PTS informationsmöte om eidas och betrodda tjänster

Transkript

1 PTS informationsmöte om eidas och betrodda tjänster Post- och telestyrelsen

2 Inledning, syfte och avgränsningar för informationsmötet eidas - Kort om EU:s koncept för säkrare elektronisk handel och identifiering Status standarder för betrodda tjänster PTS del av eidas de betrodda tjänsterna Agenda Presentation av PTS vägledning Diskussion och synpunkter på PTS utkast till vägledning PTS vidare arbete, tidplan och samverkan med berörda aktörer och intressenter Avslutning

3 Inledning, syfte och avgränsningar för informationsmötet

4 Målgrupp Om informationsmötet Tillhandahållare av betrodda tjänster Andra berörda intressenter Information om eidas och PTS del för betrodda tjänster PTS arbete med olika produkter och tidplan Fördjupad presentation och möjlighet att lämna synpunkter på PTS kommande vägledning Samverkan med branschen

5 eidas - Kort om EU:s koncept för säkrare elektronisk handel och identifiering

6 Bakgrund e-signaturdirektivet från 1999 Lag om kvalificerade elektroniska signaturer Digital agenda för Europa Digitala inre marknaden (DSM) egovernment Action Plan 2010 Pilotprojektet STORK, STORK 2/e-SENS Förslag till eidas-förordning 2012, förordningen beslutades 23 juli 2014

7 Nyheter jämfört med signaturdirektivet Omfattar två delar: elektronisk identifiering och betrodda tjänster Förordning istället för direktiv Omfattar fler betrodda tjänster än elektroniska underskrifter Regler för kvalificerade och icke-kvalificerade betrodda tjänster

8 Syfte med förordningen Personer och företag ska kunna använda sina egna nationella elektroniska identiteter över medlemslandsgränserna inom EU Skapa en europeisk marknad för betrodda tjänster, elektroniska underskrifter, stämplar, tidsstämpling, leveranstjänster och autentisering av webbplatser Rättsligt erkännande av dessa tjänster och elektroniska dokument

9

10 Digitala tjänster E-handelstjänster (ecommerce) E-tjänster (egovernment) System för elektronisk identifiering anmäls till Europeiska kommissionen e-legitimation (eid elektronisk identifiering) eidas nod eid i andra EU-länder Betrodda tjänster Elektroniska underskrifter Anordning Elektroniska stämplar Anordning Autentisering av webbplatser (WEBSITE AUTHENTICATION) Reglering/NRA Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Tillsynsmyndighet Standardisering Valideringstjänst (esignature/eseal) QTSP Bevarandetjänst (esignature/eseal) QTSP Tidsstämplingstjänst (etime-stamp) QTSP Rekommenderade leveranser (edelivery) QTSP Branschorganisationer Ackreditering av organ för bedömning av överensstämmelse Organ för överenstämmelsebedömning (Certifieringsorgan) Certifiering av IT-säkerhet/anordningar (Certifieringsorgan)

11 PTS roll Tillsynsmyndighet för betrodda tjänster Kontrollera anmälningar inklusive rapporter från överensstämmelsebedömning Bedriva tillsyn över kvalificerade och icke kvalificerade tillhandahållare Ta emot incidentrapporter Tillhandahålla nationell förteckning över tillhandahållare (trusted list) Vid behov ta fram föreskrifter Samverka med övriga myndigheter med särskilt ansvar (E-legitimationsnämnden, SWEDAC, FMV/CSEC och MSB)

12 Avgifter för kvalificerade tillhandahållare Avgiften kommer troligen att vara kr per år från år 2017

13 Pågående arbete regeringsuppdrag PTS har ett regeringsuppdrag för en sömlös övergång från signaturlagen till eidasförordningen I praktiken pågår arbete med: Skapa arbetssätt och bygga upp kompetens för att kunna tillämpa det nya regelverket Etablera processer och rutiner Identifiera behov av nationella initiativ och produkter PTS vägledning Dialog med aktörer som vill etablera sig

