1.1
Lagen om stark autentisering och betrodda elektroniska tjänster
Terminologin. I terminologin på området används på finska allmänt orden ’tunnistaminen’ ja ’tunnistus’ som parallella termer, och det görs ingen egentlig betydelseskillnad mellan orden. I den gällande autentiseringslagen används ordet ’tunnistaminen’ när det förekommer ensamt eller som efterled i ett sammansatt ord. Ordet ’tunnistus’ används som förled i sammansatta ord såsom ’tunnistusväline’ (identifieringsverktyg), ’tunnistuspalvelu’ (identifieringstjänst) och ’tunnistustapahtuma’ (identifieringstransaktion) och det finns veterligen ingen risk för förväxling med terminologi som används på andra områden. På svenska används ordet ’identifiering’, utom i fråga om ’vahva sähköinen tunnistaminen’ och sammansättningar där ’vahva sähköinen’ ingår. Då används ’stark autentisering’ och sammansättningar med ’stark autentisering’.
1 §. Tillämpningsområde. I förslaget ändras paragrafen om lagens tillämpningsområde. Paragrafen reglerar tillämpningsområdet och begränsningarna av det med beaktande av EU:s förordning om elektronisk identifiering. I paragrafens 1 och 2 mom. fastställs tillämpningsområdet och i 3–4 mom. preciseringar och undantag från tillämpningsområdet i 1 och 2 mom.
I paragrafens 1 mom. föreskrivs det om stark autentisering samt tillhandahållande av identifieringstjänster till de tjänsteleverantörer som har förtroende för dem och till allmänheten. Efter den föreslagna lagändringen gäller största delen av bestämmelserna i lagen stark autentisering och uttryckligen tillhandahållandet av identifieringstjänster. Elektroniska underskrifter och övriga betrodda tjänster regleras i fortsättningen i eIDAS-förordningen. Lagen gäller inte så kallad svag identifiering som karaktäriseras av att den grundar sig på användarnamn och lösenord som en person själv har bestämt.
Allmänheten tillhandahålls tjänster för stark autentisering såsom i den gällande 1 §. Med allmänheten avses en på förhand obegränsad grupp fysiska eller juridiska personer. En grupp som är begränsad till exempel på grund av arbets- eller tjänsteförhållande räknas inte till allmänheten.
Identifieringstjänster tillhandahålls tjänsteleverantörer som har förtroende för dem. Ett typfall där identifieringstjänst tillhandahålls kan anses vara en tjänst där en tjänsteleverantör som använder stark autentisering för att tillhandahålla sin övriga service överför den som ska identifieras att identifiera sig utanför den egna tjänsten. Karaktäristiskt för ett sådant arrangemang är att det mellan leverantörer av tjänster för stark autentisering, tjänsteleverantörer som använder stark autentisering och innehavare av identifieringsverktyg råder ett rättsläge som fastställts genom ett avtalsförhållande. En leverantör av tjänster för identifieringsförmedling förmedlar till tjänsten för ärendehantering identifieringstransaktioner från leverantörer av identifieringsverktyg i det förtroendenät som det föreskrivs om i 12 a §.
Enligt det föreslagna 2 mom. föreskrivs det i lagen om tillsynen över eIDAS-förordningen genom en komplettering av förordningen. I förordningen föreskrivs det om kraven på betrodda tjänster och tillhandahållandet av dem. Med betrodda tjänster avses enligt eIDAS-förordningen och definitionen i den föreslagna 2 § elektroniska tjänster som i allmänhet tillhandahålls mot ersättning och som består av elektroniska underskrifter, elektroniska stämplar eller elektronisk tidsstämpling, elektroniska tjänster för rekommenderade leveranser och tjänster för skapande, kontroll och validering av certifikat i anslutning till dem. Också skapande, kontroll och validering av certifikat för autentisering av webbplatser samt bevarande av elektroniska underskrifter, stämplar eller certifikat i anslutning till dem är betrodda tjänster.
Tjänsterna för elektroniska underskrifter och de övriga betrodda tjänsterna som nämns ovan regleras i fortsättningen genom lagstiftning från EU som ska tillämpas direkt, så största delen av föreskrifterna om elektroniska signaturer och signeringscertifikat i den gällande lagen måste upphävas. Det föreslås dock att föreskrifterna om återkallande av ett godkänt certifikat för signatur (36 § i den gällande lagen) och föreskrifterna om obehörig användning av signaturframställningsdata (40 § i den gällande lagen) bibehålls i lagen. Det föreslås att i lagen införs vissa av bestämmelserna om begränsning av ansvaret för tillhandahållare av betrodda tjänster i den gällande lagen (41 § i förslaget).
Medlemsstaterna ska dessutom utse ett nationellt tillsynsorgan, det vill säga en myndighet, som kontrollerar att eIDAS-förordningen iakttas. Enligt den föreslagna 42 a § är det i Finland Kommunikationsverket som kontrollerar att förordningen följs. I propositionen föreslås det även att eIDAS-förordningen kompletteras, till exempel i fråga om behörighetskraven för organ för bedömning av överensstämmelse för betrodda tjänster och andra oberoende bedömningsorgan samt i fråga om Kommunikationsverkets och Befolkningsregistercentralens uppgifter i anslutning till eIDAS-förordningen.
Enligt det föreslagna 3 mom. tillämpas denna lag på identifieringsverktyg som anmälts till EU och på förmedling av gränsöverskridande elektronisk identifiering bara om annat inte följer av eIDAS-förordningen. I förordningen föreskrivs det om tre tillitsnivåer i elektronisk identifiering (låg, väsentlig och hög) och i EU:s genomförandeakt har kraven på system för elektronisk identifiering specificerats för olika tillitsnivåer. Systemen ska uppfylla kraven som gäller respektive tillitsnivå för att de ska få anmälas till Europeiska kommissionen som gränsöverskridande system för elektronisk identifiering. EU:s medlemsstater ska under vissa förutsättningar i sina offentliga tjänster godkänna elektroniska identifieringsverktyg som andra EU-stater har anmält.
I eIDAS-förordningen föreskrivs det om förfarandet som gäller anmälning av system för elektronisk identifiering till kommissionen (artiklarna 7–10) och ett interoperabilitetsramverk som medlemsstaterna upprätthåller (artikel 12) där de system som medlemsstaterna anmält fungerar interoperabelt samt om medlemsstaternas administrativa samarbetsnätverk kring detta.
I det föreslagna 4 mom. preciseras tillämpningsområdet genom att vissa fall utesluts ur tillämpningsområdet för lagen. I fråga om elektronisk identifiering motsvarar begränsningarna av tillämpningsområdet den gällande lagen. Tillämpningsområdet för bestämmelserna om elektroniska underskrifter såsom även för andra betrodda tjänster fastställs i eIDAS-förordningen.
Enligt det föreslagna 4 mom. tillämpas lagen inte på tillhandahållandet av tjänster som används för intern identifiering i en sammanslutning. Samma leverantör av identifieringstjänster kan tillhandahålla samma tjänst såväl allmänt för en tjänsteleverantör som använder identifieringstjänsten i förtroendenätet för identifiering av en grupp som inte bestämts på förhand som för en sammanslutning att användas för dennas interna behov. Det första fallet hör till tillämpningsområdet för lagen medan det andra inte gör det.
Enligt den andra satsen i det föreslagna 4 mom. hör inte heller de fall till tillämpningsområdet där en sammanslutning använder en egen identifieringsmetod för att i samband med sina egna tjänster identifiera de egna kunderna. I den verksamheten är det inte alls egentligen fråga om tillhandahållande av en stark autentiseringstjänst; tjänsteleverantörens syfte är att tillhandahålla en annan egen tjänst och identifieringen ingår där endast som en biprodukt.
Tillämpningsområdet för den gällande lagen och begränsningarna som gjorts i den är en direkt följd av att man genom lagen har velat ge grundläggande bestämmelser för allmänt använda verktyg för stark autentisering på marknaden. Om gruppen som använder ett verktyg är begränsad i förväg kan den inte konkurrera på den öppna marknaden med sikte på allmänt använda metoder och verktyg. De som använder företags och organisationers interna system behöver inte heller skydd på samma sätt som de som själva, ofta i egenskap av konsumenter, skaffar sina verktyg på marknaden. De som använder identifieringsverktyg som är avsedda för ett visst slutet ändamål har också ett mindre behov av skydd, för de eventuella riskerna är mindre vid användningen av dem.
Dessutom ska det beaktas att tillhandahållandet av tjänster för elektronisk identifiering fortfarande befinner sig i en utvecklingsfas och under kommande år är det också möjligt att nya identifieringsmetoder skapas i och med den tekniska utvecklingen. Därför är det synnerligen viktigt att lagstiftningen ger verksamhetsmöjligheter till nya arrangemang som utvecklas. Nya metoder kan till exempel testas i slutna miljöer innan de tillhandahålls som allmänt använda verktyg på öppna marknaden. Tjänsterna omfattas av lagstiftningen först när de som stark autentisering börjar tillhandahållas användargrupper som inte har begränsats i förväg.
2 §.Definitioner. Jämfört med den gällande lagen föreslås det att en stor del av definitionerna i paragrafen ändras eller upphävs som överlappande beroende på eIDAS-förordningen. Även 12 a § om förtroendenätet för leverantörer av identifieringstjänster som fogades till lagen 2015 kräver ändringar i definitionerna. För tydlighetens skull föreslås det att 2 § ändras helt.
I paragrafens 1 mom. 1 punkt definieras stark autentisering. Med det avses identifiering av en person, en juridisk person eller en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod där identifieringen och verifieringen grundar sig på tillitsnivån väsentlig eller hög som definieras i artikel 8 i eIDAS-förordningen (EU) nr 910/2014. Definitionen är i övrigt den samma som i förordningen, men till definitionen på stark autentisering hör endast tillitsnivåerna väsentlig och hög som fastställs i förordningen. I förordningen och i kommissionens genomförandeakter som utfärdats med stöd av den anges även tillitsnivån låg, men den ska inte ingå i definitionen på stark autentisering i Finland.
I paragrafens 1 mom. 2 punkt definieras identifieringsverktyg. I eIDAS-förordningen används i samma betydelse termen medel för elektronisk identifiering som därför har tagits med i definitionen på identifieringsverktyg. I lagen bibehålls parallellt med medel för elektronisk identifiering termen identifieringsverktyg, som språkligt sett ofta är begripligare. Definitionen är till innehållet den samma som i den gällande lagen. Definitionen är teknologineutral och beskriver allt det som i fysisk eller elektronisk form eller i form av data tillsammans bildar ett identifieringsverktyg. Med ett verktyg kan således avses till exempel ett certifikat på ett SIM-kort eller något annat kort och den PIN-kod som behövs för att kunna använda certifikatet, användaridentifikation i kombination med ett växlande lösenord eller fingeravtryck som kombineras med en PIN-kod. Verktyget bildar en helhet.
I paragrafens 1 mom. 3 punkt definieras leverantör av identifieringstjänster. Definitionen bibehålls i sak, men efter tillägget av 12 a § om förtroendenät har det uppstått ett behov av att använda leverantörer av identifieringstjänster som överbegrepp för leverantör av identifieringsverktyg som definieras i paragrafens 4 punkt och leverantör av tjänster för identifieringsförmedling som definieras i 5 punkten. Skyldigheterna för en leverantör av rena förmedlingstjänster klarläggs i lagen i förhållande till skyldigheterna för en leverantör av identifieringsverktyg. I 9 § i förslaget ställs allmänna krav på tillförlitligheten hos leverantörer av identifieringstjänster. Leverantörer av starka autentiseringstjänster ska med stöd av 9 § alltid vara juridiska personer.
Med leverantör av identifieringsverktyg avses enligt 1 mom. 4 punkten en tjänsteleverantör som tillhandahåller eller ger ut tjänster för stark autentisering till allmänheten. Leverantörer av identifieringsverktyg lämnar en anmälan som avses i 10 § till Kommunikationsverket varefter den antecknas i registret enligt 12 § och ingår i förtroendenätet som regleras i 12 a §. I förtroendenätet ska en leverantör av identifieringsverktyg tillhandahålla leverantörer av förmedlingstjänster sitt verktyg, men leverantören av identifieringsverktyg kan dessutom genom egen tjänst för identifieringsförmedling tillhandahålla förlitande parter sitt identifieringsverktyg, och agerar då även i rollen som leverantör av tjänster för identifieringsförmedling.
