BESLUT 1(24) Datum Vår referens Aktbilaga 2010-06-17 Dnr: 09-2381 17 Nätsäkerhetsavdelningen Staffan Lindmark 08-678 57 36 staffan.lindmark@pts.se SignGuard Europe AB Drottninggatan 61 / 3 tr 111 21 Stockholm Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer Saken Tillsyn enligt 18 lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen). s avgörande avskriver ärendet från vidare handläggning.
2(24) Innehåll 1 Inledning 3 1.1 Bakgrund 3 1.2 Syftet med tillsynen 3 1.3 Metod vid genomförandet av tillsynen 4 1.4 Tillsynens omfattning och avgränsning 4 1.5 Dokumentets disposition 4 2 Regelverket för kvalificerade certifikat och elektroniska signaturer 6 2.1 Bakgrunden till EU-regleringen på området 6 2.2 Lag (2000:832) om kvalificerade elektroniska signaturer 8 2.2.1 Lagens tillämpningsområde 8 2.2.2 Definitioner av begrepp rörande certifikat och signaturer 9 2.2.3 Reglering om utfärdande av kvalificerade certifikat för elektroniska signaturer 10 3 Resultatet av tillsynen PTS bedömningar 11 3.1 Inledning 11 3.2 Tekniska krav på certifikat och signaturanordningar 11 3.2.1 Krav på säkra anordningar för signaturframställning 11 3.2.2 Krav på kvalificerade certifikat 12 3.3 Allmänt om utfärdarverksamheten 12 3.3.1 Personal och kompetens 12 3.3.2 Rutiner och system 13 3.3.3 Registrering och bevarande av uppgifter 14 3.4 Utfärdande och återkallelse av certifikat 14 3.4.1 Information till certifikatinnehavaren 14 3.4.2 Identitetskontroll 15 3.4.3 Återkallelse av certifikat 16 3.5 Utfärdarens finansiella ställning 18
3(24) 1 Inledning 1.1 Bakgrund Signaturlagen innehåller bestämmelser om säkra anordningar för signaturframställning, om kvalificerade certifikat för elektroniska signaturer och om utfärdande av sådana certifikat. PTS är, i enlighet med 2 förordning (2000:833) om kvalificerade elektroniska signaturer, tillsynsmyndighet enligt signaturlagen. Tillsynsmyndigheten ska enligt 18 signaturlagen utöva tillsyn över bland annat efterlevnaden av lagen. Av 19 signaturlagen framgår att tillsynsmyndigheten får förelägga den som bedriver verksamhet som omfattas av lagen att tillhandahålla myndigheten upplysningar och handlingar som behövs för tillsynen. Enligt 1 signaturlagen gäller lagens bestämmelser sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten. Enligt 8 signaturlagen är en certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten skyldig att anmäla detta hos tillsynsmyndigheten. I dagsläget är SignGuard Europe AB (SignGuard) den enda utfärdare som har anmält sig som utfärdare av kvalificerade certifikat i enlighet med denna bestämmelse. PTS inledde i maj 2009 tillsyn av efterlevnaden av de krav på utfärdare av kvalificerade certifikat som framgår av signaturlagen. Tillsynen har även omfattat kontroll vad gäller tillhandahållna säkra anordningar för signaturframställning. 1.2 Syftet med tillsynen Den tillsyn som genomförts har varit planlagd och har inte föranletts av några klagomål eller misstankar om att den certifikatutfärdare som är anmäld hos PTS, SignGuard, inte skulle efterleva signaturlagens krav. Syftet med tillsynsarbetet har varit att göra en övergripande kontroll av att certifikatutfärdaren efterlever signaturlagens krav på säkra anordningar för signaturframställning och kvalificerade certifikat samt bedriver verksamheten i enlighet med signaturlagens krav på utfärdande av kvalificerade certifikat för elektroniska signaturer. I förarbetena till signaturlagen framhålls att den tillsyn som utövas bör vara så marknadsorienterad som möjligt. Vidare anges att tillsynssystemet, med hänsyn till att verksamheten för en certifikatutfärdare är beroende av att det finns ett förtroende för certifikaten, kan utformas så att det inte lägger några onödiga administrativa bördor på certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en utfärdare närmare. PTS anser emellertid att även en planlagd tillsyn som den förevarande kan bidra till ett stärkt förtroende för de
4(24) kvalificerade certifikaten. Detta gäller inte minst då certifikatutfärdaren inte genomgått ackreditering eller något annat revisionsförfarande av utfärdarverksamheten. Det bör dock framhållas att den tillsyn PTS genomför sker på en övergripande nivå och inte kan ersätta den ingående genomgång av verksamheten som en ackreditering skulle innebära. 1.3 Metod vid genomförandet av tillsynen Tillsynen inleddes med att en enkät skickades till SignGuard, med frågor om SignGuards utfärdarverksamt, säkra signaturanordningar, samt de kvalificerade certifikat som SignGuard utfärdar. För att inhämta kompletterande information hölls därefter också ett telefonmöte mellan PTS och SignGuard. Efter analys av SignGuards svar, har PTS fört en dialog med SignGuard avseende vissa av kraven på utfärdarverksamheten. Till stöd i arbetet med utformande av enkätfrågor och granskning av SignGuards enkätsvar har PTS anlitat extern teknisk expertis. PTS har även inhämtat generell information om hur tillsyn inom området bedrivs i andra medlemsstater inom EU, genom en enkät riktad till medlemmar i samarbetsorganet Forum of European Supervisory Authorities of electronic signatures (FESA). En dialog inom FESA har även förts avseende vissa specifika tolkningsfrågor som uppkommit under tillsynen. Yttranden har, där så har bedömts nödvändigt, även inhämtats från andra myndigheter i Sverige. 1.4 Tillsynens omfattning och avgränsning Den nu genomföra tillsynen har omfattat de krav som ställs på säkra anordningar för signaturframställning i enlighet med 3 4 signaturlagen, kvalificerade certifikat enligt 6 signaturlagen samt certifikatutfärdarverksamhet enligt 9 12 signaturlagen. 1.5 Dokumentets disposition Inledningsvis lämnas en beskrivning av för området relevant lagstiftning på europeisk och nationell nivå (kapitel 2). Beskrivningen följs av PTS bedömning av om SignGuards verksamhet uppfyller kraven i signaturlagen (kapitel 3). I kapitel 4 beskrivs slutligen myndighetens planer för det fortsatta arbetet inom området.
