PM 1(5) Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande E-legitimationsnämnden har tagit fram utkast till uppdaterat regelverk för Svensk e- legitimation avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande för leverantörer av eid-tjänst som inte önskar anpassa det egna gränssnittet i legitimeringstjänsten i enlighet med det tekniska ramverket för Svensk e- legitimation. Det nya alternativa tekniska anslutningsförfarandet innebär att det för leverantörer kommer att finnas två olika sätt att ansluta sig mot den offentliga identitetsfederationen. Antingen kan anslutning ske med legitimeringstjänst enligt tekniska ramverket, vilket innebär att leverantören (på samma sätt som tidigare förutsetts inom ramen för identitetsfederationen) levererar identitetsintyg som uppfyller kraven i det tekniska ramverket direkt till tillhandahållare av e-tjänst genom användning av central metadata. Eller så kan anslutning ske med legitimeringstjänst med alternativt tekniskt gränssnitt, vilket innebär att leverantören istället nyttjar E- legitimationsnämndens intygskonverteringstjänst vid leveransen av identitetsintyg till tillhandahållare av e-tjänst. Leverantör av eid-tjänst behåller i sådant fall sitt befintliga tekniska gränssnitt och teknisk integration sker istället med det egna tekniska gränssnittet mot intygskonverteringstjänsten. Intygskonverteringstjänsten konverterar sedan identitetsintygen så att de överensstämmer med det tekniska ramverket och förmedlar dem vidare till beställande tillhandahållare av e-tjänst. Nämnden har i sitt arbete med införandet av ändringarna försökt minimera påverkan på regelverket och den struktur som i övrigt har etablerats för leverans av eid-tjänster inom identitetsfederationen. I definitionen av Leverantör av eid-tjänst, Legitimeringstjänst och Identitetsintyg omfattas bägge de alternativa sätten för teknisk integration och intygsleverans och i det fåtal fall där det finns behov av att särreglera vad som gäller för det ena respektive det andra sättet för teknisk anslutning har ett antal förtydligande definitioner för respektive anslutningssätt tagits fram. Den viktigaste skillnaden mellan de alternativa anslutningssätten är främst förhållandet till det tekniska ramverket, där det helt utgår i förhållande till legitimeringstjänster med alternativt tekniskt gränssnitt, och istället ersätts med ett antal specificerande och begränsande krav i de tekniska specifikationerna i bilaga D. www.elegnamnden.se Postadress Besöksadress Telefon växel E-postadress 171 94 SOLNA Korta gatan 10 010-574 21 00 kansliet@elegnamnden.se
PM 2(5) För det fallet att leverantör av eid-tjänst ansluter med alternativt tekniskt gränssnitt kommer en avgift att tas ut för nyttjande av intygskonverteringstjänsten. Avgiften kommer att ligga på 15 % av den totala ersättningen som erhållits från samtliga tillhandahållare av e-tjänst och regleras i särskild avgiftsföreskrift. Utöver ändringarna som föranleds av införande av nya tjänster har E- legitimationsnämnden passat på att införa några förtydliganden avseende förhållandet till den kommande EU-förordningen (eidas) samt rätten att genomföra löpande kontroll och begära in dokumentation vid sådan kontroll från Leverantör av eid-tjänst. Nedan följer en kortare sammanfattning av de ändringar som gjorts i respektive del av avtal och regelverk för Svensk e-legitimation. Anslutningsavtal - Leverantör av eid-tjänst - Ett mindre tydliggörande av vilken form av legitimeringstjänst och attribut som levereras i det enskilda fallet har införts (8.2 och 8.3). Regelverket - Huvudtext - För att säkerställa att identitetsfederationens tjänster omfattas av undantaget i Artikel 2 i eidas-förordningens görs ett förtydligande om att systemet i fråga är slutet och att enbart parter får förlita sig på identitetsintyg (1.4). - Nya definitioner har införts för att fånga nya varianter av legitimeringstjänst och identitetsintyg samt den nya intygskonverteringstjänsten (2). - Tjänsterna som federationsoperatören tillhandahåller döps om från tilläggstjänster till federationstjänster. Termen tilläggstjänst behålls för eventuella framtida tillkommande tjänster från Leverantör av eid-tjänst som kan behöva reglering (3.2). - Förtydligande om att tillhandahållare av e-tjänst inte ska betala för sådana identitetsintyg som leverats av leverantör av eid-tjänst men som inte konverterats och leverats genom den nya intygskonverteringstjänsten på grund av brister i servicenivåer. Om leverantören lider större ekonomisk skada får i sådant fall skadestånd sökas av federationsoperatören (5.7.1). - Förtydligande om att leverantör av eid-tjänst även ska medverka i utredningsarbete kopplat till ansvarsfrågor vid fel i intyg (6.1.5). - En ytterligare möjlighet till kontroll som inte är så ingripande som extern revision införs då den möjligheten/skyldigheten inte varit tillräckligt tydligt reglerad i tidigare version av regelverket (10.1).