Med allmänheten avses en grupp användare som inte har begränsats i förväg såsom i 1 § 1 mom. Tjänsteleverantören kan använda ett medel för stark autentisering för att identifiera sina egna kunder och tillhandahålla andra förlitande parter eller en annan leverantör av tjänster för identifieringsförmedling som definieras nedan i 6 § samma medel för stark autentisering. Det föregående fallet, där tjänsteleverantören använder medel för stark autentisering för att identifiera sina egna kunder, hör inte till tillämpningsområdet för autentiseringslagen. Däremot hör det senare fallet till lagens tillämpningsområde. Beskrivningen gäller till exempel banker som använder bankkoder för de egna kundernas bankärenden och tillhandahåller samma koder att användas för andra tjänster där elektronisk identifiering utnyttjas.
Med leverantör av tjänster för identifieringsförmedling avses i 1 mom. 5 punkten en tjänsteleverantör som förmedlar identifieringstransaktioner baserade på stark autentisering till en förlitande part. Definitionen är ny och behövs på grund av förtroendenätet som regleras i 12 a §. Leverantörer av tjänster för identifieringsförmedling lämnar en anmälan som avses i 10 § till Kommunikationsverket varefter den antecknas i registret enligt 12 § och ingår i förtroendenätet som regleras i 12 a §.
Leverantören av tjänster för identifieringsförmedling ingår avtal med leverantörer av identifieringsverktyg som avses i 4 punkten om vidare förmedling av identifieringsdata (identifieringstransaktioner) som avses i 12 a § till parter som förlitar sig på identifieringen, det vill säga till exempel tjänsteleverantörer som utnyttjar stark autentisering i sina egna tjänster. Ett exempel på en förlitande part är en nätbutik eller en annan organisation som skaffar en identifieringstjänst för sin elektroniska tjänst för ärendehantering eller en identifieringstjänst för allmänheten som ska byggas upp i samband med en nationell servicekanal som inte förmedlar identifieringstransaktioner utanför statsförvaltningen och organisationer som sköter offentliga uppgifter.
Med innehavare av identifieringsverktyg avses i denna lag en fysisk eller en juridisk person som har ett identifieringsverktyg för stark autentisering på basis av laglig rätt. Om den berättigade innehavaren råkar tappa bort ett verktyg kan till exempel inte den som hittar det bli en innehavare som avses i definitionen. Definitionen ändras jämfört med definitionen i den gällande lagen, och på så vis kan identifieringsverktyg även beviljas och överlåtas till juridiska personer. Då överensstämmer den med definitionen i eIDAS-förordningen. I 23 § 2 mom. i lagen fastslås det klart att innehavaren av ett identifieringsverktyg inte får överlåta verktyget för att användas av någon annan.
Med inledande identifiering som definieras i paragrafens 7 punkt avses verifiering av identiteten hos en fysisk person eller verifiering av en juridisk persons status som juridisk person innan verktyget beviljas. Den inledande identifieringen är den centrala grundpelaren i fråga om tillförlitligheten i stark autentisering. Den regleras i 17 § i den gällande lagen. Inledande identifiering är en term som etablerats i autentiseringslagen. Med hjälp av den ville man tydligt skilja denna särskilda identifiering från senare identifieringstransaktioner som upprepas flera gånger.
Enligt 17 § i gällande lag kan inledande identifiering ske på två sätt (RP 272/2014 rd): 1) om en sökande inte redan har ett identifieringsverktyg för stark autentisering enligt denna lag ska identifieringen ske personligen, 2) en sökande som redan har ett elektroniskt identifieringsverktyg för stark autentisering får ansöka om ett identifieringsverktyg som avses i denna lag på elektronisk väg. I denna proposition föreslås att bestämmelserna om inledande identifiering ändras så att i Finland är det möjligt att identifiera en fysisk person på det sätt som föreskrivs i avsnitt 2.1.2 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering.
Definitionerna på certifikat och certifikatutfärdare motsvarar definitionerna i den gällande lagen (RP 36/2009).
Med förtroendenätet avses ett nätverk av leverantörer av identifieringstjänster som anmält sig hos Kommunikationsverket. Definitionen motsvarar definitionen i den gällande lagen (RP 272/2014).
Enligt den föreslagna 11 punkten avses med organ för bedömning av överensstämmelse ett organ enligt artikel 2.13 i förordning (EG) nr 765/2008 (s.k. NLF-förordningen) som är ackrediterat i överensstämmelse med den förordningen. Bestämmelser om bedömningar utförda av organet för bedömning av överensstämmelse finns i eIDAS-förordningen.
I det föreslagna 2 mom. räknas de definitioner upp som har samma betydelse som de har i eIDAS-förordningen. Med elektronisk underskrift avses i förordningen uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men egentliga krav hör ihop med elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat.
Med betrodd tjänst avses i eIDAS-förordningen en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av: 1) skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller 2) skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller 3) bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster.
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska vara unikt knuten till undertecknaren och undertecknaren ska kunna identifieras genom den. En avancerad elektronisk underskrift är skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Vidare ska en avancerad elektronisk underskrift vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.
Med system för elektronisk identifiering avses i eIDAS-förordningen ett system för elektronisk identifiering genom vilket medel för elektronisk identifiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person. Begreppet används till exempel i 8 §.
Med förlitande part avses en fysisk eller juridisk person som förlitar sig på en elektronisk identifiering eller betrodda tjänster.
6 §.Behandling av personuppgifter. Det föreslås att ett nytt 2 mom. fogas till paragrafen, de gällande1 och 3 mom. föreslås bli ändrade så att i dem hänvisas till certifikatutfärdare som tillhandahåller betrodda tjänster och laghänvisningarna i 4 mom. föreslås bli justerade.
Det har bedömts att en tjänst för identifieringsförmedling i förtroendenätet som avses i 12 a § i autentiseringslagen fungerar som en självständig registerförare. Denna ansvarar då för hantering av personuppgifter och bland annat för att den överlåter uppgifter endast till aktörer vilkas rätt att hantera uppgifter grundar sig på lag eller avtal. Enligt det föreslagna nya 2 mom. har leverantörer av tjänster för identifieringsförmedling rätt att vid förmedling av identifiering överlåta personuppgifter till en förlitande part, om den förlitande parten har rätt att behandla personuppgifter enligt lag.
Om Tjänsten för identifieringsförmedling hanterar och förmedlar även andra personuppgifter än de som är nödvändiga med tanke på identifiering (s.k. komplettering av personuppgifter) kan avgörandet om ansvarig registerförare separeras i fråga om personuppgifter som är nödvändiga för identifieringen och övriga personuppgifter som ska förmedlas.
7 §.Användning av uppgifter i befolkningsdatasystemet. Det föreslås att paragrafens 1 mom. preciseras så att skyldigheten att hämta och uppdatera uppgifter som behövs för tillhandahållandet av identifieringstjänsterna i befolkningsdatasystemet gäller leverantörer av identifieringsverktyg och inte leverantörer av tjänster för identifieringsförmedling. Uppgifterna ska uppdateras så pass ofta att man på ett tillräckligt sätt kan försäkra sig om att de inte är föråldrade. Kommunikationsverket övervakar att bestämmelsen iakttas.
7 a §.Användning av uppgifter i företags- och organisationsregister. Lagen föreslås få en ny bestämmelse enligt vilken leverantörer av identifieringsverktyg och certifikatutfärdare som tillhandahåller betrodda tjänster ska hämta och uppdatera uppgifter om juridiska personer som de behöver för tillhandahållandet av de betrodda tjänsterna i företags- och organisationsregistren. Föreskrifter om registren, som Patent- och registerstyrelsen för, finns i handelsregisterlagen (129/1979), i stiftelselagen (487/2015) samt i föreningslagen (503/1989) och i föreningsregisterförordningen (506/1989). Patent- och registerstyrelsens priser för handels-, stiftelse- och företagsinteckningsregistret grundar sig på lagen om avgifter för patent- och registersty-relsens prestationer (1032/1992).
8 §.Krav på system för elektronisk identifiering. Det föreslås att paragrafen ändras. I 1 mom. räknas fyra faktorer upp som utgör förutsättningen för att ett system som tillhandahåller identifieringstjänster ska kunna anses starkt. Eftersom samma krav ställs på säkerhet i systemen för stark autentisering som i EU innehåller paragrafen hänvisningar till kommissionens genomförandeförordning som utfärdats med stöd av eIDAS-förordningen. Förordningen om tillitsnivåer vid elektronisk identifiering innehåller kraven som ställs på de olika tillitsnivåerna i systemen för identifiering.
Enligt den föreslagna 1 punkten ska identifieringsmetoden grunda sig på en omsorgsfull inledande identifiering så att uppgifterna om den kan kontrolleras i efterskott. Inledande identifiering definieras i 2 § 1 mom. 8 punkten och regleras i 17 och 17 a §. Enligt 24 § i lagen ska leverantören av identifieringsverktyg registrera de uppgifter som behövs om den inledande identifieringen och om den handling som anlitats.
Enligt den föreslagna 2 punkten ska metoden medge entydig identifiering av innehavaren av identifieringsverktyget så att åtminstone kraven för tillitsnivån väsentlig enligt avsnitt 2.1.2, 2.1.3 och 2.1.4 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering uppfylls.
Enligt den föreslagna 3 punkten ska det med hjälp av identifieringsmetoden med den tillförlitlighet som krävs för minst tillitsnivån väsentlig enligt avsnitt 2.3 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering gå att säkerställa att endast innehavaren av identifieringsverktyget kan använda verktyget.
Enligt den föreslagna 4 punkten ska identifieringsmetoden vara säker och tillförlitlig på det sätt som föreskrivs i avsnitt 2.2.1, 2.3.1 och 2.4.6 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering, med hänsyn till de informationssäkerhetsrisker som är förknippade med den teknik som används och de lokaler som används för tillhandahållandet av identifieringstjänsten är säkra på det sätt som föreskrivs i avsnitt 2.4.5 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering.
Enligt den föreslagna 5 punkten ska informationssäkerhetshanteringen skötas minst på tillitsnivån väsentlig i enlighet med det inledande stycket i avsnitt 2.4 och avsnitt 2.4.3 och 2.4.7 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering. I avsnitt 2.4.3 föreskrivs att ledningssystemet för informationssäkerhet följer utprovade standarder eller principer för hantering och kontroll av informationssäkerhetsrisker. Enligt avsnitt 2.4.7 förutsätts på tillitsnivån väsentlig regelbundna och oberoende interna eller externa revisioner som omfattar alla delar som är relevanta för tillhandahållandet av tjänster. Bestämmelser om dessa bedömningar finns i den föreslagna 29 §.
Ledning avseende informationssäkerhet regleras i avsnitt 2.4.3. i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering. På tillitsnivån väsentlig krävs det att leverantörer av identifieringstjänster har ett effektivt ledningssystem för informationssäkerhet för hantering och kontroll av informationssäkerhetsrisker. Dessutom ska ledningssystemet för informationssäkerhet följa utprovade standarder för hantering och kontroll av informationssäkerhetsrisker.
Det föreslagna 2 mom. ska vara likalydande som i den gällande lagen. Kommunikationsverkets bemyndigande att utfärda närmare tekniska föreskrifter enligt 8 § 3 mom. i den gällande lagen flyttas enligt förslaget till 42 §. Kommunikationsverkets behörighet att meddela tekniska föreskrifter definieras noggrannare än för närvarande till att gälla endast det som nämns i 1 mom. 4 och 5 punkten.
8 a §.Autentiseringsfaktorer som ska användas i identifieringsmetoden. Enligt det föreslagna 1 mom. måste i en identifieringsmetod minst två av autentiseringsfaktorerna som räknas upp användas. En bestämmelse motsvarande den föreslagna bestämmelsen ingår i definitionen på stark autentisering enligt 2 § i den gällande lagen. Den föreslagna bestämmelsen i 1 mom. ingår även i förordningen om tillitsnivåer vid elektronisk identifiering. Den föreslagna bestämmelsen har utformats teknikneutralt. Med kunskapsbaserade autentiseringsfaktorer avses något som personen måste kunna visa att den har kunskap om, exempelvis ett lösenord. Med innehavsbaserade autentiseringsfaktorer avses något som personen måste kunna visa att den innehar, exempelvis en nyckeltalslista, ett smartkort eller mobilcertifikat. Egenskapsbaserade au-tentiseringsfaktorer utgår från en kroppslig egenskap hos en fysisk person, exempelvis fingeravtryck.