5(24)
6(24) 2 Regelverket för kvalificerade certifikat och elektroniska signaturer 2.1 Bakgrunden till EU-regleringen på området Avsikten med en elektronisk signatur är att åstadkomma motsvarande koppling till en text eller annan informationsmängd, som en personlig namnteckning har till informationen på det papper där den skrivs. Signaturen kan sägas ge uttryck för en vilja att handla på ett visst sätt och har därmed en klar rättslig betydelse. En elektronisk signatur kan användas för att säkerställa att elektroniskt överförd information inte har förändrats, för att identifiera informationens avsändare och för att förhindra avsändaren att förneka att han eller hon sänt informationen. Vilken rättslig betydelse en elektronisk signatur får, är beroende av vilka krav som uppställs i den tillämpliga rättsordningen. Om det uppställs uttryckliga krav på att en underskrift ska vara utförd eller utformad på ett visst sätt, kan det försvaga eller helt förta den elektroniska signaturens rättsliga signifikans. I svensk rätt finns endast ett fåtal bestämmelser där underskriften utgör en förutsättning för en viss rättsverkan. Vanligen har en underskrift därför endast betydelse som bevis för ett visst påstått förhållande. Det finns därför inte heller någon principiell skillnad mellan en handskriven och en elektronisk underskrift. Den elektroniska underskriftens bevisvärde är beroende av i vilken utsträckning dess tekniska egenskaper, tillsammans med t.ex. förfarandet för utfärdande och användning, kan anses styrka ett visst påstående. I andra länders lagstiftning kan däremot den handskrivna namnteckningens rättsverkan i stor utsträckning vara uttryckligt reglerad. Eftersom elektroniska signaturer, till skillnad från handskrivna, utgörs av tekniskt komplexa lösningar, har risken varit stor att dess rättsverkan skulle komma att variera kraftigt mellan olika länders rättsordningar. För att förhindra att dessa förhållanden skulle skapa allvarliga hinder för den inre marknaden och utvecklingen av elektronisk handel, antogs den 13 december 1999 direktivet om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG, nedan kallat signaturdirektivet). Avsikten med direktivet är att fastställa ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att säkerställa en väl fungerande inre marknad. 1 I direktivet definieras vilka krav som ska vara uppfyllda för att ett elektroniskt certifikat ska anses kvalificerat och för att en elektronisk signatur ska anses vara 1 Se prop. 1999/2000:117 s. 27
7(24) avancerad. Avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat och som skapats av en säker anordning för skapande av signaturer ska, enligt direktivet, anses uppfylla eventuella krav i nationell reglering avseende handskrivna namnteckningar samt godtas som bevis på motsvarande sätt som en traditionell underskrift (artikel 5.1). Det finns vidare krav på att elektroniska signaturer under vissa förhållanden inte får förvägras rättslig verkan eller giltighet som bevis (artikel 5.2). Direktivets regler är således i första hand till för att undanröja eventuella rättsliga hinder för användningen av elektroniska signaturer. Som konstaterats ovan finns, tack vare principen om fri bevisföring i svensk domstol, inte några allvarliga sådana hinder för användning elektroniska signaturer inom Sverige. För de svenska nationella förhållandena har därför direktivets bestämmelser främst haft betydelse såsom normgivande för utformningen av system för utfärdande av elektroniska certifikat och elektronisk signering. När de uppgifter som signeras inte enbart har betydelse för svenska förhållanden finns det däremot ett reellt behov av att kunna säkerställa underskrifters rättsverkan i andra länder. Regelverket om kvalificerade elektroniska signaturer får därför betydelse för dem som avser att utbyta information med parter i andra länder inom EU. Detta gäller i synnerhet i de fall där det saknas praktiska möjligheter att på förhand avtala med den utländska motparten om en modell för utbyte av elektronisk information. Eftersom det föreskrivna systemet med kvalificerade certifikat och elektroniska signaturer är ett så kallat öppet system, så krävs inte att den part som mottar signerad information och förväntas förlita sig på signaturen (den förlitande parten) inte på förhand har ingått ett avtal med vare sig undertecknaren eller utfärdaren av det kvalificerade certifikatet. Att så är fallet får särskilt stor betydelse i enskildas kontakter med utländska myndigheter. Karaktäristiskt för dessa kontakter är att det saknas en tidigare relation mellan parterna: Det kan t.ex. röra sig om en ansökan som lämnas av en näringsidkare som önskar tillstånd för att bedriva en viss verksamhet i ett annat land. Trots att tillgänglighet till utländska myndigheter via elektroniska förfaranden således torde har varit en av de underliggande orsakerna till signaturdirektivets tillkomst har denna utveckling gått trögt. En orsak till detta skulle kunna vara den möjlighet som finns för medlemsstater att förena användningen av elektroniska signaturer i den offentliga sektorn med särskilda krav (artikel 3.7). I samband med införandet av europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirektivet) har dock en förnyad ansats tagits för att underlätta enskildas kontakter med offentliga institutioner. Bl.a. ska det i varje land finnas en
8(24) nationell kontaktpunkt, dit enskilda kan vända sig för att få hjälp att kontakta rätt nationell myndighet för det aktuella ärendet. I detta sammanhang ska medlemsstaterna se till att alla förfaranden och formaliteter för att få tillträde till och utöva en tjänsteverksamhet kan fullgöras enkelt, på distans och på elektronisk väg (artikel 8). I kravet ligger även en skyldighet att ta emot elektroniskt underskrivna handlingar. I enlighet med kommissionens beslut ska sådana handlingar godtas, som underskrivits med avancerade elektroniska signaturer, baserade på kvalificerade certifikat. 2 Av kommissionens beslut om tillämpningen av tjänstedirektivet framgår vidare att varje medlemsstat är skyldig att upprätthålla en elektroniskt tillgänglig förteckning över anmälda utfärdare av kvalificerade certifikat i landet. PTS tillhandahåller en sådan förteckning för Sveriges räkning. 2.2 Lag (2000:832) om kvalificerade elektroniska signaturer 2.2.1 Lagens tillämpningsområde Signaturdirektivet har i Sverige implementerats i signaturlagen. Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten (1 ). Vissa av lagens bestämmelser (såsom de i 3 5 om säkra signaturanordningar) syftar dock till att definiera begrepp som inte direkt berör utfärdarverksamheten. I 17 finns även en bestämmelse som mer allmänt tar sikte på att klargöra elektroniska signaturers rättsverkan. Enligt bestämmelsen ska en kvalificerad elektronisk signatur anses uppfylla eventuella krav på egenhändig underskrift eller motsvarande i annan lag eller författning, under förutsättning att det aktuella kravet får uppfyllas med elektroniska medel. Att lagen i övrigt gäller certifikatutfärdare etablerade i Sverige, innebär att dess bestämmelser inte kan tillämpas i förhållande till kvalificerade certifikat utfärdade av certifikatutfärdare i andra länder. Enligt 7 gäller att ett certifikat alltid ska anses kvalificerat i Sverige, om det är utfärdat av en certifikatutfärdare som är etablerad i en annan medlemsstat inom EU och i den staten har rätt att utfärda kvalificerade certifikat. Eftersom signaturdirektivets bestämmelser gäller i samtliga medlemsstater, innebär detta i praktiken främst en avgränsning av respektive nationell tillsynsmyndighets ansvarsområde, men det utgör för certifikatutfärdarna även en avgränsning vad gäller tillämpligheten av nationella skadeståndsbestämmelser. 2 C(2009)7806 final COMMISSION DECISION of 16.10.2009 setting out measures facilitating the use of procedures by electronic means through the points of single contact under Directive 2006/123/EC of the European Parliament and of the Council on services in the internal market
9(24) Det är vidare endast de certifikatutfärdare som anger att de utfärdar certifikat som är kvalificerade som omfattas av lagens bestämmelser. 3 Detta är en orsak till att det stora flertalet certifikatutfärdare som i dagsläget är etablerade i Sverige inte är anmälda till PTS såsom certifikatutfärdare och heller inte omfattas av regleringen. Av 8 framgår att certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos tillsynsmyndigheten. Lagens bestämmelser gäller dock även om utfärdaren underlåtit att anmäla verksamheten till PTS. 2.2.2 Definitioner av begrepp rörande certifikat och signaturer I 2 definieras begreppen kvalificerade elektroniska signaturer och kvalificerade certifikat. Varje begrepp består av flera led, som definieras separat. På så vis klargörs begreppens individuella förhållande, där en gradvis skärpning av kriterierna sker: Elektronisk signatur definieras som data i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska data och som används för att kontrollera att innehållet härrör från den som framstår som utställare och att det inte har förvanskats och kan i praktiken omfatta mycket enkla underskrifter i elektronisk form. För att en elektronisk signatur ska anses vara avancerad krävs emellertid att den är knuten uteslutande till en undertecknare, gör det möjligt att identifiera undertecknaren, är skapad med hjälpmedel som endast undertecknaren kontrollerar, och är knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. Det ställs med andra ord relativt höga krav på teknisk säkerhet, för att nå upp till denna nivå. En kvalificerad elektronisk signatur, slutligen, måste utöver ovanstående krav även vara baserad på ett kvalificerat certifikat och skapad av en säker anordning för signaturframställning Vad gäller de certifikat som används för att skapa elektroniska signaturer finns motsvarande gradvisa uppbyggnad av begreppen. Ett certifikat anges vara ett intyg i elektronisk form som kopplar ihop signaturverifieringsdata med en 3 Jfr 6 första stycket 1.
10(24) undertecknare och bekräftar dennes identitet och för att anses kvalificerat ska certifikatet uppfylla de krav som närmare anges i 6 och 7. Vad gäller anordning för signaturframställning definieras detta som en maskineller programvara för användning av signaturframställningsdata, där signaturframställningsdata utgörs av unika data, såsom koder eller hemliga krypteringsnycklar, som används för att skapa en elektronisk signatur. För att en signaturanordning ska anses säker krävs att de krav som anges i 3 5 är uppfyllda. 2.2.3 Reglering om utfärdande av kvalificerade certifikat för elektroniska signaturer Som konstaterats ovan omfattar huvuddelen av signaturlagen den verksamhet som bedrivs av utfärdare av kvalificerade certifikat. Centralt för bedömningen av verksamheten är därför om de certifikat som utfärdas uppfyller kriterierna i 6. Kriterierna består huvudsakligen av ett antal uppgifter som ska återfinnas i varje utfärdat certifikat, däribland upplysningen att certifikatet är kvalificerat, uppgifter om utfärdaren och den till vilket certifikatet utfärdats (undertecknaren), certifikatets giltighetstid liksom de kryptografiska nycklar som krävs för att koppla certifikatet till utfärdaren och till de signaturer som undertecknaren skapat. Utöver kraven på själva certifikaten finns i 9-12 krav på hur utfärdarverksamheten ska bedrivas. Dessa krav kan även konkretiseras i föreskrifter, men några sådana har i dagsläget inte utfärdats. Kraven beskrivs närmare i samband med bedömningen av efterlevnaden av respektive bestämmelse nedan.
11(24) 3 Resultatet av tillsynen PTS bedömningar 3.1 Inledning I detta kapitel redogör PTS för myndighetens bedömningar avseende hur SignGuard efterlever de bestämmelser i signaturlagen som omfattats av tillsynen. Vad gäller efterlevnaden av bestämmelserna rörande rutiner för identifiering av certifikatinnehavare och utfärdarens finansiella ställning, har PTS under ärendets handläggning meddelat SignGuard myndighetens preliminära bedömning, varefter SignGuard har vidtagit vissa åtgärder. Nedan redogörs för myndighetens slutliga bedömning. 3.2 Tekniska krav på certifikat och signaturanordningar 3.2.1 Krav på säkra anordningar för signaturframställning I 3 ställs krav på den anordning som används för att skapa kvalificerade signaturer skyddar den privata nyckeln på ett tillräckligt säkert sätt. Av 4 framgår att kraven ska anses uppfyllda om de standarder som EUkommissionen beslutat efterlevs. Det bör dock observeras att det är möjligt att leva upp till kraven i 3 även genom att tillämpa andra standarder. SignGuard har uppgett att företaget inte själva utfärdar några anordningar för signaturframställning. SignGuard planerar dock att utfärda kvalificerade certifikat på anordningar för signaturframställning som har ett Common Criteriaevaluerat operativsystem, Infineons signaturanordning med CARD OS 4.3b. Godkännandet har skett i Tyskland. Kortet har ett evalueringscertifikat utfärdat av Bundesamt für Sicherheit in der Informationstechnik (BSI) och har evaluerats baserat på skyddsprofilen BSI-PP-0002-2001, EAL 5. Vidare har SignGuard uppgett att de kvalificerade certifikat som företaget i dagsläget utfärdar främst är avsedda att användas med de ID-kort som utfärdas av Skatteverket. Tidigare var avsikten att certifikaten främst skulle användas med de nationella ID-korten som utfärdas av polisen. Det är oklart enligt vilken standard och vilka krav som chip och operativsystem för dessa kort har evaluerats. SignGuard har uppgett att de framgent kommer att använda anordningar som evaluerats i Tyskland och som minst motsvarar kraven som ställs i de standarder som kommissionen pekat ut. Eftersom SignGuard i dagsläget inte själva utfärdar några anordningar för signaturframställning finns inte heller någon sådan anordning att utvärdera inom ramen för den här tillsynen.
