ARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE RESUME AF KONSEKVENSANALYSEN Ledsagedokument til Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked /* SWD/2012/0136 final - COD 2012/0146 */
ARBEJDSDOKUMENT FRA KOMMISSIONENS
TJENESTEGRENE RESUME AF KONSEKVENSANALYSEN Ledsagedokument til Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om elektronisk identifikation og
tillidstjenester til brug for elektroniske transaktioner på det indre marked 1. Politisk sammenhæng,
procedure og høring af berørte parter Opbygning af tillid i onlinemiljøet er afgørende for den økonomiske
udvikling. Manglende tillid får forbrugere, virksomheder og myndigheder
til at tøve med at gennemføre transaktioner elektronisk og begynde at
bruge nye tjenester. Formålet med forslaget til forordning er at muliggøre
sikre og uhindrede elektroniske transaktioner mellem virksomheder, borgere
og myndigheder og derved øge effektiviteten af de offentlige
og private elektroniske tjenester, e-business og e-handel. De eksisterende
hindringer for grænseoverskridende e-tjenester skal fjernes. For at være
produktive formidlere og ikke hindringer skal elektronisk identifikation og autentifikation
og elektroniske signaturer samt supplerende tillidstjenester (eIAS) derfor
anerkendes gensidigt og accepteres i hele EU. Der eksisterer ikke et
omfattende grænseoverskridende og tværsektorielt EU-lovgrundlag
for eIAS-tjenester. På EU-plan findes der kun en retlig ramme for
elektroniske signaturer, men ikke for elektronisk identifikation og autentifikation
eller for de tilknyttede tillidstjenester. Kommissionen bekendtgjorde i den
digitale dagsorden for Europa, at den ville foreslå lovgivningsmæssige
foranstaltninger for at behandle elektroniske signaturer yderligere og sikre
gensidig anerkendelse af elektronisk identifikation (eID) og elektronisk autentifikation
med henblik på at eliminere opsplitning og manglende interoperabilitet, styrke
det digitale medborgerskab og forebygge internetkriminalitet. For at gennemføre denne
konsekvensanalyse indhentede Kommissionen feedback fra medlemsstaterne,
Europa-Parlamentet og aktører under diskussioner, workshopper
og konferencer. Der blev indledt en række undersøgelser vedrørende eIAS,
og litteratur blev gennemgået. Der blev lanceret en offentlig høring i
2011 for at indsamle idéer til, hvordan elektronisk identifikation, autentifikation
og signaturer kan bidrage til det indre marked. Høringen blev afsluttet med en
målrettet undersøgelse for at registrere SMV'ers særlige synspunkter og behov. 2. Problemafgrænsning Brugerne kan støde på
problemer i forbindelse med grænseoverskridende anvendelse af eIAS-tjenester. De
væsentligste hindringer for sikker og uhindret grænseoverskridende eIAS er: 1 — Opsplitning af markedet: Der gælder
forskellige regler for tjenesteydere afhængig af, i hvilken medlemsstat de
leverer ydelsen. Vedrørende elektroniske
signaturer er den harmonisering, der indføres ved direktiv 1999/93/EF om
elektroniske signaturer, ufuldstændig. Der er påvist fire problemer, som
er: forskelligartet gennemførelse på nationalt plan, fordi medlemsstaterne
fortolker direktivet forskelligt, de facto-påberåbelse af en undtagelse for
anvendelser i den offentlige sektor, forældede standarder og uklare tilsynsforpligtelser,
som fører til problemer med grænseoverskridende interoperabilitet, et
opsplittet EU-landskab og forvridninger i det indre marked. Hvad angår elektronisk
identifikation, fører forskellige teknologiske løsninger for personlig
identifikation i de enkelte medlemsstater, den utilstrækkelige retssikkerhed
vedrørende grænseoverskridende brug af elektronisk identifikation og manglen på
klart ansvar for, om identitetsoplysningerne er korrekte, alle til
interoperabilitetsproblemer. Med hensyn til supplerende
tillidstjenester resulterer manglen på et EU-lovgrundlag i, at visse
medlemsstater vedtager nationale love for nogle af disse tjenester, og i høje
