Redovisning av regeringsuppdrag avseende konsekvenser av EU-förordningen om elektronisk identifiering och betrodda tjänster

Transkript

1 PROMEMORIA Datum Vår referens Sida Dnr: (40) Nätsäkerhetsavdelningen Redovisning av regeringsuppdrag avseende konsekvenser av EU-förordningen om elektronisk identifiering och betrodda tjänster Regeringen har givit PTS och e-legitimationsnämnden i uppdrag att analysera EU-förordningen om elektronisk identifiering och betrodda tjänster. PTS ansvarar i huvudsak för området betrodda tjänster i uppdraget. Promemorian utgör PTS slutrapportering av uppdraget. Post- och telestyrelsen Postadress: Besöksadress: Telefon: Box 5398 Valhallavägen 117A Telefax: Stockholm pts@pts.se

2 2(40) Sammanfattning PTS har fått i uppdrag att analysera konsekvenser av bestämmelser och genomförandeakter om betrodda tjänster enligt eidas förordningen. Huvuddelen av analysen avser beslutade, planerade och inte påbörjade genomförandeakter. Av de beslutade genomförandeakterna är det främst genomförandeakterna om format för underskrifter och stämplar som kan få stor påverkan. Det genom att de tekniska kraven kan medföra att svenska offentliga e-tjänster tvingas att godta underskriftsformat som kan vara svåra att hantera och att de kan vara tvungna att godta underskrifter som skapats i ett tidigare skede med certifikat som vid valideringstillfället har passerat sin giltighetstid. Genomförandeakten på området öppnar även för att medlemsstater använder andra underskriftsformat förutsatt att de tillhandahåller en kostnadsfri valideringstjänst för formatet, vilket kan medföra en osäkerhet gällande resultatet av valideringen och riskera att e-tjänsterna tvingas ta emot osäkra format. Det finns tolkningsfrågor här som behöver analyseras vidare för att se vilka möjliga begränsningar av skyldigheterna som finns för de enskilda verksamheterna. Avsaknaden av genomförandeakter på flera områden medför en osäkerhet gällande vilka krav som faktiskt gäller enligt förordningen. Osäkerheten omfattar vilka krav som ett organ för överenstämmelse bedömning behöver uppfylla, hur en granskning av organet ska gå till och därmed även för tillsynsmyndighetens granskning av en tillhandahållare som vill få statusen som kvalificerad tillhandahållare. Osäkerheten omfattar även kraven på olika betrodda tjänster när dessa inte är tydligt reglerade i förordningen, som valideringstjänster, tjänster för bevarande och elektroniska tjänster för rekommenderade leveranser. Sammantaget medför det en osäkerhet för hur en kvalificerad tillhandahållare av betrodda tjänster etablerar sig och vilka faktiska krav som ställs på de olika betrodda tjänsterna. Avsaknaden av genomförandeakter kan föranleda behov av föreskrifter eller andra nationella initiativ och lösningar. Förordningen saknar explicit krav på krypto-, nyckellängder och hashalgoritmer. Det är olyckligt eftersom det är en mycket viktig säkerhetsfråga och det är därför av central betydelse att det finns en uttalad minimirekommendation som alla tillhandahållare av betrodda tjänster är skyldiga att följa. Förordningen ger EU-kommissionen rätt att ta fram genomförandeakter för tekniska och organisatoriska säkerhetsåtgärder vilket skulle kunna användas för en genomförandeakt på kryptoområdet. Post- och telestyrelsen 2

3 3(40) Innehåll Redovisning av regeringsuppdrag avseende konsekvenser av EU-förordningen om elektronisk identifiering och betrodda tjänster... 1 Sammanfattning Bakgrund Uppdraget Avgränsning Hur arbetet har genomförts Samråd Vilka skyldigheter har en offentlig e-tjänst att ta emot betrodda tjänster från andra medlemsländer Erkännande av elektroniska underskrifter och stämplar från andra medlemsstater Vilka undantagsmöjligheter finns från att erkänna betrodda tjänster från andra medlemsländer Vad innebär förordningen för svenska tillhandahållare av betrodda tjänster Tillhandahållare av icke kvalificerade betrodda tjänster Kvalificerade tillhandahållare av kvalificerade betrodda tjänster Övergångsbestämmelser från signaturlagen till eidas förordningen 15 5 Genomförandeakter Vad innebär det att det inte finns genomförandeakter Behov av nationella initiativ Post- och telestyrelsen 3

4 4(40) Behov av genomförandeakt på kryptoområdet Bilaga 1 genomgång av beslutade och möjliga genomförandeakter Beslutade genomförandeakter om betrodda tjänster KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (Artikel 23.3) KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/806 av den 22 maj 2015 om fastställande av specifikationer för utformningen av EUförtroendemärket för kvalificerade betrodda tjänster Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.. 23 Möjliga genomförandeakter om betrodda tjänster där arbete pågår Artikel 24.5 om tillförlitliga IT-system och produkter Artikel 29.2 om referenser för anordningar för skapande av kvalificerade elektroniska underskrifter Artikel 30.3 förteckning över standarder för säkerhetsbedömning av ITprodukter Omfattar även artikel 39 med motsvarande krav men för stämplar Artikel 30.4 delegerad akt om särskilda krav på utsedda organ Artikel 19.4 a) och b) krav på tekniska och organisatoriska säkerhetsåtgärder respektive incidentrapportering Övriga icke obligatoriska genomförandeakter Artikel 17.8 format och form för årsrapport till kommissionen Post- och telestyrelsen 4

5 5(40) Artikel 20.4 standarder för ackreditering och granskningsregler för certifiering Artikel 21.4 former och förfarande för anmälan om att tillhandahålla kvalificerade betrodda tjänster Artikel 28.6 referensnummer för kvalificerade certifikat för underskrifter Artikel 38.6 referensnummer för kvalificerade certifikat för stämplar Artikel 31.3 format och förfaranden för information om kontrollerade anordningar Artikel 32.3 referensnummer till standarder för validering av kvalificerade underskrifter (även artikel 40 för stämplar) Artikel 33.2 referensnummer till standarder för kvalificerad valideringstjänst (även artikel 40 för stämplar) Artikel 34.2 referensnummer till standarder för kvalificerade tjänster för bevarande av kvalificerade elektroniska underskrifter (även artikel 40 för stämplar) Artikel 42.2 referensnummer till standarder för bindning av datum och tidpunkt till uppgifter och för korrekta tidskällor Artikel 44.2 referensnummer till standarder för processer för att sända och ta emot uppgifter Artikel 45.2 referensnummer till standarder för kvalificerade certifikat för autentisering av webbplatser Bilaga 2 översikt standarder Post- och telestyrelsen 5

6 6(40) 1 Bakgrund I mitten av september 2014 publicerades den s.k. eidas-förordningen (Europaparlamentets och rådets förordning nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG). Förordningens syfte är att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster genom att fastställa: a) de villkor på vilka medlemsstaterna erkänner medel för elektronisk identifiering av fysiska och juridiska personer som omfattas av ett anmält system för elektronisk identifiering hos en annan medlemsstat, b) regler för betrodda tjänster, i synnerhet för elektroniska transaktioner, och c) en rättslig ram för elektroniska underskrifter, elektroniska stämplar, elektronisk tidsstämpling, elektroniska dokument, elektroniska tjänster för rekommenderade leveranser och certifikattjänster för autentisering av webbplatser. Detaljerna kommer att regleras i genomförandeakter som nu tas fram i eidas expertgrupp där alla 28 medlemsländer deltar. Kommissionen har, i samband med seminarier, presenterat en bild av hur de ser att de olika betrodda tjänsterna hänger ihop och kan användas. I kommissionens exempel är det ett svenskt företag som lämnar anbud i en kroatisk offentlig upphandling, enligt figuren nedan. Post- och telestyrelsen 6

7 Post- och telestyrelsen 7 Sida 7(40)

8 8(40) 2 Uppdraget Regeringen har gett PTS och e-legitimationsnämnden i uppdrag att löpande följa och analysera konsekvenserna av de genomförandeakter som nu är under utveckling inom ramen för eidas förordningen. PTS ska vidare bistå Näringsdepartementet i framtagandet av svenska ståndpunkter och andra förhandlingsunderlag samt medverka i det arbete som bedrivs av EUkommissionen på området. I uppdraget ingår att följa och analysera konsekvenserna av de genomförandeakter som arbetas fram men även analysera konsekvenser för de genomförande akter som inte tas fram. När en genomförandeakt inte tas fram ingår i uppdraget att identifiera behov av nationella insatser. PTS ska enligt uppdraget samråda med de myndigheter som står med i uppdraget, Försvarets materielverk, Försvarets radioanstalt, Försvarmakten/MUST, Försäkringskassan, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Skatteverket, Styrelsen för ackreditering och teknisk kontroll, Säkerhetspolisen, Tillväxtverket och Sveriges Kommuner och Landsting. 2.1 Avgränsning Regeringens uppdrag att analysera EU-förordningen är uppdelat i områdena elektronisk identifiering och betrodda tjänster. Dessa områden är dock sammanflätade i flera avseenden. Post- och telestyrelsen 8