Enligt det föreslagna 2 mom. måste man i varje identifieringsmetod använda en sådan i avsnitt 2.3.1 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering avsedd dynamisk autentisering som kan ändras vid varje ny autentisering mellan en person och det system som kontrollerar personens identitet. Det bedöms att de nuvarande starka elektroniska identifieringsverktygen uppfyller dessa krav.
9 §.Krav som gäller leverantörer av identifieringstjänster. Enligt förslaget ändras paragrafens 1 mom. så att endast juridiska personer får vara leverantörer av identifieringstjänster medan fysiska personer inte längre får vara det. På så sätt överensstämmer föreskriften med avsnitt 2.4.1.1 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering. I praktiken har redan nu kraven på tillräckliga ekonomiska resurser i 13 § i autentiseringslagen lett till att fysiska personer inte har varit leverantörer av identifieringstjänster. Enligt det föreslagna 1 mom. får juridiska personer som fungerar som leverantörer av identifieringstjänster eller fysiska personer som handlar för deras räkning samt ledamöter eller ersättare i styrelsen eller förvaltningsrådet för en sammanslutning eller stiftelse som är tjänsteleverantör, liksom dess verkställande direktör och ansvariga bolagsmän eller andra personer i motsvarande ställning vara myndiga, inte vara försatta i konkurs och deras handlingsbehörighet får inte vara begränsad. I praktiken kan begränsningarna av handlingsbehörighet vara en följd av till exempel omyndighet.
Punkt 2.4.1 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering förutsätter att tillhandahållare av identifieringstjänster är juridiska personer. I övrigt motsvarar 1 mom. i sak det gällande 1 mom. (RP 36/2009 rd).
10 §.Skyldighet för leverantörer av identifieringstjänster att anmäla att verksamheten inleds. Enligt förslaget fogas till paragrafens 2 mom. en ny 5 punkt samt flyttas Kommunikationsverkets bemyndigande att meddela föreskrifter som ingår i 4 mom. till 42 § där Kommunikationsverkets befogenheter att meddela föreskrifter ska samlas. För tydlighetens skull föreslås det att hela paragrafen ändras.
Enligt paragrafens 1 mom. ska en leverantör av identifieringstjänster som är etablerad i Finland göra en skriftlig anmälan till Kommunikationsverket innan verksamheten inleds. Anmälan kan också göras av en sådan sammanslutning av leverantörer av identifieringsverktyg som administrerar en tjänst som ska betraktas som en enda identifieringstjänst. Enligt förslaget fogas till paragrafens 2 mom. en ny 5 punkt enligt vilken leverantören av en identifieringstjänst i sin anmälan också ska ha uppgifter om ett tillämpat bedömningsförfarande och resultaten av bedömningen. I det föreslagna 4 kap. i lagen föreskrivs det om behörigheten för bedömningsorganen för leverantörer av identifieringstjänster samt vilken typ av bedömningsorgan som ska användas i olika tjänster. De krav som ett bedömningsorgan enligt lagen bedömer en identifieringstjänst mot föreskrivs i lag och vid behov preciseras kraven genom föreskrift av Kommunikationsverket.
I 10 § 4 mom. i den gällande lagen ingår befogenhet för Kommunikationsverket att utfärda föreskrifter om det närmare innehållet i uppgifterna enligt 10 §. Det föreslås att befogenheten flyttas till 42 §. Kommunikationsverket kan i sin föreskrift beakta att det på grund av 12 a § kommer nya leverantörer av tjänster för identifieringsförmedling på marknaden och med tanke på tillsynen är det ändamålsenligt att kräva att leverantörer av identifieringstjänster anmäler olika allmänna uppgifter om de tjänster de tillhandahåller. Kommunikationsverket kan i sin föreskrift kräva nödvändiga uppgifter om de tjänster som tillhandahålls, till exempel om tjänsteleverantören tillhandahåller identifieringsverktyg eller tjänster för identifieringsförmedling eller både och. Med tanke på tillsynen är det dessutom nödvändigt att tjänsteleverantören anmäler på vilka tillitsnivåer (väsentlig, hög) enligt definitionerna i förordningen om tillitsnivåer vid elektronisk identifiering tjänsterna tillhandahålls.
Enligt bestämmelsen om den föreslagna lagändringens ikraftträdande gäller de föreskrifter Kommunikationsverket meddelat med stöd av den gällande lagen tills nya föreskrifter meddelats med stöd av den ändrade 42 §.
13 §. Allmänna skyldigheter för leverantörer av identifieringstjänster. Det föreslås att paragrafens 1 mom. ändras så att förvaringen av uppgifter, personalen och de tjänster som köps av underleverantörer hos leverantörer av identifieringstjänster uppfyller kraven för minst tillitsnivån väsentlig i EU:s förordning om tillitsnivåer vid elektronisk identifiering. De föreslagna skyldigheterna gäller såväl leverantörer av identifieringsverktyg som leverantörer av tjänster för identifieringsförmedling.
Vad gäller förvar av uppgifter ska kraven i punkt 2.4.4 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering följas. Informationen som hör till identifiering ska registreras och lagras med hjälp av ett effektivt registerhanteringssystem, Informationen lagras och skyddas tills den ska förstöras på ett säkert sätt.
Anläggningar och personal samt eventuella underleverantörer hos leverantörer av identifieringstjänster ska uppfylla kraven i avsnitt 2.4.5 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering. Leverantörer av identifieringstjänster ska se till att personal och underleverantörer som de har i sin tjänst är tillräckligt utbildade, kvalificerade och erfarna i de färdigheter som krävs för att sköta sina roller. Tillräcklig personal och underleverantörer ska finnas för att korrekt driva och bemanna tjänsten. Anläggningar som används för att tillhandahålla tjänsten ska kontinuerligt övervakas och skyddas mot faktorer som kan inverka på tjänstens säkerhet. Anläggningar som används för att tillhandahålla tjänsten ska säkerställa att tillträde till utrymmen där personliga eller kryptografiska uppgifter finns eller behandlas är begränsat till auktoriserad personal eller underleverantörer.
14 §. Principer för identifiering. Det föreslås att paragrafens 1 och 2 mom. ändras. Den svenska språkdräkten ändras i 3 mom. Paragrafens 4 mom. bibehålls oförändrad. Enligt förslaget preciseras 1 mom. så, att i synnerhet leverantörer av identifieringsverktyg i principer för identifiering ska ange närmare hur de genomför identifieringen enligt 17 och 17 a § när identifieringsverktyg beviljas.
I 2 mom. i den gällande lagen listas de centrala uppgifterna som ska anges i principerna för identifiering. I det ändrade 2 mom. är 3, 4 och 6 punkterna nya och de övriga motsvarar den gällande lagen (RP 36/2009). För tydlighetens skull föreslås det att 2 mom. ändras helt.
Enligt den föreslagna 3 punkten ska samtliga villkor som ska tillämpas och enligt 4 punkten de principer för informationssäkerhet som tillämpas i tjänsten anges i principerna för identifiering. Kravet grundar sig på avsnitt 2.4.2. i bilagan till förordningen om tillitsnivåer i elektronisk identifiering.
Ett nytt krav på centrala uppgifter som ska anges i principerna för identifiering är enligt 6 punkten uppgifterna i enlighet med 4 kap. om en bedömning utförd av ett oberoende bedömningsorgan eller annat bedömningsorgan. Enligt den övergångsbestämmelse som föreslås bör en leverantör av identifieringstjänster lämna en bedömningsrapport över verkställd oberoende bedömning av identifieringstjänsten och uppgifter om de ändrade principerna för identifiering som avses i 14 § till Kommunikationsverket senast den 31 januari 2017. Principerna för identifiering ändras när en leverantör av identifieringstjänster inleder sin verksamhet i förtroendenätet.
15 §.Skyldighet för leverantörer av identifieringsverktyg att lämna uppgifter innan avtal ingås. Enligt förslaget ändras för tydlighetens skull paragrafens rubrik och det inledande stycket i 1 mom. så att skyldigheterna i paragrafen gäller endast leverantörer av identifieringsverktyg.
16 §.Skyldighet för leverantörer av identifieringstjänster att anmäla hot och störningar som riktas mot verksamheten eller skyddet av uppgifter. Det föreslås att paragrafens rubrik samt 1 mom. ändras. Paragrafen föreslås få nya 4 och 5 mom. De nuvarande 2 och 3 mom. kvarstår som tidigare. För tydlighetens skull föreslås att hela paragrafen ändras. Anmälningsskyldigheten enligt 16 § i den gällande lagen gäller hot och störningar som riktas mot tjänsternas informationssäkerhet och skydd av uppgifter. Paragrafen ändras så att anmälningsskyldigheten gäller betydande hot och störningar som riktas mot tjänsternas funktion, informationssäkerheten eller användningen av en elektronisk identitet.
Den föreslagna paragrafen utvidgar anmälningsskyldigheten för leverantörer av identifieringstjänster till att gälla även övriga avtalsparter i förtroendenätet. I fortsättningen kan Kommunikationsverket tekniskt förmedla de anmälningar mellan aktörerna som avses i denna paragraf till leverantörerna av identifieringstjänster i förtroendenätet. Eftersom uppgifterna innehåller sekretessbelagd information som Kommunikationsverket bör bedöma och behandla enligt sekretessbestämmelserna i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen) har det till lagen också fogats en föreskrift enligt vilken Kommunikationsverket får förmedla uppgifter i förtroendenätet för anmälarens räkning utan hinder av vad som föreskrivs i offentlighetslagen. Kommunikationsverket tillhandahåller alltså endast en teknisk plattform för informationsutbyte i förtroendenätet men kontrollerar eller bedömer inte grunderna för informationen som överlåts, det sker på överlåtarens ansvar. Överlåtaren ansvarar också för specificeringen i det tekniska förmedlingssystemet av de medlemmar i förtroendenätet till vilka överlåtaren som dess avtalsparter eller annars förmedlar uppgifterna. De anmälningar om störningar som aktörerna gör till tillsynsmyndigheten Kommunikationsverket behandlar Kommunikationsverket i enlighet med offentlighetslagen och bildar sig utgående från dem en lägesbild över tjänsternas allmänna situation samt bedömer om verksamheten har uppfyllt de föreskrivna kraven.
Enligt det föreslagna 4 mom. får en leverantör av identifieringstjänster använda uppgifter om en annan leverantör av identifieringstjänster som den får med stöd av denna paragraf endast för att skapa beredskap för de hot och störningar som avses i paragrafen. Hos tillhandahållaren av betrodda tjänster får uppgifterna behandlas endast av dem som nödvändigt behöver uppgifterna i sitt arbete. Uppgifterna måste också annars behandlas så att affärshemligheter som tillhör en annan leverantör av identifieringstjänster inte röjs och att informationssäkerheten för verksamheten inte äventyras.
Enligt 5 mom. är en leverantör av identifieringstjänster som genom att handla i strid med 4 mom. vållar en annan leverantör av identifieringstjänster skada skyldig att ersätta för skadan.
17 §.Identifiering av en fysisk person som ansöker om ett identifieringsverktyg. Paragrafens rubrik ändras enligt förslaget så att den i fortsättningen gäller endast identifiering av en fysisk person.
Enligt 1 mom. i den gällande lagen ska den inledande identifieringen göras personligen om sökanden inte har ett tidigare verktyg för stark autentisering. Om sökanden redan har ett verktyg för stark autentisering, har ett nytt verktyg för stark autentisering fått sökas elektroniskt med det redan befintliga identifieringsverktyget på motsvarande nivå.
I det föreslagna 17 § 1 mom. föreskrivs om inledande identifiering av en person före det starka elektroniska identifieringsverktyget beviljas. I det föreslagna 1 mom. hänvisas till avsnitt 2.1.2 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering där det föreskrivs om styrkande och kontroll av identitet i fråga om fysiska personer som ansöker om ett identifieringsverktyg med tillitsnivån väsentlig eller hög. Bestämmelserna i det föreslagna 1 mom. ska också tillämpas på starka elektroniska identifieringsverktyg som tillhandahålls i Finland, trots att de inte har anmälts till EU som så kallade gränsöverskridande identifieringsverktyg.
