Kapittel I.- Alminnelige regler
§ 1.– Lovens formål
Formålet med denne loven er å legge til rette for en sikker og effektiv bruk av elektronisk signatur ved å fastsette krav til kvalifiserte sertifikater, til utstederne av disse sertifikatene og til sikre signaturfremstillingssystemer.
§ 2.– Lovens virkeområde
Loven gjelder for sertifikatutstedere som er etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer, med unntak av § 6 annet punktum, § 7 og § 16 a som gjelder alle elektroniske signaturer.
Kongen kan i forskrift bestemme at loven skal gjelde for Svalbard og Jan Mayen.
Endret ved lov 17 juni 2005 Nr. 104 (ikr. 1 juli 2005 iflg. res. 17 juni 2005 Nr. 584).
§ 3.– Definisjoner
I denne loven menes med:
1 elektronisk signatur: data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode,
2 avansert elektronisk signatur: en elektronisk signatur som
a) er entydig knyttet til undertegneren,
b) kan identifisere undertegneren,
c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og
d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering,
3 kvalifisert elektronisk signatur: en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem,
4 undertegner: den som disponerer et signaturfremstillingssystem og som handler på vegne av seg selv eller på vegne av en annen fysisk eller juridisk person,
5 signaturfremstillingssdata: (1) unike data, som for eksempel koder eller private nøkler, som undertegneren benytter for å fremstille en elektronisk signatur,
6 signaturfremstillingssystem: programvare eller maskinvare som benyttes til å fremstille elektronisk signatur ved hjelp av signaturfremstillingsdata,
7 signaturverifikasjonsdata: unike data, som for eksempel koder eller offentlige nøkler, som benyttes til å verifisere en elektronisk signatur,
8 signaturverifikasjonssystem: programvare eller maskinvare som benyttes for å verifisere elektronisk signatur ved hjelp av signaturverifikasjonsdata,
9 sertifikat: en kopling mellom signaturverifikasjonsdata og undertegner som bekrefter undertegners identitet og er signert av sertifikatutsteder,
10 sertifikatutsteder: en fysisk eller juridisk person som utsteder sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur,
11 sertifiseringsordning: enhver ordning der en tredjepart skriftlig bekrefter at en sertifikatutsteders produkter, prosesser eller tjenester oppfyller spesifiserte krav, og der sertifikatutsteder ikke er berettiget til å utøve de rettighetene som sertifiseringen gir før vedkommende har mottatt tredjeparts bekreftelse,
12 godkjenningsordning: enhver ordning der en tredjepart gir tillatelse til at en sertifikatutsteders produkter, prosesser eller tjenester markedsføres eller brukes til nærmere angitte formål eller under angitte betingelser,
13 selvdeklarasjonsordning: enhver ordning der sertifikatutstedere sender inn en selvdeklarasjon til tredjepart med angivelse av at nærmere angitte krav er oppfylt.
Endret ved lover 20 des 2002 Nr. 110 (ikr. 1 jan 2003 iflg. res. 20 des 2002 Nr. 1615), 17 juni 2005 Nr. 104 (ikr. 1 juli 2005 iflg. res. 17 juni 2005 Nr. 584).
(1) Skal være “signaturfremstillingsdata”.
§ 4.-. Kvalifisert sertifikat
Betegnelsen kvalifisert sertifikat skal kun brukes om sertifikater som oppfyller kravene i denne paragrafen og utstedes for en begrenset periode av en sertifikatutsteder som oppfyller kravene i §§ 10 – 15.
Et kvalifisert sertifikat skal inneholde følgende informasjon:
a) en angivelse av at sertifikatet er utstedt som et kvalifisert sertifikat,
b) sertifikatutstederens identitet og den stat den er etablert i,
c) undertegnerens navn eller pseudonym med opplysning om at det er et pseudonym,
d) eventuelt ytterligere opplysninger om undertegneren, dersom de er relevante for bruken av sertifikatet,
e) de signaturverifikasjonsdata, som svarer til de signaturfremstillingsdata som er under undertegnerens kontroll,
f) sertifikatets ikrafttredelses- og utløpsdato,
g) sertifikatets identifikasjonskode,
h) sertifikatutstederens avanserte elektroniske signatur,
i) eventuelle begrensninger i sertifikatets anvendelsesområde, og
j) eventuelle beløpsmessige begrensninger i sertifikatet med hensyn til hvilke transaksjoner sertifikatet kan brukes til.