9 9(40) Denna bild illustrerar svensk infrastruktur som berörs av EU-förordningen. Orangea pilar illustrerar flöden som har anknytning till Sveriges infrastruktur för svensk e-legitimation. Gröna tjänster hanterar situationen där personer som innehar en svensk e-legitimation legitimerar sig mot eller skriver under handling i utländsk e-tjänst. Blåa tjänster hanterar situationen där personer som innehar utländsk e-legitimation legitimerar sig mot eller skriver under handling i svensk e-tjänst. Underskrifterna i dessa fall baserar sig på att underskriften sker i en online tjänst där e-tjänstetillhandahållaren kontrollerar när och hur en underskrift skapas. Andra användningsfall kan förutses där en användare själv kontrollerar när och hur en underskrift skapas, t.ex. genom att ladda ner en blankett, fylla i blanketten, skriva under och skicka in till den mottagande myndigheten. I denna infrastruktur saknas en tydlig gräns mellan tjänster som enbart berörs av regler för elektronisk identifiering och tjänster som berörs av regler för underskrifter och andra betrodda tjänster. I den svenska infrastrukturen samverkar underskriftstjänster med eid tjänster för att legitimera den som skriver under en handling, samtidigt kan underskriftstjänsten behöva evalueras och certifieras som en kvalificerad enhet för underskriftsgenerering enligt EUförordningens regler. Post- och telestyrelsen 9

10 10(40) Denna utredning avgränsas till effekterna av de regler i EU-förordningen som kan hänföras till betrodda tjänster. 2.2 Hur arbetet har genomförts Uppdraget har bedrivits genom granskning av underlag från EU-kommissionen, ENISA och standardiseringsorgan. Vidare har ett antal nationella och internationella möten bidragit med input. Uppdraget har redovisats löpande genom avstämningsmöten med uppdragsgivaren. Arbetet har delvis varit ett rörligt mål eftersom arbetet pågår och kunskapen på området utvecklas. PTS planerade att genomföra en djupare analys av standarder kopplade till respektive möjlig genomförandeakt. Det visade sig att ENISA har genomfört en sådan studie 1. PTS valde därför att avstå från att göra en djupare analys på området. 2.3 Samråd PTS ska enligt regeringsuppdraget samråda med de i uppdraget utpekade myndigheterna och organisationerna. PTS har varit i kontakt med de utpekade organisationerna i samband med Näringsdepartementets referensgruppsmöten och har tillsammans med e-legitimationsnämnden ordnat ett par möten under arbetets gång. Därutöver har bilaterala möten och avstämningar skett med delar av de utpekade organisationerna, andra myndigheter och tillhandahållare av betrodda tjänster. Diskussioner har vidare skett med representanter för tillsynsmyndigheter från andra länder, EU-kommissionen, ENISA och från ETSI. PTS har genomfört ett samrådsförfarande med i uppdraget utpekade myndigheter. PTS har skickat ut ett utkast till rapport för att inhämta synpunkter från myndigheterna. PTS har fått synpunkter från flertalet myndigheter och organisationer och har förtydligat och förfinat rapporten i enlighet med de lämnade synpunkterna. Några synpunkter har handlat om behovet av att analysera konsekvenserna utifrån ett verksamhetsperspektiv. PTS har svårt att göra en sådan analys men har försökt att förtydliga rapporten så att olika verksamhetsansvariga kan använda analysen för att påbörja egen analys av påverkan på den egna verksamheten. 1 Standardisation in the field of Electronic Identities and Trust Service Providers - Post- och telestyrelsen 10

11 11(40) 3 Vilka skyldigheter har en offentlig e- tjänst att ta emot betrodda tjänster från andra medlemsländer I förordningen regleras ett antal betrodda tjänster, elektroniska underskrifter och stämplar, validering av elektroniska underskrifter och stämplar, bevarande av elektroniska underskrifter och stämplar, tidsstämpling, elektroniska tjänster för rekommenderade leveranser och kvalificerade certifikat för autentisering av webbplatser. Reglerna för elektroniska underskrifter och stämplar är mer omfattande och ställer krav på erkännande av tillhandahållare från andra medlemsländer. Övriga betrodda tjänster har inte detta krav utan där finns kraven på ett rättsligt erkännande av de olika betrodda tjänsterna eller resultatet av användandet av en betrodd tjänst, t.ex. en tidsstämpel eller en validering. 3.1 Erkännande av elektroniska underskrifter och stämplar från andra medlemsstater Bestämmelserna för elektroniska underskrifter och stämplar är likalydande och samma genomförandeakt omfattar de två olika betrodda tjänsterna. Det beror på att skillnaden mellan en underskrift och en stämpel är vem som har skrivit under eller stämplat ett dokument, en fysisk person eller en juridisk person. Om underskriften skapats av en juridisk person blir det en stämpel om underskriften skapats av en fysisk person blir det en underskrift. Enligt artikel 25 i förordningen ska en kvalificerad elektronisk underskrift som är baserad på ett kvalificerat certifikat som utfärdats i en medlemsstat erkännas som en kvalificerad elektronisk underskrift i alla andra medlemsstater. Motsvarande bestämmelse finns för stämplar. Av artikel 27 framgår att en medlemsstat måste erkänna elektroniska underskrifter på samma nivå och på högre nivå än de som krävs nationellt från andra medlemsstater. Vidare anges att medlemsstaterna för gränsöverskridande användning av e-tjänster som erbjuds av ett offentligt organ inte ska kräva en elektronisk underskrift med en högre säkerhetsnivå än den som gäller för kvalificerade elektroniska underskrifter. Kommissionen har beslutat om en genomförandeakt på området 2 format för elektroniska underskrifter och stämplar. Genomförandeakten omfattar krav på vilka format för elektroniska underskrifter och stämplar som skall erkännas av 2 K OMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden Post- och telestyrelsen 11

12 12(40) medlemsstater som ställer krav på avancerade elektroniska underskrifter och stämplar, med eller utan kvalificerade certifikat. De format som skall stödjas är ETSI XAdES, ETSI CAdES, ETSI PAdES, ETSI ASiC. Formaten skall stödjas på nivå B (Basic), T(Tidsstämplad) och LT(Långtid). Vidare så skall alla andra möjliga format, utan begränsning, stödjas om ursprungslandet tillhandahåller en valideringstjänst som tillhandahåller information om en underskrifts eller stämpels giltighet och som är lämpad för automatisk databehandling. Det finns oklarheter i vad kravet på stöd av de olika nivåerna av formaten innebär. Om kravet innebär att långtids versioner av formaten behöver stödjas så kan det innebära en skyldighet att validera underskrifter och stämplar som skapats i ett tidigare vars tillhörande certifikats giltighetstid har gått ut. Konsekvenser av dessa krav analyseras närmare i bilaga Vilka undantagsmöjligheter finns från att erkänna betrodda tjänster från andra medlemsländer Av ingresspunkterna i förordningen följer att det finns ett antal fall som begränsar skyldigheterna att erkänna betrodda tjänster. (21) Genom denna förordning bör även ett allmänt regelverk för användningen av betrodda tjänster upprättas. Någon allmän skyldighet att använda dem eller att installera en accesspunkt för alla befintliga betrodda tjänster bör dock inte skapas. I synnerhet bör den inte gälla tillhandahållande av tjänster som endast används inom slutna system mellan en avgränsad uppsättning deltagare, och som inte påverkar tredje man. Exempelvis system som inrättats i företag eller offentlig förvaltning för hantering av interna förfaranden där betrodda tjänster används bör inte omfattas av kraven i denna förordning. Endast betrodda tjänster som tillhandahålls för allmänheten och som påverkar tredje man bör uppfylla de krav som fastställs i denna förordning. Denna förordning bör inte heller gälla frågor som avser ingående eller giltighet av avtal eller andra rättsliga förpliktelser om nationell rätt eller unionsrätten föreskriver vissa formkrav. Den bör inte heller inverka på nationella formkrav avseende offentliga register, i synnerhet inte kommersiella register eller fastighetsregister. (23) I den mån denna förordning medför en skyldighet att erkänna en betrodd tjänst, får en sådan betrodd tjänst ogillas endast om skyldighetens adressat av tekniska skäl bortom adressatens direkta kontroll är oförmögen att läsa eller kontrollera den. Denna skyldighet bör dock inte i sig medföra att ett offentligt organ är tvunget att anskaffa den maskinvara och programvara som krävs för teknisk läsbarhet för alla befintliga betrodda tjänster. Detta innebär att det finns gränser för när en skyldighet finns. Det finns dock osäkerhet i hur omfattande undantag som kan göras. Det finns därför behov av en vidare utredning och klargörande för undantagsmöjligheterna. Post- och telestyrelsen 12

