Nu er vejen banet for fælles europæisk NemID

06. februar 2019

Nu er vejen banet for fælles europæisk NemID – ny standard sikrer krav til kvaliteten af elektroniske signaturer

En ny europæisk standard skal anvendes til at evaluere kvalitet og overensstemmelse med lovgivningen for de enheder, der anvendes ved aktivering af elektroniske signaturer som fx NemID.

Standarden er den første af sin slags i Europa og er målrettet de Kvalificerede Trust Service Providers, der leverer og opbevarer europæernes elektroniske signaturer. Danske Cryptomathic har deltaget i udviklingen af standarden og har dermed sikret sig indflydelse på kravene. 

En kvalificeret digital signatur er nøjagtig ligeså valid som en håndskreven signatur. Det slog den europæiske kommission i 2014 fast med eIDAS-forordningen om elektronisk identifikation og tillidstjenester for elektroniske transaktioner. Med den nye standard kommer der for første gang ensartede krav til serversystemer, der opbevarer og anvender digitale signaturer under brugerens kontrol. 

- Hidtil har der ikke været ensartede krav til, hvordan man certificerer de enheder, som bruges af Trust Service Providers, der står for levering og opbevaring af signaturerne. Det betyder, at hvert land i dag frit kan vælge, hvordan kvaliteten vurderes, og markedet har således fulgt nationale bestemmelser. Med introduktionen af standarden bliver der i stedet lavet ensartede krav på tværs af de europæiske grænser. Det gør det lettere for virksomheder, der har aktiviteter på tværs af landegrænser, herunder eksempelvis større banker, fortæller Astrid Bækby Knudsen der er konsulent i informationssikkerhed hos Dansk Standard.

Ny lov på vej

Standarden, der er på gaden 13. februar, er udviklet i det europæiske standardiseringsorgan, CEN. Den er indtil videre frivillig at bruge, men med en ny europæisk lov på området i sigte, kan det ifølge Jan Kjærsgaard, Senior Cryptography Manager i virksomheden Cryptomathic, der har været med til at udvikle standarden, være en god idé at skele til standarden allerede nu.

- Snart vil kvalitet være en del af lovgivningen på området. EU-Kommissionen arbejder nemlig på at opdatere en tidligere lov og her er det forventningen, at Kommissionen vil referere til EN 419 241-2 og på den måde gøre standarden obligatorisk, siger Jan Kjærsgaard. 
Skal man lave kvalificerede elektroniske signaturer, skal underskriftsnøglen befinde sig i et modul, som er certificeret efter den nye standard og hvor modulet befinder sig og håndteres i et miljø, som er under kontrol af en Kvalificeret Trust Service Provider. På den måde vil det være de nationale tilsynsmyndigheder, som garanterer for sikkerheden af det samlede system. 

En skabelon for kvalitet

Standarden består af en såkaldt Protection Profile, som er en slags skabelon, der definerer, hvordan man certificerer efter Common Criteria, fortæller Jan Kjærsgaard: 

Standarden er en slags skabelon for kvalitet. Med den i hånden skal man ikke bekymre sig om, hvordan man lever op til kravene. Man følger ganske enkelt, hvad der står i standarden.

For at betegne en elektronisk signatur som værende kvalificeret, stiller standarden krav til det system, der aktiverer signaturnøglen, blandt andet til identificering af personen bag, det der underskrives og selve nøglen, der bliver brugt. Et system som ligner det vi har med NemID. 
Kravet til et kvalificeret modul er også en del af den kommende afløser for NemID, NemLog-in3.
Spørger man Jan Kjærsgaard, er vi langt fremme i EU, hvilket både lovgivningen og standarden bidrager til. Faktisk så langt, at andre lande ser med. 

- Internationalt kigger man på EU, fordi vi har lovgivning på området. Amerika, Asien, Norge og Schweiz følger området og mit gæt er, at standardens takter vil brede sig over EU’s grænser. Har man globale aktiviteter, er det en god idé at se nærmere på standarden, afslutter Jan Kjærsgaard. 
Om den nye standard

Den nye standard hedder EN 419241-2 Trustworthy Systems Supporting Server Signing Part 2: Protection Profile for QSCD for Server Signing og er blevet til i en europæisk ekspertgruppe, som Cryptomathic har fået adgang til gennem Dansk Standards udvalg for informationssikkerhed. 
Udvalget arbejder med udvikling af standarder for informationssikkerhed og relaterede teknologier så som cloud, biometri, signaturer og identifikation. Alle med interesse og viden om området kan deltage i arbejdet og dermed være med til at sætte præg på fremtidens standarder.

Læs mere her: https://www.ds.dk/da/udvalg/kategorier/it/informationssikkerhed

 

Kontakt

Bjørn Nørrekjær Hvidtfeldt
Bjørn Nørrekjær Hvidtfeldt Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: bnh@ds.dk
T: 39 96 61 54

Se også

20. september 2023

Kommende EU-regulering på cyberområdet i et strategisk perspektiv

Se eller gense dette webinar, hvor du får inspiration til, hvordan du i et strategisk perspektiv kan håndtere den kommende EU-regulering på cyberområdet.

Digitale produkter skal sikres mod cybertrusler

12. september 2023

Digitale produkter skal sikres mod cybertrusler

EU’s Cyber Resilience Act skal være med til at sikre digitale produkter, som fx trådløse højtalere og apps, mod den stigende cyberkriminalitet. Ifølge DI bør danske virksomheder allerede nu sætte sig ind i de kommende krav, som kommer til at gælde...

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?

05. september 2023

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?

Skærpede krav og flere regler for flere virksomheder end tidligere – det er blandt konsekvenserne, når det noget mere omfattende NIS2-direktiv træder i kraft fra oktober 2024. Men i sidste ende betyder det også større sikkerhed for langt de fleste...

17. august 2023

Introduktion til data spaces og standardisering

Se eller gense dette webinar, hvor du får en generel introduktion til, hvad et data space er, og hvilken rolle standardisering forventes at spille for at understøtte datadeling i forbindelse med data spaces.