52012SC0136

ARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE

RESUME AF KONSEKVENSANALYSEN

Ledsagedokument til

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked

1.           Politisk sammenhæng, procedure og høring af berørte parter

Opbygning af tillid i onlinemiljøet er afgørende for den økonomiske udvikling. Manglende tillid får forbrugere, virksomheder og myndigheder til at tøve med at gennemføre transaktioner elektronisk og begynde at bruge nye tjenester. Formålet med forslaget til forordning er at muliggøre sikre og uhindrede elektroniske transaktioner mellem virksomheder, borgere og myndigheder og derved øge effektiviteten af de offentlige og private elektroniske tjenester, e-business og e-handel.

De eksisterende hindringer for grænseoverskridende e-tjenester skal fjernes. For at være produktive formidlere og ikke hindringer skal elektronisk identifikation og autentifikation og elektroniske signaturer samt supplerende tillidstjenester (eIAS) derfor anerkendes gensidigt og accepteres i hele EU.

Der eksisterer ikke et omfattende grænseoverskridende og tværsektorielt EU-lovgrundlag for eIAS-tjenester. På EU-plan findes der kun en retlig ramme for elektroniske signaturer, men ikke for elektronisk identifikation og autentifikation eller for de tilknyttede tillidstjenester. Kommissionen bekendtgjorde i den digitale dagsorden for Europa, at den ville foreslå lovgivningsmæssige foranstaltninger for at behandle elektroniske signaturer yderligere og sikre gensidig anerkendelse af elektronisk identifikation (eID) og elektronisk autentifikation med henblik på at eliminere opsplitning og manglende interoperabilitet, styrke det digitale medborgerskab og forebygge internetkriminalitet.

For at gennemføre denne konsekvensanalyse indhentede Kommissionen feedback fra medlemsstaterne, Europa-Parlamentet og aktører under diskussioner, workshopper og konferencer. Der blev indledt en række undersøgelser vedrørende eIAS, og litteratur blev gennemgået. Der blev lanceret en offentlig høring i 2011 for at indsamle idéer til, hvordan elektronisk identifikation, autentifikation og signaturer kan bidrage til det indre marked. Høringen blev afsluttet med en målrettet undersøgelse for at registrere SMV'ers særlige synspunkter og behov.

2.           Problemafgrænsning

Brugerne kan støde på problemer i forbindelse med grænseoverskridende anvendelse af eIAS-tjenester. De væsentligste hindringer for sikker og uhindret grænseoverskridende eIAS er:

1 — Opsplitning af markedet: Der gælder forskellige regler for tjenesteydere afhængig af, i hvilken medlemsstat de leverer ydelsen.

Vedrørende elektroniske signaturer er den harmonisering, der indføres ved direktiv 1999/93/EF om elektroniske signaturer, ufuldstændig. Der er påvist fire problemer, som er: forskelligartet gennemførelse på nationalt plan, fordi medlemsstaterne fortolker direktivet forskelligt, de facto-påberåbelse af en undtagelse for anvendelser i den offentlige sektor, forældede standarder og uklare tilsynsforpligtelser, som fører til problemer med grænseoverskridende interoperabilitet, et opsplittet EU-landskab og forvridninger i det indre marked.

Hvad angår elektronisk identifikation, fører forskellige teknologiske løsninger for personlig identifikation i de enkelte medlemsstater, den utilstrækkelige retssikkerhed vedrørende grænseoverskridende brug af elektronisk identifikation og manglen på klart ansvar for, om identitetsoplysningerne er korrekte, alle til interoperabilitetsproblemer.

Med hensyn til supplerende tillidstjenester resulterer manglen på et EU-lovgrundlag i, at visse medlemsstater vedtager nationale love for nogle af disse tjenester, og i høje omkostninger for tjenesteydere, som ønsker at tilbyde deres tjenester i flere medlemsstater. Begge situationer medfører hindringer for og opsplitning af det indre marked.

2 — Manglende tillid: Den manglende tillid til elektroniske systemer, de tilgængelige redskaber og lovgrundlaget kan give indtryk af, at der er mindre retlig beskyttelse end i forbindelse med fysisk interaktion.