omkostninger for tjenesteydere, som ønsker at tilbyde deres tjenester i
flere medlemsstater. Begge situationer medfører hindringer for og opsplitning
af det indre marked. 2 — Manglende tillid: Den manglende tillid til
elektroniske systemer, de tilgængelige redskaber og lovgrundlaget kan give
indtryk af, at der er mindre retlig beskyttelse end i forbindelse med
fysisk interaktion. Hvad angår elektroniske
signaturer, er de nationale tilsynskrav kvalitativt forskellige
i de enkelte medlemsstater, hvilket gør det svært for dem, der
henholder sig til en elektronisk signatur, at vurdere, hvordan der føres tilsyn
med en tjenesteyder. Vedrørende elektronisk
identifikation og supplerende tillidstjenester gør forskelligartet
national lovgivning det svært for brugerne at føle sig sikre, når de
interagerer på internettet i grænseoverskridende scenarier. De fire vigtigste
årsager til disse problemer er: A: Utilstrækkeligt anvendelsesområde for det nuværende lovgrundlag eIAS-tjenester er en forudsætning for en lang række elektroniske
interaktioner såsom netbanker, е-forvaltning og е-sundhed. På
EU-plan er der en begrænset og ufuldstændig retlig ramme, som hovedsagelig
fokuserer på elektroniske signaturer. Der findes ikke en specifik ramme for
gensidig anerkendelse og accept af elektronisk identifikation for supplerende
tillidstjenester såsom tidsstempling eller elektroniske segl. B: Utilstrækkelig koordination mellem udvikling af elektroniske
signaturer og elektronisk identifikation De nationale
eIAS-infrastrukturer blev udviklet individuelt uden koordination på EU-plan. Derfor
skaber de tekniske løsningers manglende grænseoverskridende interoperabilitet
hindringer for elektroniske transaktioner. Den manglende gensidige anerkendelse
og accept er en af grundene til, at både brugerne og udbyderne af e-tjenester
er skeptiske med hensyn til anvendelsen af eIAS. C: Utilstrækkelig gennemsigtighed i sikkerhedsgarantier En stærk og
harmoniseret sikkerhed er vigtig, hvis der skal skabes pålidelige løsninger. Det gælder
særlig adgang til tjenester, der omfatter følsomme personoplysninger, som
f.eks. e-sundhed. Direktiv 99/93/EF anerkendte, at retssikkerheden kun kan
garanteres for elektroniske signaturer, som garanterer sikkerheden, og som
derfor er tilstrækkeligt beskyttet mod forfalskning og bedrageri (avancerede og
kvalificerede elektroniske signaturer). Brugerne ser manglen på
sikre eID-systemer som en væsentlig hindring. Det manglende harmoniserede
lovgrundlag for elektronisk identifikation betyder, at officiel elektronisk
identifikations sikkerhed og pålidelighed ikke kan bestemmes objektivt på tværs
af grænserne. Det skaber grænseoverskridende hindringer, en deraf følgende
mangel på tillid og et opsplittet marked. Et andet problem er
id-tyveri. Sikker elektronisk identifikation kan bidrage til at mindske
risikoen. Omvendt kan dårligt sikret elektronisk identifikation gøre det lettere
for kriminelle at erhverve falsk eller truet elektronisk identifikation. D: Manglende bevidsthed/brugeranvendelse Kompleksiteten af de
teknologier, der anvendes til elektroniske transaktioner, og den centrale
rolle, som pålidelige tredjeparter spiller, skaber et miljø, hvor det er
vanskeligt at vurdere tilliden. Slutbrugerne, som generelt ikke har
tilstrækkelig ekspertise, skal navnlig kunne henholde sig til regler, som
fastsætter klare rettigheder og ansvarsområder for alle interessenterne
(udbydere af tillidstjenester, slutbrugere og forvaltningsorganer). 3. Referencescenarie Referencescenariet for
initiativet er manglen på ny lovmæssig intervention. Det forventes, at de
nuværende problemer i dette scenarie vil udvikle sig som følger: Problemerne vedrørende
opsplittelsen og interoperabiliteten vil ikke blive løst: Medlemsstaterne vil sandsynligvis fortsætte med at gennemføre og
håndhæve direktiv 99/93/EF. Retssikkerheden vil
ikke blive garanteret: Problemerne som følge af den
