Ferill 156. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.


153. löggjafarþing 2022–2023.
Þingskjal 507  —  156. mál.




Svar


háskóla-, iðnaðar- og nýsköpunarráðherra við fyrirspurn frá Hönnu Katrínu Friðriksson um rafræn skilríki í Evrópu.

     1.      Hvers vegna fylgja rafræn skilríki á Íslandi ekki sömu stöðlum og gilda um rafræn skilríki í löndum á Evrópska efnahagssvæðinu og í Evrópusambandinu (e. eID)?
    Rafræn skilríki á Íslandi fylgja sömu stöðlum og gilda um rafræn skilríki í löndum á Evrópska efnahagssvæðinu (EES), þ.e. í ríkjum Evrópusambandsins (ESB) og í EES EFTA-ríkjunum.
    Reglugerð Evrópusambandsins um rafræn skilríki nr. 910/2014, um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðnum (eIDAS-reglugerðin), var innleidd hér á landi með lögum nr. 55/2019.
    Í eIDAS-reglugerðinni er aðildarríkjum aftur á móti veitt talsvert svigrúm við útfærslu innleiðingar og eru mismunandi leiðir færar í því efni. Ekki er gerð krafa um að aðildarríki tilkynni auðkenningarskipan sína með formlegum hætti (e. notify) heldur er aðildarríkjum veitt svigrúm til þess að ákveða hvort eða hvenær það er gert.
    Ferli fyrir samþykki á umræddri auðkenningarskipan krefst þess að hvert aðildarríki EES tilkynni sína auðkenningarskipan formlega (e. notify) og tryggi jafnframt að fyrirkomulagið mæti öllum gæða- og öryggiskröfum samkvæmt eIDAS. Í kjölfarið rýna önnur ríki innan EES skipanina sem tilkynnt er. Þegar viðkomandi auðkenningarskipan hefur verið bætt við eIDAS-netið eru aðildarríki innan EES skyldug til að viðurkenna skipanina. Þess skal getið að aðildarríkjum er ekki skylt að tilkynna auðkenningarskipan sína samkvæmt þessum reglum.
    Að tryggja innleiðingu og notkun rafrænna skilríkja þvert á landamæri krefst staðlaðrar nálgunar til að stýra og framkvæma auðkenningu yfir landamæri.

Hér er efni sem sést aðeins í pdf-skjalinu.


    Til upplýsinga fylgir hér nánari lýsing á inntaki eIDAS-reglugerðarinnar sem er nú í gildi.
    Hérlendis starfar Auðkenni hf. sem fullgildur traustþjónustuveitandi í samræmi við lög nr. 55/2019 og eIDAS-reglugerðina (hér eftir nefnd löggjöfin), líkt og kemur fram á eIDAS-mælaborði ESB. Gera verður greinarmun á fullgildum traustþjónustuveitendum og þjónustuveitendum sem ekki hafa hlotið fullgildingu en hér á landi starfa einnig þjónustuveitendur sem ekki hafa fullgildingu.
    Vert er að benda á nokkra þætti er varða rafræn skilríki og traustþjónustu. eIDAS-reglugerðin (electronic IDentification, Authentication and trust Services) felur í sér umfangsmikil markmið. Þau eru helst:
          Stöðlun á notkun rafrænna skilríkja.
          Skilgreining á nýjum gerðum traustþjónustu (e. electronic trust services).
          Skýra og tryggja lögmæti rafrænna undirskrifta.
          Undirbúa evrópska innri markaðinn fyrir rafrænar traustþjónustur.
    Stöðlun á notkun skilríkjanna byggist einna helst á tveimur þáttum: fullvissu um réttleika skilríkja (e. identity assurance) og fullvissu um auðkenningu (e. authentication assurance). Fullvissa um réttleika skilríkja snýr að því hversu strangt ferlið er við að sannreyna að sá einstaklingur sem sækir um rafræn skilríki sé raunverulega viðkomandi. Fullvissa um auðkenningu snýr að því hversu sterk eða örugg auðkenningarleiðin er sem notast er við. Samkvæmt löggjöfinni eru fullvissustig auðkenningar þrenns konar: lágt, umtalsvert eða hátt.

Fullvissustig Réttleiki skilríkja Réttleiki auðkenningar
Lágt Framvísun lögmætra skilríkja (í gegnum rafrænan miðil eða á staðnum). Stök auðkenning (e. single factor), t.d. lykilorð eða PIN.
Umtalsvert Framvísun lögmætra skilríkja.
Sannreyning skilríkis af þar til gerðu yfirvaldi.
Tvöföld auðkenning (e. multi-factor), t.d. snjallsími og PIN.
Hátt Sannreyning skilríkis af þar til gerðu yfirvaldi.
Staðfesting á lögmæti skilríkis með notkun opinberra gagna (rafrænt eða skjöl).
Tvöföld auðkenning.
Aðgangur að persónulegum lyklum á skaðaþolnum vélbúnaði.
Dulritun á persónuauðkennanlegum upplýsingum.

    Þá skal tekið fram að Evrópusambandið vinnur að breytingum á eIDAS-reglugerðinni, en þær tillögur eru enn til meðferðar hjá Evrópusambandinu. 1 Í þeim er m.a. litið til þess hvernig efla megi þjónustu yfir landamæri.