14 Status standarder för betrodda tjänster

15 M/460 standardiseringsmandat för den digitala inre marknaden EU Trust Mark (akt: 2015/806) Trusted List Tillsyn Förordning och regler Standarder och best practices Trusted List; ETSI TS (akt: 2015/1505) - Möjlig akt enligt art för CAB - Möjlig akt enligt art för QTSP initiation - Möjlig akt enligt art för årlig tillsyn - Möjlig akt enligt art för gemensamma bestämmelser för QTSPs - Möjlig akt enligt art för gemensamma bestämmelser för TSPs - Möjlig akt för specifika bestämmelser rörande varje enskild typ av (kvalificerad) betrodd tjänst och betrodd tillhandahållare

16 M/460 standardiseringsmandat för den digitala inre marknaden

17 PTS del av eidas de betrodda tjänsterna

18 Vad är en reglerad betrodd tjänst? En elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av någon av följande tjänster: Utfärdande av certifikat för elektroniska underskrifter och stämplar Validering av underskrifter och stämplar Bevarande av underskrifter och stämplar Tidsstämpling Elektronisk rekommenderad leverans Certifikat för autentisering av webbplatser

19 Vad omfattar EU-regleringen? Tillhandahållare av betrodda tjänster och kvalificerade betrodda tjänster Erkännande av betrodda tjänster från andra medlemsländer Rättsligt erkännande av Elektroniska underskrifter och stämplar Tidsstämpling Elektronisk rekommenderad leverans Elektroniska dokument Förordningen sätter ramar, detaljregler tas fram i samarbete mellan kommissionen och medlemsländerna i genomförandeakter

20 Krav på kvalificerade tillhandahållare Anmälningsplikt Skadeståndsansvar - bevisbördan på tillhandahållaren Obligatorisk bedömning av överenstämmelse av verksamheten med revision vartannat år Årlig, planlagd och händelsestyrd tillsyn Tillsynsmyndigheterna i medlemsländerna ska samarbeta Säkerhetskrav och finansiell förmåga att bära risken Skyldigheter att rapportera säkerhetsincidenter

21 Krav på icke-kvalificerade tillhandahållare Inget notifieringsförfarande eller anmälningsplikt Säkerhetskrav: lämpliga åtgärder med hänsyn till tillgänglig teknik och kostnader Skadeståndsansvar bevisbördan på den drabbade Skyldighet att rapportera säkerhetsincidenter till PTS Händelsestyrd tillsyn efter inträffade och rapporterade incidenter

22 Kvalificerade betrodda tjänster (eidas) PTS ansvarsområde och produkter e-legitimation (eid elektronisk identifiering) eidas nod eid i andra EU-länder Elektroniska underskrifter Anordning Betrodda tjänster Elektroniska stämplar Anordning Autentisering av webbplatser (WEBSITE AUTHENTICATION) Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Incidentrapport Tillsyn Anmälan Tillsyn Tillsynsmyndighet Valideringstjänst (esignature/eseal) QTSP Bevarandetjänst (esignature/eseal) QTSP Tidsstämplingstjänst (etime-stamp) QTSP Rekommenderade leveranser (edelivery) QTSP Avgiftsföreskrifter Incidentrapport Föreskrifter Ackreditering av organ för bedömning av överensstämmelse Organ föröverenstämmelsebedömning (Certifieringsorgan) Certifiering av IT-säkerhet/anordningar (Certifieringsorgan) Föreskrifter