13 13(40) 4 Vad innebär förordningen för svenska tillhandahållare av betrodda tjänster 4.1 Tillhandahållare av icke kvalificerade betrodda tjänster Förordningen ställer krav på kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster. De icke kvalificerade tillhandahållarna kan omfattas av främst två icke obligatoriska genomförandeakter som innebär en vidare specificering av tekniska och organisatoriska säkerhetsåtgärder (artikel 19.1) och format, förfaranden och tidsfrister för incidentrapportering (artikel 19.2). Dessa genomförandeakter påverkar även kvalificerade tillhandahållare av betrodda tjänster. Utöver dessa genomförandeakter kan frivilliga genomförandeakter som tas fram av kommissionen som refererar till standarder för en betrodd tjänst innebära att tillhandahållarens betrodda tjänst erkänns i någon annan medlemsstat, om medlemsstaten inte ställer krav på kvalificerade betrodda tjänster. 4.2 Kvalificerade tillhandahållare av kvalificerade betrodda tjänster I förordningen finns krav för hur en kvalificerad tillhandahållare av betrodda tjänster etablerar och anmäler sig till tillsynsmyndigheten. Kravet omfattar även hur en betrodd tjänst får statusen som en kvalificerad betrodd tjänst. Artikel 21 Igångsättande av en kvalificerad betrodd tjänst 1. När tillhandahållare av betrodda tjänster som inte har status som kvalificerade har för avsikt att börja tillhandahålla kvalificerade betrodda tjänster, ska de anmäla sin avsikt till tillsynsorganet och samtidigt lämna in en rapport om överensstämmelsebedömning som utfärdats av ett organ för bedömning av överensstämmelse. 2. Tillsynsorganet ska kontrollera huruvida tillhandahållaren av betrodda tjänster och de betrodda tjänster som denne tillhandahåller uppfyller kraven i denna förordning, och i synnerhet kraven för kvalificerade tillhandahållare av betrodda tjänster och för de kvalificerade betrodda tjänster som de tillhandahåller. 3. Kvalificerade tillhandahållare av betrodda tjänster får börja tillhandahålla den kvalificerade betrodda tjänsten efter det att status som kvalificerad har angetts i de förteckningar över betrodda tjänsteleverantörer som avses i artikel 22.1 Post- och telestyrelsen 13

14 14(40) 4. Kommissionen får genom genomförandeakter fastställa format och förfaranden för de ändamål som avses i punkterna 1 och 2. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel Det saknas för närvarande genomförandeakter som stödjer förfarandet för igångsättande av kvalificerad tillhandahållare och kvalificerad betrodd tjänst. Förordningen börjar gälla i sin helhet den 1 juli Det finns önskemål från tillhandahållare av betrodda tjänster att kunna börja tillhandahålla kvalificerade betrodda tjänster från den 1 juli För att tillhandahållare ska kunna tillhandahålla kvalificerade betrodda tjänster den 1 juli 2016 krävs att det finns ett antal förutsättningar på plats. 1. Organ för överenstämmelsebedömning som ackrediterats i något medlemsland 2. Regelverk som överenstämmelsebedömningen görs emot avseende tillhandahållaren och avseende de betrodda tjänster tillhandahållaren erbjuder. 3. En tillsynsmyndighet som kan ta emot anmälan i god tid innan den 1 juli så att tillhandahållaren kan beviljas status som kvalificerad tillhandahållare av betrodda tjänster respektive kvalificerad status för de tillhandahållna betrodda tjänsterna. Post- och telestyrelsen 14

15 15(40) Kommissionen har inte inlett arbete med genomförandeakter som används för de olika delmomenten, ackreditering och överensstämmelsebedömning. Det finns beslutade europeiska standarder på området, avseende granskningsregler och regelverk som överenstämmelsebedömningen görs emot. Det saknas dock standarder för flera av de i förordningen reglerade kvalificerade betrodda tjänsterna. Avsaknaden av genomförandeakter innebär en osäkerhet och en svårighet för organ för överensstämmelsebedömning att etablera sig. Det innebär också en osäkerhet för tillsynsmyndigheten hur och vad tillsynen ska omfatta för att tilldela en tillhandahållare status som kvalificerad tillhandahållare. Det gör också att det finns en osäkerhet för tillhandahåller av betrodda tjänster som vill etablera sig som kvalificerade exakt vilka krav de är skyldiga att följa. Om en tillhandahållare ska kunna etablera sig som kvalificerad den 1 juli 2016 så innebär det att en formell hantering behöver hittas kring hur en tillhandahållare kan skicka in en rapport från granskning av överenstämmelsebedömning till en tillsynsmyndighet innan regelverket har börjat gälla och någon formellt har rollen som tillsynsmyndighet. För de fall att en tillhandahållare av en kvalificerad betrodd tjänst, som vill påbörja verksamheten, tillhandahåller en tjänst som innebär att de utfärdar eller lagrar privata nycklar så ska dessa nycklar skyddas i en anordning för skapande av elektroniska underskrifter och stämplar. Det finns sedan tidigare utpekade standarder för säkra signaturanordningar enligt signaturdirektivet. Vidare pågår ett arbete med att ta fram en genomförandeakt som pekar på skyddsprofiler för säkra anordningar och tillförlitliga system för tillhandahållare av betrodda tjänster. Vad gäller eventuell evaluering och godkännande av svenska serverbaserade underskriftstjänster som säker anordning så är den skyddsprofil som under flera år utarbetas inom ramen för CEN och som avses publiceras som EN ännu ej är klar. Det har visat sig vara svårt att enas om denna skyddsprofil främst beroende på att olika tillverkare och tillhandahållare av lösningar för serverbaserad underskrift trycker på för att få stöd för sina lösningar. Sverige behöver därför bevaka färdigställandet av denna standard för att säkerställa att svenska underskriftstjänster kan evalueras enligt denna skyddsprofil. 4.3 Övergångsbestämmelser från signaturlagen till eidas förordningen Av förordningens artikel 51 följer att de utfärdare av kvalificerade certifikat som redan är etablerade i medlemsländerna har en övergångsperiod på sig innan de är tvungna att följa alla bestämmelser i förordningen. Under den tiden så har de Post- och telestyrelsen 15

16 16(40) statusen som kvalificerade tillhandahållare. De har till 1 juli 2017 på sig att lämna in en överenstämmelsebedömning till tillsynsmyndigheten. Om det inte sker så anses de inte längre vara kvalificerade tillhandahållare av betrodda tjänster från och med 2 juli Utfärdade kvalificerade certifikat ses som kvalificerade under sin giltighetstid. Artikel 51 Övergångsbestämmelser 1. Säkra anordningar för skapande av underskrifter vilkas överensstämmelse har fastställts i enlighet med artikel 3.4 i direktiv 1999/93/EG ska anses som kvalificerade anordningar för skapande av elektroniska underskrifter enligt denna förordning. 2. Kvalificerade certifikat som utfärdats till fysiska personer enligt direktiv 1999/93/EG ska anses som kvalificerade certifikat för elektroniska underskrifter enligt denna förordning till dess att de löper ut. 3. Tillhandahållare av en certifieringstjänst som utfärdar certifikat enligt direktiv 1999/93/EG ska lämna in en rapport om bedömning av överensstämmelse till tillsynsorganet så snart som möjligt och senast den 1 juli Fram till dess att denna rapport har inlämnats och tillsynsorganet har slutfört sin bedömning av den ska tillhandahållaren av certifieringstjänsten anses vara en kvalificerad tillhandahållare av betrodda tjänster enligt denna förordning. 4. Om en tillhandahållare av certifieringstjänster som utfärdar kvalificerade certifikat enligt direktiv 1999/93/EG inte lämnar in någon rapport om bedömning av överensstämmelse till tillsynsorganet inom den tidsfrist som avses i punkt 3 ska denna tillhandahållare av certifieringstjänster inte anses vara en kvalificerad tillhandahållare av betrodda tjänster enligt denna förordning från och med den 2 juli Post- och telestyrelsen 16