Kongen kan i forskrift regulere hva det kvalifiserte sertifikatet nærmere skal inneholde.
§ 5.– Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor
Kongen kan fastsette nærmere regler om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor.
§ 6.– Rettsvirkninger av elektronisk signatur
Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav. En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav.
§ 7.– Innsamling og bruk av personopplysninger
En sertifikatutsteder får kun innhente personopplysninger direkte fra den opplysningene gjelder, eller med dennes uttrykkelige samtykke og bare i den utstrekning som er nødvendig for å utstede eller opprettholde et sertifikat. Opplysningene må ikke samles inn eller behandles for andre formål, så fremt ikke den opplysningene gjelder har gitt sitt uttrykkelige samtykke til det.
Datatilsynet skal føre tilsyn med at denne bestemmelsen overholdes. I den utstrekning ikke annet følger av denne lov, kommer personopplysningsloven §§ 42-47 med forskrifter til anvendelse ved Datatilsynets kontroll etter første punktum.
Endret ved lov 20 des 2002 Nr. 110 (ikr. 1 jan 2003 iflg. res. 20 des 2002 Nr. 1615).
Kapittel II.- Sikre signaturfremstillingssystemer
§ 8.– Krav til sikre signaturfremstillingssystemer
Et sikkert signaturfremstillingssystem skal sikre at signaturen er tilfredsstillende beskyttet mot forfalskning. Videre skal et sikkert signaturfremstillingssystem sikre at signaturfremstillingsdata:
a) i praksis kun kan fremtre én gang og med rimelig grad av sikkerhet forblir hemmeligholdt,
b) i rimelig utstrekning ikke kan utledes, og
c) på pålitelig vis kan beskyttes av rette undertegner mot andres bruk.
Et sikkert signaturfremstillingssystem må ikke forandre data i elektronisk form som skal signeres, eller hindre at dataene vises for undertegner før det signeres.
§ 9.– Godkjennelse av sikre signaturfremstillingssystem
Godkjennelse som et sikkert signaturfremstillingssystem, jf. § 8, gis av det organ som Kongen utpeker. Kongen kan i forskrift gi nærmere bestemmelser om organet og om krav til sikre signaturfremstillingssystem.
Likestilt med godkjennelse etter første ledd er godkjennelse fra et tilsvarende organ i en annen stat som er part i EØS-avtalen.
Kravene i § 8 skal anses oppfylt når den maskin- eller programvaren som benyttes, er i samsvar med de standarder for elektroniske signaturprodukter som Europakommisjonen fastsetter og som offentliggjøres i De Europeiske Fellesskaps Tidende.
Kapittel III.- Krav til utstedere av kvalifiserte sertifikater
§ 10.– Krav til virksomheten
Utstedere av kvalifiserte sertifikater skal utøve og administrere virksomheten på en forsvarlig måte slik at den kan tilby sikre, pålitelige og velfungerende sertifikattjenester.
Sertifikatutstederen skal til enhver tid ha tilstrekkelige økonomiske ressurser til å kunne drive virksomheten i henhold til kravene som er stilt i eller i medhold av denne lov.
§ 11.– Krav til produkter og systemer
Utstedere av kvalifiserte sertifikater skal bruke pålitelige produkter og systemer som er beskyttet mot endringer, og som gir teknisk og kryptografisk sikkerhet i understøttende prosesser.
Kravene i første ledd skal anses oppfylte dersom sertifikatutsteder benytter seg av produkter og systemer som er godkjent av et organ i henhold til § 9 første og annet ledd, eller er i samsvar med standarder fastsatt av Europakommisjonen etter § 9 tredje ledd.
Sertifikatutsteder skal iverksette tiltak mot forfalskning av sertifikatene. Dersom sertifikatutsteder fremstiller signaturfremstillingsdata, skal utstederen garantere fortroligheten av disse dataene under fremstillingsprosessen.