23 Kvalificerade betrodda tjänster (eidas) Genomförandeakter Valideringstjänst (esignature) QTSP e-legitimation (eid elektronisk identifiering) Bevarandetjänst (eseal) QTSP Betrodda tjänster Elektroniska underskrifter Elektroniska stämplar Autentisering av webbplatser (WEBSITE AUTHENTICATION) Anordning Anordning Genomförandeakt Genomförandeakt art. 27 pkt. 5 Genomförandeakt Genomförandeakt art. 37 pkt. 5 art. 29 pkt. 2 art. 39 pkt. 1 Genomförandeakt Genomförandeakt Genomförandeakt art. 45 pkt. 2 art. 27 pkt. 4 art. 37 pkt. 4 Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Genomförandeakt art. 28 pkt. 6 Genomförandeakt art. 32 pkt. 3 art. 40 Ackreditering av organ för bedömning av överensstämmelse Genomförandeakt art. 8 pkt. 3 Genomförandeakt art. 12 pkt. 7 Genomförandeakt art. 12 pkt. 8 Genomförandeakt art. 31 pkt. 3 Genomförandeakt art. 33 pkt. 2 Genomförandeakt Genomförandeakt art. 38 pkt. 6 Genomförandeakt art. 34 pkt. 2 Genomförandeakt art. 40 Organ föröverenstämmelsebedömning (Certifieringsorgan) Tidsstämplingstjänst (etime-stamp) QTSP Genomförandeakt art. 42 pkt. 2 Genomförandeakt art. 23 pkt. 3 Rekommenderade leveranser (edelivery) QTSP Genomförandeakt art. 44 pkt. 2 Certifiering av IT-säkerhet/anordningar (Certifieringsorgan) Genomförandeakt art. 19 pkt. 4 Genomförandeakt art. 24 pkt. 5 eidas nod eid i andra EU-länder Genomförandeakt art. 22 pkt. 5 Genomförandeakt art. 17 pkt. 8 Genomförandeakt art. 21 pkt. 4 Genomförandeakt art. 20 pkt. 4 Genomförandeakt art. 19 pkt. 4 a) Genomförandeakt art. 20 pkt. 4 Genomförandeakt art. 30 pkt. 3 Delegerad akt art. 30 pkt. 4 Genomförandeakt art. 39 pkt. 2

24 Betrodda tjänster (eidas) PTS Vägledning e-legitimation (eid elektronisk identifiering) eidas nod eid i andra EU-länder Elektroniska underskrifter Anordning Kvalificerade betrodda tjänster (ets) Trusted List Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Valideringstjänst (esignature/eseal) QTSP Elektroniska stämplar Bevarandetjänst (esignature/eseal) QTSP Anordning Autentisering av webbplatser (WEBSITE AUTHENTICATION) PTS Vägledning Tidsstämplingstjänst (etime-stamp) QTSP Rekommenderade leveranser (edelivery) QTSP Incidentrapport Tillsyn Anmälan Tillsyn Avgiftsföreskrifter Incidentrapport Tillsynsmyndighet Föreskrifter Ackreditering av organ för bedömning av överensstämmelse Organ föröverenstämmelsebedömning (Certifieringsorgan) Certifiering av IT-säkerhet/anordningar (Certifieringsorgan) Föreskrifter

25 Presentation av PTS vägledning

26 eidas-förordningen eidas-vilka regler finns? Övergripande krav och möjlighet/skyldighet för kommissionen att anta genomförandeakter Genomförandeakter Referenser till standarder med detaljerade tekniska krav och andra regler Svensk lag och förordning med kompletterande bestämmelser Rätt för PTS och MSB att utfärda föreskrifter på vissa områden Tillsynsbestämmelser ENISA:s rekommendationer Rutin för incidentrapportering

27 Betrodda tjänster - eidas struktur för regelverket EU:s förordning om elektronisk identifiering (910/2014) Genomförandeakter Lag (2016:XX) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering Förordning (2016:XX) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering PTS vägledning ENISA Rekommendation incidentrapportering Europeiska standarder

28 Varför en vägledning? Endast ett fåtal av kommissionens genomförandeakter kommer att vara på plats 1 juli 2016 PTS kommer initialt inte att utnyttja sin rätt att utfärda föreskrifter, förutom beträffande avgifter Istället - en vägledning där nödvändigt stöd samlas. Vägledningen är inte bindande utan endast en beskrivning av det regelverk som gäller och det stöd som finns.

