Nærings- og handelsdepartementet
Postboks 8014 Dep
0030 OSLO 



Dato mmDeres ref. : 2001/450 NR JU KLR
Deres brev: 15.02.2001 
Dato:         06.04.2001 
  

Høring - forskrift om kvalifisert elektronisk signatur 

FNH og Sparebankforeningen viser til Nærings- og handelsdepartementets høringsbrev 15.02.2000 med forslag til forskrift om kvalifisert elektronisk signatur. Forskriften vil bli fastsatt med hjemmel i lov om elektronisk signatur som ble vedtatt av Stortinget før nyttår, men ennå ikke sanksjonert. 

Innledningsvis vil vi understreke behovet for at myndighetene også ved utformingen av forskrifter til loven tar hensyn til at utviklingen på e-handelsområdet går svært raskt, ikke minst når det gjelder infrastruktur, teknologi og bruksmåter for elektroniske sertifikater. Lov- og forskriftsregulering er uten tvil med på å understøtte næringslivets ulike tiltak for å bygge opp publikums tillit til bruk av elektroniske sertifikater. På den annen side vil detaljert myndighetsregulering på dette området kunne medføre behov for hyppige endringer i lovgivningen. Etter vår vurdering er det derfor svært viktig at departementet i det foreliggende forskriftsutkastet og i eventuelt senere regelverk til loven, finner en hensiktsmessig balanse mellom offentligrettslig regulering og næringslivets behov for selvregulering. 

I denne forbindelse viser vi spesielt til forskriftsutkastet § 5 om rutiner for identitetskontroll av undertegner (se nedenfor). FNH og Sparebankforeningen er enig i at identitetskontrollen ivaretas best når undertegner er fysisk tilstede under kontrollen, men utover dette grunnkravet bør det etter vår vurdering være rom for sertifikatutsteder selv å utforme sikre kontrollrutiner. 

Nedenfor følger våre merknader til forskriftsutkastet. 

Til § 1 Definisjoner
Begrepene "sertifikatpolicy" og "sertifikatpraksis" er definert i forskriftsutkastets § 1, selv om begrepene kun benyttes én gang i selve forskriftsteksten. Det kan derfor reises spørsmål om
det regelteknisk er bedre å innarbeide begrepsforklaringen direkte i utkastet § 2 bokstav c. 

Til § 2 Registreringsplikt
Det fremgår av § 2 første ledd at utstedere av kvalifiserte sertifikater skal registrere seg hos Post- og teletilsynet, jf lov om elektronisk signatur § 18. Vi legger opp til at den enkelte bank innenfor samme PKI selv skal stå som utsteder av "BankID", som er et elektronisk sertifikat som banknæringen samarbeider om. FNH og Sparebankforeningen forvalter i fellesskap avtalene mellom bankene om BankID og står sammen ansvarlig for rot-nøklene til BankID. Vi legger til grunn at FNH og Sparebankforeningen i forbindelse med registreringen må kunne koordinere en fellesmelding til Post- og teletilsynet på vegne av utstederbankene. Hoveddelen av de opplysninger som utstederne skal gi ved registreringen etter § 2 annet ledd, vil de to foreninger kunne innsende samlet. Et slikt opplegg vil etter vår vurdering være kostnadsbesparende for både Post- og teletilsynet og bankene. Vi er inneforstått med at en slik innmeldings-/registreringsrutine eventuelt må skje i samråd med Post- og teletilsynet. 

Etter forskriftsutkastet § 2 annet ledd skal sertifikatutsteder i forbindelse med meldingen/registreringen gi nærmere angitte opplysinger til Post- og teletilsynet. Opplysningene skal gis skriftlig. Vi legger til grunn at skriftlighetskravet i denne forbindelse også oppfylles ved bruk av elektronisk kommunikasjon. Hvis ikke, bør dette presiseres i teksten. 

Under bokstav a) i annet ledd pålegges utsteder å gi opplysninger om eventuelle samarbeidspartnere. Det fremgår av departementets kommentarer under pkt. 6.2 i høringsnotatet, at man i begrepet "samarbeidspartnere" inkluderer både underleverandører og andre sertifikatutstedere som utstederen garanterer for. Etter vår vurdering bør dette fremgå av selve forskriften, for eksempel slik: "…samt opplysninger om samtrafikkavtaler, eventuelle underleverandører og andre samarbeidspartnere."
I § 2 femte ledd fremgår det at Post- og teletilsynet skal registrere de mottatte opplysninger, og på en hensiktsmessig måte gjøre opplysninger knyttet til utstedelse av kvalifiserte sertifikater offentlig tilgjengelig. Etter det vi kan se av høringsnotatet er det ikke gjort noen begrensninger med hensyn til hvilke innberettede opplysninger som skal kunne offentliggjøres av Post- og teletilsynet. En nærmere avgrensing bør foretas i teksten, i det minste at man angir formålet med offentliggjøring. En slik formålangivelse vil være retningsgivende for Post- og teletilsynets vurdering av hvilke opplysninger som skal gjøres offentlig tilgjengelig. Etter vårt syn bør sikkerhets- og konkurranseømfintlige opplysninger skjermes fra innsyn fra allmennheten. 
Det vil også være viktig å få presisert i hvilket omfang Post- og teletilsynet vil gjøre mottatte opplysninger offentlig tilgjengelig for å kunne avklare om sertifikatutsteder kan basere seg på denne offentliggjøringen der sertifikatutsteder ellers har et behov for å gjøre informasjon allment kjent. For eksempel om sertifikatutsteder kan basere seg på at Post- og teletilsynet forestår offentliggjøring av sertifikatutsteders sertifikatpolicy, jf også kravet i lov om elektronisk signatur § 13 om å gjøre offentlig tilgjengelig rutiner for identitetskontroll ved utlevering av kvalifiserte sertifikater.