17 17(40) 5 Genomförandeakter Kommissionen har en skyldighet att ta fram vissa genomförandeakter och får ta fram genomförandeakter på andra områden. Flertalet av dessa frivilliga genomförandeakter innebär att kommissionen får referera till en eller flera standarder på området. En sådan genomförandeakt innebär att en refererad standard kan förutsättas följa reglerna i förordningen men även andra standarder kan användas. De obligatoriska genomförandeakterna är beslutade och publicerade. Därutöver har kommissionen inlett arbete med genomförandeakter på några områden. På flera områden har inget arbete påbörjats. Se mer om status för de olika beslutade och möjliga genomförandeakterna i bilaga Vad innebär det att det inte finns genomförandeakter Förordningen ger inte så mycket vägledning eller reglerar betrodda tjänster i detalj. Detaljerna kan beslutas i efterhand via genomförandeakter. Flertalet genomförandeakter ger kommissionen möjlighet att referera till en standard på området. Om kommissionen refererar till en standard innebär det inte att alla tillhandahållare måste följa den standarden men om de följer utpekad standarden kan man anta att de uppfyller kraven i förordningen. Kommissionen har gett CEN och ETSI i uppdrag att arbeta med standarder på området betrodda tjänster, kallad mandat M/460 en översikt av de standarder som planeras och vid vilka tidpunkter återfinns i bilaga 2. När det saknas genomförandeakter medför det framförallt en osäkerhet. Osäkerheten visar sig för den som tillhandahåller betrodda tjänster men även för organ för överenstämmelsebedömning och tillsynsmyndigheter som ska granska om tillhandahållare lever upp till kraven i förordningen. Samtidigt medför avsaknad av genomförandeakter en öppning för nationella initiativ och kompletterande nationella bestämmelser vilket i sin tur kan leda till bristande harmonisering. Det innebär att samma kategori av betrodda tjänster kan se olika ut om de tillhandahålls i olika medlemsstater under olika kompletterande nationella regelverk Behov av nationella initiativ Avsaknaden av genomförandeakter kan på vissa områden medföra ett nationellt behov av föreskrifter eller motsvarande regelverk för att kunna efterleva förordningen. Problemen som identifieras återfinns främst gällande kraven som Post- och telestyrelsen 17

18 18(40) gäller för att en kvalificerad tillhandahållare ska kunna etablera sig och för att denna ska kunna etablera kvalificerade betrodda tjänster. Ett område som kan bli föremål för föreskrifter är tekniska och organisatoriska säkerhetsåtgärder för tillhandahållare av betrodda tjänster. När det inte finns harmoniserade krav på detta område finns en osäkerhet enligt vilka krav ett organ för överenstämmelsebedömning ska granska en tillhandahållare. I nästa led finns en osäkerhet för tillsynsmyndigheten att avgöra vad som är tillräckligt för att tilldela en tillhandahållare och en betrodd tjänst statusen kvalificerad. Om det inte finns föreskrifter finns det liten förutsebarhet för en tillhandahållare eftersom tillsynsmyndigheten får granska regelefterlevnaden från fall till fall utifrån rapporten från överenstämmelsebedömningen likväl som att överenstämmelsebedömningen omfattat samtliga relevanta områden och bestämmelser i förordningen. Ett annat område där föreskrifter kan förutses är regler för vilka incidenter som tillhandahållare av betrodda tjänster och kvalificerade betrodda tjänster är skyldiga att rapportera. ENISA arbetar med en rekommendation på området men det är en rekommendation till tillsynsmyndigheterna och den omfattar vilka incidenter tillsynsmyndigheten är skyldig att årligen rapportera vidare till kommissionen och ENISA. Det innebär att det behöver finnas ett nationellt regelverk som åtminstone fångar upp de incidenter som tillsynsmyndigheten är skyldig att rapportera vidare till ENISA och kommissionen om. Utöver dessa områden så kan det behövas föreskrifter gällande enskilda krav på betrodda tjänster. Det gäller framförallt de betrodda tjänster som inte omfattades av signaturdirektivet. Dessa behov kommer dock att visa sig när regelverket börjar att tillämpas i Sverige. Ett tredje område som kan kräva nationellt initiativ gäller regelverk och evaluering av underskriftsservrar som anordningar för skapande av kvalificerade underskrifter och stämplar Behov av genomförandeakt på kryptoområdet Förordningen ställer krav på granskning av den hårdvara eller tillämpning som kryptonycklar lagras i och här har kommissionen rätt att arbeta med genomförandeakter med detaljregler. Kommissionen har även rätt att fatta beslut om en delegerad akt med speciella krav på den som granskar denna typ av hårdvara. Det finns däremot ingen bestämmelse i förordningen som reglerar de krypto- och hashalgoritmer och nyckellängder som ska användas i betrodda tjänster enligt förordningen. Det är inte heller ett område som pekas ut där kommissionen har rätt att ta fram genomförandeakter. Samtidigt är alla betrodda tjänster som regleras i förordningen beroende av krypto- och Post- och telestyrelsen 18

19 19(40) hashalgoritmer för att skapa underskrifter och stämplar eller för att validera underskrifter och stämplar. Om det inte regleras i förordningen eller genomförandeakter innebär det att det är fritt för medlemsländerna eller respektive tillhandahållare att välja algoritmer och nyckellängder. Det innebär en risk för alla medlemsländer att behöva ta emot underskriven eller stämplad information med ett otillräckligt skydd. Om de olika länderna väljer olika kryptoalgoritmer och nyckellängder, så kan detta även innebära kompabilitetsproblem mellan de olika tjänsterna mellan länderna. Krav på krypto- och hashalgoritmer och nyckellängder är en mycket viktig säkerhetsfråga och det är av central betydelse att det finns en uttalad minimirekommendation som alla tillhandahållare av betrodda tjänster är skyldiga att följa. En sådan rekommendation måste hållas uppdaterad för att rekommenderade algortimer och nyckellängder alltid ska hålla en tillräcklig nivå för ändamålen. Det finns därför behov av en genomförandeakt som ställer minimikrav på krypto- och hashalgoritmer samt nyckellängder. Genomförandeakten bör lämpligen peka på ett dokument som hålls uppdaterat för att långsiktigt säkerställa en tillräcklig nivå av skydd. Det pågår arbete med att ta fram ett sådant dokument som borde vara det dokument som kommissionen refererar till på detta område, nämligen SOGIS Agreed Cryptographic Mechanisms 3 Det finns ett nationellt behov av att ta fram rekommendationer på området. Sådana rekommendationer behöver bygga på nationell kryptokompetens. Rekommendationen bör därför tas fram av de myndigheter som presenterat ett förslag till nationell strategi och åtgärdsplan för säkra kryptografiska funktioner i enlighet med slutbetänkandet från den s.k. NISU-utredningen, Informationsoch cybersäkerhet i Sverige -Strategi och åtgärder för säker information, SOU 2015:23, dvs Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, Försvarets materielverk och Försvarsmakten. Ett särskilt regeringsuppdrag skulle kunna läggas på dessa myndigheter för att ta fram en rekommendation på eidas området. Formen och förutsättningarna för ett sådant uppdrag behöver dock klargöras närmare och koordineras med beredningen av det förslag om säkra kryptografiska funktioner som finns i NISU utredningens slutbetänkande. Sverige bör verka för att en genomförandeakt tas fram. En sådan genomförandeakt skulle kunna tas fram inom ramen för en genomförande akt om tekniska och organisatoriska krav (artikel 19.4 a) i förordningen). Krav på krypto och hashalgoritmer och nyckellängder skulle då ses som en av flera 3 Dokumentet finns på Mechanisms DRAFT.pdf Post- och telestyrelsen 19

20 20(40) lämpliga tekniska åtgärder för att hantera riskerna för säkerheten i tillhandahållna betrodda tjänster. Genomförandeakten skulle referera till en rekommendation som granskas, kontrolleras och uppdateras av medlemsstaternas kryptospecialister, dvs på SOGIS-MRA Agreed Cryptographic Mechanisms. Post- och telestyrelsen 20

21 21(40) Bilaga 1 genomgång av beslutade och möjliga genomförandeakter Beslutade genomförandeakter om betrodda tjänster I förordningen finns det några genomförandeakter som är obligatoriska för kommissionen att ta fram. Dessa genomförandeakter är beslutade. Förordningen ger i övrigt kommissionen möjlighet att ta fram genomförandeakter på fler områden KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden Genomförandeakten ställer krav på publicering av Trusted Lists enligt följande grundkrav: Ska innehålla betrodda tjänster som är kvalificerade Information per betrodd tjänst ska omfatta såväl gällande samt historisk statusinformation om tjänsten som sträcker sig till bakåt i tiden till den tidpunkt då tjänsten först inkluderades i landets trusted list. Får innehålla information om andra tillitstjänster, även icke kvalificierade Ska följa ETSI standarden TS v2.1.1 Ska vara signerad En PDF version får men behöver inte publiceras Kräver tillhandahållande av två olika certifikat med olika giltighetstid som kan användas för att validera trusted list signaturen. EU kommissionen åtar sig att publicera den information som samlas in från medlemsstaterna med avseende på var respektive trusted list är publicerad samt certifikat som kan användas för att validera dess signatur. Bilaga I innehåller främst krav på informationsinnehåll samt definierade identifierare som skall användas för att specificera egenskaper hos publicerade tillitstjänster. Följande problem identifieras: Krav på historisk information om betrodda tjänster Krav på dubbla certifikat Post- och telestyrelsen 21

