eidas och Svensk e-legitimation 2015-10-08 Eva Ekenberg, eva.ekenberg@elegnamnden.se 15 oktober 2015 1
Vad händer 29 september 2018? Alla offentliga myndigheter blir tvingade att ta emot godkända e-legitimeringar från andra länder, i e-tjänster som kräver e- legitimation. Följd av den beslutade EU-förordning eidas Frivilligt för privat sektor Frivilligt för länderna att ge användare tillgång till e- legitimationer som erkänns utomlands 15 oktober 2015 2
Hur ska det gå till? Utöver förordningen finns genomförandeakter för tillitsnivåer, samverkan, interoperabiltet och anmälan av system Samverkan mellan medlemsländer sker i ett samarbetsnätverk kring Interoperabilitet Säkerhet Sakunnighetsbedömningar Länder utser sin representant (Sverige: Eva Ekenberg, E- legitimationsnämnden) Varje land har en kontaktpunkt för utbyte av information 15 oktober 2015 3
Hur förbereder vi oss i Sverige? Deltagit i pilotprojekt STORK, STORK 2, Peppol m.fl. E-legitimationsnämnden har ett regeringsuppdrag under 2015 E-legitimationsnämnden kommer få ett utökat uppdrag 2016 Samverkan mellan medlemsländer sker i ett samarbetsnätverk kring Interoperabilitet Säkerhet Sakunnighetsbedömningar Länder utser sin representant (Sverige: Eva Ekenberg, E- legitimationsnämnden) Varje land har en kontaktpunkt för utbyte av information 15 oktober 2015 4
Samarbetsnätverk Nätverkets verksamhet Leds av kommissionen Rätt att anta yttranden om interoperabilitetsramverk, tekniska specifikationer och anmälan, ge vägledning och riktlinjer kring sakkunnighetsbedömning samt granska utkast till anmälningsformulär Tystnadsplikt E-legitimationsnämnden representerar Sverige (Kanslichef Eva Ekenberg) Första mötet den 15 september 15 oktober 2015 5
Samarbetsnätverk (forts.) Utbyte av information, erfarenheter och god praxis (art 4) Större ändringar & utvecklingssteg Incidenter som kan påverka säkerheten i andra system Begäran om information om interoperabilitet och säkerhet (art 5-6) För att säkerställa interoperabilitet För att utreda säkerhetsproblem och incidenter 15 oktober 2015 6
Samarbetsnätverk (forts.) Sakkunnighetsbedömning (art 7-11) Säkerställa interoperabilitet och säkerhet Initieras av MS själv eller av andra MS Frivillighet för MS att delta med experter, en MS ansvarig för samordning 2-års spärr efter genomförd bedömning CN ska ta fram vägledning Utgångspunkt i anmälan enligt Art 7 + stöddokumentation Får begära ytterligare dokumentation (om inte hänvisning till nationell säkerhet, företagshemligheter, etc.) 15 oktober 2015 7
Tillitsnivåer Etablerar det tillitsramverk som definierar kraven på nivå low (2), substantial (3) och high (4) Utgångspunkt i ISO/IEC 29115 samt STORK, men helt frikopplat Resultatbaserat snarare än peka på exakta tillvägagångssätt En särskild undergruppering arbetar med vägledning kopplat till ramverket 15 oktober 2015 8
Tillitsnivåer (forts.) Uppnådde inte kvalificerad majoritet i eidas Committee vid omröstning Beslut ändå av kommissionen Invändningar mot avsaknad av krav på certifiering av medlet för elektronisk identifiering FR och DE mfl. har drivit kravet Exempel: 15 oktober 2015 9
Anmälan Uppe för beslut i eidas Committee 14/9 Beskriver processen för anmälan av eid-system, samt format (i annex) Anmälan sker elektroniskt till kommissionen på engelska Kommissionen får begära kompletteringar 15 oktober 2015 10
Interoperabilitet Fastställer tekniska och operativa krav för interoperabilitet tekniska minimikrav för tillitsnivåer (art 3 & 4) tekniska minimikrav på interoperabilitet (art 5 & 8) minimiuppsättning personidentifieringsuppgifter (art 11) gemensamma standarder för operativ säkerhet (art 6, 7, 9 och 10) tvistlösning (art 13) 15 oktober 2015 11
Interoperabilitet Tekniska minimikrav rörande tillitsnivåer Hänvisar till egen genomförandeakt (LoA) Utgångspunkten är nationella noder Ska baseras på beprövade gränsöverskridande standarder Metadata och attribut ISO 27001-certifiering Inte oproportionella tekniska krav och kostnader på andra MS Samarbetsnätverkets roll Yttranden kring tekniska specifikationer Kommissionen utarbetar med utgångspunkt i yttranden Rekommendationer från samarbetsnätverk Referensimplementation 15 oktober 2015 12
Interoperabilitet (forts.) Minimiuppsättning av uppgifter för fysisk person obligatoriska attribut: a) nuvarande efternamn, b) nuvarande förnamn, c) födelsedatum, d) en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid. ytterligare attribut: a) förnamn och efternamn vid födseln, b) födelseort, c) nuvarande adress, d) kön. 15 oktober 2015 13
Vilket uppdrag har E-legitimationsnämnden? Samordnar offentliga myndigheters upphandling av e-legitimeringar till e-tjänsterna Kvalitetsmärker svenska e-legitimationer Stöder offentliga myndigheters arbete med att skapa e-underskrifter Regeringen är uppdragsgivare Genom Näringsdepartementet, enheten för e-förvaltning 15 oktober 2015 14
Vad är Svensk e-legitimation? Granskning och kvalitetsmärkning av e-legitimationer Upphandling av LOU-upphandlande myndigheters möjlighet att i e- tjänsterna identifiera användare med kvalitetsmärkta e-legitimationer Frihet för användare att välja mellan alla upphandlade e-legitimationer när man använder offentlig sektors e-tjänster Arkitektur som vilar på internationell, beprövad standard 15 oktober 2015 15
Varför behövs Svensk e-legitimation? Upphandlingsregler Nya innovativa och säkra e-legitimationer kan anslutas över tid E-tjänsterna behöver ändå bara hantera ett, standardiserat, format På sikt därför enklare för medborgare och företag offentliga myndigheter leverantörer Harmoniserade tillitsnivåer informationsklassning säkerhetskrav Stämmer med nya, beslutade EU-regler Kan vara både privata och offentliga e-legitimationer 15 oktober 2015 16
Checklista utländska e-legitimationer 1. Alla offentliga e-tjänster som tar emot svenska e-legitimationer (t.ex. BankID) måste även ta emot EU-listade utländska e-legitimationer från 29 september 2018 Hantera som ett minimum väntrummet (We have accepted your eid, but ) 2. Vidareutveckling av e-tjänsterna Gå igenom tillitsnivå mot informationsklass igen Samordningsnummer och kanske något utländskt id-begrepp Tips: Språk Fundera extra på behörigheter, avstängning, loggar och backning Välj först de e-tjänster med störst nytta och minst risk Var beredd på att bidra till och ta emot ökad incidentrapportering 15 oktober 2015 17
15 oktober 2015 18 www.elegnamnden.se