkerhetsnivå ska användas vid identifiering av parter och förmedling av uppgifter som behövs vid identifiering. Alla personuppgifter ska krypteras och undertecknas på meddelandenivå.

54 MPS Motivering Syftet med paragrafen är att förtydliga att i gränssnitten mellan identifieringsverktyg och leverantörer av identifieringsförmedling ska det iakttas de krypteringskrav som föreskriften förutsätter och även i övrigt agera på ett informationssäkert sätt. Motiveringen till kraven för krypteringsmetoder finns i 7. Enligt paragrafens 2 mom. ska metadata eller motsvarande metoder användas vid identifiering av parter och förmedling av identifieringsuppgifter. Syftet med metadata är att förmedla betrodda handskakningsdata som har undertecknats med något certifikat mellan två parter när en förtroenderelation upprättas. I SAML-protokollet kan metadata innehålla bland annat ett permanent eller föränderligt namn på leverantören av en identifieringstjänst (idp) och ett certifikat för kryptering och undertecknande av meddelanden. I Open ID Connect är implementeringen av metadata något annorlunda, men det grundläggande syftet är detsamma. Alla personuppgifter ska krypteras och undertecknas på meddelandenivå. Det räcker med andra ord inte med att enbart kryptera länken. Frågan behandlas i kapitel 3 i konsekvensbedömningen (se avdelning A) i samband med granskningen av TUPAS. 9 Krav på informationssäkerhet i gränssnitt för ärendehanteringstjänster 9.1 Motivering Gränssnitten mellan en leverantör av tjänster för identifieringsförmedling och en tjänst för ärendehantering ska uppfylla kraven i mom. En leverantör av identifieringsverktyg och tjänster för identifieringsförmedling ska sörja för personuppgifternas sekretess och integritet i gränssnitt för ärendehantering och i användargränssnitt. Syftet med paragrafen är att förtydliga att föreskriftens krav också inverkar på gränssnitt för ärendehanteringstjänster och användarens terminalenhet. Användarens webbläsare är under ärendehanterings- och identifieringstransaktionen i kontakt med ärendehanteringstjänsten, identifieringsförmedlingen och den som beviljat identifieringsverktyget. Med tillförlitlig kryptering vill man skydda personuppgifterna i hela processen. Motiveringen till kraven för krypteringsmetoder finns i 7. Paragrafens 1 mom. gäller gränssnittet mellan en identifieringsförmedlingstjänst och en ärendehanteringstjänst. 2 mom. gäller användargränssnittet för en leverantör av identifieringsverktyg, tjänster för identifieringsförmedling ärendehantering. Föreskriften gäller i övrigt inte gränssnittet för ärendehanteringstjänsten och användaren, men förpliktar leverantören av identifieringsverktyget och leverantören av identifieringsförmedlingstjänsten att genomföra sin identifieringstjänst så att de sköter personuppgifternas tillförlitlighet i användarens gränssnitt för terminalenheten.

55 MPS Kravet i 2 mom. i paragrafen bygger på kraven på behandling av personbeteckningar i kapitel 3 i konsekvensbedömningen (se avdelning A). Övergångsperioden för kravet vid användning av TUPAS-protokollet behandlas i 25. Syftet med kravet är att förhindra att personbeteckningen eller andra personuppgifter förmedlas i terminalgränssnittet så att de kan lagras i klartext till exempel i terminalenhetens webbläsarhistorik. 10 Krav på informationssäkerhet i gränssnitt för en nationell nod 10.1 Motivering Gränssnitten mellan en leverantör av tjänster för identifieringsförmedling och en nationell nod ska uppfylla kraven i mom. Med en nationell nod avses ett nationellt gränssnitt som ingår i EU:s interoperabilitetsramverk för elektronisk identifiering. Den nationella noden ska enligt autentiseringslagen upprätthållas av Befolkningsregistercentralen. En sådan gränsöverskridande identifiering med anmälda identifieringsverktyg som avses i eidas-förordningen ska genomföras via nationella noder. Denna paragraf föreskriver om att samma krypteringskrav ska iakttas mellan förtroendenätet och den nationella noden som i förtroendenätets övriga interna och externa gränssnitt. Kraven för gränssnitt mellan nationella noder fastställs i dokumentet eidas Cryptographic requirements for the Interoperability Framework, TLS and SAML, Version 1.0, 6 November 2015 [20]. 11 Störningsanmälningar från leverantörer av identifieringstjänster till 11.1 Motivering Minst följande uppgifter ska lämnas i anmälningar om betydande hot och störningar som ska göras till enligt 16 i autentiseringslagen: 1) det identifieringsverktyg eller den förmedlingstjänst som störningen påverkar, 2) beskrivning av störningen och kända orsaker till störningen, 3) beskrivning av störningens konsekvenser, inklusive konsekvenser för beviljandet av nya identifieringsverktyg samt för användare, förlitande parter, andra aktörer i förtroendenätet och gränsöverskridande användning, 4) beskrivning av korrigeringsåtgärder, och 5) beskrivning av information om störningen till förlitande parter, innehavare av identifieringsverktyg, förtroendenätet och uppgift om anmälan till andra myndigheter. Vid bedömning av hur betydande en störning är är störningen än mer betydande om den gäller fel i eller missbruk av en elektronisk identitet eller ett sådant hot eller en sådan störning i informationssäkerheten som äventyrar integriteten eller tillförlitligheten i identifieringen. En störning är också än mer betydande om störningen påverkar förtroendenätet. I 1 mom. i paragrafen finns bestämmelser om de uppgifter som leverantörer av identifieringsverktyg eller tjänster för identifieringsförmedling ska lämna i anmälningar om störningar till. Anmälan ska innehålla en beskrivning av störningen samt uppgifter om störningens konsekvenser för olika parter.

56 MPS Tillämpning Syftet med anmälan är att stöda s lägesbild i fråga om tillförlitligheten hos identifieringstjänster samt hot mot och störningar i dem. På basis av uppgifterna bedömer om man har iakttagit kraven och om det finns behov att informera om läget mer än vad tjänsteleverantören har gjort. kan också erbjuda information för återhämtning, om sådan information finns att tillgå. Anmälan ska enligt lagens 16 göras utan ogrundat dröjsmål. Eftersom det inte alltid finns fullständiga uppgifter om störningen när störningen upptäcks och man börjar avhjälpa störningen, kan man först anmäla de omständigheter man har kännedom om och komplettera anmälan senare. I föreskriften anges inte någon leveranstidpunkt för anmälan, men ju allvarligare störningen är desto snabbare ska man anmäla den till. Av anmälan ska det framgå tidpunkt när störningen inträffade och upptäcktes och händelsens längd, om man har kännedom om det. Av störningens tekniska händelsebeskrivning bör det framgå vilken del av identifieringssystemet som störningen påverkat, observationer av händelserna, beskrivning av eventuella andra tjänsteleverantörers delaktighet i incidenten och uppgifter om vad som orsakade händelsen. Av anmälan bör det framgå den yttersta orsaken till störningen, dvs. om orsaken till störningen är ett mänskligt fel, fel i system eller program, trasig anläggning, attack eller ett annat externt hot eller naturfenomen. Om störningen har berott på ett informationssäkerhetshot, bör det av anmälan framgå om det har varit fråga om en blockeringsattack, ett skadligt program, ett dataintrång, obehörig användning, avledning eller förfalskning av trafik eller någon annan motsvarande orsak. Av beskrivningen av störningen och dess verkningar ska det framgå bl.a. om störningen har påverkat uppgifternas tillförlitlighet, integritet eller tillgänglighet och om den har äventyrat personuppgifterna. I anmälan bör man också berätta antalet användare och ärendehanteringstjänster som störningen har påverkat. Det lönar sig också att berätta om man vet att störningen har påverkat en tjänst eller en funktion som är viktig eller kritisk för samhället. Vidare ska de av anmälan framgå kort- och långsiktiga åtgärder för avhjälpande som man har vidtagit eller kommer att vidta för att undanröja och lindra störningens verkningar och för att förebygga motsvarande störningar. Av anmälan ska det framgå hur ärendehanteringstjänster, användare och andra leverantörer av identifieringsverktyg och identifieringstjänster i förtroendenätet har informerats om störningen. Informationströskeln samt innehållet i och tidpunkten för information till olika parter kan naturligtvis variera. I informationen ska man beakta den informerades möjlighet och be-

57 MPS hov att skydda sig mot störningens verkningar och minimera störningens verkningar. För användningen av ett störningsmeddelande som förmedlas inom förtroendenätet har det i lagens 16 4 mom. angetts särskilda begränsningar vars syfte är att sänka informationströskeln mellan leverantörerna av identifieringstjänster. I 2 mom. i paragrafen finns allmänna bestämmelser om de faktorer som är relevanta med tanke på hur betydande en störning är, det vill säga anmälningströskeln. Sådana betydande störningar är bland annat - när ett identifieringsverktyg beviljas till fel person - sådana störningar i spärrlistors funktion, där en uppdaterad spärrlista inte är tillgänglig - intrång i en tjänsteleverantörs system - signeringsnycklar för certifikat hos en leverantör av identifieringsverktyg avslöjas - allvarliga missbruk av identifieringsverktyg, till exempel fall i anslutning till sammankoppling av identifieringsverktyg - allvarliga interna missbruk. Tröskeln för när ett fel i eller missbruk av en elektronisk identitet anses vara betydande är mycket låg, och detsamma gäller exempelvis sårbarheter och fel som äventyrar riktigheten i identifieringsuppgiften. Däremot är tröskeln för att anmäla problem i tillgängligheten eller kvaliteten i princip högre och sådana problem är än mer betydande främst på grund av att problemet påverkar andra aktörer i förtroendenätet. På s webbsidor finns en blankett för anmälningar om störningar. I samband med den finns anvisningar om praxis för inlämnande av en anmälan. Generellt sett anser att tröskeln för att anmäla en störning till myndigheten bör vara lägre än den hittills varit, eftersom det finns stora skillnader mellan aktörernas anmälningsrutiner. Syftet är att formulera kraven på anmälan om störningar i identifieringstjänster så att de är förenliga med den guide som ENISA utarbetar för anmälan om störningar i betrodda tjänster [22]. Sekretess i fråga om uppgifterna Uppgifter som lämnas i en anmälan till behandlas i enlighet med lagen om offentlighet i myndigheternas verksamhet (621/1999) och lämnas endast ut till utomstående eller medlemmarna i förtroendenätet på de villkor som fastställs i lagen Anmälningar mellan aktörer Autentiseringslagen innehåller bestämmelser om anmälningsskyldigheten för aktörer gentemot sina avtalsparter, eller eventuellt endast gentemot en del medlemmar i förtroendenätet, samt s möjlighet att tekniskt förmedla anmälningar mellan aktörer. För närvarande saknar