     2.      Í hvaða EES-löndum og ESB-ríkjum stendur Íslendingum ekki til boða að nota rafræn skilríki í samskiptum við þarlend fyrirtæki, stofnanir og stjórnvöld vegna þess að Ísland hefur ekki fylgt samræmdum stöðlum um rafræn skilríki?
    Upplýsingar liggja ekki fyrir svo að svara megi spurningunni. Þó er hægt að upplýsa um þau lönd sem hafa hafið eða lokið við að tilkynna sína auðkenningarskipan til ESB. Staða tilkynninga milli ólíkra landa innan EES, samkvæmt upplýsingum frá ESB, er þessi:
          Tilkynnt (e. notified) – 18 lönd: Tékkland, Eistland, Frakkland, Ítalía, Holland, Svíþjóð, Spánn, Malta, Lettland, Þýskaland, Slóvakía, Króatía, Belgía, Austurríki, Lúxemborg, Litháen, Ítalía, Danmörk.
          Hafa sent inn tilkynningu (e. pre-notified) – fjögur lönd: Portúgal, Liechtenstein, Búlgaría, Pólland.
          Í rýni (e. peer-reviewed) – eitt land: Noregur:
          Hafa ekki hafið tilkynningarferli – sjö lönd: Slóvenía, Írland, Ungverjaland, Kýpur, Rúmenía, Grikkland, Ísland.
    Mikilvægt er að gera greinarmun á aðgengi að rafrænum skilríkjum annars vegar og notkun rafrænna skilríkja hins vegar. Í því felst að þótt rafræn skilríki séu aðgengileg einstaklingum takmarkast notkun þeirra við þá þjónustu (s.s. innskráningu á vefsíðu eða undirritun rafræns skjals) sem þjónustuaðilar, opinberir eða á einkamarkaði, bjóða upp á. Enn sem komið er er auðkenning milli landa almennt stutt á veg komin innan EES. Þó eru dæmi um að auðkenning milli landa sé lengra á veg komin en þau takmarkast einna helst við samstarf tveggja landa um afmarkaða þjónustu. Slík verkefni hafa þannig iðulega orðið til sem tilraunaverkefni.
    Í gegnum DIGITAL Europe-áætlunina hefur ESB óskað eftir umsóknum um tilraunaverkefni til að hraða notkun og útbreiðslu rafrænnar auðkenningar þvert á landamæri. Ísland er aðili að slíkri umsókn sem send var inn hinn 17. ágúst sl. (sjá frétt á vef Stjórnarráðsins frá 15. september 2022).
    Tæknilegur möguleiki á því að tengjast eIDAS-nóðu í öðru landi þarf þó ekki að þýða að þjónustuveitendur í einu landi hafi kosið að virkja þjónustu sem heimilar auðkenningu á milli landamæra. Samhliða auknu þjónustuframboði sem krefst rafrænnar auðkenningar hefur notkun einstaklinga á slíkri þjónustu aukist. Framboð á rafrænni þjónustu innan EES hefur aukist ár frá ári og líklegt er að eIDAS 2-reglugerðin muni þegar fram í sækir leiða til fjölbreyttara þjónustuframboðs yfir landamæri.

     3.      Hvernig var nýttur sá styrkur sem Þjóðskrá Íslands þáði úr Sjóði fyrir samtengda Evrópu til að innleiða skilríkja- og auðkenningargátt í samræmi við eIDAS-reglugerðina innan þriggja ára, sbr. skýrslu Norrænu ráðherranefndarinnar frá 2016 um rafræn skilríki á Norðurlöndum? Hvenær er ráðgert að verkefninu ljúki?

    Styrkurinn var fyrst og fremst nýttur til þess að koma upp íslenskri eIDAS-nóðu en þeirri vinnu lauk árið 2018. Með uppsetningunni var það gert tæknilega mögulegt fyrir aðildarríki að tengjast íslensku nóðunni. Átta lönd tengdust henni þá en sú þjónusta sem var í boði þvert á landamæri var takmörkuð. Frá árinu 2019 hafa orðið nokkrar breytingar á öryggis- og tæknilegum þáttum sem taka þarf tillit til í uppfærslu á nóðunni og viðhaldi á henni svo að koma megi henni í skipulegan rekstur. Verkefninu um rekstur á tæknilegum innviðum er í reynd aldrei lokið þar sem sinna þarf reglulegu viðhaldi og uppfæra öryggis- og tæknilega þætti eftir því sem þeir breytast. Samhliða slíkri uppfærslu er ráðgert að tilkynna auðkenningarskipan Íslands formlega til ESB á árunum 2023–2024.

Merking hugtaka.
          Rafræn auðkenningarskipan (e. eID scheme): Fyrirkomulag fyrir rafræna auðkenningu sem rafrænar auðkenningarleiðir eru gefnar út undir til handa einstaklingum, lögaðilum eða einstaklingum sem eru fulltrúar lögaðila. Skemað getur hafa verið þróað af opinberum aðilum, einkaaðilum eða í samstarfi þeirra.
          Rafræn auðkenningarleið (e. eID means): Efnisleg og/eða óefnisleg eining sem inniheldur auðkenningargögn aðila og er notuð til sannvottunar vegna nettengdrar þjónustu.
          eIDAS-netið (e. eIDAS Network): Tæknilegir innviðir sem tengja hinar ólíku auðkenningarskipanir. Netið byggist á svokölluðum eIDAS-nóðum sem hvert land kemur upp á eigin vegum. Nóðan hefur þá eiginleika að geta bæði óskað eftir og samþykkt auðkenningu milli landa.


1     eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0281.