Hvad angår elektroniske signaturer, er de nationale tilsynskrav kvalitativt forskellige i de enkelte medlemsstater, hvilket gør det svært for dem, der henholder sig til en elektronisk signatur, at vurdere, hvordan der føres tilsyn med en tjenesteyder.

Vedrørende elektronisk identifikation og supplerende tillidstjenester gør forskelligartet national lovgivning det svært for brugerne at føle sig sikre, når de interagerer på internettet i grænseoverskridende scenarier.

De fire vigtigste årsager til disse problemer er:

A: Utilstrækkeligt anvendelsesområde for det nuværende lovgrundlag

eIAS-tjenester er en forudsætning for en lang række elektroniske interaktioner såsom netbanker, е-forvaltning og е-sundhed. På EU-plan er der en begrænset og ufuldstændig retlig ramme, som hovedsagelig fokuserer på elektroniske signaturer. Der findes ikke en specifik ramme for gensidig anerkendelse og accept af elektronisk identifikation for supplerende tillidstjenester såsom tidsstempling eller elektroniske segl.

B: Utilstrækkelig koordination mellem udvikling af elektroniske signaturer og elektronisk identifikation

De nationale eIAS-infrastrukturer blev udviklet individuelt uden koordination på EU-plan. Derfor skaber de tekniske løsningers manglende grænseoverskridende interoperabilitet hindringer for elektroniske transaktioner. Den manglende gensidige anerkendelse og accept er en af grundene til, at både brugerne og udbyderne af e-tjenester er skeptiske med hensyn til anvendelsen af eIAS.

C: Utilstrækkelig gennemsigtighed i sikkerhedsgarantier

En stærk og harmoniseret sikkerhed er vigtig, hvis der skal skabes pålidelige løsninger. Det gælder særlig adgang til tjenester, der omfatter følsomme personoplysninger, som f.eks. e-sundhed. Direktiv 99/93/EF anerkendte, at retssikkerheden kun kan garanteres for elektroniske signaturer, som garanterer sikkerheden, og som derfor er tilstrækkeligt beskyttet mod forfalskning og bedrageri (avancerede og kvalificerede elektroniske signaturer).

Brugerne ser manglen på sikre eID-systemer som en væsentlig hindring. Det manglende harmoniserede lovgrundlag for elektronisk identifikation betyder, at officiel elektronisk identifikations sikkerhed og pålidelighed ikke kan bestemmes objektivt på tværs af grænserne. Det skaber grænseoverskridende hindringer, en deraf følgende mangel på tillid og et opsplittet marked.

Et andet problem er id-tyveri. Sikker elektronisk identifikation kan bidrage til at mindske risikoen. Omvendt kan dårligt sikret elektronisk identifikation gøre det lettere for kriminelle at erhverve falsk eller truet elektronisk identifikation.

D: Manglende bevidsthed/brugeranvendelse

Kompleksiteten af de teknologier, der anvendes til elektroniske transaktioner, og den centrale rolle, som pålidelige tredjeparter spiller, skaber et miljø, hvor det er vanskeligt at vurdere tilliden. Slutbrugerne, som generelt ikke har tilstrækkelig ekspertise, skal navnlig kunne henholde sig til regler, som fastsætter klare rettigheder og ansvarsområder for alle interessenterne (udbydere af tillidstjenester, slutbrugere og forvaltningsorganer).

3.           Referencescenarie

Referencescenariet for initiativet er manglen på ny lovmæssig intervention. Det forventes, at de nuværende problemer i dette scenarie vil udvikle sig som følger:

Problemerne vedrørende opsplittelsen og interoperabiliteten vil ikke blive løst: Medlemsstaterne vil sandsynligvis fortsætte med at gennemføre og håndhæve direktiv 99/93/EF.

Retssikkerheden vil ikke blive garanteret: Problemerne som følge af den utilstrækkelige gensidige anerkendelse af elektroniske signaturer og det manglende lovgrundlag for gensidig anerkendelse og accept af elektronisk identifikation og supplerende tillidstjenester vil hæmme den juridiske anerkendelse af en række grænseoverskridende interaktioner.

Brugernes behov vil ikke til fulde blive opfyldt: Det er inden for det nuværende lovgrundlag ikke muligt til fulde at udnytte mulighederne i forbindelse med den teknologiske udvikling.