PM 3(5) - Mindre förtydligande kring reklamation och federationsoperatörens roll som förmedlare av meddelanden (12). - Mindre justeringar i övrigt för att förtydliga oklarheter och göra krav mer enhetliga. Regelverksbilaga A - Ersättning och fakturering - Förtydliganden kring attributprofil så att även identitetsintyg enligt alternativt tekniskt gränssnitt omfattas av ersättningsmodellen. Samma pris gäller för identitetsintyg oavsett om de kommer via intygskonverteringstjänsten eller inte (2.1). - Införande av skyldighet även för leverantör av eid-tjänst att betala avgift till nämnden. Avgiftsföreskriften kommer att reglera en skyldighet för leverantör av eid-tjänst som ansluter med legitimeringstjänst med alternativt tekniskt gränssnitt att betala en avgift motsvarande 15 % av den totala ersättningen som erhållits från samtliga tillhandahållare av e-tjänst till E-legitimationsnämnden för nyttjande av intygskonverteringstjänsten i förmedlingen av identitetsintyg (3). - Förtydligande om att leverans av intyg till intygskonverteringstjänsten som med hänsyn till brister i servicenivåer inte vidareförmedlas till tillhandahållare av e- tjänst ska avräknas i den sammanställda fakturan till tillhandahållare av e-tjänst (4.2). Regelverksbilaga B - Tillitsramverk Regelverksbilaga C Servicenivåer - Intygskonverteringstjänsten införs och regleras avseende servicenivåer på motsvarande sätt som anvisningstjänst och legitimeringstjänst (3.2). Regelverksbilaga D - Tekniska specifikationer - Nytt kapitel 3 införs med krav på det alternativa tekniska gränssnittet för det fall leverantör av eid-tjänst ansluter med sådan legitimeringstjänst. Kraven ställs dels ur ett säkerhetsperspektiv, dels ur perspektivet att E-legitimationsnämnden på något sätt måste begränsa de alternativa tekniska gränssnitt som intygskonverteringstjänsten ska integrera mot för att undvika alltför kostsamma eller komplicerade integrationer. Här ställs även krav på i vilken omfattning och med vilken framförhållning ändringar av det tekniska gränssnittet får göras (3).
PM 4(5) Regelverksbilaga E - Tekniskt ramverk - Inga ändringar med avseende på införande av dessa tjänster (dock görs här andra ändringar som behandlas och beslutas utanför denna avgränsade remiss). Utgår helt i förhållande till legitimeringstjänst enligt alternativt tekniskt gränssnitt. Regelverksbilaga F - Krav avseende medverkan till test - Förtydligande införs om att leverantör av eid-tjänst aktivt måste medverka i den tekniska integrationen mellan legitimeringstjänst och intygskonverteringstjänst (2.3). Regelverksbilaga G - Tilläggstjänster - Bilagans namn ändras till Federationstjänster och Tilläggstjänster - Intygskonverteringstjänsten beskrivs och regleras, bland annat med hänvisning till vilka delar av regelverket som är tillämpligt för tjänsten i fråga (2.2). Regelverksbilaga H - Användargränssnitt m.m. - Förtydligande om att vissa delar av skyldigheterna även kan uppfyllas genom intygskonverteringstjänsten (3.2, 3.3 och 3.10). Regelverksbilaga I - Fördelning av personuppgiftsansvar - Personuppgiftsansvaret för intygskonverteringstjänsten regleras och placeras på federationsoperatören (2.6). Regelverksbilaga J - Rapporteringsrutiner - Förtydliganden kring med vilken framförhållning ändringar i tjänst måste rapporteras till federationsoperatören (9.3). - Krav på att leverantör av eid-tjänst vid väsentliga förändringar även ska inkomma med dokumentation till stöd för bedömning av fortsatt uppfyllelse av krav enligt regelverket (9.4). Regelverksbilaga K - Kännetecken för Svensk e-legitimation Regelverksbilaga L - E-legitimationsnämndens Interna föreskrifter IFS 2014:1
PM 5(5) E-legitimationsnämnden önskar få synpunkter på bifogade utkast till ändringar i regelverk snarast möjligen, och med fördel gärna så tidigt som den 31 augusti för att skapa förutsättningar för förankring även av eventuella tillkommande ändringar. E- legitimationsnämnden kommer att fatta beslut om ändringarna på nämndsammanträdet den 24 september och de kommer därefter att ingå i version 1.3 av regelverket som planeras träda i kraft kort därefter. Nämnden tar tacksamt emot alla synpunkter men är särskilt intresserad av att ta del av synpunkter på de specifikationer och begränsningar som införts i Bilaga D avseende legitimeringstjänster med alternativt tekniskt gränssnitt. Synpunkter skickas till E-legitimationsnämnden på e-postadress kansliet@elegnamnden.se.