12(24) 3.2.2 Krav på kvalificerade certifikat I 6 anges att följande information ska finnas i ett certifikat för att det ska få kallas kvalificerat: 1. uppgift om att det utfärdats som ett kvalificerat certifikat, 2. certifikatutfärdarens namn och adress samt uppgift om etableringsland, 3. undertecknarens namn eller pseudonym med uppgift om att det är en pseudonym, 4. särskilda uppgifter om undertecknaren, om de är relevanta för ändamålet med certifikatet, 5. signaturverifieringsdata som motsvarar de signaturframställningsdata som undertecknaren vid tidpunkten för utfärdandet har kontroll över, 6. uppgift om certifikatets giltighetstid, 7. certifikatets identifieringskod, 8. certifikatutfärdarens avancerade elektroniska signatur eller en elektronisk signatur med motsvarande säkerhetsnivå, och 9. uppgift om eventuella begränsningar av certifikatets användningsområde eller av värdet på de transaktioner för vilka certifikatet kan användas (transaktionsbelopp). För att certifikatet ska få kallas kvalificerat krävs också att utfärdaren uppfyller kraven i 9-12. SignGuard har redogjort för vilka uppgifter som de certifikat som utfärdas av företaget innehåller. Av redogörelsen framgår att certifikaten innehåller samtliga de uppgifter som räknas upp i 6, med undantag för utfärdarens och certifikatinnehavarens adress. PTS har även noterat en mindre avvikelse avseende utpekande av certifikatpolicy. 4 SignGuard bör vidta åtgärder för att säkerställa att informationen i de certifikat som i fortsättningen utfärdas, till fullo överensstämmer med kraven i 6 signaturlagen. 3.3 Allmänt om utfärdarverksamheten 3.3.1 Personal och kompetens Av 9 1 st. 1 framgår att utfärdaren ska bedriva verksamheten tillförlitligt och ha personal med tillräcklig kompetens och erfarenhet för verksamheten, särskilt vad avser ledning, teknik och säkerhetsrutiner. SignGuard har uppgett att företaget, liksom dess underleverantörer och partners, arbetar aktivt på PKI-området. Arbetet omfattar utveckling av mjukvara och certifikatutfärdarverksamhet. De deltar i arbetsgrupper i Tyskland 4 SignGuard pekar i certifikaten på en certifikatpolicy med objektidentiteten 0, { itu-t(0), vilket pekar på ett träd av objektidentifierare för policy. Om SignGuard inte vill uppge en policy, såsom t.ex. ETSI:s policy för kvalificerade certifikat, torde det vara lämpligare att peka på anypolicy { 2 5 29 32 0 }.
13(24) som utvecklar och förvaltar de tyska nationella lösningarna på området. SignGuard med partners har totalt 11 anställda, med olika kompetens inom området. PTS kan konstatera att det inte framgår av SignGuards uppgifter i vilken utsträckning de personer som är anställda av underleverantörer, är dedikerade till SignGuards verksamhet. PTS kan vidare notera att det av SignGuards årsredovisning framgår att SignGuard inte har några anställda. Det innebär att den kompetens som finns hos underleverantörer och partners är avgörande för företagets verksamhet och efterlevnaden av kraven i signaturlagen. Enligt PTS bedömning innebär signaturlagens krav inte något formellt hinder mot att ersätta anställd personal med anskaffande av tjänster från underleverantörer. En förutsättning är dock att underleverantörerna i avtal uttryckligen förbinder sig att upprätthålla en personalstyrka med den kompetens och erfarenhet som krävs enligt signaturlagen. PTS förutsätter att SignGuard, om så inte redan är fallet, säkerställer att avtal med underleverantörer innehåller sådana villkor. 3.3.2 Rutiner och system Enligt 9 1 st. 2-3 ska certifikatutfärdaren använda sådana rutiner för administration och ledning som uppfyller erkända standarder samt använda pålitliga system och produkter som är skyddade mot ändringar och se till att teknisk och kryptografisk säkerhet upprätthålls. SignGuard har uppgett följande. Företagets underleverantör, Mentana Claimsoft AG (Mentana), som hanterar den praktiska driften, har ett certifierat kvalitetsledningssystem i enlighet med ISO 9001. Mentana arbetar efter ledningssystem för informationssäkerhet i enlighet med den internationella standarden ISO/IEC 27001. Mentana har påbörjat certifiering av datacentret och organisationens rutiner och processer i enlighet med ISO/IEC 27001. Rutiner för behörighetshantering, fysiskt tillträde och loggning finns etablerade. Alla säkerhetskritiska transaktioner loggas och följs upp. Det finns ett aktivt intrångsdetekteringssystem och andra dataintegritetsskydd. Inloggning sker alltid baserat på certifikat. Utfärdandet av certifikat är fördelade på två personer, vilket medför att endast de två personerna gemensamt kan utfärda certifikat. Den mjukvara som används har godkänts av tillsynsmyndigheten för kvalificerade certifikat i Tyskland, Bundesnetzagentur. Det skydd av utfärdarens privata nycklar som används (HSM-modul) för utfärdandet av kvalificerade certifikat är Common Criteria-evaluerat till nivå EAL 4+ i Tyskland. Den fysiska driften är redundant genom spegling, vilket medför att om en site går ner så finns det en exakt kopia som kan ta över. PTS kan konstatera att ledningsystem, rutiner och processer förefaller adekvata för utfärdandet av kvalificerade certifikat. PTS kan också konstatera att det