Førende europæiske initiativer vil ikke fuldt ud fungere som en løftestang: EU-politikker, som f.eks. direktiverne om tjenesteydelser, offentlige indkøb og moms (elektroniske fakturaer) eller større pilotprojekter under ikt-politikstøtteprogrammet[1], som tilstræber at eliminere problemer vedrørende interoperabilitet og grænseoverskridende anerkendelse i forbindelse med visse typer elektroniske interaktioner, vil kun kunne fungere på pilotniveau, fordi der ikke eksisterer et grænseoverskridende lovgrundlag.

4.           Politikmål

Der er identificeret fire generelle mål, som er at sikre udviklingen af et digitalt indre marked, at fremme udviklingen af vigtige grænseoverskridende offentlige tjenester, at fremme og styrke konkurrencen i det indre marked og at skabe større brugervenlighed (borgere og virksomheder). Disse mål er i overensstemmelse med strategiske EU-politikker såsom EU 2020-strategien, den digitale dagsorden for Europa, akten for det indre marked og køreplanen for stabilitet og vækst.

Specifikke mål er udtryk for de ønskede resultater i forbindelse med eIAS-markedet (”hvad”) om at indføre operationelle mål (”hvordan”). For hvert specifikt mål er der identificeret en række operationelle mål.

5.           Indsatsmuligheder

Tre grupper løsningsmodeller blev vurderet med henblik på at løse problemerne og opfylde de ovennævnte mål: 1) det påtænkte lovgrundlags anvendelsesområde, 2) retligt instrument og 3) tilsynsniveau:

· I den første gruppe, ”lovgrundlagets anvendelsesområde”, undersøges fire løsningsmodeller:

Løsningsmodel 0:      Ophævelse af direktiv 99/93/EF og ingen lovgivningsmæssige aktiviteter vedrørende elektronisk identifikation eller supplerende tillidstjenester

Denne løsningsmodel omfatter indstilling af alle EU-aktiviteter på området elektroniske signaturer. Direktiv 99/93/EF vil blive ophævet, og der bliver ikke foreslået lovgivningsmæssige foranstaltninger til gensidig anerkendelse af elektronisk identifikation.

· Løsningsmodel 1: Ingen ændring af politikken (referencescenarie)

Direktiv 99/93/EF bliver bibeholdt i den nuværende form. Der bliver ikke foreslået lovgivning om elektronisk identifikation.

· Løsningsmodel 2:      Styrkelse af retssikkerheden, bedre koordination af det nationale tilsyn og sikring af gensidig anerkendelse og accept af elektronisk identifikation

Anvendelsesområdet for direktiv 99/93/EF vil blive udvidet for at tilføje bestemmelser om grænseoverskrivende anerkendelse og accept af ordningerne med ”anmeldt elektronisk identifikation”[2]. Direktivets bestemmelser om elektroniske signaturer vil blive revideret for at afhjælpe de nuværende svagheder og således opnå en bedre harmonisering af de nationale tilsynsmodeller.

· Løsningsmodel 3:      Udvidelse med henblik på at indarbejde visse supplerende tillidstjenester

Denne løsningsmodel udvider løsningsmodel 2 ved at inkludere supplerende tillidstjenester og akkreditiver i forslagets anvendelsesområde.

Følgende væsentlige supplerende funktioner kunne indarbejdes i lovgivningen: tidsstempling, elektroniske segl, langtidsopbevaring af oplysninger, certificeret levering af elektroniske dokumenter, elektroniske dokumenters antagelighed og webstedsautentifikation.

· I den anden gruppe, som omfatter et ”retligt instrument”, overvejes fire løsningsmodeller:

Enten et enkelt omfattende lovgivningsinstrument (løsningsmodel A) eller to særskilte instrumenter (løsningsmodel B)

Lovgivningen kunne bestå af en enkelt omfattende foranstaltning, som dækker elektronisk identifikation, autentifikation og signatur, eller to instrumenter, nemlig en beslutning fra Kommissionen om elektronisk identifikation og en revision af direktivet om elektroniske signaturer.