§ 12.– Krav om katalog- og tilbaketrekkingstjeneste
Utstedere av kvalifiserte sertifikater skal sørge for en hurtig og sikker katalog- og tilbaketrekkingstjeneste og skal sikre at det er mulig å fastslå dato og tidspunkt for ikrafttredelse eller tilbaketrekking av et sertifikat.
§ 13.– Krav om kontroll av undertegners identitet
Utstedere av kvalifiserte sertifikater er ansvarlige for at identiteten til undertegner og ytterligere relevante opplysninger om vedkommende blir kontrollert gjennom sikre rutiner.
Opplysninger om rutinene som nevnt i første ledd skal være offentlig tilgjengelige.
§ 14.– Krav til lagring av opplysninger
Utstedere av kvalifiserte sertifikater skal lagre alle relevante opplysninger om kvalifiserte sertifikater i en rimelig periode, dog minst 10 år etter at sertifikatet er registrert i tilbaketrekkingslisten.
Sertifikatutsteder skal benytte pålitelige systemer til oppbevaring av sertifikater i verifiserbar form, slik at
a) opplysningens ekthet kan kontrolleres,
b) sertifikatene kun er offentlig tilgjengelige i de tilfellene der innehaveren har gitt sitt samtykke, og
c) eventuelle tekniske endringer, som bringer disse sikkerhetskravene i fare, er synlige for operatøren.
Utstedere av kvalifiserte sertifikater må ikke oppbevare eller kopiere undertegners signaturfremstillingsdata.
§ 15.– Krav om informasjon om vilkår, begrensninger og lignende
Før en sertifikatutsteder inngår avtale om å utstede et kvalifisert sertifikat skal utstederen skriftlig informere motparten om
a) vilkårene og begrensningene for bruken av sertifikatet,
b) opplysninger om eventuelle frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger, og
c) prosedyrer for klage og avgjørelse av tvister.
Opplysninger i henhold til første ledd kan sendes elektronisk, dersom det skjer i en for motparten umiddelbart lesbar form. Disse opplysningene skal også kunne kontrolleres av signaturmottakeren.
Endret ved lov 17 juni 2005 Nr. 104 (ikr. 1 juli 2005 iflg. res. 17 juni 2005 Nr. 584).
§ 16.– Utfyllende krav
Kongen kan i forskrift fastsette nærmere regler om hvilke krav som kan stilles til utstedere av kvalifiserte sertifikater for å oppfylle bestemmelsene i §§ 10-15.
Kapittel IIIa.- Frivillige sertifiseringsordninger, godkjenningsordninger eller selvdeklarasjonsordninger
Overskriften tilføyd ved lov 17 juni 2005 Nr. 104 (ikr. 1 juli 2005 iflg. res. 17 juni 2005 Nr. 584).
§ 16a.– Etablering av frivillige sertifiseringsordninger, godkjenningsordninger eller selvdeklarasjonsordninger
Departementet kan ved forskrift innføre frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger med sikte på å høyne nivået for sertifikattjenester for å øke tilliten til og bruken av slike tjenester.
Departementet kan i forskriften bestemme hvilke krav som skal stilles for slike ordninger, utpeke ansvarlig organ og bestemme at det skal betales gebyr til organet. Gebyrene må ikke overstige kostnadene ved organets virksomhet.
For å bringe lovstridig virksomhet til opphør eller sikre at pålegg eller vilkår gitt i forskrift med hjemmel i denne bestemmelsen etterkommes, kan organet utpekt etter annet ledd ilegge løpende tvangsmulkt etter reglene i § 20.
Tilføyd ved lov 17 juni 2005 Nr. 104 (ikr. 1 juli 2005 iflg. res. 17 juni 2005 Nr. 584).
Kapittel IV.- Tilsyn og sanksjoner
§ 17.– Tilsyn med utstedere av kvalifiserte sertifikater
Kongen kan utpeke et organ som skal føre tilsyn med at denne lov med forskrifter etterleves.
Tilsynet kan kreve de opplysninger og dokumenter som er nødvendige for å utføre sine oppgaver, og fastsette en tidsfrist for å sende dem inn.