14(24) skydd som SignGuard har för den privata utfärdarnyckeln motsvarar de krav som ställs i de standarder som EU-kommissonen pekat ut på området. 3.3.3 Registrering och bevarande av uppgifter Av 11 framgår att en utfärdare av kvalificerade certifikat ska bevara all relevant information om de utfärdade certifikat under den tid som är motiverad med hänsyn till typen av certifikat och övriga omständigheter. Utfärdaren ska vidare använda tillförlitliga system för lagring av kvalificerade certifikat i verifierbar form. Informationen ska skyddas så att äktheten kan kontrolleras och informationen endast kan nås och läsas av behöriga personer. Systemen ska vidare säkerställa att certifikaten endast är offentligt tillgängliga när certifikatinnehavarna har lämnat sitt samtycke till detta. Enligt 10 2 ska certifikatutfärdaren säkerställa att exakt tidpunkt kan anges för utfärdande och återkallelse av certifikat. SignGuard har uppgett följande. All information som återfinns i ansökan om utfärdande av ett kvalificerat certifikat är relevant att bevara. All sådan relevant information rörande de kvalificerade certifikaten registreras och hålls arkiverade digitalt i fem år. Information lagras i distribuerade databaser. Varje register är skyddat med krypterade tidsstämplar, vilket gör att äktheten i certifikatens uppgifter kan kontrolleras under hela lagringstiden. Utfärdade certifikat görs och hålls offentligt tillgängliga i en publik LDAP server. Innan ett utfärdat certifikat görs offentligt tillgängligt måste certifikatinnehavaren lämna sitt samtycke. Mot bakgrund av de uppgifter SignGuard lämnat anser PTS att den lagrade informationen är väl skyddad. Enligt PTS uppfattning kan det dock vara lämpligt att utöka lagringstiden för informationen till minst 10 år. En sådan lagringstid motsvarar de krav som ställs på bevarande av räkenskapsinformation, den allmänna preskriptionstiden för fordringar liksom de krav som ställts på information om certifikat som utfärdas inom systemet för s.k. e-legitimationer i Sverige. 5 3.4 Utfärdande och återkallelse av certifikat 3.4.1 Information till certifikatinnehavaren Enligt 12 ska en utfärdare av kvalificerade certifikat, innan avtal om utfärdande av certifikat ingås, skriftligen och på ett lättbegripligt språk informera motparten om bl.a. begränsningar och andra villkor för användning av certifikatet samt förfaranden för klagomål och avgörande av tvister. 5 Se 7 kap. 2 bokföringslagen (1999:1078), 2 preskriptionslagen (1981:130) samt Grundläggande vägledning för myndigheternas användning av e-legitimationer och elektroniska underskrifter (E-nämnden 04:02), avsnitt 3.21.
15(24) SignGuard har uppgett följande. Företagets användarvillkor finns tillgängliga på bolagets webbplats där också certifikatpolicyn kan laddas ner av certifikatinnehavare och förlitande parter. Efter inloggning på webbplatsen kan certifikatinnehavaren skicka eventuella klagomål till bolaget per e-post. Alla klagomål och andra tvister behandlas av företagsledningen. PTS anser att SignGuard genom denna hantering uppfyller kraven i 12. 3.4.2 Identitetskontroll Enligt 9 1 st. 5 ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten ha säkra rutiner för identitetskontroll av de undertecknare som kvalificerade certifikat utfärdas till. Av lagstiftningens syften framgår att kvalificerade certifikat i första hand är tänkta att användas inom s.k. öppna system. Att ett system är öppet innebär att det inte grundas på avtal mellan ett bestämt antal deltagare. I det öppna systemet har den förlitande parten typiskt sett inte något avtal med vare sig certifikatutfärdaren eller certifikatinnehavaren. Däremot får det förutsättas att det alltid finns ett avtal mellan certifikatutfärdaren och dess kunder, dvs. certifikatinnehavarna. 6 I likhet med andra öppna system, såsom t.ex. SIS-märkta identitetshandlingar, bygger användningen av kvalificerade certifikat på tillit. För att säkerställa tilliten är utformningen av de regler och rutiner som omgärdar certifikathanteringen av yttersta vikt. Bland de viktigaste av dessa rutiner är de som syftar till att identifiera den som ansöker om ett certifikat och att säkerställa att certifikatet utfärdas till rätt individ. SignGuards rutiner för identifiering av den som ansöker om ett kvalificerat certifikat byggde inledningsvis på att identitetskontrollen i första hand utförs av tjänsteman vid antingen en polismyndighet eller Skatteverket. Tjänstemannen skulle, efter uppvisande av ett nationellt ID-kort, intyga den ansökandes identitet på ett särskilt formulär. Emellertid saknades avtal mellan SignGuard och de nämnda myndigheterna avseende identifiering. Myndigheterna uttalade vidare, i yttranden till PTS, att deras tjänstemän saknade möjlighet att utföra identifiering av personer som ansökt om kvalificerade certifikat inom ramen för sina arbetsuppgifter. PTS konstaterade därför att det tillämpade förfarandet, med hänsyn till vikten av tillit till systemet för utfärdande av kvalificerade certifikat, kunde anses utgöra en allvarlig brist och att SignGuard därför inte tillämpat säkra rutiner för identitetskontroll av de undertecknare som kvalificerade certifikat utfärdas till. 6 Se signaturdirektivets ingresspunkt 16 och prop. 1999/2000:117 s. 35 f.