utilstrækkelige gensidige anerkendelse af elektroniske signaturer og det
manglende lovgrundlag for gensidig anerkendelse og accept af elektronisk
identifikation og supplerende tillidstjenester vil hæmme den juridiske
anerkendelse af en række grænseoverskridende interaktioner. Brugernes behov vil
ikke til fulde blive opfyldt: Det er inden for det
nuværende lovgrundlag ikke muligt til fulde at udnytte mulighederne i
forbindelse med den teknologiske udvikling. Førende europæiske
initiativer vil ikke fuldt ud fungere som en løftestang: EU-politikker, som f.eks. direktiverne om tjenesteydelser, offentlige
indkøb og moms (elektroniske fakturaer) eller større pilotprojekter under
ikt-politikstøtteprogrammet[1],
som tilstræber at eliminere problemer vedrørende interoperabilitet og
grænseoverskridende anerkendelse i forbindelse med visse typer elektroniske
interaktioner, vil kun kunne fungere på pilotniveau, fordi der ikke eksisterer
et grænseoverskridende lovgrundlag. 4. Politikmål Der er identificeret
fire generelle mål, som er at
sikre udviklingen af et digitalt indre marked, at fremme udviklingen af vigtige
grænseoverskridende offentlige tjenester, at fremme og styrke konkurrencen i
det indre marked og at skabe større brugervenlighed (borgere og virksomheder). Disse mål er i overensstemmelse med strategiske
EU-politikker såsom EU 2020-strategien, den digitale dagsorden for Europa,
akten for det indre marked og køreplanen for stabilitet og vækst. Specifikke mål er udtryk for de ønskede
resultater i forbindelse med eIAS-markedet (”hvad”) om at indføre operationelle
mål (”hvordan”). For hvert
specifikt mål er der identificeret en række operationelle mål. 5. Indsatsmuligheder Tre grupper
løsningsmodeller blev vurderet med henblik på at løse problemerne og opfylde
de ovennævnte mål: 1) det påtænkte lovgrundlags anvendelsesområde, 2)
retligt instrument og 3) tilsynsniveau: ·
I den første gruppe, ”lovgrundlagets
anvendelsesområde”, undersøges fire løsningsmodeller: Løsningsmodel 0: Ophævelse af direktiv 99/93/EF og ingen lovgivningsmæssige
aktiviteter vedrørende elektronisk identifikation eller supplerende
tillidstjenester Denne løsningsmodel
omfatter indstilling af alle EU-aktiviteter på området elektroniske signaturer.
Direktiv 99/93/EF vil blive ophævet, og der bliver ikke foreslået
lovgivningsmæssige foranstaltninger til gensidig anerkendelse
af elektronisk identifikation. ·
Løsningsmodel 1: Ingen ændring af politikken (referencescenarie) Direktiv 99/93/EF
bliver bibeholdt i den nuværende form. Der bliver ikke foreslået lovgivning om
elektronisk identifikation. ·
Løsningsmodel 2: Styrkelse af
retssikkerheden, bedre koordination af det nationale tilsyn og sikring af
gensidig anerkendelse og accept af elektronisk identifikation Anvendelsesområdet for direktiv 99/93/EF vil blive udvidet for at
tilføje bestemmelser om grænseoverskrivende anerkendelse og accept af
ordningerne med ”anmeldt elektronisk identifikation”[2]. Direktivets bestemmelser om
elektroniske signaturer vil blive revideret for at afhjælpe de nuværende
svagheder og således opnå en bedre harmonisering af de nationale
tilsynsmodeller. ·
Løsningsmodel 3: Udvidelse med henblik på
at indarbejde visse supplerende tillidstjenester Denne løsningsmodel udvider løsningsmodel 2
ved at inkludere supplerende tillidstjenester og akkreditiver i forslagets
anvendelsesområde. Følgende væsentlige supplerende funktioner
kunne indarbejdes i lovgivningen: tidsstempling, elektroniske segl,
langtidsopbevaring af oplysninger, certificeret levering af elektroniske
dokumenter, elektroniske dokumenters antagelighed og webstedsautentifikation. ·
I den anden gruppe, som omfatter et ”retligt
instrument”, overvejes fire løsningsmodeller: Enten et enkelt omfattende
lovgivningsinstrument (løsningsmodel A) eller to særskilte instrumenter
(løsningsmodel B) Lovgivningen kunne bestå af en enkelt