När det gäller tillitsnivån väsentlig föreskrivs i förordningen om tillitsnivåer vid elektronisk identifiering fyra olika alternativa sätt för leverantörer av identifieringsverktyg att göra inledande identifiering av en person. Enligt det föreslagna 1 mom. får alla dessa fyra sätt användas också vid inledande identifiering för de identifieringsverktyg som tillhandahålls i Finland. Enligt de två första alternativa sätten i avsnitt 2.1.2 i bilagan identifieras personen utifrån en identitetshandling antingen personligen eller elektroniskt. Elektroniskt kan en person med stöd av en identitetshandling identifieras på distans eller maskinellt. De dokument som godkänns för identitetskontrollen föreskrivs i 2 mom.
Enligt det tredje alternativet i avsnitt 2.1.2 i förordningen om tillitsnivåer vid elektronisk identifiering grundar sig identifieringen på en identifiering på motsvarande tillitsnivå utifrån ett så kallat tidigare kundförhållande eller på att man känner personen sedan tidigare. I detta fall kan kontrollen av en fysisk persons identitet grunda sig på ett förfarande som en offentlig eller privat tillhandahållare av identifieringsverktyg tidigare och i annat syfte än för beviljande av ett identifieringsverktyg för stark autentisering har använt sig av och som Kommunikationsverket godkänner utifrån de bestämmelser som gäller saken och utifrån myndighetstillsynen eller utifrån en bekräftelse av ett i 28 § 1 punkten avsett organ för bedömning av överensstämmelse. Ett förfarande där kontrollen av identiteten grundar sig på ett så kallat tidigare kundförhållande kräver Kommunikationsverkets godkännande. Förfarandet kan lämpa sig för exempelvis banker, för vilka det i lagen om förhindrande och utredning av penningtvätt och av finansiering av terrorism (503/2008) föreskrivs skyldighet att säkerställa kundens identitet utifrån handlingar eller uppgifter från en tillförlitlig och oberoende källa. Bankernas verksamhet övervakas utifrån den lagstiftning om penningtvätt som gäller dem av Finansinspektionen. Förfarandet för personer som man känner sedan tidigare kan passa också på beviljandet av det Befolkningsregistercentralens elektroniska certifikat som finns på identitetskort beviljande av polisen och som enligt den lagändring i fråga om identitetskort som är under beredning i enlighet med vissa villkor beviljas på samma sätt som själva identitetskortet, utan att någon personlig identitetshandling visas upp.
Enligt det fjärde alternativet i avsnitt 2.1.2 i förordningen om tillitsnivåer vid elektronisk identifiering identifieras personen utifrån ett elektroniskt identifieringsverktyg med samma tillitsnivå som personen i fråga redan har.
Paragrafens 2 mom. ändras så att leverantören av identifieringsverktyg i inledande identifiering, när identifieringen endast grundar sig på en identitetshandling som beviljats av en myndighet, vid kontrollen av identiteten inte längre får använda endast ett körkort som beviljats av en myndighet i Finland eller i någon annan medlemsstat i Europeiska ekonomiska samarbetsområdet. Bestämmelsen har en övergångsperiod till utgången av 2018. Från och med 2019 kan ett identifieringsverktyg inte längre beviljas genom att använda endast körkort vid kontrollen av identiteten i den inledande identifieringen av en person. Ändringen av praxis är nödvändig för att körkort inte längre kan anses vara ett intyg om identitet utan ett intyg om körrätt.
I de fall när identiteten hos den som ansöker om ett identifieringsverktyg inte kan verifieras på ett tillförlitligt sätt, ska i enlighet med 17 § 3 mom. i den gällande lagen polisen utföra den inledande identifiering som gäller ansökan. Denna bestämmelse i 3 mom. ändras inte.
17 a §. Identifiering av en juridisk person som ansöker om ett identifieringsverktyg. En juridisk persons angivna identitet verifieras i handels-, förenings- eller stiftelseregistret som upprätthålls av Patent- och registerstyrelsen. Dessutom måste man iaktta åtminstone kraven på tillitsnivån väsentlig i 2.1.3 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering.
19 §.Certifikatets innehåll. Den svenska språkdräkten ändras i punkt 8 så att elektroniska signatur ändras till elektroniska underskrift.
20 §.Beviljande av identifieringsverktyg. Det föreslås att paragrafens 3 mom. ändras på grund av förordningen om tillitsnivåer vid elektronisk identifierig. För tydlighetens skull föreslås också att paragrafens rubrik ändras. Ett identifieringsverktyg som avses i lagen har hittills kunnat beviljas endast fysiska personer, men eIDAS-förordningen gör det möjligt att bevilja juridiska personer identifieringsverktyg och enligt förslaget ska det även bli möjligt nationellt sett. Bindningen mellan fysiska och juridiska personers identifieringsverktyg ska genomföras enligt avsnitt 2.1.4 i EU:s förordning om tillitsnivåer vid elektronisk identifiering. Enligt förordningen om tillitsnivåer vid elektronisk identifiering ska styrkandet av identiteten för en fysisk person som handlar på den juridiska personens vägnar enligt kontroll ha utförts på nivån väsentlig eller hög på det sätt som föreskrivs i förordningen om tillitsnivåer vid elektronisk identifiering. Med andra ord måste den elektroniska identifikatorn för den fysiska person som anknutits till den juridiska personens identifikator uppfylla kraven i förordningen om tillitsnivåer vid elektronisk identifiering. Bindningen mellan den juridiska personen och den fysiska personen måste vara registrerad och kontrollerad hos i någon nationellt tillförlitlig källa. En sådan tillförlitlig källa kan i Finland anses vara åtminstone de register över företag och sammanslutningar som förs av Patent- och registerstyrelsen till den del som det i registren införs uppgifter om en fysisk persons rätt att företräda ett företag eller en sammanslutning. I förordningen om tillitsnivåer vid elektronisk identifiering förutsätts dessutom att en bidning ska vara möjligt att upphäva eller återkalla och att en fysisk person ska kunna får delegera nyttjandet av bindningen till en annan fysisk person på grundval av nationellt erkända förfaranden. Tillsvidare är det svårt att bedöma behovet av förfaranden i anknytning elektroniska identifieringsverktyg för juridiska personer, varför det i detta skede inte föreslås några närmare förfarandebestämmelser i lagen. Vid behov kan man stödja sig på annan lagstiftning i fråga om förhållandet mellan juridiska och fysiska personer.
Ett identifieringsverktyg beviljas endast en fysisk eller en juridisk person. Identifieringsverktyget ska vara personligt och med det avses här alltså även en juridisk person. Till ett verktyg kan vid behov fogas en uppgift om att en person i enskilda fall även kan företräda en annan fysisk person eller en juridisk person. Detta lämpar sig alltså på fall som på något sätt definierats separat, men den ovan beskrivna bindningen mellan en juridisk persons identifieringsverktyg och en fysisk persons identifieringsverktyg ska vara permanent och i princip en obegränsad lösning vad gäller uträttande av ärenden.
21 §.Överlåtelse av identifieringsverktyg till sökande. I propositionen föreslås det att 21 § ändras så att leverantören av identifieringsverktyg enligt avsnitt 2.2.2 i förordningen om tillitsnivåer vid elektronisk identifiering ska säkerställa att verktyget inte obehörigt kommer i någon annans besittning vid överlåtelsen. I förordningen om tillitsnivåer vid elektronisk identifiering förutsätt exempelvis i fråga om tillitsnivån väsentlig att medlet för elektronisk identifiering ska levereras genom en mekanism så att medlet kan antas nå endast den avsedda personen.
22 §.Förnyande av identifieringsverktyg. I propositionen föreslås det att 22 § preciseras så att den gäller en leverantör av identifieringsverktyg som förnyar ett verktyg som leverantören överlåtit till kunden. Paragrafen föreslås få en hänvisning till avsnitt 2.2.4 med krav på minst tillitsnivån väsentlig i förordningen om tillitsnivåer vid elektronisk identifiering. Avsnitt 2.2.4 i bilagan har olika krav på tillitsnivåerna väsentlig och hög, som enligt den föreslagna lagen ska följas vid stark autentisering i Finland.
24 §.Registrering och användning av uppgifter om identifieringstransaktioner och identifieringsverktyg. Paragrafen anger de uppgifter som behövs till exempel om man i efterskott måste reda ut omständigheter som hänför sig till en identifieringstransaktion eller en rättshandling mellan en tjänsteleverantör som använder identifieringstjänster och en innehavare av ett identifieringsverktyg. Jämfört med den gällande 24 § ändras paragrafen så att skyldigheterna att registrera uppgifter som i 1 mom. fastställs för leverantörer av identifieringstjänster gäller såväl leverantörer av identifieringsverktyg som leverantörer av tjänster för identifieringsförmedling. Skyldigheterna i det föreslagna 2 mom. gäller endast leverantörer av identifieringsverktyg.
Enligt paragrafens 1 mom. ska leverantörer av identifieringstjänster registrera de uppgifter som behövs för att verifiera en enskild identifieringstransaktion. Med uppgifter enligt det föreslagna 1 mom. som hänför sig till en identifieringstransaktion avses det som leverantören av identifieringstjänster i samband med identifieringen anmäler till tjänsteleverantören som använder identifieringstjänsten, alltså den förlitande parten, och vilka omständigheter anmälan har grundat sig på. Dessutom ingår bland annat klockslag och datum i uppgifterna.
Vidare ska enligt 2 punkten leverantörer av identifieringsverktyg registrera uppgifter om sådana eventuella hinder och begränsningar för användningen av verktyget som avses i 18 §. Den föreslagna bestämmelsen garanterar att sådana eventuella användningsbegränsningar som avses i 18 § kan redas ut också i efterskott. Även för deras vidkommande torde det oftast gälla utredning av ansvarsförhållanden.
Enligt den föreslagna 1 mom. 3 punkten ska leverantörer av identifieringstjänster i fråga om certifikat registrera uppgifter om certifikatets innehåll enligt 19 §. Bestämmelsen motsvarar den som gäller för närvarande.
Enligt paragrafens 2 mom. ska leverantören av identifieringsverktyg registrera de uppgifter som behövs om den inledande identifieringen av en sökande som avses i 17 och 17 a § och om den handling eller elektroniska identifiering som då har använts. De uppgifter som behövs kan vara till exempel numret på ett pass eller ett identitetskort. I vissa situationer kan det finnas behov av att spara en kopia av handlingen som använts. Det kan vara nödvändigt att verifiera en sak i efterskott om ett identifieringsverktyg har getts till fel person. Det kan bli nödvändigt att utreda processen som avses i den föreslagna 17 § bland annat för att få reda på vem som ansvarar för den eventuella skadan om det visar sig att ett identifieringsverktyg har getts till fel person. I statsförvaltningen pågår ett projekt med syftet att göra det möjligt för en leverantör av identifieringsverktyg att kontrollera om en visad identitetshandling har anmälts stulen eller försvunnen.
Det föreslagna 3 mom. innehåller bestämmelser om bevaringstiden. Enligt det ska uppgifterna som avses i 1 mom. 1 punkten bevaras fem år efter identifieringstransaktionen. Övriga uppgifter och de som ska bevaras enligt 1 och 2 mom. ska bevaras i fem år efter det att ett fast kundförhållande har upphört. De föreslagna bevaringstiderna motsvarar bevaringstiderna i den gällande lagen. Bestämmelsen motsvarar bestämmelserna om konsumentskydd och kraven i före-skrifterna om penningtvätt. Det innebär samtidigt att en leverantör av identifieringstjänster måste förvara rätt stora datamängder. I en del fall ligger det naturligtvis även i tjänsteleverantörens eget intresse att förvara uppgifter.
Enligt paragrafens 4 mom. ska personuppgifter som har samlats in i samband med en identifieringstransaktion förstöras efter transaktionen om det inte enligt 1 mom. 1 punkten är nödvändigt att spara dem för att verifiera en enskild identifieringstransaktion. Med hjälp av bestämmelsen strävar man efter att minska mängden personuppgifter som sparas i tjänsteleverantörens system.
Paragrafens 5 mom. innehåller en begränsning av ändamålet med databehandlingen. Leverantören av identifieringstjänster får behandla registrerade uppgifter för eget bruk endast för att tillhandahålla och upprätthålla tjänsterna, fakturera och trygga sina rättigheter. I det senare fallet gäller det tvister. Dessutom får leverantören av identifieringstjänster behandla uppgifter vid fall av missbruk och på begäran av antingen en tjänsteleverantör som använder identifieringstjänster eller en innehavare av ett identifieringsverktyg eller av båda. I det fallet torde det röra sig om oklarhet mellan dem om en identifieringstransaktion och en eventuell rättshandling i samband med det.