16(24) Efter att PTS meddelat SignGuard denna bedömning vid ett möte i februari 2010 har företaget upplyst om att rutinerna för identifiering har ändrats. Sammanfattningsvis har SignGuard lämnat följande upplysningar om identifieringsförfarandet. Förfarandet utgår numera från de identitetskort som utfärdas av Skatteverket. På dessa identitetskort finns även ett elektroniskt certifikat lagrat, som utfärdats av en av de upphandlade certifikatutfärdarna inom ramen för det svenska systemet för s.k. e-legitimationer. Den ansökande ges, genom SignGuards mjukvaruprodukter, möjlighet att elektroniskt signera ansökningshandlingen för ett kvalificerat certifikat, med det befintliga elektroniska certifikatet (e-legitimationen) på Skatteverkets identitetskort. Giltigheten på det befintliga certifikatet verifieras hos utfärdaren, via en tjänst för spärrförfrågningar som tillhandahålls av en tredjepartsleverantör. Om certifikatet är giltigt, anser SignGuard att den ansökandes identitet har kunnat verifieras. Detta förfarande innebär således, att SignGuard tillämpar s.k. indirekt identifiering av den som ansöker om ett kvalificerat certifikat. Identifieringen bygger på att Skatteverket ursprungligen, i enlighet med vedertagna principer och myndighetens föreskrifter, kontrollerat identiteten på den som ansökt om ett identitetskort. Utfärdaren av e-legitimationen som placeras på kortet, förlitar sig på Skatteverkets identifiering när e-legitimationens elektroniska certifikat utfärdas och placeras på kortet. SignGuard förlitar sig i sin tur på e-legitimationsutfärdaren. Det finns, enligt PTS bedömning, inte några formella hinder mot att, vid utfärdande av kvalificerade certifikat, tillämpa en indirekt identifiering av den ansökande. Inte minst med tanke på det särskilda ansvar för att identifieringen gått rätt till, som föreligger enligt signaturlagen (se vidare under 3.5 nedan), är det dock viktigt att utfärdaren av kvalificerade certifikat genom avtal säkerställt möjligheten att i sin tur kunna utkräva ansvar av den eller de parter som utfärdaren förlitar sig på, inom ramen för identifieringsförfarandet. I det aktuella fallet torde det ligga närmast till hands att SignGuard säkerställer ett sådant avtalsrättsligt åtagande från utfärdaren av det elektroniska certifikat som finns på Skatteverkets identitetskort, alternativt från den tredjepartsleverantör som tillhandahåller tjänsten för spärrförfrågningar. Under dessa förutsättningar finner PTS således att SignGuard rutiner för identitetskontroll nu uppfyller de krav på säkerhet som föreskrivs i signaturlagen. 3.4.3 Återkallelse av certifikat Enligt 10 signaturlagen ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten omedelbart återkalla ett certifikat när undertecknaren begär det eller när det annars finns anledning till det. Enligt 9 1 st. 6 ska
17(24) utfärdaren förfoga över ett snabbt och säkert system för registrering och omedelbar återkallelse av kvalificerade certifikat SignGuard har sammanfattningsvis uppgivit följande. Efter en katastrof kan SignGuard återställa driften tack vare att backup genomförs kontinuerligt. Vidare speglas alla datatransaktioner på en annan plats. Vid katastrof tar denna över verksamheten. Om en privat nyckel som används för att utfärda certifikat röjs, kommer alla berörda certifikat att återkallas och certifikatinnehavare kontaktas. SignGuard för en förteckning över alla beställningar och återkallelser. Alla ansökningsformulär kan laddas ner från SignGuards webbplats när användaren är inloggad. Detta säkerställer att certifikatbeställningar för redan registrerade undertecknare är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Förfarandet omfattar även förnyande av certifikat och nycklar efter spärr eller före utgång av certifikatets giltighetstid liksom uppdatering av certifikat på grund av förändring i något av undertecknarens attribut. En certifikatinnehavare kan när som helst spärra sitt certifikat via SignGuards webbplats dygnet runt alla dagar i veckan. En användare måste vara inloggad för att kunna spärra sitt certifikat. Endast certifikatinnehavaren kan spärra ett certifikat och det kan endast ske via webbplatsen. Nya certifikatlistor uppdateras och publiceras minst en gång i timmen. Spärrlistan (CRL) uppdateras omedelbart efter att ett certifikat spärrats på ett godkänt sätt. Den exakta tidpunkten för utfärdande och återkallelse av certifikat registreras. SignGuard erbjuder även en online spärrförfrågningstjänst, s.k. Online Certificate Status Protocol (OCSP). Som framgår ovan är SignGuards certifikat främst avsedda att användas med Skatteverkets identitetskort. Skatteverket har ett samarbete med utfärdaren av de certifikat som placeras på Skatteverkets identitetskort, som innebär att en spärrning av antingen identitetskortet hos Skatteverket eller av certifikatet på kortet hos utfärdaren medför att såväl identitetskort som certifikat spärras. SignGuard kan i sin tur kontrollera kortet eller certifikatets giltighet, via tredjepartstjänster. Vidare åläggs certifikatinnehavaren, i SignGuards allmänna villkor, att omedelbart spärra certifikatet hos SignGuard, vid misstanke om att säkerhetskoden till den privata nyckeln kommit till annans kännedom eller att identitetskortet har kommit i annans besittning.
18(24) Att certifikatinnehavaren endast kan återkalla sitt certifikat genom att logga in på SignGuards webbplats innebär en begränsning som kan medföra att återkallelsen fördröjs, om t.ex. certifikatinnehavaren inte har tillgång till Internetuppkoppling eller de inloggningsuppgifter som krävs. Samtidigt minimeras med detta förfarande risken för att obehöriga kan återkalla certifikat. Avvägningen mellan dessa två intressen är viktig. För att ytterligare öka möjligheterna för certifikatinnehavare att vid behov omedelbart återkalla certifikat kan det, enligt PTS mening, vara lämpligt att SignGuard på sikt introducerar fler säkra förfaranden för detta. 3.5 Utfärdarens finansiella ställning Enligt 9 1 st. 4 ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten enligt signaturlagen och bära risken för skadeståndsskyldighet. Det finns enligt PTS bedömning inte någon generellt tillämplig norm för vilka ekonomiska medel som krävs för att utfärda kvalificerade certifikat på ett betryggande sätt. Av SignGuards upplysningar framgår att företaget rent faktiskt bedriver en sådan verksamhet och PTS har inte heller funnit något som tyder på att de ekonomiska medel företaget förfrågar över inte är tillräckliga för den dagliga driften. Vad gäller frågan om vilka ekonomiska medel som krävs för att kunna bära risken för skadeståndsskyldighet kan dock följande anmärkas. Som PTS konstaterat ovan är systemet med kvalificerade certifikat tänkt att vara öppet och alltså inte bygga på avtal mellan ett avgränsat antal, på förhand bestämda, deltagare. Den förlitande parten har därför vanligen inte något avtal med vare sig certifikatutfärdaren eller certifikatinnehavaren. Skadeståndsskyldighet på grund av ren förmögenhetsskada (en skada som inte har samband med en person- eller sakskada) uppkommer i näringslivet vanligen på grund av avtalsbrott. I vissa fall kan dock sådan skadeståndsskyldighet uppkomma även gentemot tredje man. Det gäller enligt rättspraxis bl.a. vid utfärdande av olika former av intyg, där det måste stå klart för den som utfärdar intyget att även andra än uppdragsgivaren kan komma att sätta sin tillit till intyget. 7 Det finns stora likheter mellan elektroniska certifikat och den typ av intyg som i rättspraxis har ansetts medföra skadeståndsansvar gentemot förlitande parter. Även oberoende av specialreglering torde därför risk för sådant 7 Se bl.a. NJA 1987 s. 692.
