Tilsyn med EU’s forordning om elektronisk identifikation og tillidstjenester (eIDAS)

Digitaliseringsstyrelsen fører tilsyn med efterlevelsen af EU’s forordning om elektronisk identifikation og til-lidstjenester (eIDAS). Forordningen skal følges af virksomheder og organisationer, der ønsker at etablere sig som udbydere af tillidstjenester i EU.

Elektronisk identifikation og elektroniske tillidstjenester er vigtige forudsætninger for, at personer og virksomheder kan foretage elektroniske transaktioner. For at et system med elektroniske tillidstjenester – fx elektroniske signaturer – skal fungere, er det nødvendigt, at alle involverede parter opfatter det som pålideligt. Forordningen indeholder de juridiske rammer for disse elektroniske tillidstjenester. Forordningen indeholder også regler for udbyderne af sådanne tjenester. Målet er at øge tilliden til elektroniske transaktioner i det indre marked ved at give et fælles grundlag for sikker elektronisk interaktion mellem virksomheder, borgere og offentlige myndigheder.

Formålet med Digitaliseringsstyrelsen tilsyn er at sikre, at udbydere af elektroniske tillidstjenester opfylder kravene i eIDAS-forordningen.

eIDAS-forordningen omfatter følgende tillidstjenester:

  • Elektroniske signaturer
  • Elektroniske segl
  • Elektroniske tidsstempler
  • Elektroniske registrerede leveringstjenester
  • Webstedsautentifikation

Kvalificerede tillidstjenesteudbydere, der lever op til eIDAS-forordningen bliver optaget på den danske eIDAS-positivliste med oplysninger om de kvalificerede tillidstjenester, som de har ansvaret for.

Ansvaret for tilsynet med udbydere af tillidstjenester er placeret i Digitaliseringsstyrelsens eIDAS Tilsynsorgan jævnfør ”Lov om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked”.

eIDAS overensstemmelsesvurdering, anmeldelse og opfølgning

Detaljerede beskrivelser af processen for eIDAS overensstemmelsesvurdering, anmeldelse og opfølgning kan findes i gældende version af dokumentet Digitaliseringsstyrelsen – Vejledning - Tillidstjenester i Danmark.

Processen for eIDAS overensstemmelsesvurdering og anmeldelse kan kort beskrives således:

  1. Udbyderen af tillidstjenester sikrer, at alle relevante eIDAS-krav er overholdt
  2. Udbyderen kontakter et godkendt overensstemmelsesvurderingsorgan med henblik på at få gennemført en overensstemmelsesvurdering af såvel udbyderen som de konkrete tillidstjenester i forhold til, at alle eIDAS-krav er overholdt. Et overensstemmelsesvurderingsorgan, er et organ der er akkrediteret til at udføre overensstemmelsesvurderinger af en kvalificeret tillidstjenesteudbyder og de kvalificerede tillidstjenester, den udbyder
  3. Udbyderen underetter tilsynsorganet om sin hensigt om at tilbyde kvalificerede tillidstjenester og indsender en overensstemmelsesvurderingsrapport til tilsynsorganet
  4. eIDAS Tilsynsorganet kontrollerer, om tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, opfylder alle eIDAS-forordningens krav
  5. Hvis tillidstjenesteudbyderen og de udbudte tillidstjenester overholder alle relevante eIDAS-krav, tildeler tilsynsorganet tillidstjenesteudbyderen og tillidstjenesterne status som kvalificeret og opdaterer den danske eIDAS-positivliste med de relevante informationer om tillidstjenesteudbyderen og tillidstjenesterne

Udbydere af tillidstjenester skal derefter følge op på deres anmeldelse, hver 24. måned. Dette gøres med en overensstemmelsesvurdering, der viser, at den kvalificerede tillidstjeneste stadig efterlever alle relevante eIDAS-krav.

eIDAS Tilsynsorganets roller og opgaver

eIDAS Tilsynsorganet har følgende roller:

  1. at føre tilsyn med kvalificerede danske tillidstjenesteudbydere for at sikre, at disse og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i eIDAS-forordningen
  2. at gribe ind over for ikkekvalificerede danske tillidstjenesteudbydere, hvis tilsynet får underretning om, at disse eller de tillidstjenester, de udbyder, ikke opfylder kravene i eIDAS-forordningen
  3. vedligeholdelse af den danske eIDAS-positivliste, samt samarbejde med øvrige tilsynsorganer i EU’s medlemsstater, EU Kommissionen, ENISA og hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger også det danske Datatilsyn.

eIDAS-positivlister

Den danske eIDAS-positivliste over kvalificerede danske tillidstjenesteudbydere og -tjenester er tilgængelig i følgende formater:
PDF
XML

SHA-256 hash af den gældende danske eIDAS-positivliste:
SHA-256

EU Kommissionen vedligeholder lister over alle kvalificerede tillidstjenesteudbydere og – tjenester i EU og EØS her:
EU/EEA Trusted List Browser

Vejledninger

eIDAS Tilsynsorganets vejledning til danske tillidstjenesteudbydere findes her:
Digitaliseringsstyrelsen – Vejledning - Tillidstjenester i Danmark

eIDAS Tilsynsorganets vejledning til overensstemmelsesvurderingsorganer om genbrug af eksisterende revisionserklæring og ekspertvurderinger findes her:
Danish Supervisory Body - Inclusion of existing auditor and expert results