Enligt den föreslagna bestämmelsen ska leverantören av identifieringstjänster registrera uppgifter om när och varför uppgifterna behandlats och vem som gjort det. Till exempel informationssamhällsbalken (917/2014) 145 § innehåller motsvarande föreskrift om att behandlingen av identifieringsuppgifter ska dokumenteras.
Paragrafens 6 mom. gäller tjänsteleverantörer som endast ger ut identifieringsverktyg. Registreringsskyldigheten enligt det föreslagna 1 mom. 1 punkten gäller naturligtvis inte en sådan tjänsteleverantör eftersom leverantören inte har sådana uppgifter. Förvaringstiden fem år som avses i paragrafen 3 mom. räknas då från det att redskapets giltighetstid har upphört.
25 §.Anmälan om återkallande eller förhindrande av användning av identifieringsverktyg. Bestämmelserna i de föreslagna 1–3 mom. har preciserats så att den anmälan som avses i 1 mom. ska göras till leverantören av identifieringstjänster och skyldigheterna enligt 2–3 mom. gäller leverantörer av identifieringsverktyg och inte leverantörer av tjänster för identifieringsförmedling.
26 §. Rätten för leverantörer av identifieringsverktyg att återkalla eller förhindra användning av identifieringsverktyg. Bestämmelserna i den gällande paragrafen föreslås bli kompletterade så att bestämmelserna gäller leverantörer av identifieringsverktyg och inte leverantörer av tjänster för identifieringsförmedling.
IV kap. Bedömning av överensstämmelse
I lagen föreslås ett kapitel med bestämmelser om bedömningen av överensstämmelse i fråga om elektroniska identifieringstjänster och i eIDAS-förordningen reglerade betrodda tjänster eller till dem anknutna verktyg samt om certifiering.
Bedömning av överensstämmelse för betrodda tjänster görs av organ för bedömning av överensstämmelse som har godkänts av Kommunikationsverket och vars behörighet har konstaterats utifrån ett förfarande, dvs. en ackreditering, som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005).
På uppdrag av leverantörerna av identifieringstjänster görs bedömning av överensstämmelse också av oberoende och utomstående samt interna bedömningsorgan. Dessa organ godkänner Kommunikationsverket inte på förhand, med också dessa bedömningsorgan ska uppfylla de behörighetskrav som ställs på dem.
28 §.Organ för bedömning av överensstämmelse. Enligt den föreslagna paragrafen kan överensstämmelsen hos en tjänst enligt lagen bedömas av ett organ för bedömning av överensstämmelse som är godkänt av Kommunikationsverket, ett annat utomstående bedömningsorgan som fungerar enligt en allmänt använd metod (annat utomstående bedömningsorgan) eller ett oberoende bedömningsorgan inom tjänsteleverantörens organisation som uppfyller en allmänt använd standard (internt kontrollorgan). Ett kontrollorgan som hör till den sist nämnda kategorin hör alltså till samma organisation som föremålet för bedömningen och utför intern men likväl oberoende bedömning.
Ett organ för bedömning av överensstämmelse enligt 1 punkten har till uppgift att i enlighet med artiklarna 20 och 21 i eIDAS-förordningen bedöma om den betrodda tjänst som bedömningen gäller uppfyller kraven på betrodda tjänster i förordningen och i kommissionens genomförandebeslut som meddelats med stöd av förordningen. Organet för bedömning av överensstämmelse kan också bedöma om en leverantör av identifieringstjänster uppfyller kraven på sådana tjänster.
Ett annat utomstående bedömningsorgan enligt 2 punkten och ett internt kontrollorgan enligt 3 punkten har till uppgift att bedöma om identifieringstjänster överensstämmer med kraven som det föreskrivs om i 29 §.
29 §.Bedömning av överensstämmelse hos en elektronisk identifieringstjänst. Enligt det föreslagna 1 mom. ska överensstämmelse med kraven hos det identifieringssystem som används av en leverantör av identifieringstjänster påvisas av något av de bedömningsorgan som avses i 28 § 1, 2 eller 3 punkten. I praktiken ska en identifieringstjänst som avses i denna lag och som tillhandahålls av en leverantör av identifieringstjänster åtminstone vara bedömd av ett internt bedömningsorgan. På tillitsnivån hög krävs i enlighet med 8 § 1 mom. 5 punkten och avsnitt 2.4.7 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering en bedömning av ett utomstående bedömningsorgan.
I denna proposition är avsikten att minst samma krav ska ställas på system för stark autentisering som används i Finland som EU-lagstiftningen ställer på identifieringssystem på tillitsnivån väsentlig.
Skyldigheten att påvisa att ett identifieringssystem uppfyller kraven enligt det föreslagna 1 mom. gäller även de leverantörer av identifieringsförmedlingstjänster som verkar i förtroendenätet för elektronisk identifiering.
Det föreslagna 1 mom. innehåller allmänna bestämmelser om de kriterier som ska användas vid en bedömning av överensstämmelse. En tjänst för stark autentisering måste uppfylla kraven på interoperabilitet, informationssäkerhet och dataskydd och krav på annan tillförlitlighet.
Enligt det föreslagna 2 mom. föreskrivs det om bedömning av överensstämmelse hos ett system för elektronisk identifiering som anmäls till EU i eIDAS-förordningen och i förordningen om tillitsnivåer vid elektronisk identifiering som utfärdats med stöd av den. Om en leverantör av identifieringstjänster önskar att dess identifieringssystem ska anmälas till Europeiska kommissionen, måste leverantören i alla avseenden iaktta eIDAS-förordningen och de bestämmelser om bedömning av överensstämmelse hos identifieringssystem som har utfärdats med stöd av den.
Enligt 3 mom. ska Kommunikationsverket i kraft av 42 § bestämma vilka bedömningsgrunder som ska användas vid bedömningen av överensstämmelse. Som bedömningsgrund får Kommunikationsverket utöver de bestämmelser som avses i 1 och 2 mom. fastställa bestämmelser eller riktlinjer som utfärdats av EU eller ett annat internationellt organ, publicerade och generellt eller regionalt tillämpade anvisningar för informationssäkerhet samt datasäkerhetsstandarder eller förfaranden som används allmänt. Bestämmelsen i 3 mom. begränsar Kommunikationsverkets behörighet att meddela föreskrifter.
30 §.Bedömning av överensstämmelse hos den nationella noden för elektronisk identifiering. Enligt det föreslagna 1 mom. ska överensstämmelsen hos det nationella gränssnitt kallat den nationella noden som ingår i EU:s interoperabilitetsramverk för elektronisk identifiering påvisas genom en bedömning som utförs av ett bedömningsorgan enligt 28 § 1 punkten eller ett annat externt bedömningsorgan enligt 28 § 2 punkten. Den nationella noden ska i Finland upprätthållas av Befolkningsregistercentralen enligt 42 c §. Den nationella noden förmedlar iden-tifieringshändelser över EU:s gränser i överensstämmelse med eIDAS-förordningen. Noden förmedlar bara identifieringshändelser. Den har ingen roll vid förmedlingen av elektroniska underskrifter eller andra betrodda tjänster som regleras i eIDAS-förordningen.
Kommunikationsverket ska enligt 42 § meddela föreskrifter om vilka bedömningsgrunder som ska användas vid bedömningen av överensstämmelse. Villkoren för Kommunikationsverkets föreskrifter är de samma som i 29 §. Bestämmelser om de krav som ställs på den nationella noden finns i EU:s förordning (EU) 2015/1501 om interoperabilitetsramverket för elektronisk identifiering Enligt artikel 10 i förordningen ska den nationella noden uppfylla kraven för standarden ISO/IEC 27001 genom certifiering, eller genom en likvärdig bedömningsmetod, eller genom att följa nationell lagstiftning. Dessutom innerhåller artiklarna 5–9 krav som gäller bland annat dataskyddet, interoperabiliteten och informationssäkerheten.
31 §.Inspektionsberättelse. Enligt den föreslagna paragrafen ska leverantören av identifieringstjänster för identifieringstjänsten låta det bedömningsorgan som utfört bedömningen utarbeta en inspektionsberättelse över bedömningen av överensstämmelse i enlighet med 29 §. Också Befolkningsregistercentralen ska låta utarbeta en inspektionsberättelse över bedömningen av överensstämmelse i fråga om den nationella noden för elektronisk identifiering. Inspektionsberättelserna ska lämnas till Kommunikationsverket. Inspektionsberättelsen är i kraft den tid som anges i standarden som användes vid bedömningen, dock högst i 2 år.
32 §Fastställande av överensstämmelse hos betrodda tjänster. I paragrafen föreskrivs det om kvalificerade tillhandahållare av betrodda tjänster som definieras i eIDAS-förordningen och om bedömningen av deras tjänster. Enligt förslaget ska det bedömningsorgan för överensstämmelse som avses i 28 § 1 mom. bedöma överensstämmelsen hos en kvalificerad betrodd tjänst i enlighet med artikel 20 i EU:s förordning om elektronisk identifiering.
I det föreslagna 2 mom. föreskrivs det om de grunder som ska tillämpas vid bedömningen. Bestämmelser om kraven på betrodda tjänster finns i eIDAS-förordningen. Dessutom ska Kommunikationsverket i kraft av 42 § kunna bestämma att man som bedömningsgrunder kan använda bestämmelser eller riktlinjer som utfärdats av EU eller ett annat internationellt organ, publicerade och generellt eller regionalt tillämpade anvisningar för informationssäkerhet samt datasäkerhetsstandarder eller förfaranden som används allmänt. En föreskrift av Kommunikationsverkets kan behövas för att göra bedömningskriterierna klarare till exempel om EU-kommissionen inte meddelar tillämpliga genomförandeakter, vilket den är behörig att göra enligt artikel 20 i eIDAS-förordningen. I regel utarbetas och fastställs standarderna i anknytning till bedömningskriterierna annars i samband med arbetet med utarbeta standarder för betrodda tjänster, vilket stöds av EU. Enligt den föreslagna 42 § ska Kommunikationsverket kunna meddela närmare föreskrifter om de grunder för bedömningen som avses i 2 mom. Kommunikationsverkets behörighet att meddela föreskrifter begränsas av beskrivningen av möjliga källor till bedömningsgrunder i 2 mom.
33 §. Allmänna krav för bedömningsorgan. Bestämmelser om behörighetsvillkoren för bedömningsorgan finns i 1 mom. Enligt den föreslagna 1 punkten ska ett bedömningsorgan enligt 28 § vara funktionellt och ekonomiskt oberoende av dem som bedömningen gäller. Om bedömningsorganet ingår i den organisation som tillhandahåller tjänsten vars överensstämmelse organet bedömer, det vill säga om organet fungerar som internt bedömningsorgan enligt 28 § 3 punkten, ska det kunna identifieras som en separat enhet i organisationen, och dess funktioner måste klart kunna särskiljas från den övriga organisationen. Dessutom ska organets personal ha god teknisk och yrkesinriktad utbildning samt tillräckligt omfattande erfarenhet av de uppgifter som ingår i verksamheten. Organet ska därtill förfoga över den utrustning och de lokaler, hjälpmedel och system som behövs för bedömningsverksamheten, och det ska ha ändamålsenliga riktlinjer för verksamheten och uppföljningen av den. Enligt 42 § 2 mom. 6 punkten kan Kommunikationsverket vid behov meddela närmare föreskrifter om behörigheten för de bedömningsorgan som föreskrivs i 1 mom.
Enligt det föreslagna 2 mom. måste ett organ för bedömning av överensstämmelse som avses i 28 § 1 punkten visa att kraven i 1 mom. 1–3 punkten är uppfyllda genom en ackreditering beviljad av den nationella ackrediteringsenheten i enlighet med förordning (EG) nr 765/2008 och lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). I Finland den nationella ackrediteringsenheten FINAS. Det är alltså FINAS som enligt förslaget ska ackreditera de bedömningsorgan som avses i 1 mom. 1–3 punkten. FINAS utför bedömningen enligt fastställda kriterier, och ger ett utlåtande om organets kompetens, vilket myndigheten tar som underlag för sitt beslut om godkännande.
Enligt 3 mom. ska kompetensen hos de bedömningsorgan som avses i 28 § 2 och 3 mom. (dvs. övriga bedömningsorgan och interna bedömningsorgan) påvisas i den anmälan till Kommunikationsverket som föreskrivs i 10 §. Att kraven i 1 mom. 1–3 punkten är uppfyllda kan visas genom en ackreditering enligt 2 mom. eller genom ett annat, oberoende förfarande som grundar sig på en allmänt använd standard. I lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (6 § 3 mom.) föreskrivs det om sådan bedömning av kompetens som är jämförbar med ackreditering. Förutom en bedömning av kompetens som är jämförbar med ackreditering, kan det också bli fråga om något annat oberoende förfarande som används allmänt och är erkänt.