Til § 5 Rutiner for identitetskontroll
Etter lov om elektroniske signaturer § 13 er utsteder ansvarlig for at identiteten til undertegner blir kontrollert gjennom sikre rutiner. I forskriftsutkastet § 5 har departementet foreslått nærmere regler om identitetskontroll. Det fremgår at utstederen skal ha gjennomført tilstrekkelig identifisering av eieren (undertegner), bl.a. slik at undertegner skal møte opp personlig hos sertifikatutsteder eller en representant for denne, i forbindelse med sertifikatutstedelsen. 

FNH og Sparebankforeningen er enig i at sikker identitetskontroll av undertegner ivaretas best ved at undertegner møter personlig opp hos sertifikatutsteder. Slikt oppmøte behøver imidlertid ikke nødvendigvis skje i forbindelse med selve utstedelsen av sertifikatet. Er undertegneren tidligere blitt identitetskontrollert etter personlig fremmøte hos utstederen i forbindelse med etableringen av et annet forretningsforhold, vil et nytt personlig fremmøte være sikkerhetsmessig unødvendig og kun skape unødige ekstrakostnader for begge parter. 
For eksempel vil personer som ønsker å inngå avtale om bruk av banknæringens felles sertifikat BankID, allerede ha blitt legitimasjons- og identitetskontrollert ved personlig fremmøte i banken. BankID vil nemlig være tilknyttet en ny eller eksisterende konto i utstederbanken, og vedkommende kunde har således allerede vært i banken eller hos en representant for denne og blitt identitetskontrollert i forbindelse med kontoåpningen, jf Finansdepartementets forskrift av 07.02.94 om legitimasjonskontroll og tiltak mot hvitvasking av penger . Forskriften inneholder bl.a. regler om legitimasjons- og identitetskontroll ved opprettelse av konto og andre forretningsforhold i banker og andre finansinstitusjoner. Av forskriftens § 5 følger det at banken i forbindelse med identitetskontrollen skal forvisse seg om kundens identitet; herunder kontrollere på en betryggende måte at fotografi og navnetrekk som fremgår av legitimasjonsdokument stemmer overens med utseendet og navnetrekket til kunden (dvs ved personlig fremmøte). 
Videre vil bankene etablere sikre rutiner for utstedelse av sertifikatet til vedkommende identitetskontrollerte kunde, blant annet ved at kunden i forbindelse med utstedelse må dokumentere sin identitet gjennom disposisjonsrett til konto samt at sertifikatet aktiviseres gjennom en kode som er fremsendt til kunden på annen sikker måte.
FNH og Sparebankforeningen mener mot denne bakgrunn at forslaget til § 5 i forskriften om kvalifisert elektronisk signatur bør ta høyde for at undertegnere som tidligere er blitt identitetskontrollert etter personlig fremmøte hos utstederen, ikke (nødvendigvis) pånytt må møte frem i forbindelse med selve utstedelsen av sertifikatet. Vi foreslår at passussen "i forbindelse med utstedelse av sertifikatet" i § 5 første ledd siste setning erstattes med "i forbindelse med identitetskontrollen".
Til pkt. 7 Økonomisk og administrative konsekvenser
I høringsnotatet opplyses det at Post- og teletilsynet anslår at de årlige tilsynskostnader vil beløpe seg til ca. 900.000,-. Det vises til et anslag om at to til fire utstedere vil etablerere seg på det norske markedet i en tidlig fase. 

Vi antar at Post- og teletilsynet i sitt anslag har sett banknæringen under ett og således regnet med at bankene har utpekt én fellesaktør som utsteder av BankID. Som nevnt vil hver enkelt bank stå som utsteder av BankID med de forpliktelser som følger av lov om elektronisk signatur og som avtalepart med undertegner. Det er imidlertid ikke grunn til å tro at tilsynets kostnader av denne grunn vil øke i særlig grad. FNH og Sparebankforeningen kan som nevnt i våre kommentarer til § 2 foran, bidra med innsending av fellesopplysninger i forbindelse med registrering av utstederne. Vi forutsetter at dette kommer til uttrykk i de gebyrsatser som fastsettes. 


Med vennlig hilsen

for                                                                                   for 
Finansnæringens Servicekontor                                         Sparebankforeningens Servicekontor



Tore A. Hauglie                                                                 Gunnar Harstad