22 22(40) Historisk information i trusted list är en teoretisk lösning som avser tillhandahålla stöd för historisk validering av elektroniska underskrifter, alternativt stödja granskning av gamla underskrifter i domstol. Det finns några problem med den valda lösningen. För det första så kommer detta att göra att trusted list alltid kommer att växa i framtiden och bli större och större då ingen information försvinner och ny information hela tiden läggs till. En del av medlemsstaternas trusted list är redan väldigt stora. Det finns många exempel på betrodda tjänster där information om status levereras i signerad form, t.ex. spärrlistor, SAML metadata. Inte i något fall inkluderar sådan underskriven statusdata historisk information (förändringshistorik)utan endast gällande information. Att tillhandahålla information med komplett förändringshistorik är en komplex vetenskap som implementeras av tjänster som Subversion och Git. Dessa har utvecklats under långt tid och visar hur komplext detta är. Kravet på historisk information ställer extra krav på verktyg som används för publicering av trusted list information. Om denna information skall ha ett värde så behöver man implementera automatisering som gör att förändringar i status resulterar i korrekt historisk data. Om processen är manuell så kommer informationen troligen inte att vara tillförlitlig vilket kan medföra behov av att leta upp original trusted list för att fastställa om informationen är korrekt. Kraven på förteckningen medför besvärlig administration för den organisation som hanterar förteckningen men påverkar inte andra organisationer i större utsträckning. Det är frivilligt för medlemsländerna att föra upp icke kvalificerade tillhandahållare av betrodda tjänster på trusted list. En bedömning av om behov finns och det därmed ska göras behöver genomföras. Ett sådant behov uppstår om Sverige nationellt vill använda trused list som en tillitsmodell eller om svenska icke kvalificerade betrodda tjänster används i kontakter med andra medlemsstater. En ny trusted list enligt kraven i genomförandeakten ska publiceras den 1 juli (Artikel 23.3) KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/806 av den 22 maj 2015 om fastställande av specifikationer för utformningen av EU-förtroendemärket för kvalificerade betrodda tjänster Kommissionen har haft en designtävling och beslutat om en vinnare för förtroende märket. Bestämmelserna om märket följs inte av mer krav. Det som inte framkommer av förordningen eller genomförandeakten är hur en eventuell Post- och telestyrelsen 22

23 23(40) felaktig användning av märket ska hanteras. Genomförandeakten bedöms inte medföra några konsekvenser. Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden Genomförandeakten ställer krav på vilka format för elektroniska underskrifter och stämplar som skall erkännas av medlemsstater som ställer krav på avancerade elektroniska underskrifter och stämplar, med eller utan kvalificerade certifikat. De format som skall stödjas är: ETSI XAdES ETSI CAdES ETSI PAdES ETSI ASiC Formaten skall stödjas på nivå B (Basic), T(Tidsstämplad) och LT(Långtid), där T och LT utgör påbyggnad av en B signatur som kan göras i efterhand genom tillägg av osignerad data efter tidpunkten då dokumentet undertecknades elektroniskt. Vidare så ska alla andra möjliga format, utan begränsning, stödjas om ursprungslandet tillhandahåller en valideringstjänst som tillhandahåller information om en underskrifts eller stämpels giltighet som är lämpad för automatisk databehandling. Analys Följande problem identifieras Problem Ej specificerad koppling till dataformat Stöd för ASiC signaturer Stöd för CAdES signaturer Klassificering Begränsande Begränsande Allvarligt Post- och telestyrelsen 23

24 24(40) Stöd för LT format Stöd för godtyckligt format Begränsande Allvarligt Kraven på stöd av format för elektronisk underskrift och stämpel är svårtolkat ur ett tekniskt perspektiv. Artikel 1 sätter grunden för detta krav genom att säga att medlemsstater som ställer krav en elektronisk underskrift eller stämpel ska erkänna (recognise) XML, CMS, PDF samt ASiC. Normalt sett när en tjänst ställer krav på en underskrift så gäller detta kravet implicit även vilket dataformat som den underskrivna informationen har. Ex om en e-tjänst kräver signering av XML data enligt ett specifikt XML schema (typ XBRL) så går det inte att skicka in samma data i ett Word dokument eller en PDF fil med information i fritext, även om detta tekniskt sett innehåller samma information. E-tjänstesystemet är i högsta grad beroende av att information för automatisk databehandling följer specifika format. Vitt tolkat så begränsar inte denna genomförandeakt att valet av signaturformat skall följa krav på underliggande dataformat. Det är naturligt att förse XML data med en XML signatur och ett PDF dokument med en PDF signatur, men det går rent tekniskt att göra andra val. Ett XML dokument kan signeras med en CAdES signatur eller en ASiC signatur. Om eidas skall tolkas så att alla e-tjänster måste kunna hantera signerad XML data med alla dessa varianter så skulle resultatet medföra allvarliga konsekvenser. Om en e-tjänst får begränsa signaturformat till ex XML signatur för XML data och PDF signatur för PDF dokument, blir konsekvenserna begränsade och vi kan förmodligen utgå ifrån att behovet av att ta emot underskrivna eller stämplade handlingar från andra länder kan begränsas till XML och PDF dokument. XML och PDF signaturer är knutna till dataformaten XML och PDF. CMS och ASiC är å andra sidan generella signaturformat som kan användas för att signera vilken information som helst. Till bilden hör att PDF signaturer utgörs av en CMS signatur som placeras i PDF dokumentet enligt speciella regler som definieras i PDF standarden. Det är därför oklart vad kravet på att stödja de generella formaten CMS och ASiC innebär. Ett problem med kravet på stöd för CMS är att det kan innehålla vilken information som helst. Detsamma gäller för ASiC signaturer där ett annat Post- och telestyrelsen 24

25 25(40) potentiellt problem är att all data lagras i en ZIP container som kan innehålla många filer av olika typ som signerats individuellt. ZIP är ingen standard utan en samling tekniska specifikationer som ägs av det amerikanska bolaget Pkware och som omgärdas av många patent. I ASiC standarden finns inga begränsningar av vilka delar av ZIP som måste kunna hanteras. Frågan är om det överhuvudtaget är möjligt att skapa en implementation som kan hantera allt som specificeras i ZIP. Om detta krav är en realitet, medför kravet på ASiC allvarliga konsekvenser. Många standarder för signaturformat är i grunden komplexa och berikade med mer eller mindre vanligt förekommande variationer. För att ge några exempel så kan detta röra sig om: Placering av signatur och data som signeras. Här förekommer ofta variationer så som signatur inkluderat i signerat dokument (Enveloped), Separat signatur (Detached) eller data i signatur (Enveloping) Olika metoder för att inkludera data från olika källor i signaturen. Olika metoder för att beräkna hash-värde för den data som signeras Olika metoder för att bestämma vad som omfattas av signaturen. De standarder som genomförandeakten kräver stöd för bygger i flera fall på befintliga standarder som ger många valmöjligheter. Det är en stor skillnad mellan att utveckla och underhålla verktyg som tillämpar de vanligast förekommande varianterna jämfört med att utveckla och underhålla verktyg som kan hantera alla möjliga variationer. Kravet på acceptans av påbyggnadsformaten T och LT reser frågan om en underskrift eller stämpel av detta slag måste stödjas även om certifikatet som är kopplat till underskriften eller stämpeln är spärrat eller dess giltighet löpt ut. I resonemanget beaktas 3 särfall: Fall Nutid Signeringstid Historisk Beskrivning Validering av signatur då signaturcertifikatet är giltigt och ej spärrat vid tidpunkt för valideringen. Denna typ av validering kan göras på en B signatur. Validering av tidsstämplad signatur då signaturcertifikatets giltighetstid ännu inte löpt ut och där signaturcertifikatet kan vara spärrat efter den tidpunkt då signaturen tidsstämplats. D.v.s. certifikatet var giltigt vid tidpunkt då signaturen skapades. Denna typ av validering kräver minst en T signatur. Validering av tidsstämplad signatur där signeringscertifikatets giltighetstid löpt ut och där uppgift om certifikatets Post- och telestyrelsen 25