58 MPS dock ett system, där det, utan att tekniken i systemet behöver utvecklas, är möjligt att förmedla krypterade data automatiskt mellan aktörer och så att sådana data endast förmedlas till en del medlemmar i förtroendenätet. 3 kap. Förmedling av uppgifter i förtroendenätet Detta kapitel behandlar kraven på interoperabilitet i förtroendenätet och minimiuppsättningen uppgifter som ska förmedlas. 12 Minimiuppsättning uppgifter som ska förmedlas i förtroendenätet Följande uppgifter ska förmedlas via gränssnitten mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling: 1) vid identifiering av en fysisk person, åtminstone den identifieringsuppgift som identifierar personen, personens förnamn, efternamn och födelsedatum 2) vid identifiering av en juridisk person, åtminstone den identifieringsuppgift som identifierar den fysiska personen som företräder den juridiska personen, personens efternamn och förnamn och den identifieringsuppgift som identifierar organisationen 3) om identifieringsverktyget ligger på tillitsnivån väsentlig eller hög. Gränssnitten mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling ska ha beredskap att förmedla följande uppgifter: 1) om en identifieringstransaktion gäller en offentlig eller en privat tjänst för ärendehantering 2) vid identifiering av en fysisk person; förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön 3) vid identifiering av en juridisk person a) nuvarande adress b) momsregistreringsnummer c) skatteregisteringsnummer d) den identifikator som avses i artikel 3.1 i Europaparlamentets och rådets direktiv 2009/101/EG 1 e) den identifieringskod för juridiska personer (ID) som avses i kommissionens genomförandeförordning (EU) nr 1247/ f) det registrerings- och identitetsnummer för ekonomiska aktörer (EORI-nummer) som avses i kommissionens genomförandeförordning (EU) nr 1352/ g) punktskattenummer som avses i artikel 2.12 i rådets förordning nr 389/ Motivering och tillämpning I paragrafen anges de uppgifter, m.a.o. attribut, som måste förmedlas i en identifieringstransaktion mellan en leverantör av identifieringsverktyg och identifieringsförmedlingstjänst eller där det måste finnas en färdighet för förmedling. Attributen motsvarar de obligatoriska och optionella uppgifter som fastställs i EU-kommissionens interoperabilitetsförordning (EU) 2015/1501 [23]. 1 Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EGOT L 258, , s. 11). 2 kommissionens genomförandeförordning (EU) nr 1247/2012 av den 19 december 2012 om fastställande av tekniska genomförandestandarder för form och frekvens för rapportering om handel till transaktionsregister enligt Europaparlamentets och rådets förordning (EU) nr 648/2012 om OTC-derivat, centrala motparter och transaktionsregister (EGOT L 352, , s. 20). 3 kommissionens genomförandeförordning (EU) nr 1352/2013 av den 4 december 2013 om fastställande av de formulär som avses i Europaparlamentets och rådets förordning (EU) nr 608/2013 om tullens säkerställande av skyddet för immateriella rättigheter (EUT 341, , s. 10). 4 Rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 (EGOT L 121, , s. 1).

59 MPS Syftet med paragrafen är att säkerställa att leverantörer av identifieringsverktyg och identifieringsförmedlingstjänster smidigt kan komma överens om förmedlingen av identifieringstransaktioner utan att behöva specificera attributen separat för varje avtalsförhållande. Syftet är också att säkerställa att det är möjligt att använda inhemska identifieringsverktyg i gränsöverskridande ärendehantering, om identifieringsverktyg anmäls till EU. Obligatoriska uppgifter I paragrafens 1 mom. anges de identifieringsuppgifter som en leverantör av identifieringsverktyg ska förmedla i identifieringstransaktionen till identifieringsförmedlingstjänsten. I identifieringstransaktionen för fysiska personer ska det förmedlas en identifikator som identifierar en person och som är antingen en personbeteckning eller en elektronisk kommunikationskod, om bestämmelserna tillåter det. Parterna kommer sinsemellan överens om vilken identifikator som ska användas. I identifieringsuppgifterna ingår också personens för- och efternamn och födelsetid. Vid identifiering av en juridisk person ska åtminstone följande uppgifter förmedlas: den identifieringsuppgift som identifierar den fysiska personen som företräder den juridiska personen, personens efternamn och förnamn och identifieringsuppgiften om organisationen. Tillitsnivån för identifieringsverktyg som används i det nationella förtroendenätet kan vara väsentlig eller hög enligt eidas-förordningen. Uppgiften om tillitsnivån ska förmedlas via gränssnittet mellan leverantören av identifieringsverktyget och leverantören av tjänsten för identifieringsförmedling. Icke-obligatoriska uppgifter, motivering I föreskriftens 25 4 mom. fastställs en övergångsperiod för beredskap att förmedla icke-obligatoriska attribut som avses i 2 mom. i det gränssnitt som används för förtroendenätet. Övergångsperioden skulle vara samma som deadline för specificeringen av Tupas-övergången, den 1 oktober Gränsöverskridande identifiering skulle behövas redan nu och efterfrågan ökar också inom den privata sektorn. Syftet med icke-obligatoriska attribut är att stöda identifiering och ärendehantering i de situationer där obligatoriska attribut inte är tillräckliga. anser att det är ändamålsenligt att öka beredskapen steg för steg och med beaktande av företagens tidtabeller för utvecklingen av systemen. I det första skedet räcker det att attributen beaktas vid planeringen av identifieringssystemet. anser att planeringen vid behov påskyndar användningen. Här kan aktörerna använda s SAML- och OIDC-specifikationer. Det är inte nödvändigt att föra attributen in i systemen innan det uppstår användningsbehov.

60 MPS Icke-obligatoriska uppgifter, tillämpning Beredskap att förmedla icke-obligatoriska attribut betyder att behandlingen av icke-obligatoriska attribut måste planeras i gränssnittet och identifieringssystemet så att leverantör av identifieringstjänster har en uppfattning om de tekniska åtgärder som är behövliga vid införandet. Icke-obligatoriska attribut behöver inte genomföras tekniskt i systemen. Vid teknisk konfigurering ska man dock beakta att icke-obligatoriska attribut i identifieringsmeddelanden inte ska störa identifieringstransaktioner även om man inte kommit överens om användningen av dem. I praktiken måste planen dokumenteras för tillsynsåtgärder.

61 MPS Förtroendenätets gränssnitt Bild 1. Förtroendenätets gränssnitt I bilden ges förtroendenätets struktur och förhållande till externa tjänster, såsom ärendehanteringstjänster. Till förtroendenätet hör de aktörer som har markerats med en streckad linje. Denna föreskrift innehåller närmare föreskrifter om kraven på följande gränssnitt: - mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för förmedling av identifiering (se 12 a i autentiseringslagen och 1 1 mom. 2 punkten i statsrådets förordning om förtroendenätet (169/2016)) - mellan en leverantör av tjänster för förmedling av identifiering och en tjänst för ärendehantering (12 a i autentiseringslagen och 1 1 mom. 3 punkten i statsrådets förordning) - mellan en leverantör av tjänster för förmedling av identifiering och en nationell eidas-nod (30 i autentiseringslagen, artikel 12 i ei- DAS-förordningen och kommissionens genomförandeförordning (EU) 2015/1501 [23].

62 MPS Förtroendenätets gränssnitt om vilka det inte finns närmare föreskrifter Gränssnitt mellan leverantörer av identifieringsverktyg (inledande identifiering) Med gränssnitt mellan leverantörer av identifieringsverktyg avses gränssnitt som används vid en elektronisk inledande identifiering. De övriga gränssnitten mellan leverantörer av identifieringsverktyg kan tolkas som gränssnitt mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling, och dessa gränssnitt omfattas på så sätt av kraven på det aktuella gränssnittet. Gränssnittet för elektronisk inledande identifiering (SAML/TUPAS) har använts i flera år, eftersom elektronisk inledande identifiering möjliggjordes genom autentiseringslagen (17 ) redan innan paragrafen om förtroendenät (12 a ) lades till. Av denna anledning är det i detta skede inte ändamålsenligt att ta in ytterligare krav på gränssnitt för elektronisk inledande identifiering i föreskriften. Med tanke på långsiktigare utveckling har man dock framfört önskemål om att man ska kunna förmedla uppgifter om inledande identifiering via gränssnittet (t.ex. vad en personlig inledande identifiering har grundat sig på: pass, ID-kort, elektronisk identifikator) Gränssnitt mellan innehavare av identifieringsverktyg och leverantörer av identifieringsverktyg Under identifieringstransaktioner ska webbläsaren för innehavaren av identifieringsverktyget vara ansluten till tjänsten för ärendehantering, tjänsten för identifieringsförmedling och tjänsten hos leverantören av identifieringsverktyget. Till en början kan förbindelsen mellan innehavaren av identifieringsverktyget och tjänsterna för ärendehantering antagligen använda http, men under identifieringstransaktioner ska alla förbindelser för identifieringsverktyg använda https och TLS 1.2 eller, i undantagsfall, TLS 1.1 i enlighet med föreskriftens 7. Till denna del är kraven i praktiken desamma för leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling. Befogenheten att meddela föreskrifter omfattar endast sådana gränssnitt mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling som dessa leverantörer tillhandahåller från förtroendenätet till tjänster för ärendehantering och innehavare av identifieringsverktyg. Eftersom de olika förbindelserna för en identifieringstransaktion för en innehavare av identifieringsverktyget skapas under en och samma webbläsarsession, gäller de ovan nämnda kraven på gränssnitt i praktiken också indirekt gränssnitt mellan tjänsterna för ärendehantering och innehavaren av identifieringsverktyget Befolkningsdatasystemets gränssnitt Leverantörer av identifieringstjänster använder befolkningsdatasystemets gränssnitt vid inledande identifiering och när leverantören tidvis säkerstäl-

63 MPS ler att de uppgifter som denne använder i identifieringstjänsten är uppdaterade. Den anslutning som Befolkningsregistercentralen tillhandahåller has specificerats på en allmän nivå i dokumentet VTJkysely-palvelu; Sovelluskyselyiden rajapintakuvaus, som kan laddas ned på BRC:s webbplats [24]. Leverantörerna av identifieringstjänster och BRC kommer sinsemellan överens om ett närmare genomförande av gränssnittet, och denna föreskrift kommer därför inte att innehålla några krav på detta gränssnitt Företags- och organisationsregistrens gränssnitt De uppgifter om företag som behövs för identifiering av juridiska personer ska inhämtas från Patent- och registerstyrelsens företags- och organisationsregister i enlighet med 7 a i autentiseringslagen. Leverantörerna av identifieringstjänster och PRS kommer sinsemellan överens om genomförande av gränssnittet, och denna föreskrift kommer därför inte att innehålla några krav på detta gränssnitt. 13 Uppgifter som förutsätts vid gränsöverskridande identifiering Vid identifiering med finländska identifieringsverktyg i utländska tjänster för ärendehantering ska samma uppgifter förmedlas i gränssnittet mellan leverantören av identifieringsverktyget och leverantören av tjänsten för identifieringsförmedling som vid nationell identifiering i förtroendenätet enligt 12. Uppgifterna ska kunna vidarebefordras mellan tjänsten för identifieringsförmedling och den nationella noden. Dessutom ska man förmedla en uppgift om huruvida identifieringstransaktionen gäller en offentlig eller en privat tjänst för ärendehantering. Vid identifiering med utländska identifieringsverktyg i finländska tjänster för ärendehantering ska den minimiuppsättning uppgifter som fastställts för det internationella eidas-gränssnittet förmedlas via gränssnittet mellan den nationella noden och förmedlingstjänsten, och gränssnittet ska ha beredskap att förmedla de icke-obligatoriska uppgifter som fastställts för det internationella eidas-gränssnittet. Den identifieringsuppgift som identifierar en person ska förmedlas i det format i vilket den nationella noden tar emot uppgiften från det internationella eidas-gränssnittet. Uppgifterna ska kunna vidarebefordras mellan tjänsten för identifieringsförmedling och tjänsten för ärendehantering. Dessutom ska man förmedla en uppgift om huruvida identifieringstransaktionen gäller en offentlig eller en privat tjänst för ärendehantering Gränssnitt mellan leverantörer av tjänster för identifieringsförmedling och en nationell nod Identifieringsverktyg som Finland har anmält kan i framtiden användas vid identifiering i utländska offentliga tjänster för ärendehantering och utländska anmälda identifieringsverktyg kan i sin tur i framtiden användas vid identifiering i finländska offentliga tjänster för ärendehantering. Enligt ei- DAS-förordningen ska staterna möjliggöra detta senast den 18 september Än så länge finns det inte några EU-specifikationer eller finländska specifikationer om att använda den nationella noden för identifiering i privata tjänster för ärendehantering. Identifieringstransaktionerna mellan Finland och de övriga länderna kommer att förmedlas via en nationell nod (Pan European Proxy Server, PEPS) som administreras av Befolkningsregistercentralen.