Et direktiv (løsningsmodel C) eller en forordning (løsningsmodel D):

Lovgivningen kunne have form af et direktiv eller en forordning.

· I den tredje gruppe, tilsynsniveau, overvejes to løsningsmodeller:

Løsningsmodel i): Bevarelse af de nationale tilsynsordninger

De nuværende nationale tilsynsordninger vil blive bibeholdt, men med en større harmonisering ved hjælp af væsentlige fælles krav.

Løsningsmodel ii): Oprettelse af et EU-tilsynssystem

Et EU-tilsynssystem skulle oprettes for at reducere eller eliminere forskelle mellem de nationale tilsynsordninger. Det kunne have en af to former:

Delløsning a:   udskiftning af de eksisterende nationale tilsynsordninger med en fælles EU-tilsynsordning og et fælles EU-tilsynsorgan.

Delløsning b:   oprettelse af en EU-tilsynsordning og et EU-tilsynsorgan, samtidig med at de nationale tilsynsordninger bevares (den enkelte medlemsstat kunne vælge sin egen ordning eller EU-ordningen).

6.           Sammenligning af indsatsmuligheder og virkninger

Indsatsmulighederne er blevet vurderet og sammenlignet med referencescenariet (løsningsmodel 1) i forhold til effektivitet og sammenhæng.

6.1.        Lovgrundlagets anvendelsesområde

Løsningsmodel 0 vil ikke bidrage til at nå de mål, der er identificeret i konsekvensanalyserapporten. Den vil ikke øge adgangen til og anvendelsen af grænseoverskridende og tværsektorielle eIAS-tjenester, sikre et optimalt forvaltningsniveau, fremme markedsudviklingen, bidrage til at styrke den europæiske industris og tjenesteydelsessektorernes konkurrenceevne eller sikre, at alle slutbrugere kan udnytte fordelen ved eIAS-tjenester. Den vil tværtimod hæmme den teknologiske udvikling på eIAS-markedet, forstyrre den nuværende proces med at muliggøre grænseoverskridende e-tjenester og opretholde et opsplittet EU-marked og et uensartet tillidslandskab.

Løsningsmodel 1 vil ikke bidrage til at nå målene. Den vil bidrage til at bevare de eksisterende uklarheder, og tillidslandskabet vedrørende tilsyn bliver ved med at være uensartet. Den lovmæssige usikkerhed vil fortsætte, og der vil fortsat udvikle sig et opsplittet EU-landskab med ulige konkurrencevilkår i det indre marked til følge samt en større sandsynlighed for forskellige nationale tilgange.

Løsningsmodel 2 vil styrke retssikkerheden, fremme tilsynet og sikre gensidig anerkendelse og accept af elektronisk identifikation, og den vil bidrage væsentligt til at nå de enkelte mål, der er identificeret i konsekvensanalyserapporten, og give positive økonomiske, sociale og miljømæssige resultater.

eIAS-tjenester vil have større tiltrækningskraft og give afkastet af investeringer i eIAS-infrastruktur og -tjenester et skub. eIAS vil også blive tilgængelig for alle sektorer og alle typer virksomheder og samtidig eliminere grænseoverskridende hindringer. Der vil blive åbnet nye markeder og nye investeringer, hvilket vil fremme innovationen.

Den nuværende opsplittelse af markedet vil blive reduceret, da den grænseoverskridende interoperabilitet bliver forbedret ved at give mulighed for henvisninger til tekniske standarder.

Gensidig anerkendelse og accept af elektronisk identifikation vil afvikle den nuværende hindring for det indre marked yderligere. Endelig er det sandsynligt, at et homogent tilsyn som følge af fælles væsentlige krav vil øge tilliden, gøre det lettere at opdage bedrageri og bidrage til at forhindre identitetstyveri.

Løsningsmodel 3 vil gøre eIAS-tjenesterne endnu mere attraktive og dermed fremme deres positive virkning ved at udvide lovgrundlaget til at omfatte visse væsentlige supplerende tillidstjenester.

Det er mere sandsynligt, at løsningsmodel 3 har en betydelig virkning på sikre og brugervenlige elektroniske transaktioner end løsningsmodel 0, 1 eller 2.