26 26(40) spärrstatus ej längre är publikt tillgänglig. Certifkatet kan vara spärrat efter tidpunkten då signaturen skapades. Denna typ av validering kräver minst en LT signatur. Osäkerheten i innebörden av kraven på acceptans av olika signaturformat (B, T och LT) ligger i att genomförandeakten inte preciserar vilken valideringsmetodik som måste stödjas. Såväl T som LT signaturer är påbyggnader av en B signatur och kan därför valideras som en B signatur i nutid. Man skulle därför kunna anse att kravet är uppfyllt genom att endast validera B, T och LT signaturer i nutid. D.v.s. genom att hantera signaturen som en B signatur och ignorera eventuell T och LT data. Mot argumentet är att det då är redundant att ställa krav på stöd av T och LT signaturer eftersom samma resonemang kan föras när det gäller andra format så som ex LTA (Arkiv format). Även LTA är en B signatur som utökats efter signeringstillfället med extra data och kan därför även valideras i nutid som en vanlig B signatur på samma sätt som T och LT signaturer. Man kan därför inte bortse från att kravet på stöd av T och LT signaturer kan läsas som ett indirekt krav på såväl validering i signeringstid som historisk validering. De genomförandeakter som redovisas nedan relaterat till artikel 32.3 och 33.2 kan i viss mån bringa klarhet i hur kraven skall tolkas. En teknisk lösning som klarar historisk validering baserat på LT data kan bli enormt komplex och kan komma att kräva analys även av historisk trusted list information. Sverige bör verka för ett förtydligande av denna genomförandeakt, samt påverka tillkomsten av genomförandeakter relaterat till 32.3 och 33.2 så att LT kravet inte innefattar krav på historisk validering. Öppningen för att medlemsländer kan använda vilka format som helst om man tillhandahåller en valideringstjänst lämpad för automatisk databehandling innebär en risk att Sverige behöver hantera osäkra format av underskrifter och stämplar. Uppfyllnad av detta krav försvåras vidare avsevärt av det faktum att det saknas tillämpliga standarder för valideringsprocessen samt vilken information som skall förmedlas av en valideringstjänst. Kommissionen får fastställa standarder för valideringstjänster men det finns inga krav på att dessa måste tillämpas. Den risk detta medför är att det kan förekomma många olika valideringstjänster som förmedlar olika information om validerade underskrifter, vilket innebär stora utmaningar vad gäller a) teknisk integration med olika typer av valideringstjänster b) värdering av information från olika typer av valideringstjänster. Post- och telestyrelsen 26

27 27(40) Möjliga genomförandeakter om betrodda tjänster där arbete pågår Utkasten presenteras som s.k. icke papper från kommissionen som sedan medlemsländerna lämnar skriftliga synpunkter på varefter de diskuteras i expertgruppen. När konsensus eller rough consensus nåtts så förs de vidare till eidas kommittén för beslut. Kommissionen har presenterat ett icke-papper på området it-säkerhetscertifiering. Det är flera möjliga genomförandeakter som kan påverkas av en generell genomförandeakt om IT-säkerhetscertifiering. Artikel 24.5 om tillförlitliga IT-system och produkter Artikel 29.2 om referenser för anordningar för skapande av kvalificerade elektroniska underskrifter Artikel 30.3 förteckning över standarder för säkerhetsbedömning av ITprodukter Omfattar även artikel 39 med motsvarande krav men för stämplar 24.5 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för tillförlitliga system och produkter, vilka uppfyller kraven i punkt 2 e och f i denna artikel. Överensstämmelse med kraven i denna artikel ska förutsättas när tillförlitliga system och produkter uppfyller dessa standarder Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för anordningar för skapande av kvalificerade elektroniska underskrifter. Överensstämmelse med kraven i bilaga II ska förutsättas när en anordning för skapande av kvalificerade elektroniska underskrifter uppfyller dessa standarder Kommissionen ska genom genomförandeakter upprätta en förteckning över standarder för den säkerhetsbedömning av informationsteknikprodukter som avses i led a. Kommissionen har presenterat ett samlat icke-papper om certifiering av itsäkerhetsprodukter som bedöms omfatta samtliga ovan listade möjliga genomförandeakter. I förordningen finns krav på anordningar för skapande av kvalificerade stämplar och underskrifter och på att tillhandahållare i en utfärdarverksamhet använder tillförlitliga system. Anordningarna har historiskt ofta bestått av smarta kort och andra fysiska chip som används för att lagra privata nycklar. Det som är nytt i förordningen är att de explicit talar om underksriftsservrar där nycklar lagras åt kunderna. Sverige har i expertgruppen framfört att: Kravet på IT-säkerhetsprodukter ska ställas på Common Criteria (CC) enligt SOGIS MRA och för IT-produkter bara CC och inga kompletterande standarder. För säkra anordningar räcker det dock inte med att bara peka på CC Post- och telestyrelsen 27

28 28(40) eftersom det även behöver finnas administrativt regelverk för användningsfallen med underskriftsservrar. De standarder som pekas ut på CC området behöver vara på en nivå under CC, dvs på skyddsprofiler (PP). Vidare behöver PP arbetas fram i grupper som är öppna för alla de som vill delta, t.ex. via CEN. Kraven på assuransnivåer ska inte vara för höga utan harmoniera med resten av säkerhetskraven i förordningen. Kraven behöver inte nå mer än max EAL 4+. Den nya CCRA generationen är bra och siktar på att vara så effektiv som möjligt, dvs hitta flest sårbarheter per satsad krona och att peka på den ska stödjas. Kommissionen har presenterat ett utkast till genomförandeakt, ett s.k. icke papper. Det icke papperet innebär att ISO-standarden för common criteria ISO pekas ut tillsammans med ett antals skyddsprofiler för anordningar för skapande av kvalificerade elektroniska underskrifter och stämplar. Sverige har framfört att dokumentet borde kompletteras med krav på medlemskap i CCRA/SOGIS samt hänvisning till ISO/IEC för krav på evalueringsprocesser. Ett problem med utkastet är att det saknas en hänvisning till en anordning för serverlagrade nycklar eller servrar som genererar engångsnycklar. Den skyddsprofil som under flera år utarbetas inom ramen för CEN och som avses publiceras som EN ej är klar ännu och trots att arbetet bedrivits under ett antal år så finns ännu ingen mogen preliminär version att ta ställning till. Det har visat sig vara svårt att enas om denna skyddsprofil främst beroende på att olika tillverkare och tillhandahållare av lösningar för serverbaserad underskrift trycker på för att få stöd för sina lösningar. Sverige behöver därför bevaka färdigställandet av denna standard för att säkerställa att svenska underskriftstjänster kan evalueras enligt denna skyddsprofil. Artikel 30.4 delegerad akt om särskilda krav på utsedda organ På detta område finns ett beslut av kommissionen som fortfarande gäller till kommissionen väljer att upphäva beslutet. Enligt kommissionen kommer beslutet att fortsätta att gälla även efter den 1 juli Beslutet är kommissionens beslut av den 6 november 2000 om de minimikriterier som skall beaktas av medlemsstaterna när de utser organ enligt artikel 3.4 i Europaparlamentets och rådets direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer. Artikel 19.4 a) och b) krav på tekniska och organisatoriska säkerhetsåtgärder respektive incidentrapportering 19.4 Kommissionen får, genom genomförandeakter, a) ytterligare specificera de åtgärder som avses i punkt 1, och Post- och telestyrelsen 28

29 29(40) b) fastställa format och förfaranden, inklusive tidsfrister, som ska vara tillämpliga för de ändamål som avses i punkt 2. Arbete på området har inletts genom att ENISA har startat en. Arbetsgruppen har valt att fokusera arbetet på kraven på incidentrapportering och de incidentrapporter som medlemsländerna är skyldiga att skicka till kommissionen och ENISA. Det har förts en diskussion om behovet av en rekommendation om tekniska och organisatoriska säkerhetsåtgärder men här menade gruppen att det finns tillräckligt mycket god praxis så att det inte behövs utvecklas en till. Det huvudsakliga arbetet handlar om att kategorisera vad som är en incident som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de personuppgifter som ingår i denna. ENISA har inte rollen att besluta om genomförandeakter utan kan arbeta med rekommendationer till medlemsländerna och till EU:s institutioner. Arbetet kommer att resultera i en rekommendation till medlemsländerna gällande vilka incidenter länderna är skyldiga att notifiera ENISA och kommissionen om. Svårigheten här är att hitta en generell modell för bedömning av vad som är en incident av betydande omfattning. Lösningen kommer troligen att bli en matris med komponenter i betrodda tjänster kopplat till om en inträffad incident påverkats komponentens tillgänglighet, riktighet eller konfidentialitet. Olika komponenter är olika kritiska så om ett utfärdarcertifikat är otillgängligt påverkas inte den betrodda tjänsten eller förtroendet för tjänsten på kort sikt medan om en spärrtjänst är otillgänglig kan vara förödande och ännu värre om riktigheten är komprometterad. En första version av rekommendationen planeras att publiceras innan året är slut. Arbete med att vidare specificera tekniska och organisatoriska säkerhetsåtgärder är ett arbete för kommissionen medan ENISA kan ta fram rekommendationer. Det finns god praxis på området men mer styrande dokument vore önskvärt. Det finns kritiska områden som borde bli föremål för en genomförandeakt. Det gäller kraven på kryptoalgoritmer, hashalgortimer och nyckellängder i enlighet med avsnitt Rekommendationen kommer att peka på de incidentrapporter som tillsynsmyndigheten är skyldig att årligen rapportera vidare till ENISA och kommissionen. Rekommendationen kommer därmed att vara styrande för nationella föreskrifter som måste säkerställa att åtminstone de incidenter som möter kriterierna för att vara betydande enligt rekommendationen hämtas in från tillhandahållarna. Post- och telestyrelsen 29