64 MPS Gränssnittet mellan leverantörer av förmedlingstjänster och PEPS ska specificeras på nationell nivå. Det omfattas av samma allmänna krav som gäller gränssnitt mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling. I övrigt kan leverantören av förmedlingstjänsten och genomföraren av noden sinsemellan avtala om gränssnittets egenskaper. Visserligen är det ändamålsenligt att som protokoll välja ett protokoll som används i förtroendenätet. Komplettering till motiveringen 5/2018 Föreskriftens 13 gäller gränsöverskridande identifiering via den nationella noden. I den nationella noden fokuseras det först på identifiering i offentliga tjänster för ärendehantering och i följande fas görs en mera detaljerad bedömning av möjligheterna att genomföra identifiering i privata tjänster för ärendehantering. Identifiering med finländska verktyg i en ärendehanteringstjänst för en utländsk offentlig sektor sker från leverantör av identifieringsverktyg via tjänster för identifieringsförmedling och den nationella noden. Identifiering med utländska identifieringsverktyg i en tjänst för en finländsk offentlig sektor görs via den nationella noden och via suomi.fi-identifieringen. Eftersom den nationella noden ännu inte kan användas för identifiering i privata tjänster för ärendehantering kan kunder som använder utländska identifieringsverktyg identifieras i finländska tjänster för ärendehantering utifrån avtal på samma sätt som identifiering med finländska identifieringsverktyg i en tjänst för en utländsk privat sektor. Tillförlitligheten i utländska identifieringstjänster kunde konstateras på basis av anmälningar, eventuell reglering i identifieringstjänstens hemstat eller avtal. Om en identifieringstjänst som hör till förtroendenätet vill börja förmedla stark autentisering också till utlandet, omfattas gränssnittet och avtalsförhållandet mellan identifieringstjänsten och tjänster för ärendehantering av samma krav som vid tillhandahållandet till finländska tjänster för ärendehantering. Regleringen och s tillsyn täcker då kraven i autentiseringslagen och s föreskrift för identifieringsförmedlingen. eidas-förordningens krav på interoperabilitet och säkerhet vid gränsöverskridande identifiering i kommissionens förordning (EU) 2015/1501 gäller endast den nationella noden Typ av ärendehanteringstjänst Gränsöverskridande identifiering i offentliga tjänster för ärendehantering ska vara avgiftsfri. Utifrån eidas-förordningen och genomförandebestämmelserna är det dock vid identifiering i privata ärendehanteringstjänster möjligt att ta ut en ersättning för användning av identifieringsverktyg.

65 MPS Därför ska det vara möjligt att också via gränssnittet överföra en uppgift om huruvida identifieringstransaktionen gäller en offentlig eller en privat tjänst för ärendehantering. 14 Protokoll som används vid dataöverföring samt övriga krav Leverantörer av identifieringsverktyg, leverantörer av tjänster för identifieringsförmedling och leverantörer av tjänster för ärendehantering samt genomföraren av den nationella noden kan sinsemellan avtala om sådana övriga egenskaper för gränssnitten mellan dem och sådana tillämpliga protokoll som inte fastställs i denna föreskrift Motivering och tillämpning Syftet med paragrafen är att förtydliga att parterna i förtroendenätet sinsemellan kan avtala om vilket protokoll de ska använda vid förmedling av uppgifter och vilka uppgifter de ska de förmedla utöver den minimiuppsättning uppgifter som fastställs i denna föreskrift. Protokollen SAML 2.0 och Open ID Connect har granskats i anslutning till beredningen av föreskriften. utarbetar och publicerar modellprofiler för dessa protokoll för förmedling av uppgifter i form av rekommendationer 212/2016 S och 213/2016 S [11, 12]. Finansbranschens centralförbund, som är innehavare av protokollet, svarar för information om det nationella TUPAS-protokollets tillgänglighet och kartläggningen av utvecklingsbehoven. Protokollen behandlas i avsnitt 3.4 i konsekvensbedömningen (se avdelning A) Rekommendation om användning av SAML- eller Open ID Connectprotokollet och profilerna Förtroendenätet bör använda SAML 2.0- eller Open ID Connect-protokollet och deras nationella profiler som ger ut som separata rekommendationer 212/2016 S och 213/2016 S [11, 12]. 4 kap. Kriterier för kvalitetsrevision av en identifieringstjänst I detta kapitel behandlas bedömningen av överensstämmelsen hos en identifieringstjänst. 15 Kriterier för kvalitetsrevision Kvalitetsrevisioner av identifieringstjänster ska omfatta krav på 1) funktioner som påverkar tillhandahållandet av identifieringstjänsten (ett identifieringssystem) a) ledning avseende informationssäkerhet b) registerföring c) anläggningar och personal d) tekniska åtgärder 2) identifieringsmetod, dvs. identifieringsverktyg a) ansökan och registrering b) styrkande och kontroll av den sökandes identitet c) identifieringsmetodens egenskaper och utformning

66 MPS Motivering d) utfärdande, leverans och aktivering e) upphävande, återkallelse och återaktivering f) förnyelse och ersättning g) autentiseringsmekanismer. Kvalitetsrevisionerna av de delområden som anges i 1 mom. ska bygga på kraven i autentiseringslagen och denna föreskrift, bestämmelser eller guider som utfärdats av EU eller något annat internationellt organ, offentliggjorda och allmänt eller regionalt tillämpade anvisningar om informationssäkerhet eller allmänt använda standarder eller förfaranden för informationssäkerhet. I 1 mom. i paragrafen uppräknas de delområden av genomförandet och tillhandahållandet av identifieringstjänster, där uppfyllandet av de lagstadgade kraven ska visas antingen genom en extern eller genom en intern kvalitetsrevision. Kriterierna för kvalitetsrevision bygger på kraven i rättsakterna, särskilt EU:s förordning om tillitsnivåer [2]. Kraven på informationssäkerhet preciseras också i 2 kap. i denna föreskrift. Leverantörerna av identifieringstjänster kan uppfylla de krav på kvalitetsrevision som fastställs i bestämmelsen genom en eller flera kvalitetsrevisioner som leverantören har valt. I 18 om bedömningsorgans kompetens uppräknas internationella eller nationellt allmänt använda standarder som aktörerna under vissa förutsättningar kan utnyttja vid kvalitetsrevisioner. I 2 mom. i paragrafen finns bestämmelser om vilka krav en kvalitetsrevision ska uppfylla. De krav som identifieringssystem ska uppfylla föreskrivs i autentiseringslagen och EU:s förordning om tillitsnivåer och preciseras i denna föreskrift. Andra källor kan också beaktas vid kvalitetsrevisioner. Exempel på dessa är informationssäkerhetsstandarder som preciserar god sed inom informationssäkerhet och ger konkreta detaljer som är beaktansvärda vid kvalitetsrevisionen. Kompetenskraven på bedömningsorgan föreskrivs i 33 i autentiseringslagen och preciseras i 18 i denna föreskrift. En leverantör av identifieringstjänster som skaffar en kvalitetsrevision ska se till att de krav som uttryckligen gäller identifieringssystem och identifieringsmetod också beaktas vid kvalitetsrevisionen, även om produktionsoch administrationsmiljön för tjänsten ofta är endast en del av den övriga produktions- och administrationsmiljön och den övergripande kvalitetsrevisionen riktas till denna mer omfattande helhet Tillämpning, s anvisningar 211/2016 O och 215/2016 O publicerar modellkriterierna för kvalitetsrevision i anvisning 211/2016 O [25]. Genom användning av denna anvisning blir alla de delområden som krävs i föreskriften beaktade. Modellkriterierna baserar sig främst på standard ISO/IEC [8] som gäller ledning avseende informationssäkerhet. I modellkriterierna finns hänvisningar till de bestämmelser som har samband kraven.

67 MPS publicerar också anvisningen 215/2016 O om berättelser om bedömning av identifieringstjänster och betrodda tjänster [7]. I anvisningen redogörs för de uppgifter som ett bedömningsorgans inspektionsberättelse ska omfatta. Inspektionsberättelsen ska enligt 10 i autentiseringslagen lämnas till. 16 Utredning om att övriga krav är uppfyllda 16.1 Motivering Leverantören av en identifieringstjänst ska, antingen genom en egen skriftlig utredning eller genom en kvalitetsrevision enligt 15, visa att följande krav på tillförlitlighet hos leverantörer av identifieringstjänster och uppgifter om identifieringstjänsten är uppfyllda: 1) offentliggjorda meddelanden och användaruppgifter (t.ex. identifieringsprinciper, avtalsvillkor och prislistor) 2) en etablerad organisation 3) förmåga att ta skaderisker 4) tillräckliga ekonomiska resurser 5) ansvar för underleverantörer 6) en plan för verksamhetens upphörande. Paragrafen innefattar de delområden gällande tillförlitligheten hos leverantörer av identifieringstjänster som inte har särskilt samband med identifieringssystem, utan på en allmän nivå gäller aktörernas tillförlitliga handlingsförmåga och ansvar. Uppfyllandet av dessa krav kan visas genom företagets egen utredning till i anslutning till anmälan om inledande eller ändring av verksamhet. Uppfyllandet kan också visas genom en lämplig kvalitetsrevision. Under beredningen av föreskriften har branschen inte framlagt några förslag på standarder för allmänna krav på tillförlitlighet, och därför ges inga exempel på sådana standarder i denna föreskrift Tillämpning, s anvisning 214/2016 O I s anvisning 214/2016 O om anmälningar om identifieringstjänster och betrodda tjänster behandlas till vissa delar uppgifter eller bilagor som ska lämnas till. Det har dock inte utfärdats några detaljerade tillämpningsanvisningar om uppgifterna utan det innehåll som behövs bedöms bl.a. med hjälp av motiveringen till autentiseringslagen. 17 Grunder för bedömning av den nationella noden 17.1 Motivering Bedömningen av informationssäkerheten i den nationella noden ska bygga på ISO/IEC och Europeiska kommissionens genomförandeförordning (EU) 2015/ Bestämmelsen är främst informativ. I kommissionens genomförandeförordning (EU) 2015/1501 [23] nämns som antagande ledning av informations- 5 Kommissionens genomförandeförordning om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

