Nu er vejen banet for fælles europæisk NemID

06. februar 2019

Nu er vejen banet for fælles europæisk NemID – ny standard sikrer krav til kvaliteten af elektroniske signaturer

En ny europæisk standard skal anvendes til at evaluere kvalitet og overensstemmelse med lovgivningen for de enheder, der anvendes ved aktivering af elektroniske signaturer som fx NemID.

Standarden er den første af sin slags i Europa og er målrettet de Kvalificerede Trust Service Providers, der leverer og opbevarer europæernes elektroniske signaturer. Danske Cryptomathic har deltaget i udviklingen af standarden og har dermed sikret sig indflydelse på kravene. 

En kvalificeret digital signatur er nøjagtig ligeså valid som en håndskreven signatur. Det slog den europæiske kommission i 2014 fast med eIDAS-forordningen om elektronisk identifikation og tillidstjenester for elektroniske transaktioner. Med den nye standard kommer der for første gang ensartede krav til serversystemer, der opbevarer og anvender digitale signaturer under brugerens kontrol. 

- Hidtil har der ikke været ensartede krav til, hvordan man certificerer de enheder, som bruges af Trust Service Providers, der står for levering og opbevaring af signaturerne. Det betyder, at hvert land i dag frit kan vælge, hvordan kvaliteten vurderes, og markedet har således fulgt nationale bestemmelser. Med introduktionen af standarden bliver der i stedet lavet ensartede krav på tværs af de europæiske grænser. Det gør det lettere for virksomheder, der har aktiviteter på tværs af landegrænser, herunder eksempelvis større banker, fortæller Astrid Bækby Knudsen der er konsulent i informationssikkerhed hos Dansk Standard.

Ny lov på vej

Standarden, der er på gaden 13. februar, er udviklet i det europæiske standardiseringsorgan, CEN. Den er indtil videre frivillig at bruge, men med en ny europæisk lov på området i sigte, kan det ifølge Jan Kjærsgaard, Senior Cryptography Manager i virksomheden Cryptomathic, der har været med til at udvikle standarden, være en god idé at skele til standarden allerede nu.

- Snart vil kvalitet være en del af lovgivningen på området. EU-Kommissionen arbejder nemlig på at opdatere en tidligere lov og her er det forventningen, at Kommissionen vil referere til EN 419 241-2 og på den måde gøre standarden obligatorisk, siger Jan Kjærsgaard. 
Skal man lave kvalificerede elektroniske signaturer, skal underskriftsnøglen befinde sig i et modul, som er certificeret efter den nye standard og hvor modulet befinder sig og håndteres i et miljø, som er under kontrol af en Kvalificeret Trust Service Provider. På den måde vil det være de nationale tilsynsmyndigheder, som garanterer for sikkerheden af det samlede system. 

En skabelon for kvalitet

Standarden består af en såkaldt Protection Profile, som er en slags skabelon, der definerer, hvordan man certificerer efter Common Criteria, fortæller Jan Kjærsgaard: 

Standarden er en slags skabelon for kvalitet. Med den i hånden skal man ikke bekymre sig om, hvordan man lever op til kravene. Man følger ganske enkelt, hvad der står i standarden.

For at betegne en elektronisk signatur som værende kvalificeret, stiller standarden krav til det system, der aktiverer signaturnøglen, blandt andet til identificering af personen bag, det der underskrives og selve nøglen, der bliver brugt. Et system som ligner det vi har med NemID. 
Kravet til et kvalificeret modul er også en del af den kommende afløser for NemID, NemLog-in3.
Spørger man Jan Kjærsgaard, er vi langt fremme i EU, hvilket både lovgivningen og standarden bidrager til. Faktisk så langt, at andre lande ser med. 

- Internationalt kigger man på EU, fordi vi har lovgivning på området. Amerika, Asien, Norge og Schweiz følger området og mit gæt er, at standardens takter vil brede sig over EU’s grænser. Har man globale aktiviteter, er det en god idé at se nærmere på standarden, afslutter Jan Kjærsgaard. 
Om den nye standard

Den nye standard hedder EN 419241-2 Trustworthy Systems Supporting Server Signing Part 2: Protection Profile for QSCD for Server Signing og er blevet til i en europæisk ekspertgruppe, som Cryptomathic har fået adgang til gennem Dansk Standards udvalg for informationssikkerhed. 
Udvalget arbejder med udvikling af standarder for informationssikkerhed og relaterede teknologier så som cloud, biometri, signaturer og identifikation. Alle med interesse og viden om området kan deltage i arbejdet og dermed være med til at sætte præg på fremtidens standarder.

Læs mere her: https://www.ds.dk/da/udvalg/kategorier/it/informationssikkerhed

 

Kontakt

Bjørn Nørrekjær Hvidtfeldt
Bjørn Nørrekjær Hvidtfeldt Fagleder I Head of Digital
Standardisering | Digital & Bæredygtighed
E: bnh@ds.dk
T: 39 96 61 54

Se også

27. juni 2025

Lancering af ny national specifikation for AI-færdigheder

Hvordan klæder man organisationen på til at bruge AI ansvarligt og leve op til AI Act? Se eller gense webinaret om den nye nationale specifikation for AI-færdigheder, lanceret af Dansk Standard, IDA og eksperter fra erhvervslivet.

17. juni 2025

Webinar om implementering af NIS2-kravene med vejledninger og ISO/IEC 27001

Vil du have inspiration til, hvordan I implementerer de nye cybersikkerhedskrav fra NIS2-loven? Se eller gense dette webinar og bliv klogere på både indholdet i de nye NIS2-vejledninger, og hvilken værdi det kan give at tage udgangspunkt i standar...

Ny specifikation skal sikre fælles sprog om kvanteteknologi

11. juni 2025

Ny specifikation skal sikre fælles sprog om kvanteteknologi

Et fælles sprog om kvanteteknologi er afgørende for at udnytte dens potentiale. Den nye specifikation giver et solidt fundament, som gør det muligt for både virksomheder, forskere og beslutningstagere at samarbejde mere effektivt om udvikling, imp...

Standarder til AI Act er i fuld gang med at blive udviklet

14. maj 2025

Standarder til AI Act er i fuld gang med at blive udviklet

Den 2. august 2026 skal organisationer, der udvikler eller anvender AI-systemer, som bliver karakteriseret som højrisiko, leve op til en række krav i AI Act, den europæiske forordning for kunstig intelligens. Kommende standarder skal hjælpe organi...