29 Målgrupp Målgruppen för vägledningen är främst: Tillhandahållare av betrodda tjänster som vill etablera sig som kvalificerade tillhandahållare Men även: Icke-kvalificerade tillhandahållare Berörda myndigheter och andra organ

30 Vägledningen innehåller bl.a. Innehåll En beskrivning av processen att etablera sig som tillhandahållare av betrodda tjänster Krav på kvalificerade och icke-kvalificerade tillhandahållare Krav på kvalificerade betrodda tjänster och lämpliga standarder Rutiner för incidentrapportering

31 Vägledning för eidas PTS Vägledning För betrodda tjänster i Sverige enligt eidas Del 1 Inledning Del 2 Bakgrund Del 3 Etablering av kvalificerade tillhandahållare och kvalificerade betrodda tjänster Del 4 Krav som omfattar såväl kvalificerade som icke kvalificerade tillhandahållare Del 5 Regler för överensstämmelsebedömning Del 6 Krav på kvalificerade betrodda tjänster Del 7 Krav på tillförlitliga ITsystem och säkra anordningar för underskrifter och stämplar samt för Del 8 Incidentrapportering Bilaga Refererade standarder

32 Tillämpningsområde Förordningen gäller: Tillhandahållare av betrodda tjänster som är etablerade inom EU Förordningen gäller inte: Slutna system mellan en avgränsad uppsättning deltagare och som inte påverkar tredje man Bestämmelser om ingående eller giltighet av avtal, formkrav för offentliga register Del 2 Bakgrund

33 Övergångsbestämmelser Signaturdirektivet och lagen om kvalificerade elektroniska signaturer upphör att gälla den 1 juli 2016 Signaturdirektivet Utfärdare av kvalificerade certifikat Fram till 1/ eidas-förordningen Kvalificerade tillhandahållare av betrodda tjänster Säkra anordningar för signaturer Anordningar för kvalificerade elektroniska underskrifter Kvalificerade certifikat Till dess de löper ut Kvalificerade certifikat för elektroniska underskrifter Del 2 Bakgrund

34 Etablering av tillhandahållare Del 5 i vägledningen Del 5 i vägledningen Del 5 i vägledningen Del 7 i vägledningen tillförlitliga IT-system Beslutad genomförandeakt (anordningar) Beslutad genomförandeakt Del 3 Etablering av kvalificerade tillhandahållare och kvalificerade betrodda tjänster

35 Flödesschema Anmälan kvalificerade betrodda tjänster (eidas) Anmälan lämnas till PTS Bekräftelse till aktören PTS genomför kontroll PTS fattar beslut beviljar/inte beviljar status som kvalificerad tillhandahållare PTS för upp på nationell förteckning Kvalificerade tillhandahållare på nationell förteckning (trusted list) Del 3 Etablering av kvalificerade tillhandahållare och kvalificerade betrodda tjänster

36 Krav på alla tillhandahållare Skadeståndsansvar (art. 13) för skada som åsamkats en fysisk eller juridisk person avsiktligt eller oaktsamhet att följa förordningens krav Icke kvalificerade bevisbördan på den drabbade Kvalificerade bevisbördan på tillhandahållaren Säkerhetskrav och incidentrapportering (art. 19) Tillsyn Icke kvalificerade när myndigheten tar del av information att tillhandahållaren inte uppfyller förordningens krav Kvalificerade förebyggande och kontroller i efterhand se att tillhandahållare uppfyller förordningens bestämmelser Del 4 Krav som omfattar såväl kvalificerade som icke kvalificerade tillhandahållare

37 Lämpliga standarder för överensstämmelsebedömning Lämplig standard är EN Av standarden följer att lämplig kontrollform är certifiering Tillhandahållare bör granskas emot EN Rapporten för överensstämmelsebedömning behöver åtminstone följa EN Rapporten utgör en viktig del för PTS kontroll av tillhandahållaren i samband med anmälan Del 5 Regler för bedömning av överensstämmelse

38 EN Lämpliga standarder Generella säkerhetskrav för tillhandahållare av betrodda tjänster Övergripande, lämplig att börja med att läsa. Del 5 Regler för bedömning av överensstämmelse

39 EN Lämpliga standarder Granskningsregler för överenstämmelsesbedömning Del 5 Regler för bedömning av överensstämmelse

40 Utfärdare av kvalificerade certifikat för underskrifter, stämplar och autentisering av webbplatser EN och 2 Policy requirements for certification authorities issuing public key certificates / Qualified Certificates Enligt art. 25, 35 och 45 Del 6 Krav på kvalificerade betrodda tjänster