68 MPS säkerhet, som bygger på ISO/IEC I föreskriften bekräftas detta antagande, eftersom det är en lösning som också lämpar sig för Befolkningsregistercentralens verksamhet i praktiken. Kommissionens genomförandeförordning innehåller några krav på verksamheten i noden. 5 kap. Kompetens hos organ för bedömning av identifieringstjänster 18 Krav på utomstående organ för bedömning av identifieringstjänster Att de oberoende- och kompetenskrav som ställs på bedömningsorgan i 33 i autentiseringslagen är uppfyllda kan visas genom 1) ackreditering utifrån standarden ISO/IEC 27001, eller kompetensen för en bedömning enligt standarden ska visas på något annat sätt 2) kompetens som har visats i enlighet med en internationellt känd självregleringsmetod som bygger på WebTrust-reglerna 3) ackreditering utifrån betalkortsstandarden PCI DSS, eller kompetensen för en bedömning enligt standarden ska visas på något annat sätt 4) kompetens som har visats i enlighet med ISACAs tillsynsram för standarder och informationssystem, eller 5) att visa eller följa en sådan kompetens som förutsätts i andra, med de ovannämnda jämställbara bestämmelser, anvisningar eller standarder för allmän ledning avseende informationssäkerhet eller sektorspecifik reglering eller standardisering. Att visa kompetensen för bedömning av identifieringssystem förutsätter att man också visar hur och till vilka delar de bestämmelser, anvisningar eller standarder som avses i 1 mom. gäller identifieringssystem Motivering I en ändringsanmälan och dess bilagor som enligt 10 i autentiseringslagen ska lämnas till lämnas tillsynsmyndigheten uppgifter om oberoende bedömning. Det ska också lämnas en utredning som gör det möjligt att bedöma att den som gjort bedömningen uppfyller de krav som ställs på bedömningsorgans oberoende och kompetens i 33 i autentiseringslagen. Syftet med paragrafen är att klargöra specificering av grunderna för ett bedömningsorgans oberoende och kompetens förutsebart. Syftet har också varit att klargöra att bedömningsorganets oberoende och kompetens inte kan basera sig på aktörens egen bedömning eller egna verksamhetssätt utan de ska vara objektivt motiverade. I 1 mom. i paragrafen finns exempel på sådana internationella standarder, regelverk eller ramar för självreglering som bedömningsorgans oberoende och kompetens kan bygga på. Förteckningen är inte fullständig och i punkt 5 fastslås de allmänna förutsättningarna för att visa bedömningsorgans oberoende och kompetens. Avsikten är att aktörerna så smidigt som möjligt ska kunna använda de bedömningar som de också i övrigt redan använder. Exempel på eventuella bedömningsorgan är kontrollorgan som är ackrediterade enligt ISO 27001, andra utomstående ISO kvalitetsrevisorer

69 MPS eller motsvarande bedömningsorgan som bygger på andra relevanta standarder. Av 2 mom. i paragrafen framgår att olika standarder eller regelverk kan användas vid oberoende och kompetenta bedömningar av identifieringssystem, förutsatt att bedömningen verkligen riktas till kraven på identifieringssystem. Det är leverantören av identifieringstjänsten som ansvarar för att detta förverkligas och bedömningen omfattar alla de delområden som anges i denna föreskrift. Av inspektionsberättelsen ska det på ett tydligt sätt framgå att revisionen de facto riktas till kraven på identifieringssystem Tillämpning Enligt 29 i autentiseringslagen kan ett bedömningsorgan som gör en kvalitetsrevision vara ett internt kontrollorgan, ett annat utomstående bedömningsorgan eller ett ackrediterat organ för bedömning av överensstämmelse. publicerar anvisningen 215/2016 O om berättelser för bedömning av identifieringstjänster och betrodda tjänster [7]. I anvisningen redogörs för de uppgifter som ett bedömningsorgans inspektionsberättelse ska omfatta. Nedan finns en riktgivande och informativ förteckning över standarderna och andra källor för sådana bedömningar som aktörerna i s register över identifieringstjänster enligt en förfrågan använder. Dessa standarder och källor kan också lämpa sig för bedömningar av identifieringssystem. Grunderna för oberoende och kompetens har inte särskilt specificerats i detta sammanhang. Det har inte heller utvärderats till vilka delar källorna skulle lämpa sig för bedömningar av kraven i identifieringssystem. Förteckningen över exemplen kan också lämpa sig för bedömning av kompetens hos interna kontrollorgan, som behandlas i nästa paragraf: - ISO PCI DSS, PCI/QSA - Webtrusts Trust Services Principles and Criteria for Certification Authorities och Webtrust for Certification Authorities SSL Baseline Requirements Audit Criteria - Information Security Forums (ISF) "Standard of Good Practice" - ISF:s IRAM-kriterier (Information Risk Analysis Methodology) - ETSI TS (CA policy) [25] - ISRS 4400 och ISAE Katakri - Vahti - Europeiska centralbankens eller Finansinpektionens föreskrifter eller anvisningar - Finansinspektionens standard 2.4 Kundkontroll och åtgärder mot penningtvätt, finansiering av terrorism och marknadsmissbruk

70 MPS Europeiska centralbankens Cybersecurity questionnary BIS (Bank for International Settlements) guide External audits of banks [26]. 19 Krav på interna organ för kontroll av identifieringstjänster 19.1 Motivering 19.2 Tillämpning Att de oberoendekrav som ställs på interna kontrollorgan i 33 i autentiseringslagen är uppfyllda kan visas genom att iaktta 1) IIA:s professionella standarder (oberoende och objektivitet i intern kontroll, inkl. organisatorisk oberoende), 2) ISACAs tillsynsram för standarder och informationssystem, 3) BIS (Bank for International Settlements) guide som gäller intern kontroll, 4) anvisningarna om intern kontroll i Finansinspektionens samling av föreskrifter och anvisningar, 5) föreskrifterna och anvisningarna om intern kontroll i Finansinspektionens samling av föreskrifter och anvisningar, 6) anvisningar eller föreskrifter som motsvarar anvisningar och föreskrifter som utfärdats av tillsynsmyndigheterna i övriga medlemsstater inom EES-området, eller 7) andra, med de ovannämnda jämställbara standarder för myndighetsreglering eller allmän hantering av oberoende intern kontroll. Att visa kompetensen för bedömning av identifieringssystem förutsätter att man också visar hur och till vilka delar en intern kontroll som är organiserad enligt de bestämmelser, anvisningar eller standarder som avses i 1 mom. riktas till identifieringssystemet. Motivering till paragrafen är samma som motiveringen till 18. Oberoende och kompetens hos ett internt kontrollorgan kan inte heller basera sig på aktörens egen bedömning eller egna verksamhetssätt utan de ska vara objektivt motiverade och av grundad anledning lämpa sig för bedömningar av kraven i identifieringssystem. Frågan behandlas i avsnitt i konsekvensbedömningen (se avdelning A). Sådana regelverk som nämns i paragrafens 2 mom. finns till exempel i följande källor: - Finansinspektionens samling av föreskrifter och anvisningar [27] o Intern styrning och organisation av verksamheten, avsnitt 5.6 Intern revision - BIS: The internal audit function in banks [26] 6 kap. Kvalificerade betrodda tjänster I detta kapitel beskrivs kraven för kvalificerade betrodda tjänster. I eidasförordningen föreskrivs också om icke kvalificerade betrodda tjänster och om elektroniska underskrifter. I bilaga 1 finns samlad information om betrodda tjänster och elektroniska underskrifter.

71 MPS Kriterier för bedömning av kvalificerad tillhandahållare av betrodda tjänster 20.1 Motivering Kvalificerade tillhandahållare av betrodda tjänster ska uppfylla kraven i eidas-förordningen och standarden SFS-EN Kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller certifikat ska uppfylla kraven i 1 mom. och standarden EN Kvalificerade tillhandahållare av betrodda tjänster som beviljar kvalificerade certifikat för elektroniska underskrifter eller stämplar eller autentisering av webbplatser ska uppfylla kraven i 1 och 2 mom. och standarden EN Kvalificerade tillhandahållare av betrodda tjänster som beviljar kvalificerade tidsstämplingar ska uppfylla kraven i 1 och 2 mom. och standarden EN Uppfyllande av kraven kan visas genom att iaktta standarderna i 1 4 mom. eller på något annat sätt på vilket motsvarande tillförlitlighet kan uppnås. I eidas-förordningen anges de krav som en kvalificerad tillhandahållare av betrodda tjänster ska uppfylla. För precisering av innehållet i kraven har Europeiska institutet för telestandarder ETSI enligt kommissionens mandat utfärdat standarder för tillhandahållare av betrodda tjänster. Standarderna omfattar detaljerade konkreta krav som säkerställer att tillhandahållaren av betrodda tjänster överensstämmer med eidas-förordningen när den uppfyller kraven i standarder. Standarderna är inte obligatoriska, utan funktionerna också kan genomföras på något annat sätt. Standarderna anger dock vilken tillitsnivå som ei- DAS-förordningen förutsätter. Om någon annan standard med motsvarande krav används, ska genomföraren av tjänsten särskilt visa att tjänsten uppfyller kraven i eidas-förordningen. Föreskriften innehåller hänvisningar till de standarder som är färdiga när föreskriften utfärdas. Målen för regleringen av betrodda tjänster och föreskriften behandlas allmänt i 3.1 i konsekvensbedömningen (se avdelning A) ETSIs standarder ETSIs standarder har satts i kraft i Finland som sådana och de finns också som SFS-standarder. Då märks standarden ut t.ex. SFS-EN Standarder som det hänvisas till i paragrafen finns grupperade nedan med information om den version av standarden som ska tillämpas just nu Allmänna krav på kvalificerade tillhandahållare av betrodda tjänster ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [28] Standarden innehåller allmänna serviceoberoende krav för tillhandahållare av betrodda tjänster. Den innehåller krav på bl.a. riskbedömning, informationssäkerhetspolicy och -praxis samt ledning av verksamheten.

72 MPS Krav på tillhandahållare av betrodda tjänster som beviljar certifikat ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [29] Standarden innehåller allmänna krav för tillhandahållare av betrodda tjänster som tillhandahåller certifikat. Standarden kompletterar och preciserar kraven i standard EN Standarden innehåller detaljerade krav bl.a. för certifikatpolicy och certifieringsstandard. Till standarden hänför sig en informativ bilaga C (Conformity Assessment Check list) med en checklista för att kontrollera kraven i standarden. Checklistan kan användas till exempel vid kvalitetsrevision av tillhandahållare av betrodda tjänster Krav på tillhandahållare av betrodda tjänster som beviljar kvalificerade certifikat ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates [30] Standarden innehåller krav på tillhandahållaren av betrodda tjänster som tillhandahåller kvalificerade certifikat enligt eidas-förordningen. Den kompletterar kraven i standard EN för att motsvara de speciella kraven i eidas. De ytterligare kraven gäller bl.a. certifikatpolicy och certifieringsstandard. Till standarden hänför sig en informativ bilaga B (Conformity Assessment Check list) med en checklista för att kontrollera kraven i standarden. Checklistan kan användas till exempel vid kvalitetsrevision av tillhandahållare av betrodda tjänster Krav på tillhandahållare av betrodda tjänster som beviljar kvalificerade tidsstämplingar ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Electronic Time-Stamps [31] Standarden innehåller kraven på informationssäkerhetspolicy och kraven på informationssäkerhet för tillhandahållaren av betrodda tjänster som tillhandahåller elektronisk tidsstämpling. Standarden hänvisar främst till kraven i standarden EN , men preciserar dem till en viss del. Standarden omfattar detaljerade krav på administration av enheten TSU (Time- Stamping Unit) som innehåller en tidsstämpling till en elektronisk underskrift. Till standarden hänför sig en informativ bilaga H (Conformity Assessment Check list) med en checklista för att kontrollera kraven i standarden. Checklistan kan användas till exempel vid kvalitetsrevision av tillhandahållare av betrodda tjänster.