30 30(40) Avsaknaden av genomförandeakt för säkerhetsåtgärder innebär en svårighet för de som vill etablera sig som tillhandahållare av kvalificerade betrodda tjänster. Svårigheten består främst i att det inte finns tydliga regler enligt artikel 19 som ett organ för överenstämmelsebedömning och en tillsynsmyndighet kan använda för att granska tillhandahållaren. Övriga icke obligatoriska genomförandeakter Nedan beskrivs alla de icke obligatoriska genomförandeakter som kommissionen har rätt att ta fram men där inget arbete påbörjats. Artikel 17.8 format och form för årsrapport till kommissionen Kommissionen får genom genomförandeakter fastställa format och förfaranden för den rapport som avses i punkt 6. Genomförandeakten specificerar den rapportering som tillsynsmyndigheterna ska lämna senast den 31 mars varje år till kommissionen om det huvudsakliga arbetet som har skett under året. En eventuell genomförandeakt kommer troligen att specificera vad rapporteringen ska innehålla. Avsaknaden av genomförandeakten innebär att det blir upp till tillsynsmyndigheten att styra formatet och innehållet i rapporten till kommissionen och det medför därmed inga eller mycket begränsade konsekvenser. Artikel 20.4 standarder för ackreditering och granskningsregler för certifiering 4. Kommissionen får genom genomförandeakter fastställa referensnummer till följande standarder: a) Ackreditering av organ för bedömning av överensstämmelse och för den rapport om överensstämmelsebedömning som avses i punkt 1. b) Granskningsregler som organen för bedömning av överensstämmelse ska följa vid sina överensstämmelsebedömningar av kvalificerade tillhandahållare av betrodda tjänster som avses i punkt 1. Av förordningen framgår att bedömning av överenstämmelse ska göras av kvalificerade betrodda tjänster och att den bedömningen ska göras av organ som är ackrediterade enligt förordning EG 765/2008. Förordningen anger dock inte hur bedömning av överenstämmelse av betrodda tjänster ska gå till eller vilka krav som ska ställas på de ackrediterade. Kommissionen har rätt att peka ut standarder på dessa områden. ETSI har standardiserat EN på detta område. EN har som huvudsyfte att utgöra ett ramverk för Post- och telestyrelsen 30

31 31(40) överenstämmelsebedömning av kvalificerade tillhandahållare av betrodda tjänster. Arbetet med standarden har skett i samverkan med EA (European Accreditation) som består av ackrediteringsorganen i medlemsstaterna. EA har också producerat ett migreringsdokument som antagits av EA general assembly. Detta dokument är utformat för att tillåta existerande lokala och nationella procedurer att fortgå parallellt med migrering mot uppfyllnad av EN Vid kontakter med Swedac har de framfört att de förordar produktcertifiering enligt ISO/IEC 17065:2012 och EN som säkerställer en godtagbar skyddsnivå för tillhandahållare av kvalificerade betrodda tjänster. Artikel 21.4 former och förfarande för anmälan om att tillhandahålla kvalificerade betrodda tjänster Kommissionen får genom genomförandeakter fastställa format och förfaranden för de ändamål som avses i punkterna 1 och 2. Genomförandeakter enligt artikel 20.4 och 21.4 är närliggande och det är för närvarande oklart exakt vad genomförandeakter enligt artikel 21.4 kan innebära. Ett tänkbart område för genomförandeakten är innehållskrav på rapporten som överensstämmelsebedömningen mynnar ut i. Det finns ingen standard för hur en rapport efter en granskning av en överenstämmelsebedömning ser ut och vad revisionsrapporten innehåller. Revisionsrapporten påverkar främst tillhandahållare av kvalificerade betrodda tjänster och tillsynsmyndigheter. För tillsynsmyndigheten kommer revisionsrapporten vara det främsta instrumentet för granskningen av tillhandahållare och för att tilldela dessa statusen som kvalificerade tillhandahållare. Artikel 28.6 referensnummer för kvalificerade certifikat för underskrifter Artikel 38.6 referensnummer för kvalificerade certifikat för stämplar 28.6 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för kvalificerade certifikat för elektroniska underskrifter. Överensstämmelse med kraven i bilaga I ska förutsättas när ett kvalificerat certifikat för elektroniska underskrifter uppfyller dessa standarder Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för kvalificerade certifikat för elektroniska stämplar. Överensstämmelse med kraven i bilaga III ska förutsättas när ett kvalificerat certifikat för elektroniska stämplar uppfyller dessa standarder. Kommissionen har enligt bestämmelserna i förordningen rätt att referera till standarder för certifikat format för elektroniska underskrifter och stämplar. Det finns flera olika standarder för certifikatformat. Olika tillhandahållare av kvalificerade certifikat för underskrifter och stämplar kan välja olika certifikatformat. I flertalet standarder för format finns samma obligatoriska fält Post- och telestyrelsen 31

32 32(40) i certifikaten medan det finns olika frivilliga fält. En harmonisering kan medföra att det blir enklare för en mottagare att validera underskrifter och stämplar samt att hämta nödvändig information från certifikaten. Det kan särskilt underlätta för att direkt se om ett certifikat är kvalificerat eller inte. Avsaknaden av genomförandeakt på området bedöms medföra lindriga konsekvenser. Artikel 31.3 format och förfaranden för information om kontrollerade anordningar 31.3 Kommissionen får genom genomförandeakter fastställa format och förfaranden som ska vara tillämpliga för de ändamål som avses i punkt 1. Format för de underlag som lämnas från medlemsländerna till kommissionen så att kommissionen kan upprätta en lista över certifierade anordningar för kvalificerade underskrifter och stämplar samt certifierade tillförlitliga ITprodukter. Avsaknaden av genomförandeakten innebär att det blir upp till organet för certifiering av it-säkerhetsprodukter att informera kommissionen om vilka anordningar och produkter som har evaluerats och därmed inga konsekvenser. Artikel 32.3 referensnummer till standarder för validering av kvalificerade underskrifter (även artikel 40 för stämplar) Artikel 33.2 referensnummer till standarder för kvalificerad valideringstjänst (även artikel 40 för stämplar) 32.3 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för validering av kvalificerade elektroniska underskrifter. Överensstämmelse med kraven i punkt 1 ska förutsättas när valideringen av kvalificerade elektroniska underskrifter uppfyller dessa standarder Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för den kvalificerade valideringstjänst som avses i punkt 1. Överensstämmelse med kraven i punkt 1 ska förutsättas när valideringstjänsten för kvalificerade elektroniska underskrifter uppfyller dessa standarder. Kommissionen får utfärda genomförandeakter som refererar standarder för validering av elektroniska underskrifter samt för tjänster som utför validering. Standarder för validering av elektroniska underskrifter kan i huvudsak indelas i följande kategorier: Standarder gällande procedurer för validering Standarder gällande dataformat för information om resultatet av en valideringsprocess Post- och telestyrelsen 32

33 33(40) Vad gäller standarder för valideringsprocesser så finns en standard från ETSI (EN ) som i princip är klar och förväntas bli publicerad i början av Denna standard beskriver processer för att validera underskrifter av typen B, T och LT (se information gällande Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 ovan). Det är därför inte otänkbart att innebörden av genomförandebeslut EU 2015/1506 kommer att preciseras genom referenser till standarder för validering av underskrift. Dock med den begränsningen att dessa standarder endast utgör krav på validering av kvalificerad elektronisk underskrift och kvalificerade valideringstjänster. Det finns för närvarande inga standarder för dataformat för information om resultatet av en valideringsprocess. ETSI har inte inlett något arbete med standarder på området. Däremot har kommissionen inlett ett arbete genom CEF-programmet som kan ligga till grund för standardisering på området. Detta innebär att det för närvarande inte finns annat än bestämmelserna i förordningen att utgå ifrån för den som tillhandahåller betrodda tjänster och för organ för överenstämmelsebedömning och tillsynsmyndighet som granskar regelefterlevnaden. Avsaknaden av genomförandakt och standard kan också innebära att information om validering ser olika ut för olika valideringstjänster vilket kan medföra svårigheter för automatiserad behandling för förlitande parter. Det finns minst en intressent i Sverige som vill tillhandahålla en kvalificerad valideringstjänst. Det medför att avsaknaden av genomförandakt och i större utsträckning standarder medför problem för tillhandahållaren och tillsynsmyndigheten. Det är sannolikt att anta att såväl kvalificerade valideringstjänster som valideringstjänster som inte är kvalificerade kommer att tillämpa samma tekniska standarder, protokoll och dataformat. Den enda skillnaden mellan dessa tjänster bör vara att den kvalificerade tjänsten anmälts och godkänts som en kvalificerad tjänst. Sverige bör verka för att dessa genomförandeakter inte innefattar krav på historisk validering (se information gällande EU 2015/1506 ovan). Artikel 34.2 referensnummer till standarder för kvalificerade tjänster för bevarande av kvalificerade elektroniska underskrifter (även artikel 40 för stämplar) 34.2 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för kvalificerade tjänster för bevarande av kvalificerade elektroniska underskrifter. Överensstämmelse med kraven i punkt 1 ska förutsättas när systemen för de kvalificerade tjänsterna för bevarande av kvalificerade elektroniska underskrifter uppfyller dessa standarder. Post- och telestyrelsen 33