19(24) skadeståndsansvar föreligga för utfärdare av elektroniska certifikat. 8 I 14 1 st. signaturlagen anges emellertid tre uttryckliga kriterier som grundar skadeståndsskyldighet för certifikatutfärdaren. Det rör underlåtelse att uppfylla kraven i 10 rörande utfärdande och återkallelse av certifikat, kraven i 6 avseende utfärdade certifikats utformning samt om utfärdat certifikat innehåller felaktiga uppgifter. SignGuard har, på fråga om företagets möjligheter att bära risken för skadestånd, framfört att denna risk inte kan sägas vara högre än i annan, liknande verksamhet. Detta är, enligt PTS uppfattning, riktigt såtillvida att även utfärdare av icke-kvalificerade certifikat kan drabbas av skadeståndsskyldighet gentemot såväl certifikatinnehavare som förlitande parter. En viktig skillnad föreligger dock i att sådana utfärdare har långtgående möjligheter att i avtal och genom friskrivningar i de utfärdade certifikaten begränsa sin skadeståndsskyldighet. Dessa möjligheter är kraftigt begränsade för utfärdare av kvalificerade certifikat, på grund av bestämmelsen i 15 signaturlagen, enligt vilken avtalsvillkor som i jämförelse med 14 är till nackdel för den som förlitar sig på certifikatet, är utan verkan mot denne. Av 14 2 st. framgår även att en utfärdare av kvalificerade certifikat måste visa att en skada inte har orsakats av vårdslöshet hos utfärdaren själv, för att undgå skadeståndsansvar enligt bestämmelsen. För de i 14 uttryckligt angivna skadefallen gäller alltså en omvänd bevisbörda, s.k. presumtionsansvar, för certifikatutfärdaren. Bestämmelsen innebär en avvikelse från den princip som gäller generellt vid skadeståndsanspråk och torde kunna medföra högre risk att bli ersättningsskyldig för utfärdare av kvalificerade certifikat än för andra certifikatutfärdare. Ytterligare en väsentlig skillnad mot andra, liknande verksamheter ligger i det uttryckliga kravet, i 9 1 st. 4, på att certifikatutfärdaren ska förfoga över tillräckliga ekonomiska medel för att kunna bära risken för skadeståndsskyldighet. Detta torde innebära att det, till skillnad från de allra flesta andra former av affärsrörelser, inte är möjligt att bedriva verksamhet för utfärdande av kvalificerade certifikat på vinst eller förlust. För att de utfärdade certifikaten ska få kallas kvalificerade så krävs alltså att utfärdaren har en viss finansiell ställning. 9 Lagstiftaren har inte närmare angivit vilka ekonomiska medel en certifikatutfärdare behöver förfoga över, för att kunna utfärda kvalificerade certifikat på ett tillförlitligt sätt och bära risken för skadestånd. PTS har inte heller preciserat detta i föreskriftsform. I bilaga II till direktivet om ett 8 Se prop 1999/2000:177 s. 75 och 51 ff. 9 Jfr. 6 1 st. signaturlagen.
20(24) gemenskapsramverk för elektroniska signaturer 10 uttrycks emellertid att skyldigheten kan uppfyllas genom en lämplig försäkring. En försäkring som täcker de krav som kan ställas mot en utfärdare med stöd av 14 signaturlagen torde i normalfallet därför vara tillräcklig för att uppfylla kravet i 9 1 st. 4. 11 Enligt PTS mening borde det också vara naturligt för utfärdare av kvalificerade certifikat att teckna försäkring mot eventuella skadeståndskrav. SignGuard har emellertid framfört att de inte har kunnat hitta något försäkringsbolag som är villigt att försäkra utfärdarverksamheten. Enligt uppgift från företaget så anser svenska försäkringsbolag att det saknas tillräcklig kunskap om vilka risker som är förenade med utfärdarverksamheten. SignGuard har även kontaktat försäkringsbolag i länder där kvalificerade certifikat utfärdas i större utsträckning än i Sverige, men har inte heller där kunnat teckna någon försäkring, eftersom dessa bolag har uppgett sig sakna tillräckliga kunskaper om svenska förhållanden. PTS har inte närmare utrett möjligheterna att teckna en lämplig försäkring i Sverige. Myndigheten kan dock konstatera att svårigheter med att teckna försäkring sannolikt skulle verka hämmande för utvecklingen på marknaden för kvalificerade certifikat. Försäkring utgör dock bara ett möjligt sätt att uppfylla kraven på att förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten. Att en försäkring av någon anledning inte kunnat tecknas, kan inte medföra att dessa krav ställs lägre än vad som annars skulle ha varit fallet. Bedömningen av vilka ekonomiska medel som ska anses tillräckliga torde vara beroende av verksamhetens omfattning. Samtidigt menar PTS att vissa minimikrav bör ställas även på nystartade certifikatutfärdare som ännu inte har utfärdat ett stort antal certifikat. Detta är inte minst viktigt för att skapa grund för den tillit till de kvalificerade certifikaten som utgör grunden för hela systemet. Det bör också hållas i åtanke att lagstiftningen om kvalificerade certifikat bygger på ett EG-direktiv som tillkommit för att bidra till rättsligt erkännande av elektroniska signaturer över nationsgränser. Det är därför även av vikt att kvalificerade certifikat som utfärdas i Sverige vinner tillit även i andra medlemsstater. I det sammanhanget kan anmärkas att det i vissa medlemsstater, enligt vad PTS erfar, ställs krav på att utfärdare av kvalificerade certifikat dels ska teckna försäkringar som täcker skadeståndskrav på i storleksordningen 1-10 miljoner kronor samt dels ha ett eget kapital i storleksordningen 100 miljoner kronor. 10 Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer. 11 Se prop. 1999/2000:117 s. 73.