73 MPS Kriterier för bedömning av kvalificerade betrodda tjänster Certifikat som beviljas av kvalificerade betrodda tjänster ska uppfylla kraven i eidas-förordningen på certifikat för elektroniska underskrifter och stämplar och autentisering av webbplatser samt i tillämpliga delar kraven i standarderna EN , EN , EN , EN och EN Kvalificerade tidsstämplingstjänster ska använda protokoll och profil för tidsstämpel enligt EN Uppfyllande av kraven kan visas genom att iaktta standarderna i 1 2 mom. eller på något annat sätt på vilket motsvarande tillförlitlighet kan uppnås Motivering och tillämpning Kvalificerade betrodda tjänster som avses i EU-lagstiftningen kan vara elektroniska underskrifter, elektroniska stämplar, tjänster för validering och bevarande av elektroniska underskrifter och stämplar, elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och autentisering av webbplatser (se närmare BILAGA 1) Kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och autentisering av webbplatser I bilagorna I, III och IV i eidas-förordningen anges kraven som gäller kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och autentisering av webbplatser. För precisering av innehållet i kraven har Europeiska institutet för telestandarder ETSI enligt kommissionens mandat utfärdat de standarder som uppräknas i föreskriftstexten. Standarderna omfattar detaljerade konkreta krav som säkerställer att den betrodda tjänsten överensstämmer med eidasförordningen när den uppfyller kraven i standarder. Standarderna är inte obligatoriska, utan tjänsterna också kan genomföras på något annat sätt. Standarderna anger dock vilken tillitsnivå som eidasförordningen förutsätter i tjänster. Om en tjänst genomförs enligt en hänvisad standard, blir kraven i eidas beaktade. Om någon annan standard med motsvarande krav används, ska genomföraren av tjänsten särskilt visa att tjänsten uppfyller kraven i eidas-förordningen. I de certifikatprofiler som uppräknas i föreskriften ingår en standard som innehåller allmänna krav, standarder enligt den avsedda tillämpningen av certifikatet samt en standard som specificerar innehållet i de kvalificerade certifikaten (statements). Till den del standarderna har delar som gäller uppfyllande av kraven i EU-lagstiftningen och delar som gäller övriga krav, anses kraven i EU-lagstiftningen vara lämpliga med tanke på denna föreskrift. Certifikatprofiler - allmänna: ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures [32]

74 MPS Certifikatprofiler - fysiska personer: ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons [33] Certifikatprofiler - juridiska personer: ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons [34] Certifikatprofiler - certifikat för autentisering av webbplatser: ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates [35] Certifikatprofiler - QCStatements: ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements [36] Kvalificerade elektroniska tidsstämplingar Artikel 42 i eidas-förordningen innehåller kraven för kvalificerad elektronisk tidsstämpling. För precisering av innehållet i kraven har Europeiska institutet för telestandarder ETSI enligt kommissionens mandat än så länge utfärdat endast standarde EN som nämns i föreskriftstexten. Om protokollet och profilen för tidsstämplingstjänsten har genomförts enligt denna standard, blir kraven i eidas uppfyllda för de delar. Om någon annan standard med motsvarande krav används, ska genomföraren av tjänsten särskilt visa att kraven i eidas-förordningen uppfylls. ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles [37] 21.2 Betrodda tjänster om vilka närmare föreskrifter inte meddelas Kraven på kvalificerade elektroniska tjänster för rekommenderade leveranser fastställs i artikel 44 i eidas. Standardiseringen av tjänsterna pågår fortfarande och därför innehåller föreskriften inga hänvisningar till mer detaljerade krav. Standarderna för elektroniska tjänster för rekommenderade leveranser ska beredas i ETSIs standardserie EN För tillfället utarbetas standarden ETSI EN Policy & security requirements for electronic registered delivery service providers [38], som kommer att bygga på REM-specifikationerna (Registered Electronic Mail) i specifikationsserien TS x [39]. REM-specifikationerna ska också omarbetas i framtiden och publiceras i standardserie EN REM-standarderna kan utnyttjas som basis för planeringen av elektroniska tjänster för rekommenderade leveranser, men de slutliga kraven kommer att specificeras i standardserien EN REM-specifikationer

75 MPS TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 1: Architecture - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 2: Data requirements, Formats and Signatures for REM - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 3: Information Security Policy Requirements for REM Management Domains - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 4: REM-MD Conformance Profiles - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 5: REM-MD Interoperability Profiles 7 kap. Organ för bedömning av överensstämmelse hos betrodda tjänster 22 Bedömning av bedömningsorgans kompetens 22.1 Motivering För att ett organ för bedömning av överensstämmelse hos betrodda tjänster ska kunna uppfylla kraven i 33 1 mom. 3 4 punkten i autentiseringslagen ska bedömningsorganet uppfylla kraven i EN eller motsvarande krav. För att ett organ för bedömning av överensstämmelse hos betrodda tjänster ska kunna uppfylla kraven i 33 1 mom. 2 punkten i autentiseringslagen ska bedömningsorganet ha tillräcklig kompetens för att utföra bedömningar enligt bedömningskriterierna för tillhandahållare som uppräknas i 20 och för betrodda tjänster som uppräknas i 21. Kommissionen har inte fattat något genomförandebeslut utifrån vilket de standarder som gäller organ för bedömning av överensstämmelse skulle preciseras med stöd av artikel 20.4 i eidas. Den europeiska samarbetsorganisationen för ackreditering (European cooperation for Accreditation EA) har tagit fram dokumentet EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article [40] Dokumentet fastställer på vilket sätt man vid ackreditering av organ för bedömning av överensstämmelse hos betrodda tjänster (Conformity Assessment Bodies CAB) ska övergå från tidigare praxis till praxis enligt ei- DAS, vilka ackrediteringskrav bedömningsorganen ska uppfylla och vilka frågor organen ska ha kompetens för. Grunden utgörs av ETSIs standarder. Eftersom kommissionen inte kommer att bereda en genomförandebestämmelse om frågan, ligger standarderna i EA:s dokument till grund för ackreditering och godkännande av organ för bedömning av överensstämmelse.

76 MPS Kraven på organ för bedömning av överensstämmelse ingår i standarden ETSI EN V2.2.2 ( ) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers [41]. Standarden bygger på ISO/IEC 17065, som fastställer de allmänna kraven för bedömningsorgan. Standarden EN kompletterar kraven i ISO/IEC särskilt med krav på tillhandahållare av betrodda tjänster och deras tjänster. I enlighet med autentiseringslagen ska ett bedömningsorgan ha kompetens för att bedöma en tjänsteleverantör och de tjänster som den tillhandahåller. Föreskriftens 20 och 21 innehåller krav på tillhandahållare av betrodda tjänster och betrodda tjänster, vilket betyder att bedömningsorganet ska vara kompetent för bedömning enligt de standarder som nämns i paragraferna Ackreditering och godkännande av bedömningsorgan En förutsättning för att få statusen organ för bedömning av överensstämmelse är att man genom en ackreditering som ansöks hos FINAS [4] visar att kraven på oberoende och kompetens enligt autentiseringslagen är uppfyllda. När FINAS fattar ett sådant beslut om kriterier för ackreditering av ett bedömningsorgan som avses i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005), kan FINAS också beakta andra krav för bedömning av oberoende och kompetens än de standarder som denna föreskrift hänvisar till. Därutöver ska bedömningsorganet ansöka om godkännande hos. För godkännandet krävs FINAS ackreditering och en redogörelse för de anvisningar och den uppföljning av anvisningarna som krävs i 33 1 mom. 4 punkten i autentiseringslagen. I bilden nedan beskrivs förhållandena mellan de allmänna ackrediteringsreglerna och tillsynen per sektor enligt eidas vid bedömning av överensstämmelse hos betrodda elektroniska tjänster.

77 MPS Bild 2: Schema för bedömning av tillhandahållaren av betrodda tjänster (Källa: Europeiska byråns för nät- och informationssäkerhet ENISAs dokument Auditing Framework for TSPs, Guidelines for Trust Service Providers, Version December 2014 [42]) 8 kap. Certifiering av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar 23 Krav på anordningar för skapande av elektroniska underskrifter eller stämplar 23.1 Motivering Kraven på en fysisk chipförsedd anordning för skapande av en elektronisk underskrift eller stämpel som användaren äger föreskrivs i EU-kommissionens genomförandebeslut (EU) 2016/ Kraven grundar sig på kommissionens genomförandebeslut (EU) 2016/650 [43]. I kommissionens genomförandebeslut bekräftas att följande standarder utgör basis för certifieringen: Allmän standard för bedömning av IT-säkerhet ISO/IEC Information technology -- Security techniques -- Evaluation 6 KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

78 MPS criteria for IT security - standardserien [44] är känd som Common Criteriakrav. De övriga standarderna som bekräftats i kommissionens genomförandebeslut är - ISO/IEC 18045:2008 Information technology Security techniques Methodology for IT security evaluation [45] - EN Protection profiles for secure signature creation device, osat 1 6 [46] enligt behov på följande sätt: o o o o o o EN :2014 Protection profiles for secure signature creation device Part 1: Overview EN :2013 Protection profiles for secure signature creation device Part 2: Device with key generation EN :2013 Protection profiles for secure signature creation device Part 3: Device with key import EN :2013 Protection profiles for secure signature creation device Part 4: Extension for device with key generation and trusted channel to certificate generation application EN :2013 Protection profiles for secure signature creation device Part 5: Extension for device with key generation and trusted channel to signature creation application EN :2014 Protection profiles for secure signature creation device Part 6: Extension for device with key import and trusted channel to signature creation application 23.2 Ännu inte färdiga standarder för serverbaserad anordning för underskriftsframställning och tjänsten för elektronisk signering Distansanordning eidas och kommissionens genomförandebeslut gäller också sådana metoder för skapande av underskrifter eller stämplar, där användaren inte fysiskt äger anordningarna för skapandet, utan dessa finns på en server. Standardiseringen av en serverbaserad implementering av informationssäkerhetskrav pågår fortfarande. Eftersom standarderna ännu inte är färdiga, innehåller kommissionens genomförandebeslut varken hänvisningar till standarderna eller andra preciseringar av kraven i eidas. CEN [47] förbereder standarder krav på sådana serverbaserade anordningar för skapande av underskrifter som inte fysiskt administreras av den som gör underskriften. Föreskriften innehåller inga hänvisningar till de icke-färdiga standarderna, och har inte heller strävat efter att ta fram några

79 MPS nationella, mer detaljerade tekniska definitioner för kraven på serverbaserade anordningar för skapande av underskrifter. Enligt saknas förutsättningar att fastställa krav som ger möjligheter till en tillräckligt grundlig bedömning av en tjänsts tillförlitlighet så att kraven förutsebart kan godkännas även i de övriga EU-länderna. Aktörerna är till och med mycket intresserade av att tillhandahålla serverbaserade underskrifter, men läget är otillfredsställande för marknaden, eftersom det i praktiken inte är möjligt att få en certifierad status enligt ei- DAS för anordningar för skapande. Förhoppningsvis blir läget klarare de närmaste åren när den internationella standardiseringen framskrider Läget för standardisering av tjänster för elektronisk signering ETSI har börjat standardiseringsarbete för specificering av krav på signeringstjänster. Följande standarder är under arbete: - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 1 Trusted Service manager [48] - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 2: local signing on mobile device - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 3: local signing on general device - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 4: remote signing - ( ) DTS/ESI Protocol for TSPs providing signature validation services [49] Avsnitt 3.8 i konsekvensbedömningen (se avdelning A) behandlar det att inga andra tjänster än kvalificerade betrodda tjänster enligt eidas införs i förteckningen över betrodda tjänster i Finland, vilket omfattar både begränsningar för tjänstetyper och grunder för godkännande. 24 Krav på certifieringsorgan För att kraven enligt 36 i autentiseringslagen ska kunna uppfyllas, krävs tillräcklig kompetens och resurser i fråga om den anordning som certifieras för verifiering av de krav som ställs i eidas och kommissionens genomförandebeslut som nämns i 23. Att de krav som avses i 1 mom. är uppfyllda kan visas genom ackreditering eller någon annan redogörelse. Kompetensen kan också visas genom att omfattas av SOGIS-MRA-avtalet mellan vissa certifieringsorgan i EU-medlemsstater (Senior Officers Group for Information Systems, Mutual Recognition Agreement) Motivering och tillämpning Om en finländsk certifieringsinstans vill ansöka om att bli ett kvalificerat certifieringsorgan, kan instansen ansöka om godkännande hos Kommuni-