En ackreditering som beviljas av en utländsk ackrediteringsenhet motsvarar det ackrediteringsbeslut som avses i 3 och 4 mom.
34 §. Godkännande av organ för bedömning av överensstämmelse. Enligt det föreslagna 1 mom. godkänner Kommunikationsverket de organ för bedömning av överensstämmelse som avses i 28 § 1 mom. efter ackrediteringen. Bestämmelser om villkoren för godkännandet finns i 33 §. Enligt 2 mom. kan ett bedömningsorgan godkännas för viss tid, om det finns särskilda skäl till detta. Kommunikationsverket kan i ett beslut om godkännande ange nödvändiga begränsningar och villkor rörande bedömningsorganets behörighetsområde, tillsynen över organet och organets verksamhet.
Övriga i 28 § avsedda bedömningsorgan behöver inte godkännas eller ackrediteras på samma sätt som sådana organ för bedömning av överensstämmelse som avses i 28 § 1 mom. Deras oberoende och kompetens måste likväl utredas. En leverantör av identifieringstjänster och ett organ för bedömning av överensstämmelse ska dock i den anmälan som föreskrivs i 10 § för Kommunikationsverket lägga fram en utredning om att det andra utomstående bedömningsorgan eller interna kontrollorgan som avses i 28 § 2 och 3 mom. uppfyller kraven i enlighet med 33 §.
Ett bedömningsorgan får ansöka om ackreditering hos Säkerhets- och kemikalieverkets ackrediteringstjänst FINAS. I lagen föreslås det likväl inga bestämmelser om det förfarande som tillämpas när kompetensen och oberoendet hos ett organ för bedömning av identifieringstjänster verifieras. För en leverantör av identifieringstjänster är det viktigt att redan innan den lämnar en anmälning om inledning eller ändring av verksamhet enligt 10 §, kunna försäkra sig om att det bedömningsorgan som leverantören anlitar uppfyller kraven i den föreslagna 33 §.
Bedömningen av bedömningsorganets kompetens kan göras på organets eget initiativ eller också kan leverantören av identifieringstjänster ta initiativ till den. Det är motiverat att i lagen inte kräva att bedömningsorganet lämnar en ansökan, eftersom det gör det möjligt att också anlita sådana internationella bedömningsorgan som inte har ett tillräckligt kommersiellt intresse för att ansöka om särskilt godkännande i Finland. Eftersom det inte föreslås bestämmelser om förfarandet, ska bedömningsorganens kompetens avgöras inom ramen för Kommunikationsverkets tillsyn över efterlevnaden av lagen samt de allmänna förvaltningsförfarandena. Bedömningsorganet eller leverantören av identifieringstjänster får be Kommunikationsverket om råd i ärendet, men det avgörs i regel först när en utredning om organets kompetens lämnas myndigheten i samband med att leverantören av identifieringstjänster anmäler att verksamheten inleds eller att en förändring i den har skett.
Ur leverantörernas synvinkel ökas förutsägbarheten emellertid av att Kommunikationsverket enligt 42 § får precisera kompetenskraven för bedömningsorgan genom föreskrifter. Vid Kommunikationsverket bereds sådana föreskrifter i regel av arbetsgrupper tillsammans med representanter för branschen, varvid aktörernas synpunkter blir beaktade och aktörerna får information om kraven.
35 §.Ansökan om att bli organ för bedömning av överensstämmelse. Kommunikationsverket godkänner organ för bedömning av överensstämmelse på ansökan. Till ansökan fogas Säkerhets- och kemikalieverkets ackrediteringsenhets (ackrediteringstjänsten FINAS) ackrediteringsbeslut, eller, om ett sådant saknas, en motsvarande utredning gjord av ackrediteringstjänsten FINAS om att villkoren för godkännande i 33 § 1 mom. 1–3 punkten är uppfyllda. Ansökan ska dessutom innehålla övriga uppgifter om organets verksamhet som behövs för en bedömning av om villkoren i 33 § är uppfyllda.
Kommunikationsverket godkänner ett organ för bedömning av överensstämmelse om det uppfyller villkoren i 33 §, vilket avgörs utifrån utredningar som verket har mottagit och ackrediteringsenhetens beslut samt vid behov inspektioner som verket utfört. När Kommunikationsverket behandlar en ansökan får verket begära utlåtanden samt anlita utomstående experter för att bedöma ansökan och de uppgifter som ges i ansökan.
Kommunikationsverket får vid behov med stöd av 42 § meddela föreskrifter om de uppgifter som ska anges i ansökan och hur de ska skickas till verket.
36 §. Certifiering av en anordning för skapande av kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar. Enligt det föreslagna 1 mom. är det Kommunikationsverket som avgör vilka offentliga eller privata certifieringsorgan enligt artiklarna 30 och 39 i EU:s förordning om elektronisk identifiering som får certifiera anordningar för skapande av kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar. Certifiering är påvisande av överensstämmelse genom ett intyg (certifikat) eller märke.
Enligt artiklarna 30 och 39 i eIDAS-förordningen är certifieringen av anordningar för skapande av kvalificerade elektroniska underskrifter och kvalificerade elektroniska stämplar obligatorisk. En medlemsstat måste underrätta kommissionen om de organ som får utföra certifieringen. I den gällande 29 § i autentiseringslagen föreskrivs om motsvarande av Kommunikationsverket utsedda kontrollorgan med uppgift att bedöma om anordningar för signaturframställning uppfyller kraven i lagen. Några sådana kontrollorgan har dock inte utsetts i Finland.
Anordningarna kan vara fysiska, såsom elektroniska chip, eller bestå av en kombination av program och servrar. Vid certifieringen av egentliga anordningar är situationen förmodligen den samma som för närvarande, det vill säga chip tillverkas utanför Finland och tillverkaren ser till att de blir certifierade i etableringslandet. Certifieringar har sökts allmänt även hittills, fastän lagstiftningen inte har förutsatt detta.
Enligt den föreslagna 42 § får Kommunikationsverket vid behov meddela preciserande föreskrifter om de krav som ställs på certifieringsorgan, förfarandet vid certifiering och kraven på anordningar för skapande av underskrifter eller stämplar med beaktande av vad som bestäms i eIDAS-förordningen och kommissionens genomförandebeslut rörande förordningen.
Kraven såväl på anordningarna för skapande som på certifieringen anges i regel i eIDAS-förordningen och då behöver och får nationella krav inte föreskrivas. Kommissionen får med stöd av artikel 30.2 i eIDAS-förordningen fastställa standarder för säkerhetsutvärdering av informationsteknikprodukter och enligt artikel 30.3 ange särskilda krav på certifikatutfärdare.
Kommissioner bereder en genomförandeakt för de standarder som nämns ovan. Någon lagstiftning som kompletterar kraven på en certifieringsorganisation är däremot inte under beredning. De standarder för informationssäkerheten som ska fastställas täcker ännu inte heller tjänster av ny typ. Till dessa delar kan det därför vara nödvändigt att komplettera förordningen med nationell lagstiftning. Behovet av precisering kan gälla förfarandet som tillämpas vid bedömning, säkerhetsegenskaperna hos anordningar för skapande av underskrifter (s.k. skyddsprofiler) eller andra motsvarande frågor.
37 §.Allmänna skyldigheter för certifieringsorgan och organ för bedömning av överensstämmelse. Ett organ för bedömning av överensstämmelse som avses i 28 § 1 mom. och ett certifieringsorgan som avses i 36 § ska utföra sina uppgifter i enlighet med eIDAS-förordningen och denna lag. Kommissionen kan också med stöd av eIDAS-förordningen utfärda genomförandebestämmelser där verksamheten för organ för bedömning av överensstämmelser och certifieringsorgan regleras.
Enligt det föreslagna 2 mom. får organ för bedömning av överensstämmelse och certifieringsorgan när de utför sina uppgifter anlita personer som inte hör till organisationen. Organen ansvarar också för det arbete som dessa utför.
Enligt det föreslagna 3 mom. ska organ för bedömning av överensstämmelse och certifieringsorgan när de utför offentliga förvaltningsuppgifter iaktta de allmänna förvaltningslagar som räknas upp i paragrafen. På bedömningsorganets och certifieringsorganets personal tillämpas bestämmelserna om straffrättsligt tjänsteansvar. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).
38 §.Återkallande av godkännande som organ för bedömning av överensstämmelse eller utseende till certifieringsorgan. I paragrafen föreslås bestämmelser om situationer när ett organ för bedömning av överensstämmelse eller ett certifieringsorgan inte längre uppfyller de villkor som ställs på organet. Om organen inte längre uppfyller de villkor som särskilt ställs på organet i lag eller inte iakttar villkoren i beslutet om godkännande eller utseende eller annars i väsentlig grad handlar i strid med gällande bestämmelser, ska Kommunikationsverket fastställa en tillräcklig frist för att ställa saken till rätta. Kommunikationsverket ska återkalla sitt beslut om organet inte har korrigerat sin verksamhet inom den fastställda fristen.
IV a kap. Betrodda tjänster
Enligt förslaget ska lagen kompletteras med ett nytt 4 a kapitel som ska innehålla bestämmelser om elektroniska underskrifter motsvarande dem som finns i gällande lag. Motsvarande bestämmelser finns inte i eIDAS-förordningen.
39 §.Återkallande av certifikat. Till sitt sakinnehåll ska den föreslagna paragrafen motsvara 36 § 1 och 2 mom. i gällande lag, men bestämmelsen ska tillämpas också på innehavare av elektronisk stämpel. Bestämmelsen gäller den skyldighet som innehavaren av ett kvalificerat certifikat och elektronisk stämpel har enligt eIDAS-förordningen att begära att certifikatet återkallas, om innehavaren har grundad anledning att misstänka att framställningsdata för en underteckning eller stämpel kan användas obehörigen. Certifikatutfärdaren ska enligt 2 mom. utan dröjsmål återkalla ett kvalificerat certifikat om undertecknaren eller innehavaren av stämpeln begär det. Begäran om återkallande av ett kvalificerat certifikat anses ha kommit in till certifikatutfärdaren då den har stått till utfärdarens förfogande så att den har kunnat behandlas. När det gäller ett meddelande som har skickats i elektronisk form innebär detta tidpunkten då begäran stått till certifikatutfärdarens förfogande i mottagningsanordningen eller informationssystemet.
40 §.Ansvar för obehörig användning av framställningsdata för en underteckning eller elektronisk stämpel. Det föreslås att paragrafen ändras på grund av terminologin i eIDAS-förordningen en ändrad laghänvisning. I 1 mom. talas det om kvalificerade certifikat för elektroniska underskrifter (artikel 28 i eIDAS-förordningen) och kvalificerade certifikat för elektroniska stämplar (artikel 38 i eIDAS-förordningen). I paragrafen finns en hänvisning till 39 § 2 mom. i den föreslagna lagen. I 2 mom. 3 punkten finns en hänvisning till begäran om återkallande enligt 39 § 1 mom.
41 §.Det ansvar som vilar på tillhandahållare av betrodda tjänster. Det föreslås att paragrafen ändras på grund av artikel 13 i eIDAS-förordningen som innehåller bestämmelser om det skadeståndsansvar som åligger tillhandahållare av betrodda tjänster. Enligt artikel 13.3 ska det skadeståndsansvar som anges i förordningen tillämpas i enlighet med nationella bestämmelser om skadeståndsansvar. Enligt skäl 37 i ingressen innebär detta till exempel att skada, avsikt och oaktsamhet definieras och relevanta tillämpliga procedurregler fastställs enligt nationella bestämmelser.
I den mån tillhandahållarens ansvar grundar sig på artikel 13 i eIDAS-förordningen ska nationell rätt tillämpas på bestämmelserna om bland annat jämkning av skadestånd, den skadelidandes medverkan, solidariskt ansvar när fler än en är ansvariga för en skada samt preskription av skadeståndsyrkanden tillämpas.
Den gällande 41 § kan tillämpas bara på kvalificerade certifikat enligt EU-lagstiftningen. Artikel 13 i eIDAS-förordningen har ett större tillämpningsområde som omfattar alla betrodda tjänster enligt eIDAS-förordningen.