omfattende foranstaltning, som dækker elektronisk identifikation, autentifikation
og signatur, eller to instrumenter, nemlig en beslutning fra Kommissionen om
elektronisk identifikation og en revision af direktivet om elektroniske
signaturer. Et direktiv (løsningsmodel C) eller en
forordning (løsningsmodel D): Lovgivningen kunne have form af et direktiv
eller en forordning. ·
I den tredje gruppe, tilsynsniveau, overvejes to
løsningsmodeller: Løsningsmodel i): Bevarelse af de
nationale tilsynsordninger De nuværende nationale tilsynsordninger vil
blive bibeholdt, men med en større harmonisering ved hjælp af væsentlige fælles
krav. Løsningsmodel ii): Oprettelse af et
EU-tilsynssystem Et EU-tilsynssystem skulle oprettes for at
reducere eller eliminere forskelle mellem de nationale tilsynsordninger. Det
kunne have en af to former: Delløsning a: udskiftning
af de eksisterende nationale tilsynsordninger med en fælles EU-tilsynsordning
og et fælles EU-tilsynsorgan. Delløsning b: oprettelse
af en EU-tilsynsordning og et EU-tilsynsorgan, samtidig med at de nationale
tilsynsordninger bevares (den enkelte medlemsstat kunne vælge sin egen ordning
eller EU-ordningen). 6. Sammenligning af
indsatsmuligheder og virkninger Indsatsmulighederne er
blevet vurderet og sammenlignet med referencescenariet (løsningsmodel 1) i
forhold til effektivitet og sammenhæng. 6.1. Lovgrundlagets
anvendelsesområde Løsningsmodel 0 vil ikke bidrage til at nå de mål, der er identificeret
i konsekvensanalyserapporten. Den vil ikke øge adgangen til og anvendelsen
af grænseoverskridende og tværsektorielle eIAS-tjenester, sikre et optimalt
forvaltningsniveau, fremme markedsudviklingen, bidrage til at styrke den
europæiske industris og tjenesteydelsessektorernes konkurrenceevne eller
sikre, at alle slutbrugere kan udnytte fordelen ved eIAS-tjenester. Den vil
tværtimod hæmme den teknologiske udvikling på eIAS-markedet, forstyrre den
nuværende proces med at muliggøre grænseoverskridende e-tjenester og opretholde
et opsplittet EU-marked og et uensartet tillidslandskab. Løsningsmodel 1 vil ikke bidrage til at nå målene. Den vil bidrage til at bevare
de eksisterende uklarheder, og tillidslandskabet vedrørende tilsyn bliver
ved med at være uensartet. Den lovmæssige usikkerhed vil fortsætte, og der vil
fortsat udvikle sig et opsplittet EU-landskab med ulige konkurrencevilkår i det
indre marked til følge samt en større sandsynlighed for forskellige nationale
tilgange. Løsningsmodel 2 vil
styrke retssikkerheden, fremme tilsynet og sikre gensidig anerkendelse og accept
af elektronisk identifikation, og den vil bidrage væsentligt til at nå de
enkelte mål, der er identificeret i konsekvensanalyserapporten, og give
positive økonomiske, sociale og miljømæssige resultater. eIAS-tjenester vil have
større tiltrækningskraft og give afkastet af investeringer i eIAS-infrastruktur
og -tjenester et skub. eIAS vil også blive tilgængelig for alle sektorer og
alle typer virksomheder og samtidig eliminere grænseoverskridende hindringer. Der
vil blive åbnet nye markeder og nye investeringer, hvilket vil fremme
innovationen. Den nuværende
opsplittelse af markedet vil blive reduceret, da den grænseoverskridende
interoperabilitet bliver forbedret ved at give mulighed for henvisninger til
tekniske standarder. Gensidig anerkendelse og accept af elektronisk identifikation vil
afvikle den nuværende hindring for det indre marked yderligere. Endelig er det
sandsynligt, at et homogent tilsyn som følge af fælles væsentlige krav vil øge
tilliden, gøre det lettere at opdage bedrageri og bidrage til at forhindre
identitetstyveri. Løsningsmodel 3 vil gøre eIAS-tjenesterne endnu mere attraktive og dermed fremme deres
positive virkning ved at udvide lovgrundlaget til at omfatte visse væsentlige supplerende
tillidstjenester. Det er mere
sandsynligt, at løsningsmodel 3 har
en betydelig virkning på sikre og brugervenlige elektroniske transaktioner