80 MPS kationsverket i enlighet med 36 i autentiseringslagen och under de förutsättningar som föreskrivs i den paragrafen. I 24 2 mom. i denna föreskrift finns bestämmelser om hur kompetensen kan visas. Möjliga metoder är åtminstone ackreditering, som innebär FINAS kompetensbedömning, och anslutning till ett förfarande för kompetensbedömning som bygger på peer review enligt SOGIS-MRA-avtalet. SOGIS-MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement)[50] är ett europeiskt system för ömsesidigt erkännande av certifieringar. Avtalet omfattar åtta länder som har egna certifieringsinstanser (qualified/authorising participant) och två länder (consuming participant) som saknar egna certifieringsinstanser (bl.a. Finland). De standarder för SSCD (Secure Signature Creation Device) som används i systemet är standarderna i serien EN , som anges i kommissionens genomförandebestämmelse. Certifieringar för de certifieringsorgan som EU-medlemsstater eller medlemsstater inom EES-området har anmält till kommissionen och som har godkänts i medlemsstaterna är som sådana giltiga även i Finland. För tillfället omfattar SOGIS-MRA-avtalet även en stor del av de till kommissionen anmälda certifieringsorganen. 9 kap. Ikraftträdandebestämmelser 25 Ikraftträdande och övergångsbestämmelser 25.1 Motivering Denna föreskrift träder i kraft 22 maj 2018 och gäller tills vidare. Genom denna föreskrift upphävs s föreskrift 72/2016 M av den 2 november 2016 om elektroniska identifieringstjänster och betrodda elektroniska tjänster. Om Tupas-protokollet används för identifieringstjänstens gränssnitt, ska kraven i 2 kap. 7 4 mom. och 8 3 mom. gällande kryptering av personuppgifter på meddelandenivå och kravet i 9 2 mom. gällande kryptering av personuppgifter i gränssnitt för ärendehanteringstjänster och terminalenheten till alla delar vara uppfyllda senast den 1 oktober Leverantörer av identifieringstjänster ska specificera det tekniska genomförande som uppfyller kraven i denna föreskrift senast den 1 oktober 2018 och göra de ändrade gränssnitten tillgängliga i förtroendenätet samt för förlitande parter senast den 1 mars Beredskap att förmedla uppgifter enligt föreskriftens 12 2 mom. ska vara tekniskt planerad i identifieringssystemet senast den 1 oktober Föreskrift 72/2016 M trädde i kraft den 2 november Föreskriftsändringen 72A/2018 M träder i kraft den 22 maj I föreskriften ändras endast de övergångsperioder som fastställs i denna paragraf. Tidsfrister för Tupas-övergången i 3 mom. De övergångsperioder som finns i 3 mom. i paragrafen är nödvändiga på grund av att ärendehanteringstjänster i stor utsträckning fortfarande till-

81 MPS lämpar ett förfarande som Tupas-protokollet möjliggör och som är svagt med tanke på informationssäkerheten i personuppgifter. I detta förfarande krypteras personbeteckningar inte i ärendehanteringstjänsternas gränssnitt (trots att den överordnade länken krypteras) och personbeteckningen levereras så att den kan finnas kvar till påseende i klartext bl.a. i webbserverloggar eller i webbläsarprogrammet. Ändring av förfarandet kräver även en ändring av tjänsterna för ärendehantering och därför bör tid reserveras för övergången. Genom föreskriftsändringen 72A/2018 M förlängs övergångsperioden, eftersom banker som tillhandahåller identifieringstjänster på basis av Tupasprotokollet inte har kunnat genomföra ändringarna i sina ärendehanteringstjänster inom den ursprungliga tidsfristen. Utan förlängning skulle det bli avbrott i ärendehanteringstjänsternas identifieringstjänster. Förlängningen främjar också ärendehanteringstjänsternas möjligheter att konkurrensutsätta identifieringstjänster i samband med ändringen. På basis av samrådet med aktörerna anser att det är klart att identifieringstjänster som bygger på Tupas-protokollet för tjänster för ärendehantering kommer att ersättas med en tjänst som bygger på SAML- eller OIDC-protokollet och att det därför inte längre är nödvändigt att bedöma utvecklingen av Tupas-protokollet. Övergången sker i faser. Faserna följer de normala produktionsfaserna: planering, tillhandahållande av ny tjänst vid sidan om den gamla tjänsten och som sista fas ändringar i gränssnitten för ärendehanteringstjänster även i gamla avtalsförhållanden. Faserna hjälper också att övervaka att ändringarna genomförs. Tidsfristen för planeringen är den 1 oktober Krypteringskraven har specificerats den 2 november Specificeringen stöds av s rekommendationer om SAML- och OIDCgränssnitten som publicerades i januari Som utkast har de varit tillgängliga redan tidigare. I samråden i april 2018 har en del av aktörerna konstaterat att specifikationerna redan har gjorts. Detta stöder det antagandet att det med befintlig information har varit möjligt att planera ett produktionsfärdigt gränssnitt som uppfyller kraven. Därför kan det skäligen förutsättas senast den 1 oktober Tidsfristen för tillhandahållandet av den nya tjänsten är den 1 mars Det är viktigt att de nya gränssnitten finns tillgängliga för sådana tjänster för ärendehantering som har beredskap att ta dem i användning. övervägde också en strängare tidsfrist. Aktörerna skulle ha haft möjlighet att bereda specifikationerna och många aktörer har gjort så. Det skulle också vara möjligt att börja planera överföring till pro-

82 MPS duktion före den 1 oktober 2018 som är deadline för att de tekniska specifikationerna ska vara färdiga. På basis av samråd med aktörerna måste dock konstatera att verket inte fick tillräckligt omfattande information om hur långt man hunnit med planeringen av de nya SAML- och/eller OIDC-gränssnitten samt att vissa banker har ansett att det är omöjligt att överföra det nya gränssnittet till produktion. På dessa grunder anser att vissa bankers förmåga att tillförlitligt tillhandahålla nya gränssnitt för tjänster för ärendehantering tidigare är så pass osäker att det är tryggare att sätta en deadline för tillhandahållandet till den 1 mars rekommenderar att de banker som kan genomföra ändringen tidigare, gör gränssnitten tillgängliga före den sista deadlinen. Alla gränssnitt för stark autentisering mellan identifieringstjänster och tjänster för ärendehantering ska överensstämma med kraven den 1 oktober Detta förlänger den ursprungliga övergångsperioden (den 18 september 2018) med ett år. Identifieringstjänster som bygger på Tupas-protokollet kan hållas tillgängliga parallellt med det nya gränssnittet till slutet av övergångsperioden för att undvika avbrott i ärendehanteringstjänsternas identifieringstjänster. anser att det är i första hand identifieringstjänsternas uppgift att informera tjänster för ärendehantering om ändringsbehovet, men informerar om saken med till buds stående medel. Den sista tidsfristen är nära ikraftträdandet av kommissionens tekniska tillsynsstandard (EU) 2018/389 som preciserar EU:s andra betaltjänstdirektiv (PSD2). Standarden träder i kraft den 14 september Avsikten har varit att synkronisera tidsfristerna, men av praktiska skäl har en tidsfrist vid månadsskiftet ansetts vara ändamålsenligare för ändringarna i identifieringstjänster. Övergångsperioden för icke-obligatoriska attribut i 4 mom. I paragrafens 4 mom. fastställs en övergångsperiod för beredskap att förmedla icke-obligatoriska attribut enligt 12 2 mom. i det gränssnitt som används för förtroendenätet. Med beredskap avses planering av förmedling av uppgifterna i identifieringssystemet. Övergångsperioden för planeringen är samma som deadline för specificeringen av Tupas-övergången, den 1 oktober Motivering till och tillämpning av övergångsperioden och beredskapen behandlas i punkt 12.1.

83 MPS AVDELNING C Övriga frågor som har samband med föreskriftens ämnesområde I denna avdelning beskrivs övriga frågor och informationskällor som har nära samband med föreskriftens ämnesområde. 1 Rekommendation om tillförlitligt klockslag i identifieringssystem Leverantören av identifieringstjänster bör skaffa sig en tillförlitlig tidskälla med vilken leverantören synkroniserar klockslaget i sitt system. Klockslaget behövs för att på ett tillförlitligt sätt visa transaktionstider. Den rekommenderade feltoleransen är 0,5 sekunder. Synkronisering mellan aktörer behövs troligen inte. Frågan omfattas av rekommendationen ITU-R TF.1876 (03/2010) Trusted time source for time stamp authority [51]. Möjliga tidskällor är exempelvis VTT:s/MIKES NTP eller PTP, av vilka den sistnämnda har tillgänglighetsgaranti. Det finns också andra alternativ. 2 Avancerade elektroniska underskrifter 2.1 Bakgrund Vissa lagar förutsätter signatur genom avancerad elektronisk underskrift, som föreskrivs i eidas. Till exempel i 16 i lagen om elektronisk kommunikation i myndigheternas verksamhet förutsätter avancerad elektronisk underskrift eller någon annan motsvarande metod. En beslutshandling får signeras elektroniskt. Myndigheten ska signera handlingen med en avancerad elektronisk underskrift som uppfyller kraven enligt artikel 26 i Europaparlamentets och rådets förordning (EU) Nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG eller annars på ett sådant sätt att man kan försäkra sig om handlingens autenticitet och integritet. får frågor om huruvida vissa tillhandahållna tjänster uppfyller kraven för avancerade elektroniska underskrifter och om tjänsterna på så vis är användbara för signering av handlingar. Enligt eidas-förordningen är avancerade elektroniska underskrifter inte sådana kvalificerade betrodda tjänster. På basis av 42 a i autentiseringslagen införs de inte i en förteckning över betrodda tjänster enligt artikel 22 i den förordningen. På basis av 43 a i autentiseringslagen och artikel 17.3 i eidas-förordningen övervakar icke kvalificerade betrodda tjänster endas i efterhand. Leverantörerna av tjänster för elektro-

84 MPS nisk ärendehantering och leverantörerna av tjänster för elektronisk signering ska därför utvärdera om en viss tjänst uppfyller kännetecknen och kraven för avancerade elektroniska underskrifter eller inte. I detta kapitel beskrivs egenskaperna hos avancerade elektroniska underskrifter så att beskrivningen kan användas som stöd vid bedömningen. 2.2 Lagstiftningsbakgrund Kraven med avseende på avancerade elektroniska underskrifter fastställs i artikel 26 i eidas. Enligt artikeln ska en avancerad elektronisk underskrift uppfylla följande krav: a) Den ska vara unikt knuten till undertecknaren. b) Undertecknaren ska kunna identifieras genom den. c) Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. d) Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. Närmare bestämmelser om elektroniska underskrifter i offentliga tjänster finns i artikel 27 i eidas enligt följande: 1. Om en medlemsstat kräver en avancerad elektronisk underskrift för användningen av en nättjänst som erbjuds av ett offentligt organ eller på ett offentligt organs vägnar, ska medlemsstaten erkänna avancerade elektroniska underskrifter, avancerade elektroniska underskrifter som är baserade på ett kvalificerat certifikat för elektroniska underskrifter och kvalificerade elektroniska underskrifter i åtminstone de format eller med de metoder som anges i de genomförandeakter som avses i punkt Om en medlemsstat kräver en avancerad elektronisk underskrift som är baserad på ett kvalificerat certifikat för användningen av en nättjänst som erbjuds av ett offentligt organ eller på ett offentligt organs vägnar, ska medlemsstaten erkänna avancerade elektroniska underskrifter som är baserade på ett kvalificerat certifikat och kvalificerade elektroniska underskrifter i åtminstone de format eller med de metoder som anges i de genomförandeakter som avses i punkt Medlemsstaterna ska för gränsöverskridande användning av nättjänster som erbjuds av ett offentligt organ inte kräva en elektronisk underskrift med en högre säkerhetsnivå än den som gäller för kvalificerade elektroniska underskrifter. 4. Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för avancerade elektroniska underskrifter. Överensstämmelse med de krav på avancerade elektroniska underskrifter som avses i punkterna 1 och 2 i denna artikel samt i artikel 26 ska förutsättas när en avancerad elektronisk underskrift uppfyller