Den föreslagna bestämmelsen i 2 mom. motsvarar bestämmelserna i 41 § 1 mom. 5 punkten och 2 mom. i den gällande lagen och gäller situationer när certifikatutfärdaren eller en person som denne anlitat inte har återkallat ett kvalificerat certifikat på det sätt som anges i den föreslagna 39 §.
42 §.Allmän styrning och Kommunikationsverkets föreskrifter. I propositionen föreslås det att rubriken för 42 § ändras så att den omfattar den allmänna styrningen rörande elektronisk identifiering samt mera detaljerad styrning genom föreskrifter av Kommunikationsverket. Enligt det föreslagna 1 mom. ska Kommunikationsministeriet svara för den allmänna styrningen och utvecklingen av stark autentisering och betrodda tjänster.
Det föreslagna 2 mom. innehåller en förteckning över de frågor om vilka Kommunikationsverket får meddela närmare föreskrifter. I jämförelse med gällande lag har bemyndigandena att meddela föreskrifter i den föreslagna lagen samlats i en paragraf, och de har getts en precisare avgränsning. Kommunikationsverket ska inte framöver ha en sådan generellare behörighet att meddela föreskrifter än den som anges i 42 § 2 mom. Enligt den föreslagna 1 punkten får verket meddela föreskrifter om säkerheten och tillförlitligheten hos ett identifieringssystem som avses i 8 § 1 mom. 4 och 5 punkten. Det föreslagna bemyndigandet motsvarar bemyndigandet enligt 42 § 2 mom. i gällande lag, men noggrannare definierat så att det bara gäller 4 och 5 punkten i det föreslagna 1 mom. Det gäller föreskrifter som är nödvändiga för tillsynen.
Enligt den föreslagna 2 punkten får verket meddela föreskrifter om det närmare innehållet i de uppgifter som ska anmälas enligt 10 § och om hur de ska lämnas till Kommunikationsverket, när föreskrifterna är nödvändiga för tillsynen. Bemyndigandet motsvarar 10 § 3 mom. i gällande lag.
Enligt den föreslagna 3 punkten får verket meddela närmare föreskrifter om de egenskaper hos förtroendenätets gränssnitt som avses i 12 a § 2 mom. Kommunikationsverket ska till exempel med stöd av en teknisk föreskrift och i samarbete med branschorganisationer kunna utarbeta nationella profiler på en ändamålsenlig precisionsnivå utgående från standarderna OpenID Connect och SAML. De nationellt definierade gränssnitten ska enligt den information som nu finns tillgänglig vara högst tre till antalet.
Enligt det föreslagna 4 punkten kan Kommunikationsverket meddela vid behov närmare föreskrifter om vad som ska ingå i en anmälan enligt 16 § 1 mom., vilken form anmälan ska ha och när och hur den ska lämnas. Detta gäller skyldigheten för leverantören av identifieringstjänster att anmäla hot och störningar som riktas mot verksamheten eller skyddet av uppgifter. Kommunikationsverket utreder de tekniska möjligheterna för en praxis där Kommunikationsverket förmedlar anmälningar från leverantörer av identifieringstjänster i förtroendenätet för elektronisk identifiering.
Enligt den föreslagna 5 punkten får verket meddela föreskrifter om de grunder för bedömningen av överensstämmelsen hos en identifieringstjänst, en betrodd tjänst eller den nationella noden som avses i 29, 30 och 32 §. Innehållet i föreskrifterna och begränsningarna i tillämpningen behandlas i motiveringarna till paragraferna i fråga.
Enligt den föreslagna 6 punkten kan Kommunikationsverket vid meddela behov närmare föreskrifter om de behörighetsvillkoren för organ för bedömning av överensstämmelse som avses i 33 § med beaktande av det som föreskrivs i eIDAS-förordningen och kommissionens genomförandebestämmelser rörande den förordningen. Kommissionen kan exempelvis genom genomförandebestämmelser fastställa att vissa standarder ska iakttas vid ackreditering av organ för bedömning av överensstämmelse. Det är emellertid fortfarande oklart om kommissionen kommer att utfärda sådana genomförandebestämmelser. I det fallet att sådana inte utfärdas måste nationella föreskrifter utfärdas i saken.
Enligt den föreslagna 7 punkten kan Kommunikationsverket vid behov meddela föreskrifter om vilka uppgifter som ska ingå i en sådan ansökan om att bli organ för bedömning av överensstämmelse som avses i 35 §.
Enligt den föreslagna 8 punkten får verket vid behov meddela preciserande föreskrifter om krav som ställs på de certifieringsorgan som avses i 36 §, förfarandet vid certifiering och kraven på kraven på anordningar för skapande av underskrifter eller stämplar med beaktande av vad som bestäms i eIDAS-förordningen och kommissionens genomförandebeslut rörande förordningen.
42 a §.Kommunikationsverkets uppgifter. Enligt förslaget ska en ny 42 a § fogas till lagen. Paragrafens 1 mom. omfattar Kommunikationsverkets nuvarande uppgift att se till att lagen om stark autentisering och betrodda elektroniska tjänster och de bestämmelser som utfärdats med stöd av den iakttas.
I 2 mom. föreskrivs för Kommunikationsverket nya uppgifter som uppkommer på grund av eIDAS-förordningen. Enligt 1 punkten ska Kommunikationsverket delta i samarbetet mellan EU:s medlemsstater i det interoperabilitetsramverk för elektronisk identifiering som avses i artikel 12 i förordningen och som gemensam kontaktpunkt i det samarbetsnätverk som upprättats enligt kommissionens genomförandebeslut 2015/296. I samarbetsnätverket ska Kommunikationsverket tillsammans med motsvarande myndigheter i övriga medlemsstater delta i sakkunnigbedömningen av de identifieringssystem som ska anmälas till kommissionen.
Enligt den föreslagna 2 punkten ska Kommunikationsverket anmäla finska system för elektronisk identifiering till Europeiska kommissionen i enlighet med artiklarna 7–10 i förordningen.
Enligt den föreslagna 3 punkten ska Kommunikationsverket fungera som tillsynsorgan, det vill säga tillsynsmyndighet, för betrodda tjänster enligt artikel 17 i förordningen och sköta de uppgifter som åligger tillsynsmyndigheten enligt förordningen. Enligt artikel 17 i förordningen ska Kommunikationsverket genom tillsynsverksamhet på förhand och i efterhand utöva tillsyn över kvalificerade tillhandahållare av betrodda tjänster samt genom tillsynsverksamhet i efterhand se till att icke-kvalificerade tillhandahållare av betrodda tjänster uppfyller kraven i förordningen.
Enligt 4 punkten ska Kommunikationsverket i enlighet med artikel 22 i förordningen föra och publicera förteckningar över kvalificerade tillhandahållare av betrodda tjänster i Finland och de kvalificerade betrodda tjänster som de tillhandahåller.
I 2 mom. föreslås en förtydligande bestämmelse om att Kommunikationsverkets beslutanderätt inte omfattar avtalsförhållanden mellan parter eller frågor om ersättningsskyldighet.
42 b §.Dataombudsmannens uppgifter. Den föreslagna bestämmelsen motsvarar bestämmelsen i 42 § 3 mom. i autentiseringslagen.
42 c §.Befolkningsregistercentralens uppgifter. Befolkningsregistercentralen ska enligt förslaget svara för den nationella nod som definieras i artikel 12.8 i eIDAS-förordningen. Denna nod utgör gränssnittet mellan finska och övriga EU-medlemsstaters identifieringssystem, och den möjliggör gränsöverskridande elektronisk ärendehantering.
Noden deltar i verifieringen av personers identitet över gränserna och kan identifiera och behandla eller överföra uppgifter till andra noder genom att tillhandahålla den nationella infrastrukturen för elektronisk identifiering ett gränssnitt mot övriga medlemsstaters infrastrukturer för elektronisk identifiering. Noden konstrueras med hjälp av PEPS-lösningar (Pan-European Proxy Server) som är specifika för medlemsstaterna.
43 §.Rätt till information. Enligt förslaget ska 1 mom. ändras, eftersom det gällande 1 mom. innehåller en hänvisning till paragrafer som ska upphävas enligt denna proposition. Bestämmelsen i det föreslagna 1 mom. om Kommunikationsverkets rätt att få information är till sin ordalydelse allmännare än den nuvarande och motsvarar 315 § i informationssamhällsbalken.
44 §.Myndighetssamarbete och rätt att lämna information. Det föreslås att 1 mom. i paragrafen ändras så att Kommunikationsverket och dataskyddsombudsmannen har rätt att lämna Finansinspektionen och Konkurrens- och konsumentverket den information som dessa behöver för att kunna fullgöra sina uppgifter. Uppgifter som berörs av sekretessbestämmelser och andra begränsningar som gäller utlämnande kan behövas i de tillsynsuppgifter som utförs av Konkurrens- och konsumentverket. Syftet med momentet är att minska mängden onödigt arbete vid myndigheterna och dem som tillsynen gäller genom att möjliggöra utbyte av information mellan myndigheter även i fråga om information som ska hållas hemlig.
45 §.Administrativa tvångsmedel. Det föreslås att 1 mom. ändras så att Kommunikationsverket kan tillgripa de tvångsmedel som räknas upp i paragrafen även vid tillsynen över efterlevnaden av eIDAS-förordningen och de genomförandeakter som utfärdats med stöd av den. I momentet har dessutom införts rätt för Kommunikationsministeriet att ge en anmärkning till den som bryter mot autentiseringslagen eller EU-lagstiftning i saken. På detta sätt kan Kommunikationsverket snabbare informera aktörerna om fall där bestämmelserna inte har följts, i synnerhet i fråga om kortvarig verksamhet som strider mot bestämmelserna. Den föreslagna ordalydelsen motsvarar 330 § i informationssamhällsbalken.
45 a §.Interimistiska beslut. I lagen föreslås en likartad bestämmelse om Kommunikationsverkets interimistiska beslut som i 331 § i informationssamhällsbalken. Tillhandahållandet av identifieringstjänster och betrodda tjänster kan vara förknippat med överträdelser och störningssituationer som innebär att myndigheten behöver fatta beslut om interimistiska åtgärder. Sådana kan exempelvis vara situationer enligt artikel 10 i eIDAS-förordningen, när ett system för elektronisk identifiering som anmälts i enlighet med artikel 9.1 eller den autentisering som avses i artikel 7 f utsätts för intrång eller delvis äventyras på ett sätt som påverkar tillförlitligheten i systemets gränsöverskridande autentisering. I sådana fall ska i enlighet med artikel 10 i eIDAS-förordningen den anmälande medlemsstaten utan dröjsmål tillfälligt upphäva eller återkalla denna gränsöverskridande autentisering eller de berörda utsatta delarna.
Allvarliga dataintrång i rotcertifikat där certifikatutfärdarens enskilda signeringsnyckel hamnar i fel händer och andra motsvarande ovan nämnda allvarliga händelser i anknytning till identifieringstjänster och betrodda tjänster kan också kräva snabba beslut av Kommunikationsverket.
46 §.Inspektionsrätt. Det föreslås att paragrafen om Kommunikationsverkets inspektionsrätt ska ändras så att inspektionsrätten också gäller de aktörer som anges i eIDAS-förordningen. I 46 § i gällande lag är en av omständigheterna under vilka Kommunikationsverket ska få förrätta en inspektion att aktören på ett väsentligt sätt har brutit mot lagen eller mot föreskrifter som har utfärdats med stöd av den. Det föreslås att också detta villkor ska ändras. Bestämmelsen i 2 mom. i gällande lag upphävs enligt förslaget, eftersom ett organ för bedömning av överensstämmelse kommer att bedöma aktörerna regelbundet.
I 2–3 mom. föreslås det att den finska termen för certifikatutfärdare som tillhandahåller kvalificerade certifikat ändras så att den överensstämmer med terminologin i eIDAS-förordningen, i övrigt motsvarar de i sak de nuvarande bestämmelserna.
De föreslagna 4 och 5 mom. motsvarar 5 och 6 mom. i den gällande lagen.
47 §.Avgifter till Kommunikationsverket. Största delen av momenten i den gällande lagen ändras varför det föreslås att hela paragrafen ändras. Enligt det föreslagna 1 mom. höjs tillsynsavgiften som leverantörer av identifieringstjänster ska betala Kommunikationsverket med 2 000 euro. Därmed är de årliga tillsynsavgifter som Kommunikationsverket debiterar för identifieringstjänster och för de betrodda tjänster som avses i eIDAS-förordningen, som föreslås i 2 mom., lika höga, det vill säga 14 000 euro. Med denna avgiftsnivå bevaras dessutom Kommunikationsverkets intäkter av avgifterna på nuvarande nivå. Kommunikationsverket tar ut avgifter endast hos tillhandahållare av kvalificerade av betrodda tjänster.
