Nu er vejen banet for fælles europæisk NemID

06. februar 2019

Nu er vejen banet for fælles europæisk NemID – ny standard sikrer krav til kvaliteten af elektroniske signaturer

En ny europæisk standard skal anvendes til at evaluere kvalitet og overensstemmelse med lovgivningen for de enheder, der anvendes ved aktivering af elektroniske signaturer som fx NemID.

Standarden er den første af sin slags i Europa og er målrettet de Kvalificerede Trust Service Providers, der leverer og opbevarer europæernes elektroniske signaturer. Danske Cryptomathic har deltaget i udviklingen af standarden og har dermed sikret sig indflydelse på kravene. 

En kvalificeret digital signatur er nøjagtig ligeså valid som en håndskreven signatur. Det slog den europæiske kommission i 2014 fast med eIDAS-forordningen om elektronisk identifikation og tillidstjenester for elektroniske transaktioner. Med den nye standard kommer der for første gang ensartede krav til serversystemer, der opbevarer og anvender digitale signaturer under brugerens kontrol. 

- Hidtil har der ikke været ensartede krav til, hvordan man certificerer de enheder, som bruges af Trust Service Providers, der står for levering og opbevaring af signaturerne. Det betyder, at hvert land i dag frit kan vælge, hvordan kvaliteten vurderes, og markedet har således fulgt nationale bestemmelser. Med introduktionen af standarden bliver der i stedet lavet ensartede krav på tværs af de europæiske grænser. Det gør det lettere for virksomheder, der har aktiviteter på tværs af landegrænser, herunder eksempelvis større banker, fortæller Astrid Bækby Knudsen der er konsulent i informationssikkerhed hos Dansk Standard.

Ny lov på vej

Standarden, der er på gaden 13. februar, er udviklet i det europæiske standardiseringsorgan, CEN. Den er indtil videre frivillig at bruge, men med en ny europæisk lov på området i sigte, kan det ifølge Jan Kjærsgaard, Senior Cryptography Manager i virksomheden Cryptomathic, der har været med til at udvikle standarden, være en god idé at skele til standarden allerede nu.

- Snart vil kvalitet være en del af lovgivningen på området. EU-Kommissionen arbejder nemlig på at opdatere en tidligere lov og her er det forventningen, at Kommissionen vil referere til EN 419 241-2 og på den måde gøre standarden obligatorisk, siger Jan Kjærsgaard. 
Skal man lave kvalificerede elektroniske signaturer, skal underskriftsnøglen befinde sig i et modul, som er certificeret efter den nye standard og hvor modulet befinder sig og håndteres i et miljø, som er under kontrol af en Kvalificeret Trust Service Provider. På den måde vil det være de nationale tilsynsmyndigheder, som garanterer for sikkerheden af det samlede system. 

En skabelon for kvalitet

Standarden består af en såkaldt Protection Profile, som er en slags skabelon, der definerer, hvordan man certificerer efter Common Criteria, fortæller Jan Kjærsgaard: 

Standarden er en slags skabelon for kvalitet. Med den i hånden skal man ikke bekymre sig om, hvordan man lever op til kravene. Man følger ganske enkelt, hvad der står i standarden.

For at betegne en elektronisk signatur som værende kvalificeret, stiller standarden krav til det system, der aktiverer signaturnøglen, blandt andet til identificering af personen bag, det der underskrives og selve nøglen, der bliver brugt. Et system som ligner det vi har med NemID. 
Kravet til et kvalificeret modul er også en del af den kommende afløser for NemID, NemLog-in3.
Spørger man Jan Kjærsgaard, er vi langt fremme i EU, hvilket både lovgivningen og standarden bidrager til. Faktisk så langt, at andre lande ser med. 

- Internationalt kigger man på EU, fordi vi har lovgivning på området. Amerika, Asien, Norge og Schweiz følger området og mit gæt er, at standardens takter vil brede sig over EU’s grænser. Har man globale aktiviteter, er det en god idé at se nærmere på standarden, afslutter Jan Kjærsgaard. 
Om den nye standard

Den nye standard hedder EN 419241-2 Trustworthy Systems Supporting Server Signing Part 2: Protection Profile for QSCD for Server Signing og er blevet til i en europæisk ekspertgruppe, som Cryptomathic har fået adgang til gennem Dansk Standards udvalg for informationssikkerhed. 
Udvalget arbejder med udvikling af standarder for informationssikkerhed og relaterede teknologier så som cloud, biometri, signaturer og identifikation. Alle med interesse og viden om området kan deltage i arbejdet og dermed være med til at sætte præg på fremtidens standarder.

Læs mere her: https://www.ds.dk/da/udvalg/kategorier/it/informationssikkerhed

 

Kontakt

Bjørn Nørrekjær Hvidtfeldt
Bjørn Nørrekjær Hvidtfeldt Fagleder I Head of Digital
Standardisering | Digital & Bæredygtighed
E: bnh@ds.dk
T: 39 96 61 54

Se også

Dansk version af verdens første AI-ledelsesstandard er klar til brug

11. juli 2025

Dansk version af verdens første AI-ledelsesstandard er klar til brug

Verdens første internationale ledelsesstandard for kunstig intelligens er nu oversat til dansk. Standarden giver en struktureret ramme for ansvarlig udvikling og anvendelse af AI og er relevant for både private og offentlige aktører, uanset større...

Sådan hjælper standarder med at opfylde kravene i NIS 2-direktivet

09. juli 2025

Sådan hjælper standarder med at opfylde kravene i NIS 2-direktivet

Den 1. juli 2025 trådte NIS 2-direktivet i kraft i Danmark. Det betyder nye og skærpede krav til cybersikkerhed for både offentlige myndigheder og private virksomheder i samfundskritiske og vigtige sektorer. Heldigvis kan internationalt anerkendte...

Ny AI-guide skal hjælpe virksomheder med at leve op til kravene i AI Act

07. juli 2025

Ny AI-guide skal hjælpe virksomheder med at leve op til kravene i AI Act

Siden 2. februar 2025 har danske virksomheder og organisationer skullet dokumentere deres AI-færdigheder. Nu lanceres en ny guide, der viser, hvordan man arbejder struktureret og ansvarligt med AI.

27. juni 2025

Lancering af ny national specifikation for AI-færdigheder

Hvordan klæder man organisationen på til at bruge AI ansvarligt og leve op til AI Act? Se eller gense webinaret om den nye nationale specifikation for AI-færdigheder, lanceret af Dansk Standard, IDA og eksperter fra erhvervslivet.