85 MPS dessa standarder. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel Kommissionen ska senast den 18 september 2015 och med beaktande av befintliga rutiner, standarder och unionsrättsakter, genom genomförandeakter, fastställa referensformat för avancerade elektroniska underskrifter eller referensmetoder i de fall alternativa format används. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel Kommissionen har fattat ett genomförandebeslut (EU) 2015/1506 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. [52] De tekniska kraven som framgår av genomförandebeslutet beskrivs i nästa avsnitt. 2.3 Tekniska krav på avancerade elektroniska underskrifter Kommissionens genomförandebeslut (EU) 2015/1506 [52] innehåller en förteckning över fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 27.5 och 37.5 i eidas. Genomförandebeslutet innehåller en förteckning över följande standarder: - Basprofil XAdES ETSI TS v [53] - Basprofil CAdES ETSI TS v [54] - Basprofil PAdES ETSI TS v [55] - Basprofil för tillhörande underskriftsbehållare ETSI TS v [56] Vid användning av andra format ska möjligheterna till validering av underskriften ges ((EU) 2015/1506, artikel 2). Elektroniska stämplar ska iaktta samma standarder som underskrifterna. Den enda skillnaden är att en stämpel görs i en juridisk persons namn och den möjliggör till exempel en systemsignatur. Nedan finns en preliminär granskning av kännetecknen för avancerade elektroniska underskrifter i förhållande till chip- och serverbaserade implementeringar. De angivna metoderna är endast observationer och urval av möjliga implementeringsmetoder. har inte bedömt metoderna eller enskilda tjänster noggrant eller utrett hur myndigheterna i andra medlemsstater förhåller sig till tolkningen av eidas-förordningen. En avancerad elektronisk underskrift a) Den ska vara unikt knuten till undertecknaren.

86 MPS Kravet kan uppfyllas till exempel så att man förvarar en privat nyckel på ett chip med vilken en skapad underskrift kan kontrolleras genom att använda ett certifikat inhämtat från en offentlig katalog (som innehåller uppgifter om den publika nyckeln och identifieringsuppgifter). En sådan underskrift är unikt knuten till undertecknaren. - Kravet kan också uppfyllas till exempel så att man förenar identifieringen och dokumentet i underskriften på en server. Skillnaden mot föregående exempel är att servern administrerar uppgifterna om nyckeln. - Chipförsedda PKI-certifikat tillhandahålls åtminstone av Befolkningsregistercentralen. Också mobilcertifikat möjliggör PKIimplementeringen. b) Undertecknaren ska kunna identifieras genom den. - Kravet kan uppfyllas till exempel så att det certifikat för chipet som finns i certifikatkatalogen innehåller personens elektroniska kommunikationskod eller organisationscertifikatet innehåller en uppgift om personen och organisationen. - Kraven kan också uppfyllas till exempel så att den som registrerar sig identifieras med ett starkt elektroniskt identifieringsverktyg, som TUPAS. c) Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. - Kravet kan uppfyllas till exempel så att användaren äger chipet med uppgifter om skapande av underskriften och uppgifterna är skyddade exempelvis med en PIN-kod. - En obesvarad fråga är hur sekretessen i de uppgifter om skapande av underskrift som finns på servern kan garanteras. - Enbart stark autentisering tryggar inte hanteringen av uppgifter om skapande för en undertecknare. d) Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. - Kravet kan uppfyllas åtminstone genom alla PKI-implementeringar, eftersom underskriften då görs genom att beräkna en så kallad hash på den uppgift som ska undertecknas. Om den uppgift som ska undertecknas ändras, förändras också underskriften (hashen). Genom att jämföra underskriften av uppgiften (hashen) med den has som mottagaren av uppgiften har beräknat kan det ses om den undertecknade uppgiften har ändrats efter signeringen.

87 MPS Genom att kryptera hashen kan det dessutom säkerställas att den hash som beräknats på det undertecknade dokumentet inte kan ändras. - Allt som allt har PKI-arkitekturen ansetts vara ett vedertaget sätt för avancerad elektronisk underskrift, och det är en öppen fråga om den kan genomföras på något annat sätt. Avdelning D Lagstiftning 1 Rättsgrund 1.1 Finsk lagstiftning s befogenhet att meddela föreskrifter fastställs i 42 2 mom. i autentiseringslagen. får meddela närmare föreskrifter om 1) kraven enligt 8 1 mom. 4 och 5 punkten på säkerhet och tillförlitlighet i identifieringssystemet, 2) innehållet i de uppgifter som ska anmälas enligt 10 och inlämnandet av dem till, 3) egenskaperna enligt 12 a 2 mom. hos förtroendenätets gränssnitt, 4) när störningar som avses i 16 är betydande och innehållet i anmälningar enligt 16 1 mom. samt anmälningarnas form och inlämnandet av dem, 5) grunderna för bedömningen enligt 29, 30 och 32 av överensstämmelsen hos en identifieringstjänst, en betrodd tjänst och den nationella noden, 6) kompetenskraven enligt 33 för organ för bedömning av överensstämmelse med beaktande av vad som föreskrivs i EU:s förordning om elektronisk identifiering, 7) de uppgifter som ska ingå i en ansökan enligt 35 och inlämnandet av dem till, 8) de krav som ställs på certifieringsorgan som avses i 36, förfarandet vid certifiering och kraven på anordningar för skapande av underskrifter och stämplar med beaktande av vad som föreskrivs i EU:s förordning om elektronisk identifiering. Kraven på informationssäkerhet och anmälan om störningar i 2 kap. i föreskriften bygger på 42 2 mom. 1 och 4 punkten. Genom föreskriften preciseras lagens krav i 8 och 16.

88 MPS Kraven i 3 kap. på uppgifter som ska förmedlas i förtroendenätets gränssnitt bygger på 42 2 mom. 3 punkten. Genom föreskriften preciseras lagens krav i 12 a och kraven i statsrådets förordning om förtroendenätet 169/2016. Kriterierna för kvalitetsrevision av en identifieringstjänst i 4 kap. bygger på 42 2 mom. 5 punkten. Genom föreskriften preciseras lagens krav i 29 och i 8 1 mom. 5 punkten på ledning avseende informationssäkerhet samt lagens krav i 30. Kraven på organ för bedömning av identifieringstjänster i 5 kap. bygger på 42 2 mom. 6 punkten. Genom föreskriften preciseras lagens krav i 33. Kraven på tillhandahållande av kvalificerade betrodda tjänster i 6 kap. bygger på 42 2 mom. 5 punkten. Genom föreskriften preciseras kraven i ei- DAS-förordningen på kvalificerade tillhandahållare av betrodda tjänster och kvalificerade betrodda tjänster till den del dessa omfattas av standarder för sådana tjänster som fastställs i eidas och som har tagits fram inom ramen för Europeiska kommissionens standardiseringsmandat för ETSI och CEN. Kraven på kompetens hos organ för bedömning av överensstämmelse hos betrodda tjänster i 7 kap. bygger på 42 2 mom. 6 punkten. Genom föreskriften preciseras lagens krav i 33 och, när det gäller bedömningsorgans kompetens, har dessa krav direkt samband med kraven i 6 kap. i föreskriften. Förutsättningarna för certifiering av anordningar för skapande av elektroniska underskrifter och stämplar i 8 kap. bygger på 42 2 mom. 8 punkten. Genom föreskriften preciseras lagens krav i Övriga bestämmelser 2.1 Statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering 169/ mom. i statsrådets förordning om förtroendenätet behandlar förtroendenätets tekniska gränssnitt. 1 Förtroendenätets tekniska gränssnitt De tekniska gränssnitt som avses i 12 a 2 mom. i lagen om stark autentisering och elektroniska signaturer (617/2009), nedan autentiseringslagen, är 1) gränssnittet mellan leverantörer av identifieringsverktyg, 2) gränssnittet mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för förmedling av identifiering, 3) gränssnittet mellan en leverantör av tjänster för förmedling av identifiering och en part som förlitar sig på identifieringstjänsterna. I 2 och 3 kap. i föreskriften preciseras kraven på informationssäkerhet i alla de angivna gränssnitten. I kap. 3 preciseras egenskaperna hos gränssnitten

89 MPS enligt 2 och 3 punkten i fråga om vilka uppgifter som ska kunna förmedlas via sådana gränssnitt. 2.2 EU:s iidas-förordning (EU) 910/2014 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG För identifieringstjänster är mest centrala de genomförandeakter som utfärdats med stöd av eidas-förordningen. De behandlas i följande punkt. Kraven på kvalificerade betrodda tjänster finns i avsnitt 2-8 i eidasförordningen. Centrala allmänna krav finns i artikel 19 och 24 och servicespecifika krav i följande artiklar: - kvalificerat certifikat för elektronisk underskrift (artikel 28) - kvalificerad valideringstjänst för kvalificerad elektronisk underskrift (artikel 33) - kvalificerad tjänst för bevarande av kvalificerad elektronisk underskrift (artikel 34) - kvalificerat certifikat för elektronisk stämpel (artikel 38) - kvalificerad valideringstjänst för kvalificerad elektronisk underskrift (artikel 40) - kvalificerad tjänst för bevarande av kvalificerad elektronisk underskrift (artikel 40) - kvalificerad elektronisk tidsstämpling (artikel 42) - kvalificerade elektroniska tjänster för rekommenderade leveranser (artikel 44) - Kvalificerat certifikat för autentisering av webbplatser (artikel 45) För bedömning av överensstämmelse i fråga om betrodda tjänster är artikel 20 och 21 centrala. 2.3 Kommissionens genomförandeakter som gäller identifieringstjänster Kraven i eidas-förordningen preciseras genom kommissionens genomförandeakter. EU-kommissionens genomförandebeslut (EU) 2015/1502 (s.k. EU:s förordning om tillitsnivåer) om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden I EU:s förordning om tillitsnivåer bestäms om kraven på tillitsnivåer för medel för identifiering. Förordningen tillämpas på de identifieringsverktyg som anmäls till EU-kommissionen. Eftersom det i bestämmelser om kraven på identifieringstjänsten i autentiseringslagen hänvisas till förordningen, tillämpas förordningen jämsides med lagen också på identifieringsverktyg som inte anmäls.

90 MPS EU-kommissionens genomförandeförordning (EU) 2015/1501 (s.k. EU:s interoperabilitetsramverk) enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. EU:s interoperabilitetsförordning gäller i första hand den nationella noden som Befolkningsregistercentralen driver. Förordningens specifikationer om minimiattribut och optionella attribut har genom föreskriften också införts i den nationella identifieringen. EU-kommissionens genomförandebeslut (EU) 2015/1984 (s.k. EU:s beslut om anmälningsförfarande) om förutsättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden I EU:s anmälningsförfarande anges de uppgifter som ska anmälas vid anmälan och det förfarande som ska användas. anmäler kommissionen och de övriga medlemsstaterna identifieringsmetoden (identifieringsverktyget) i praktiken tillsammans med leverantören av identifieringsverktyget. EU-kommissionens genomförandebeslut (EU) 2015/296 (s.k. EU:s beslut om samarbetsnätverk) om inrättande av förfaranden för samarbete mellan medlemsstaterna om elektronisk identifiering i enlighet med artikel 12.7 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden I EU:s beslut om samarbetsnätverk bestäms om medlemsstaternas samarbete vid sakkunnighetsbedömningar som hänför sig till att anmäla medel för identifiering. är medlem i samarbetsnätverket. 2.4 Kommissionens genomförandebeslut om betrodda tjänster och elektroniska underskrifter och stämplar Kraven i eidas-förordningen preciseras genom kommissionens genomförandeakter. Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Text av betydelse för EES) I kommissionens genomförandebeslut bestäms om underhåll av förteckningar över betrodda tjänsteleverantörer. I förteckningen förs in kvalificerade betrodda tjänster. Icke kvalificerade betrodda tjänster förs i i förteckningen, om medlemsstaten har så föreskrivit eller bestämt. Enligt genomförandebeslutet ska standarden ETSI TS v Trusted list följas.