41 Kvalificerade elektroniska tidsstämplingar EN Policy Requirements for TSPs providing Time-Stamping Services Enligt art. 42 Del 6 Krav på kvalificerade betrodda tjänster

42 Kvalificerade elektroniska tjänster för rekommenderade leveranser EN Information Security Policy Requirements for REM Management Domains I väntan på publicering så ser vi ETSI TS som lämplig Enligt art. 44 Del 6 Krav på kvalificerade betrodda tjänster

43 Kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter EN Policy and security requirements for data preservation service providers I väntan på publicering så ser vi ETSI TS som lämplig Enligt art. 34 Del 6 Krav på kvalificerade betrodda tjänster

44 Tillförlitliga IT-system Krav på tillförlitliga IT-system finns i art. 24 Det finns arv från signaturdirektivet gällande granskade HSM-moduler Lämpliga standarder för tillförlitliga IT-system och baserade på skyddsprofiler Del 7 Krav på tillförlitliga IT-system och säkra anordningar för underskrifter och stämplar

45 Kvalificerade anordningar Övergångsregler som säger att säkra anordningar enligt signaturlagen kan ses som kvalificerade anordningar Kommissionen har publicerat en genomförandeakt som refererar till standarder som ska användas ISO/IEC 15408, ISO/IEC 18045:2008, EN (delarna 1-6) För serverbaserade lösningar finns ingen refererad standard utan då kan den alternativa metoden i art. 30 behöva användas FMV/CSEC ansvarar för granskningar och MSB för föreskrifter med skyddsprofiler Del 7 Krav på tillförlitliga IT-system och säkra anordningar för underskrifter och stämplar

46 Lämpliga skyddsprofiler EN Protection Profiles for secure signature creation devices; Part 1 6 EN Security requirements for trustworthy systems managing certificates for electronic signatures EN Security requirements for trustworthy systems supporting timestamping EN Security requirements for trustworthy systems supporting server signing (signature generation services) Del 7 Krav på tillförlitliga IT-system och säkra anordningar för underskrifter och stämplar

47 Incidentrapportering ENISA har arbetat fram en rekommendation om incidentrapportering Rekommendationen avser de incidenter PTS är skyldiga att årligen rapportera till ENISA PTS behöver därmed få in dessa uppgifter Del 8 Incidentrapportering

48 Incidentrapportering De uppgifter PTS behöver är: Påverkade betrodda tjänster När incidenten inträffade och avslutades Konsekvenserna av incidenten för tillhandahållaren, användare och förlitande parter Beskrivning av incidenten Grundorsak och underliggande orsaker Tillgångar som påverkats Vilka åtgärder som vidtagits Åtgärder för att undvika upprepning Lärdomar och förbättringar PTS har en funktionsbrevlåda för incidentrapporter Del 8 Incidentrapportering

49 Diskussion och synpunkter på PTS utkast till vägledning

50 Diskussion

51 Ev. skriftliga synpunkter på PTS utkast till vägledning Senast 26 maj 2016

52 PTS vidare arbete, tidplan och samverkan med berörda aktörer och intressenter

53 PTS vidare arbete Slutföra vägledningen måldatum början av juni Anmälningsförfarande för blivande kvalificerade tillhandahållare Upprätta trusted list den nationella förteckningen 1/7 Arbeta vidare med förfinade rutiner för incidentrapportering och tillsyn hösten 2016 Utveckla e-tjänster 2016/17 Slutrapport till regeringen 31/8 2016

54 Närmaste tidplanen 25 maj Riksdagen beslutar om kompletterande svensk eidas-lag 26 maj Ev. skriftliga synpunkter på PTS vägledning 3 juni PTS publicerar första utgåvan av vägledningen

55 Samverkan med berörda aktörer och intressenter Primärt genom detta Informationsmöte Individuella möte som aktörer önskar ha med PTS Remisser och andra förfaranden PTS deltar i andra sammanhang

56 Tack för visat intresse! Post- och telestyrelsen