6.2.        Retligt instrument

Hvis der tilvejebringes et omfattende lovgrundlag inden for et enkelt instrument, vil det sikre, at der opnås en ensartet lovgivning til regulering af de forskellige aspekter. To særskilte instrumenter kan medføre forskelle i de lovbestemmelser, der vedtages for elektroniske signaturer og elektronisk identifikation - og, hvad der er vigtigere, i tilgangen til initiativerne.

Hvis der vedtages et direktiv, vil det ikke bidrage til at løse de nuværende problemer med elektroniske signaturers interoperabilitet i kraft af forskellig gennemførelse af direktiv 99/93/EF i national lovgivning. En forordning sikrer umiddelbar anvendelighed uden fortolkning og dermed større harmonisering, og den er derfor bedre egnet til at nå den foreslåede lovgivnings mål.

En enkelt forordning synes at være den mest effektive måde at nå målene på.

6.3.        Tilsynsniveau

Med løsningsmodel i vil den nye lovgivning bevare de nuværende nationale tilsynsordninger og pålægge tjenesteyderne væsentlige krav. En harmoniseret tilgang på EU-niveau for både elektroniske signaturer og supplerende tillidstjenester vil give et mere effektivt tilsyn, styrke retssikkerheden og øge tilliden til og sikkerheden ved elektroniske transaktioner.

Løsningsmodel ii vil skabe et homogent og effektivt tilsyn af høj kvalitet i hele EU. Delløsning b har den fordel, at den giver større fleksibilitet end det fælles EU-tilsynsorgan i delløsning a. Den kunne være en fordel for medlemsstater, hvor der ikke er etableret nogen eller kun få tillidstjenesteydere for at overføre tilsynsopgaverne til et EU-tilsynsorgan. Andre medlemsstater kunne, hvis de ønsker det, bevare deres tilsynsordning. En centraliseret EU-tilsynsmodel giver imidlertid anledning til betænkeligheder angående subsidiaritetsprincippet.

Overholdelsen af subsidiaritetsprincippet tyder på, at (løsningsmodel i) er mest hensigtsmæssig.

7.           Begrundelse for EU-tiltag, EU-merværdi og subsidiaritet

Ligesom det er tilfældet med direktiv 99/93/EF, er retsgrundlaget for lovforslaget artikel 114 i TEUF om det indre marked, fordi den har til formål at fjerne eksisterende hindringer for det indre markeds funktion ved at fremme gensidig anerkendelse og accept af elektronisk identifikation, elektroniske signaturer og supplerende tillidstjenester på tværs af grænserne, når det er nødvendigt i forbindelse med elektroniske transaktioner.

En indsats på EU-plan er tilstrækkelig og forholdsmæssig til at gennemføre det digitale indre marked på grund af eIAS-tjenesternes iboende ikke-territoriale karakter. Lovgivningsmæssige foranstaltninger truffet på nationalt plan kan ikke forventes at give det samme udfald. EU-intervention er derfor påkrævet, hensigtsmæssigt og berettiget.

8.           Tilsyn og evaluering

Kommissionen vil overvåge gennemførelsen af lovgivningen gennem en løbende dialog med interessenterne og indsamling af statistikker, og den vil aflægge rapport til Europa-Parlamentet og Rådet om virkningen af den nye lovgivning fire år efter dens ikrafttræden.

[1]               http://ec.europa.eu/information_society/activities/ict_psp/about.

[2]               ”Anmeldt elektronisk identifikation”: en ordning for elektronisk identifikation, som medlemsstaterne har meddelt Kommissionen, for at den kan blive anerkendt og accepteret på tværs af grænserne. Begrebet anmeldt elektronisk identifikation er ikke begrænset til elektronisk identifikation udstedt af den offentlige sektor: Medlemsstaterne kan også anmelde elektronisk identifikation udstedt af den private sektor, som de anerkender til anvendelse i deres egne offentlige tjenester. Denne tilgang er nødvendig, fordi ikke alle medlemsstater tillader udstedelse af elektronisk identifikation. Den tværsektorielle tilgang i lovgivningen ville give den private sektor mulighed for at integrere brugen af anmeldt elektronisk identifikation i e-tjenester, når der er behov for sikker elektronisk identifikation.