91 MPS Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Text av betydelse för EES) Kommissionens genomförandebeslut gäller formaten PAdES, XadES och CAdES för elektroniska underskrifter och stämplar som ärendehanteringstjänsterns för medlemsstaternas offentliga förvaltning ska kunna ta emot vid gränsöverskridande ärendehantering. I genomförandebeslutet hänvisas till ETSIs tekniska specifikationer i vilka formaten specificeras. Kommissionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Text av betydelse för EES) I kommissionens genomförandebeslut bestäms om kraven på certifiering av anordningar för skapande av elektroniska underskrifter och elektroniska stämplar. I genomförandebeslutet hänvisas till ISO/IEC:s och ETSIs standarder. Än så länge finns det standarder endast om anordningar för skapande av underskrifter som fysiskt finns hos den som gör underskriften eller stämplen. CEN håller på att standardisera kraven på serverbaserade anordingar för skapande. 2.5 Lag om elektronisk kommunikation i myndigheternas verksamhet 13/2003 Lagen om elektronisk kommunikation i myndigheternas verksamhet ändrades delvis samtidigt som autentiseringslagen. Enligt 9 i lagen behöver ett elektroniskt dokument som kommit in till en myndighet inte kompletteras med en underskrift, om dokumentet innehåller uppgifter om avsändaren och om det inte finns anledning att betvivla dokumentets autenticitet och integritet. Med autenticitet avses i bestämmelsen information om avsändaren av dokumentet och med integriteten att dokumentet bevaras oförändrat. I lagens 16 bestäms om elektronisk signering av beslutshandlingar. 16 Elektronisk signering av beslutshandlingar En beslutshandling får signeras elektroniskt. Myndigheten ska signera handlingen med en avancerad elektronisk underskrift som uppfyller kraven enligt artikel 26 i Europaparlamentets och rådets förordning (EU) Nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG eller an-

92 MPS nars på ett sådant sätt att man kan försäkra sig om handlingens autenticitet och integritet. I 16 ställs det dessutom kvalitativa krav på sättet att underteckna beslutshandlingar. I lagen ska de underskrifter som en myndighet får använda likväl inte begränsas till avancerade elektroniska underskrifter. Även något annat sätt att underteckna ett dokument är tillräckligt förutsatt att det går att säkerställa dess autenticitet och integritet. Med att säkerställa autenticiteten förstås att säkerställa undertecknarens identitet och med att säkerställa integriteten att säkerställa att dokumentet inte har ändrats. 2.6 Krav på elektroniska signaturer i speciallagar I flera lagar fastställs vilka elektroniska signaturer som kan användas i signerade elektroniska handlingar till myndigheter som övervakar de lagarna. Följande lagar innehåller bestämmelser om signaturer (se närmare RP 74/2016 rd): - Jordabalken, 9 a kap. 1 - Lag om förhindrande och utredning av penningtvätt och av finansiering av terrorism, 18 - Lag om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster - Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården - Lag om beskattningsförfarande, 93 a - Lag om överlåtelseskatt, 56 b - Lag om förskottsuppbörd, 6 a - Blodtjänstlag, 11 - Mervärdesskattelag, Skattekontolag, 7 - Lag om informationssystemet för byggnaders energicertifikat, 4 - Punktskattelag, 32 I förteckningen ovan finns lagar i vilka det före ändringen hänvisades till autentiseringslagen och som ändrades när bestämmelserna om elektroniska underskrifter i autentiseringslagen ersattes genom bestämmelserna i eidas-förordningen. Förteckningen är alltså nödvändigtvis inte uttömmande med tanke på alla de lagar som innehåller krav om elektroniska underskrifter. 3 Referenslista Länkar som hänför sig till författningarnas ämnesområde är samlade på s webbsida och är försedda med asterisk* i referenslistan tml s anvisningar och rekommendationer finns på verkets webbsidor och är försedda med två asterisker** i referenslistan

93 MPS oner/dokumentomanvisningarnatolkningarnarekommendationernaochutredningarn a.html ETSI standarder finns på ETSIs webbsidor och de försedda med tre asterisker*** i referenslistan [1] * Lag om stark autentisering och betrodda elektroniska tjänster (617/2009 jämte ändringar, autentiseringslag) [2] * EU-kommissionens genomförandebeslut (EU) 2015/1502 (förordning om tillitsnivåer) om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden [3] * Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eidasförordningen) [4] FINAS (Finnish Accreditation Service) Säkerhets- och kemikalverket (Tukes) ackrediteringsenhet [5] * Statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering 169/2016 (statsrådets förordning om förtroendenätet) [6] ** s anvisning 211/2016 O modellkriterier för kvalitetsrevision hos leverantörer av identifieringstjänster [7] ** s anvisning 215/2016 O om berättelser för bedömning av identifieringstjänster och betrodda tjänster [8] ISO/IEC Information security management [9] *** ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [10] Inofficiell tillämpningsguide för EU:s förordning om tillitsnivåer (publicerad på s webbsida arbetsgrupper oryhmat/tunnistaminenjaluottamuspalvelut-tyoryhma.html) [11] ** s rekommendation 212/2016 S Finnish Trust Network SAML 2.0 Protocol Profile [12] ** s rekommendation 213/2016 S OpenID Connect Protocol Profile for the Finnish Trust Network [13] TUPAS, Pankkien Tupas tunnistuspalvelun tunnistusperiaatteet v2.0b (Identifieringsprinciperna för bankernas Tupas-identifiering)

94 MPS [14] *** ETSI TS v Trusted lists. Obs. på ETSIs sidor finns för tillfället en nyare version som inte motsvarar eidas-förordningen, se t.ex.: EwiExuLyl-fPAhUMnRQKHde8Ax0QFgggMAE&url=https%3A%2F%2Filnas.servicespublics.lu%2Fecnor%2FdownloadPreview.action%3FdocumentReference%3D185416& usg=afqjcngrvfbaoedpmkiuzs8wsh1d03n2lq&bvm=bv ,d.d24 [15] KATAKRI, Verktyg för informationssäkerhetsauditering (på finska) finns t.ex. på u_viranomaisille.pdf [16] ENISA, The European Union Agency for Network and Information Security t.ex. Study on cryptographic protocols [17] Cybersäkerhetscentret vid - Allmän information ormationssakerhetstjanster/ncsa-fi.html - Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot (ohje dnro 190/651/2015) uusvaatimukset_-_kansalliset_suojaustasot.pdf - Krypteringslösningar som s NCSA-FI har godkänt ( dnr 238/651/2013, på finska) t.pdf [18] NISTs (National Institute of Standards and Technology) FIPS-standarder (Federal Information Processing Standards) [19] SANS (The SANS Institute) [20] eidas - Cryptographic requirements for the Interoperability Framework, TLS and SAML, Version 1.0, 6 November _crypto_requirements_for_the_eidas_interoperability_framework_v1.0.pdf [21] IANAs (Internet Assigned Numbers Authority) IKEv2-specifikationer och IANAs cipher suites: [22] ENISAs anvisningar om störningsanmälningar enligt artikel 19 i eidasförordningen (hänvisningarna läggs till när anvisningarna utfärdas) [23] * Kommissionens genomförandeförordning (EU) 2015/1501 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

95 MPS [24] VTJkysely-palvelu; Sovelluskyselyiden rajapintakuvaus [25] *** ETSI TS Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates [26] BIS, Bank for International Settlements: External audits of banks - The internal audit function in banks [27] Finansinspektionens samling av föreskrifter och anvisningar [28] *** ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [29] *** ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [30] *** ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates [31] *** ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Electronic Time-Stamps [32] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures [33] *** ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons [34] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons [35] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates [36] *** ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements [37] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles [38] *** ETSI EN Policy & security requirements for electronic registered delivery service providers [39] REM (Registered Electronic Mail) TS x -specifikationsserie

96 MPS [40] Den europeiska samarbetsorganisationen för ackreditering (European cooperation for Accreditation EA) EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article [41] *** ETSI EN V2.2.2 ( ) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers [42] ENISA: Auditing Framework for TSPs, Guidelines for Trust Service Providers, Versio December [43] * Kommissionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. [44] ISO/IEC Information technology -- Security techniques -- Evaluation criteria for IT security - standardserie [45] ISO/IEC 18045:2008 Information technology Security techniques Methodology for IT security evaluation [46] *** EN Protection profiles for secure signature creation device, del 1 6 [47] CEN, the European Committee for Standardization - CEN TC 224 / WG 17 G_ID:478566,25&cs= FB7AC1BDE2E621EACB21E71E2 - PP Secure Signature Creation Device (419211) in a user-managed environment; already available - Server signing (419241) for a TSP-managed environment; under development o Part1: Security requirements for signature generation services o Part2: A protection profile for signature activation module to be used in a HSM. - TSP Cryptographic Modules (419221) Development of Protection Profiles o Part 1 to Part 4 almost published (signing operations, key generations) o Part 5 under development: generic crypto module for Trust Service Providers. [48] *** ETSI ( ) DTS/ESI Protocol for TSPs providing signature generation services, del 1-4 [49] *** ETSI ( ) DTS/ESI Protocol for TSPs providing signature validation services [50] SOGIS-MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement),

97 MPS [51] ITU-R TF.1876 (03/2010) Trusted time source for time stamp authority E.pdf [52] * Kommissionens genomförandebeslut (EU) 2015/1506 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. [53] *** ETSIs tekniska specifikation v (XadES) [54] *** ETSIs tekniska specifikation v (CAdES) [55] *** ETSIs tekniska specifikation v (PAdES) [56] *** ETSIs tekniska specifikation v (Basprofil för tillhörande underskriftsbehållare) 4 Förteckning över bilagor 1. Betrodda tjänster och elektroniska underskrifter

98 MPS BILAGA 1 Betrodda tjänster och elektroniska underskrifter 1. ALLMÄNT I denna bilaga ges på en mycket allmän nivå de betrodda tjänster och elektroniska underskrifter och stämplar som avses i eidas-förordningen. I eidas-förordningen avses med betrodda elektroniska tjänster elektroniska underskrifter, elektroniska stämplar, tjänster för validering och bevarande av elektroniska underskrifter och stämplar, elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och autentisering av webbplatser. För största delen av de olika typerna av betrodda tjänster samt anordningar för skapande av elektroniska underskrifter eller stämplar är det möjligt att skaffa statusen kvalificerad (qualified) enligt de förutsättningar och den process om vilka det bestäms i eidas-förordningen. Om man inte ansöker om statusen kvalificerad för en betrodd tjänst på grund av tjänstens typ, är tjänsten en icke kvalificerad (non-qualified) betrodd tjänst. 2. ELEKTRONISKA UNDERSKRIFTER I eidas-förordningen anges tre nivåer på elektronisk underskrift, och kraven för dessa beskrivs i bilden nedan. Bild 3. Nivåer på elektronisk underskrift.