21(24) PTS vill dock betona att det i beräkningen av vilka krav som ska ställas i det enskilda fallet är rimligt att även ta hänsyn till en bedömning av hur stora riskerna i den aktuella verksamheten är. Det är rimligt att därvid räkna med att riskerna växer i paritet med antalet utfärdade certifikat. Den ekonomiska risken förknippad med varje certifikat är även beroende av till vad certifikatet kommer att användas, något som kan vara svårt för utfärdaren att förutse. Av 14 2 st. jämförd med 12 1 st. 1 och 6 1 st. 9 framgår emellertid att certifikatutfärdaren kan ange begränsningar för de utfärdade kvalificerade certifikatens användningsområde eller transaktionsbelopp. När certifikatutfärdaren har angett sådana begränsningar tydligt i själva certifikatet, är utfärdaren inte skadeståndsskyldig för skada som härrör från att certifikatet använts i strid med begränsningarna. Dessa bestämmelser ger certifikatutfärdaren vissa möjligheter att begränsa sin risk. Begränsningarna kan anpassas efter behov och det finns inget krav på att en certifikatutfärdare måste tillämpa samma begränsningar för alla certifikat som utfärdas. Beroende på hur kundkretsen ser ut kan utfärdaren göra en bedömning av om begränsning ska ske av användningsområden för certifikatet eller av de transaktionsbelopp certifikatet får användas för. Även andra faktorer kan påverka riskbedömningen. PTS kan t.ex. notera att SignGuard till stor del använder sig av underleverantörer i utfärdarverksamheten. Detta kan påverka riskerna i verksamheten i såväl positiv som negativ riktning men det finns, enligt myndighetens uppfattning, inga principiella skäl som alltid talar emot användning av underleverantörer. Det torde utan tvivel vara så att en certifikatutfärdare, inte minst när verksamheten är nystartad, kan dra stor nytta av att anlita erfarna underleverantörer. PTS kan dock notera att det, enligt vad myndigheten erfar, i vissa andra medlemsstater överhuvudtaget inte är tillåtet att lägga ut kritiska delar av certifikatutfärdarverksamheten på utomstående. I relation till risken för skadestånd kan också en utfärdare försättas i en sämre sits om en underleverantör anlitats för något av de moment som omfattas av utfärdarens presumtionsansvar i 14. I en sådan situation kan utfärdaren vara beroende av underleverantören för att samla den bevisning som krävs för att utfärdaren ska gå fri från ansvar. Det är viktigt att utfärdaren i avtal med underleverantörer säkerställer att de senare bistår i det arbetet. Det finns dock inga garantier för att bevisningen alltid är tillräcklig och risken kan därför kvarstå för att utfärdaren i vissa fall befinns skadeståndsansvarig. I sådana fall är det väsentligt att utfärdaren i avtal även har tillförsäkrat sig regressrätt gentemot underleverantören, dvs. en rätt att kräva att underleverantören ersätter utfärdaren med motsvarande det utdömda skadeståndsbeloppet.
22(24) Om så skulle ske, finns dock en risk för att tvist även uppstår mellan certifikatutfärdare och underleverantör; inte minst i de fall där parterna först samarbetat gentemot den skadelidande, för att samla bevisning till stöd för att någon vårdslöshet inte förelegat. Det är givetvis viktigt att avtalet mellan parterna i detta avseende är tydligt, men en tvist kan normalt inte helt uteslutas. En konsekvens av detta kan vara att certifikatutfärdaren, i de fall denne har begränsade ekonomiska tillgångar, riskerar att drabbas av likviditetsproblem, till följd av att utfärdaren är tvungen att betala ut skadestånd till den skadelidande innan tvisten med underleverantören slutligt har avgjorts. Som nämnts ovan saknar SignGuard försäkring mot de eventuella skadeståndskrav som följer av verksamheten. Av företagets bokslut per den 31 december 2008 framgår att de totala tillgångarna uppgår till drygt tre miljoner kronor. PTS har under ärendets handläggning fört en dialog med SignGuard angående de finansiella förutsättningarna för att bedriva verksamheten. Företaget har därefter vidtagit åtgärder i syfte att säkerställa att verksamheten efterlever signaturlagens krav. SignGuard har sammanfattningsvis uppgivit följande. Sedan den 23 mars 2010 innehåller samtliga utfärdade certifikat tillägget OID 1.3.6.1.5.5.7.1.16 (PKIX Warranty Certificate Extension) SignGuard begränsar genom detta tillägg sitt ansvar gentemot förlitande part till ett värde av maximalt 100 per certifikat. Giltighetstiden är identisk med certifikatets giltighetstid (2 år). Parametern aggregated (0) har också definierats. Detta innebär att SignGuard har minskat sin risk vid ett eventuellt skadeståndsförfarande till maximalt 100 per certifikat. Företagets policy, Certificate Practice Statement (CPS) och slutkundsavtal har också uppdaterats med denna begränsning. Vidare har SignGuard ingått ett avtal med underleverantören som handhar driften av certifikatutfärdarverksamheten. Enligt avtalet åtar sig underleverantören att hålla SignGuard skadefri för det fall SignGuard skulle befinnas skadeståndsskyldig, till följd av underleverantörens agerande eller underlåtelse att agera. Vidare åtar sig underleverantören att hålla dennes verksamhet försäkrad mot bl.a. försumlighet. SignGuard har också lämnat uppgifter om antalet kvalificerade certifikat som hittills utfärdats inom ramen för företagets verksamhet. Det rör sig, enligt PTS mening, om ett i sammanhanget mycket begränsat antal certifikat. SignGuard har även lämnat en prognos för antalet certifikat som kommer att utfärdas under det kommande året. Prognosen tyder på att det totala antalet utfärdade certifikat även inom den närmaste framtiden kommer att hållas på en låg nivå. Sammanfattningsvis kan PTS konstatera att SignGuard förfogar över begräsande tillgångar och därtill saknar försäkring för utfärdarverksamheten. Samtidigt minskas företagets riskexponering av att ett begränsat antal certifikat
23(24) har utfärdats, en beloppsbegränsning har införts i de utfärdade certifikaten och att underleverantören har åtagit sig ett tydligt ansvar för skadeståndskrav. Vid en avvägning mellan samtliga omständigheter finner PTS att SignGuard för närvarande får anses förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten och bära risken för skadeståndsskyldighet. PTS vill dock betona att det är nödvändigt att SignGuard, kontinuerligt i takt med att verksamheten, och därmed även företagets riskexponering, växer, förstärker de ekonomiska tillgångarna eller på annat sätt säkerställer att verksamhetens finansiella ställning vidmakthålls eller förbättras. Inom ramen för myndighetens fortsatta tillsynsarbete, har PTS för avsikt att regelbundet begära en redovisning av uppgifter rörande SignGuards finansiella ställning, inklusive företagets riskexponering, och göra en förnyad bedömning av företagets förmåga att bedriva verksamheten och bära risken för skadeståndsskyldighet. Om SignGuards utfärdarverksamhet växer torde en försäkring på sikt komma att utgöra en nödvändighet. PTS har för avsikt att utreda de generella möjligheterna för utfärdare av kvalificerade certifikat i Sverige att erhålla försäkring mot det skadeståndsansvar som kan uppkomma inom verksamheten. Staffan Lindmark