34 34(40) Kommissionen har rätt att referera standarder för kvalificerade tjänster för bevarande. Det finns för närvarande inga standarder på området. ETSI har inte inlett arbete på området och är beroende av extern finansiering och mandat från kommissionen för att inleda arbetet med standardisering. Definitionen av tjänster för bevarande i artikel 34 ( förfaranden och tekniker som gör det möjligt att förlänga den kvalificerade elektroniska underskriftens tillförlitlighet utöver perioden för teknisk giltighet ) kan tolkas ganska brett. Förfaranden och tekniker som kan passa in på denna beskrivning kan vara: En tjänst som bevarar elektroniska signaturer och information om dess giltighet. En tjänst som bevarar information som kan användas för att validera signaturer efter dess tekniska giltighet. En tjänst som validerar signaturer och bevarar information om denna valideringsprocess samt dess slutsatser. Standarder för bevarande kan därför även relateras till standarder och tjänster för validering av elektroniska signaturer eftersom en tjänst som kan validera signaturer kan bidra till att förlänga den kvalificerade elektroniska underskriftens tillförlitlighet om resultatet av en sådan process bevaras. Rätt utformat kan ett valideringsutlåtande användas som bevis för en signaturs giltighet under långt tid. Om en bevarandetjänst kan förnya utlåtandet efter viss tid så innebär det att signaturen kan valideras med stöd av detta utlåtande under obegränsad tid med relativt enkla medel. Artikel 42.2 referensnummer till standarder för bindning av datum och tidpunkt till uppgifter och för korrekta tidskällor 42.2 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för bindning av datum och tidpunkt till uppgifter och för korrekta tidskällor. Överensstämmelse med kraven i punkt 1 ska förutsättas när bindningen av datum och tidpunkt till uppgifter och den korrekta tidskällan uppfyller dessa standarder. Det finns idag etablerade standarder för tidsstämpling som tillämpas av existerande tjänster. Format för tidsstämpling är vidare reglerat i flera av de signaturformat som måste stödjas i enlighet med genomförandebeslut (EU) 2015/1506. De krav som framställs på en kvalificerad tidsstämplingstjänst i artikel 42 är väldigt grundläggande och självklara krav på en tidsstämplingstjänst. Det avgörande kravet blir därför att uppfylla de krav som ställs för att tillhandahålla tjänsten som en kvalificerad betrodd tjänst. Post- och telestyrelsen 34

35 35(40) En av de stora utmaningarna här är att det inte finns något standardiserat och entydigt sätt definierat i befintlig standard för tidsstämpling genom vilket en tidsstämpel kan infoga information om att den är en kvalificerad elektronisk tidsstämpel. Det gör att den som validerar en sådan tidsstämpel måste söka information utanför tidsstämpeln för att avgöra om den är kvalificerad eller inte vilket kan vara en svår utmaning för befintliga system och funktioner. Det är därför av särskild vikt att avgöra om några av de presumptionskrav som uttrycks i artikel 41 får till följd att den som validerar en kvalificerad elektronisk tidsstämpel även måste ta reda på om denna tidsstämpel är kvalificerad. Det finns svenska aktörer som är intresserade av att etablera kvalificerade tidsstämplingstjänster. Artikel 44.2 referensnummer till standarder för processer för att sända och ta emot uppgifter 44.2 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för processer för att sända och ta emot uppgifter. Överensstämmelse med kraven i punkt 1 ska förutsättas när en process för att sända och ta emot uppgifter uppfyller dessa standarder. ETSI har publicerat en serie standards för denna typ av tjänster (ETSI TS ), Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM). Dessa specifikationer har bl.a. tillämpats och testats inom EU projekt som E-CODEX och SPOCS. Inom ramen för EU projektet esens byggblock edelivery testas tjänster och standarder för meddelandeförmedling över nationsgränser och en generalisering av konceptet är under utveckling. Inom esens har det förekommit en viss oenighet gällande arkitektur och specifikationer inom området. Det är nu svårt att bedöma vilka konsekvenser avsaknaden av genomförandeakter med tydliga referenser till gällande standarder på området medför. De svårigheter som kan identifieras är att bedöma vilka krav som ställs på tillhandahållare på området samt vilka verksamheter som idag omfattas av bestämmelserna. Artikel 45.2 referensnummer till standarder för kvalificerade certifikat för autentisering av webbplatser 45.2 Kommissionen får genom genomförandeakter fastställa referensnummer till standarder för kvalificerade certifikat för autentisering av webbplatser. Överensstämmelse med kraven i bilaga IV ska förutsättas när ett kvalificerat certifikat för autentisering av webbplatser uppfyller dessa standarder. Det har inte påbörjats något arbete med genomförandeakt på området. ENISA har dock fått ett uppdrag och gjort en marknadsundersökning gällande Post- och telestyrelsen 35

36 36(40) webbserver certifikat. I den studien framför ENISA slutsatser och rekommendationer. Dessa rekommendationer omfattar bl.a. att användningen av TLS ska stimuleras och att värdet av användningen synliggörs för slutanvändare. I rekommendationen ingår också att tydliggöra vilken skyddsnivå olika webbservercertifikat ger en slutanvändare. ENISA framför sedan att en marknad för kvalificerade webbservercertifikat behöver etableras. De föreslår att det ska ske genom att offentlig förvaltning går före och efterfrågar kvalificerade webbserver certifikat och marknadsför kvalificerade webbserver certifikat och pekar på vinsterna. Vidare föreslås att tillhandahållare bl.a. ska verka för att webbläsarleverantörer visar att kvalificerade webbserver certifikat används på motsvarande sätt som s.k. EV (extended validation) certifikat. Visionen är etablering av kvalificerade EU Webbcertifikat som skall ge trygghet till EU medborgare när man besöker e-tjänster inom EU där relevant information visas i marknadens webbläsare. Det finns väldigt svåra hinder i vägen för att realisera visionen, oavsett hur bra argument man har. Om inte webbläsarna visar EU certifikat på ett lämpligt sätt så är inte visionen realiseringsbar och tillverkarna av webbläsare har inte visat något stort intresse av att utöka presentation av webbcertifikat utöver det gränssnitt man har idag som vuxit fram efter många, många år av diskussioner och samverkan inom CAB forum. Det vore ett stort steg tillbaka om webbläsarna skulle införa skillnad i gränssnitt för olika regionala klassificeringar av webbcertifikat. Idag finns domäncertifikat och sk EV certifikat. Det är 2 nivåer som användarna kan skilja på. Om olika världsdelar skulle gå isär och skapa sina egna webbcertifikat, eller till och med regioner inom dessa världsdelar, så skulle situationen bli mycket mer komplex för användarna. Sverige bör verka för att EU arbetar inom nuvarande globala organ för webbcertifikat, men på området pekar på att kommissionen inte är intresserad av den vägen. Det betyder att det troligen kommer att göras en hel del försök att införa EU webbcertifikat men bedömningen är att det inte kommer få någon nämnvärd spridning. Post- och telestyrelsen 36

37 37(40) Bilaga 2 översikt standarder Kommissionen har gett ett uppdrag till CEN och ETSI, mandate M/460. Standardorganisationerna ska ta fram ett gemensamt svar på behovet av standarder på området säkra elektroniska transaktioner för e-handel och e- tjänster i Europa Syftet med uppdraget är att skapa förutsättningar för interoperabilitet och ett europeisk standard ramverk. Utöver mandatet så har ENISA genomfört en kartläggning av standarder för tillhandahållare av betrodda tjänster 4. Kartläggningen analyserar standarder relaterat till betrodda tjänster. 4 Standardisation in the field of Electronic Identities and Trust Service Providers - Post- och telestyrelsen 37

38 Post- och telestyrelsen 38 Sida 38(40)

39 Post- och telestyrelsen 39 Sida 39(40)

40 Post- och telestyrelsen 40 Sida 40(40)