Om regelverket - eIDAS-forordningen
eIDAS er et europeisk regelverk som skal sikre et velfungerende indre marked og oppnå et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land.
eIDAS er forkortelsen for forordning om «elektronisk identifisering og tillitstjenester for elektroniske transaksjoner i det indre marked.»
Norge har gjennom EØS komiteen vedtatt å implementere eIDAS-forordningen i norsk rett. Lov om elektroniske tillitstjenester trådte i kraft 15. juni 2018.
eIDAS består av to deler. Første del regulerer elektronisk identifisering (eID). Den andre delen regulerer tillitstjenester (AS).
Hva innebærer eIDAS?
Formålet med eIDAS-forordningen er å sikre et velfungerende marked og oppnå et passende sikkerhetsnivå for elektronisk identifikasjon og tillitstjenester.
Reglene innebærer at alle tilbydere av tillitstjenester, både kvalifiserte og ikke kvalifiserte, skal ta tekniske og organisatoriske grep for å håndtere sikkerhetsrisikoen ved de tjenestene som de tilbyr.
Videre skal tilbydere melde fra til Nkom om sikkerhetshendelser eller integritetskrenkelser som i betydelig omfang påvirker tillitstjenesten. I noen tilfeller skal også berørte parter og andre myndigheter underrettes.
For offentlige myndigheter innebærer forordningen en plikt til å akseptere og håndtere tillitstjenester fra andre medlemsland sine tillitstjenester. Privat sektor omfattes ikke av forordningen på dette området, men kan akseptere tillitstjenester fra andre medlemsland.
Hvem omfattes av eIDAS?
De som omfattes av reglene i eIDAS er tilbydere av:
- eID
- elektronisk signatur
- elektronisk segl
- tidsstemplingstjenster
- elektronisk tjeneste for registrert sending
- sertifikattjenester for nettautentisering
En tilbyder som vil selvdeklarere en eID og tilby en kvalifisert tillitstjeneste, skal melde dette til Nkom.
Det er kun tillitstjenester som tilbys til offentligheten, og som har virkning overfor tredjemann, som omfattes av forordningen.
Ikke-kvalifiserte tilbydere av tillitstjenester omfattes av reglene om erstatningsansvar (artikkel 13) og sikkerhetskrav (artikkel 19).