end løsningsmodel 0, 1 eller 2. 6.2. Retligt instrument Hvis der tilvejebringes et omfattende
lovgrundlag inden for et enkelt instrument, vil det sikre, at der opnås
en ensartet lovgivning til regulering af de forskellige aspekter. To
særskilte instrumenter kan medføre forskelle i de lovbestemmelser, der
vedtages for elektroniske signaturer og elektronisk identifikation - og, hvad
der er vigtigere, i tilgangen til initiativerne. Hvis
der vedtages et direktiv, vil det ikke bidrage til at løse de nuværende
problemer med elektroniske signaturers interoperabilitet i kraft af forskellig
gennemførelse af direktiv 99/93/EF i national lovgivning. En
forordning sikrer umiddelbar anvendelighed uden fortolkning og dermed
større harmonisering, og den er derfor bedre egnet til at nå den foreslåede
lovgivnings mål. En enkelt forordning synes at være den mest
effektive måde at nå målene på. 6.3. Tilsynsniveau Med løsningsmodel i vil den nye
lovgivning bevare de nuværende nationale tilsynsordninger og pålægge
tjenesteyderne væsentlige krav. En harmoniseret tilgang på EU-niveau for både
elektroniske signaturer og supplerende tillidstjenester vil give et mere
effektivt tilsyn, styrke retssikkerheden og øge tilliden til og sikkerheden ved
elektroniske transaktioner. Løsningsmodel ii
vil skabe et homogent og effektivt tilsyn af høj kvalitet i hele EU. Delløsning
b har den fordel, at den giver større fleksibilitet end det fælles
EU-tilsynsorgan i delløsning a. Den kunne være en fordel for
medlemsstater, hvor der ikke er etableret nogen eller kun få
tillidstjenesteydere for at overføre tilsynsopgaverne til et EU-tilsynsorgan. Andre
medlemsstater kunne, hvis de ønsker det, bevare deres tilsynsordning. En
centraliseret EU-tilsynsmodel giver imidlertid anledning til betænkeligheder
angående subsidiaritetsprincippet. Overholdelsen af subsidiaritetsprincippet tyder på, at (løsningsmodel
i) er mest hensigtsmæssig. 7. Begrundelse for EU-tiltag,
EU-merværdi og subsidiaritet Ligesom det er
tilfældet med direktiv 99/93/EF, er retsgrundlaget
for lovforslaget artikel 114 i TEUF om det indre marked, fordi
den har til formål at fjerne eksisterende hindringer for det indre markeds
funktion ved at fremme gensidig anerkendelse og accept af elektronisk
identifikation, elektroniske signaturer og supplerende tillidstjenester på
tværs af grænserne, når det er nødvendigt i forbindelse med elektroniske
transaktioner. En indsats på EU-plan er tilstrækkelig og forholdsmæssig
til at gennemføre det digitale indre marked på grund af eIAS-tjenesternes
iboende ikke-territoriale karakter. Lovgivningsmæssige foranstaltninger truffet
på nationalt plan kan ikke forventes at give det samme udfald. EU-intervention
er derfor påkrævet, hensigtsmæssigt og berettiget. 8. Tilsyn og evaluering Kommissionen vil overvåge gennemførelsen af
lovgivningen gennem en løbende dialog med interessenterne og indsamling af
statistikker, og den vil aflægge rapport til Europa-Parlamentet og Rådet om virkningen
af den nye lovgivning fire år efter dens ikrafttræden. [1] http://ec.europa.eu/information_society/activities/ict_psp/about. [2] ”Anmeldt
elektronisk identifikation”: en ordning for elektronisk identifikation, som
medlemsstaterne har meddelt Kommissionen, for at den kan blive anerkendt og
accepteret på tværs af grænserne. Begrebet anmeldt elektronisk identifikation
er ikke begrænset til elektronisk identifikation udstedt af den offentlige
sektor: Medlemsstaterne kan også anmelde elektronisk identifikation udstedt af
den private sektor, som de anerkender til anvendelse i deres egne
offentlige tjenester. Denne tilgang er nødvendig, fordi ikke alle medlemsstater
tillader udstedelse af elektronisk identifikation. Den tværsektorielle tilgang
i lovgivningen ville give den private sektor mulighed for at integrere brugen
af anmeldt elektronisk identifikation i e-tjenester, når der er behov for
sikker elektronisk identifikation.