Enligt det föreslagna 2 mom. ska en tillhandahållare av betrodda tjänster och en tillhandahållare av kvalificerade betrodda tjänster ska alltså för varje betrodd tjänst som Kommunikationsverket godkänt betala Kommunikationsverket en registreringsavgift på 5 000 euro samt årligen en tillsynsavgift på 14 000 euro för den första betrodda tjänst som de tillhandahåller och en årlig tillsynsavgift på 9 000 euro för de därpå följande kvalificerade betrodda tjänster som de tillhandahåller. Kommunikationsverkets årliga tillsyn av betrodda tjänster består dels av tillsyn av tjänsteleverantören och dels av tillsyn av den godkända betrodda tjänsten. Eftersom samma tjänsteleverantör övervakas för flera olika godkända tjänster är det motiverat att ta ut en mindre årlig tillsynsavgift när tjänsteleverantören tillhandahåller fler godkända betrodda tjänster.
Enligt de föreslagna 3 och 4 mom. ska ett godkänt organ för bedömning av överensstämmelse och ett certifieringsorgan betala Kommunikationsverket en utnämningsavgift på 10 000 euro och en årlig tillsynsavgift på 15 000 euro. Avgifterna motsvarar de avgifter som enligt 29 § i den gällande lagen tas ut hos kontrollorgan som utsetts av Kommunikationsverket och som bedömer om anordningarna för signaturframställning uppfyller kraven. För närvarande finns inget sådant utsett organ, men det motsvarar det certifieringsorgan som nu föreslås i 36 §.
I det föreslagna 5 mom. konstateras att Kommunikationsverkets tillsynsverksamhet finansieras med avgifterna. Avgifterna räcker dock inte till för att täcka kostnaderna för Kommunikationsverkets tillsynsverksamhet i och med den ökade arbetsmängden, varför Kommunikationsverket måste omfördela sina resurser för annan verksamhet. På samma sätt som i den gällande lagen ska tillsynsavgiften betalas till fullt belopp också under det första verksamhetsåret, även om verksamheten inleds under året. Tillsynsavgifter återbetalas inte även om tjänsteleverantören upphör med sin verksamhet under året.
Det föreslagna 6 mom. motsvarar 5 mom. i den gällande lagen, förutom att då det i bestämmelsen om sökande av ändring hänvisas till 49 § 1 mom. ändras denna också på samma sätt. Med stöd av det föreslagna 49 § 1 mom. begärs omprövning av ett beslut av Kommunikationsverket som gäller en avgift som ska betalas till Kommunikationsverket enligt 47 § i första hand hos Kommunikationsverket.
Det föreslagna 7 mom. motsvarar nuvarande 6 mom. I det föreslagna 8 mom., som gäller kostnader för Kommunikationsverkets inspektioner som tas ut hos leverantören eller tillhandahållaren, infogas som en ny aktör också tillhandahållare av betrodda tjänster.
49 §.Sökande av ändring i myndighetsbeslut. Lagens 49 § föreslås bli ändrad och uppdaterad så att bestämmelserna om sökande av ändring ändras jämfört med nuläget så att besvärstillståndssystemet mer omfattande tas i bruk i ändringssökandet. Enligt 1 mom. tas rättelseyrkande i bruk för de av Kommunikationsverkets beslut som gäller avgifter som ska betalas till Kommunikationsverket.
Enligt 2 mom. får Kommunikationsverkets omprövningsbeslut samt andra beslut av Kommunikationsverket överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen.
I 3 mom. föreskrivs att förvaltningsdomstolens beslut i ett ärende som gäller återkallande av ett beslut om att godkänna av ett bedömningsorgan eller utse ett certifieringsorgan får överklagas genom besvär på det sätt som anges i förvaltningsprocesslagen. Detta innebär att det för sådana ärenden av tvångsmedels- och påföljdsnatur inte krävs besvärstillstånd till högsta förvaltningsdomstolen. Andra beslut av förvaltningsdomstolen får överklagas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.
De föreslagna 4 och 5 mom. motsvarar 49 § 2 och 3 mom. i den gällande lagen.
49 a §.Sökande av ändring i beslut av organ för bedömning av överensstämmelse och certifieringsorgan. I paragrafen föreskrivs som omprövning av ett beslut som gäller en rapport för överensstämmelsebedömning och som fattats av ett organ för bedömning av överensstämmelse och om beslut som gäller certifiering av anordningar för elektronisk underskrift eller anordningar för skapande av elektroniska stämplar och som fattats av ett certifieringsorgan. Till de delar som organ för bedömning av överensstämmelser och certifieringsorgan utför sådan bedömning av överensstämmelser eller certifiering som grundar sig på lag, är detta en offentlig förvaltningsuppgift i enligt med 124 § i grundlagen. Vidare enligt 124 § i grundlagen ska kraven på rättssäkerhet tryggas när privaträttsliga rättssubjekt sköter offentliga förvaltningsuppgifter. Därmed ska det vara möjligt att söka ändring i beslut av de ovan nämnda aktörerna till de delar som det gäller förvaltningsbeslut.
Enligt förslaget hänvisas det i bestämmelsen om omprövningsbegäran i 1 mom. till förvaltningslagen. Allmänna bestämmelser om förfarandet vid omprövning finns i 7 a kap. i förvaltningslagen. Det föreslås att det i momentet föreskrivs att omprövning av ett beslut som fattats av ett organ för bedömning av överensstämmelse eller ett certifieringsorgan får begäras hos Kommunikationsverket på det sätt som anges i förvaltningslagen.
Enligt 2 mom. får omprövningsbeslut överklagas genom besvär hos förvaltningsdomstolen i enlighet med förvaltningsprocesslagen. Beslut av förvaltningsdomstolen får överklagas bara om högsta förvaltningsdomstolen beviljar besvärsrätt.
Övergångsbestämmelser
I 1 mom. föreslås en ikraftträdandebestämmelse.
Enligt 2 mom. får en leverantör av identifieringsverktyg till och med den 31 december 2018 som ett i 17 § 2 mom. i denna lag avsett godkänt dokument också använda ett giltigt körkort som har beviljats efter den 1 oktober 1990 av en medlemsstat i Europeiska ekonomiska samarbetsområdet. En inledande identifiering som gjorts med stöd av körkort senast den 31 december 2018 uppfyller kraven i den föreslagna lagen och den inledande identifieringen behöver inte ytterligare säkerställas på något annat sätt.
Enligt det föreslagna 3 mom. fortsätter de föreskrifter av Kommunikationsverket som är i kraft vid ikraftträdandet av lagen att gälla. Efter lagens ikraftträdande meddelar Kommunikationsverket nya föreskrifter med stöd av 42 §.
I 4–8 mom. finns övergångsbestämmelser i anknytning till att det enligt den föreslagna lagen ska ställas åtminstone samma krav på informationssäkerhet och tillförlitlighet i fråga om system för tillhandahållande av stark autentisering som det ställs på tillitsnivån väsentlig i EU:s lagstiftning i fråga om system för gränsöverskridande elektronisk identifiering. Av denna orsak ska aktörerna kunna bestämma om de vill fortsätta att tillhandahålla tjänster för stark autentisering efter att lagändringarna har trätt i kraft.
Enligt 4 mom. ska en leverantör av identifieringstjänster som är införd i det register som föreskrivs i 12 § i autentiseringslagen senast två månader från ikraftträdandet av den föreslagna lagen lämna Kommunikationsverket en ändringsanmälan enligt 10 § 3 mom., om leverantören vill fortsätta sin verksamhet som leverantör av identifieringstjänster för stark autentisering. Den inspektionsberättelse som avses i 4 kap., uppgifter om det bedömningsorgan som leverantören av identifieringstjänster anlitar samt övriga uppgifter som krävs enligt 10 § ska lämnas in till Kommunikationsverket senast den 31 januari 2017. En leverantör av identifieringstjänster ska i fråga om de tjänster som tillhandahålls anmäla bland annat på vilken tillitsnivå enligt förordningen om tillitsnivåer vid elektronisk identifiering som identifieringstjänsterna tillhandahålls.
Enligt 5 mom. ska Kommunikationsverket behandla en ändringsanmälan enligt 3 mom. från en leverantör av identifieringstjänster och göra de anteckningar som anmälan föranleder i det register som avses i 12 § senast tre månader efter att ha mottagit ändringsanmälan och övriga uppgifter enligt 10 § i autentiseringslagen.
Första bestämmelsen i 6 mom. gäller identifieringsverktyg som har beviljats före ikraftträdandet av den föreslagna lagen. I momentet finns en allmän bestämmelse om att ett identifieringsverktyg för stark autentisering som har beviljats med stöd av de bestämmelser som gällde vid ikraftträdandet lagen fortfarande ska betraktas som ett identifieringsverktyg för stark autentisering åtminstone på tillitsnivån väsentlig i enlighet med definitionen i EU:s förordning om elektronisk identifiering under två månader efter ikraftträdandet av denna lag. Fortsättningen är beroende av om den leverantör av identifieringstjänster som beviljat verktyget anmäler sin avsikt till Kommunikationsverket att fortsätta som leverantör av identifieringstjänster för stark autentisering.
Vidare föreskrivs i 6 mom. att om leverantören av identifieringstjänster inom två månader efter lagens ikraftträdande lämnar en ändringsanmälan om sin avsikt att fortsätta som leverantör av identifieringstjänster för stark autentisering, anses ett identifieringsverktyg som leverantören av identifieringstjänster beviljat med stöd av den tidigare lagen som ett identifieringsverktyg för stark autentisering för åtminstone tillitsnivån väsentlig tills Kommunikationsverket har gjort en anteckning om leverantören av identifieringstjänster i det register som avses i 12 § och något annat inte följer av 7 mom. Utifrån den ändringsanmälan som avses i 3 mom. antecknar Kommunikationsverket i det register som avses i 12 § huruvida leverantören av identifieringstjänster tillhandahåller tjänster på tillitsnivån väsentlig eller hög enligt definitionen i eIDAS-förordningen. Kommunikationsverket kan anteckna tjänsteleverantörens identifieringssystem som ett identifieringssystem på tillitsnivån väsentlig, om systemet uppfyller de krav som i EU-lagstiftningen ställs på identifieringssystem på tillitsnivån väsentlig.
I 7 mom. föreskrivs om situationer när ett identifieringsverktyg efter lagens ikraftträdande beviljas på grundval av ett annat verktyg för stark autentisering, dvs. ett redan befintligt verktyg för stark autentisering används vid den inledande identifieringen. Under övergångsperioden måste man försäkra sig om att det vid den inledande identifieringen för ett starkt verktyg för autentisering inte används sådana identifieringsverktyg som inte längre är identifieringsverktyg för stark autentisering på grund av att tjänsteleverantören av verktyget inte har anmält sin avsikt att fortsätta som leverantör av identifieringstjänster för stark autentisering.
Enligt bestämmelsen betraktas ett elektroniskt identifieringsverktyg som ett identifieringsverktyg för stark autentisering för åtminstone tillitsnivån väsentlig när identifieringsverktyget har beviljats senast inom två månader efter lagens ikraftträdande utifrån en inledande identifiering med ett sådant elektroniskt identifieringsverktyg som avses i 17 §. I bestämmelsen utgår man från att leverantörer av identifieringstjänster när lagen träder i kraft kan fortsätta att på elektronisk väg bevilja nya identifieringsverktyg på det sätt som föreskrivs vid lagens ikraftträdande. När två månader har förflutit från lagens ikraftträdande får ett nytt identifieringsverktyg beviljas elektroniskt endast på grundval av ett sådant annat identifieringsverktyg som har beviljats av en leverantör av identifieringsverktyg som har gjort en i 3 mom. avsedd anmälan om sin avsikt att fortsätta som leverantör av identifieringstjänster för stark autentisering.
Enlig 8 mom. betraktas ett elektroniskt identifieringsverktyg inte längre som ett identifieringsverktyg för stark autentisering, om leverantören av identifieringstjänster inte har lämnat en ändringsanmälan enligt 3 mom. inom två månader från det att lagen trädde i kraft. Kommunikationsverket ska då avföra leverantören av identifieringstjänster ur det register som avses i 12 § och underrätta leverantören om detta.