Tilsynet kan gi påbud om at forhold som er i strid med bestemmelser som er gitt i eller i medhold av denne loven, skal opphøre og stille vilkår som må oppfylles for at virksomheten skal være i samsvar med loven.
Tilsynet kan kreve at det gjennomføres IT-revisjon hos utstedere av kvalifiserte sertifikater og utpeke en revisor til å utføre IT-revisjonen. Sertifikatutsteder kan pålegges å betale for revisjonen.
Tilsynet kan frata en sertifikatutsteder retten til å anvende betegnelsen kvalifisert sertifikat, dersom sertifikatutstederen grovt eller gjentatte ganger ikke overholder lovens regler.
Kongen kan gi nærmere forskrifter om tilsynets virksomhet.
§ 18.– Registrering av utstedere av kvalifiserte sertifikater
En sertifikatutsteder kan ikke utstede kvalifiserte sertifikater før registreringsmelding er sendt til tilsynet. Endringer i allerede registrerte opplysninger og nye opplysninger som skal registeres, skal meldes til tilsynet uten ugrunnet opphold.
§ 19.– Adgang til lokaler m.v.
Tilsynet kan som ledd i sin kontroll, kreve adgang til steder der det drives virksomhet som står under tilsyn.
Tilsynet kan gjennomføre de kontroller det finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført kontrollen.
Lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker § 15 om fremgangsmåten ved granskning, kommer til anvendelse.
§ 20.– Tvangsmulkt
For å sikre at bestemmelser som er gitt i eller i medhold av denne lov overholdes, kan tilsynet bestemme at sertifikatutsteder skal betale en daglig løpende mulkt til staten inntil lovstridig virksomhet er opphørt eller pålegg og vilkår gitt med hjemmel i denne lov er etterkommet.
Mulkten løper ikke før klagefristen er ute. Påklages vedtaket om tvangsmulkt, løper ingen tvangsmulkt før klagesaken er avgjort med mindre klageorganet bestemmer annerledes.
Tilsynet kan frafalle påløpt tvangsmulkt.
§ 21.– Straff
Med bøter straffes den som forsettlig eller grovt uaktsomt
a) unnlater å registrere/sende melding etter § 18,
b) unnlater å gi opplysninger etter § 17,
c) behandler personopplysninger i strid med §§ 7 og 14, eller
d) gir uriktige eller villedende opplysninger til tilsynet.
Medvirkning straffes på samme måte.
Endres ved lov 20 mai 2005 Nr. 28 (ikr. fra den tid som fastsettes ved lov) som endret ved lov 19 juni 2009 Nr. 74.
§ 22.– Erstatning
En sertifikatutsteder som utsteder sertifikater som utgis for å være kvalifiserte, eller som garanterer for slike sertifikater utgitt av en annen, er erstatningsansvarlig for tap hos en fysisk eller juridisk person som følge av at denne hadde hatt rimelig grunn til å ha tillit til at:
a) informasjonen angitt i sertifikatet var korrekt på utstedelsestidspunktet,
b) sertifikatet inneholder alle opplysninger som kreves i henhold til § 4,
c) signaturfremstillingsdata og signaturverifikasjonsdata hører sammen på en unik måte dersom sertifikatutstederen fremstiller begge,
d) undertegner disponerte korrekt signaturfremstillingsdata på tidspunktet da sertifikatet ble utstedt, eller
e) sertifikatet blir registrert i tilbaketrekkingslisten, jf. § 12.
Sertifikatutsteder er ansvarlig etter første ledd medmindre han godtgjør at han, eller den han garanterer for, ikke handlet uaktsomt.
Sertifikatutsteder er ikke erstatningsansvarlig for skade som skyldes at sertifikatet har blitt brukt i strid med tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger.
§ 23.– Klageadgang
Tilsynets avgjørelser etter bestemmelser som er gitt i eller i medhold av denne loven, kan påklages til det organ Kongen utpeker.
§ 24.– Gebyr
Kongen kan i forskrift bestemme at sertifikatutstedere som er registreringspliktige etter § 18, skal betale gebyr. Gebyrene må ikke overstige kostnadene ved tilsynets virksomhet.
Kapittel V.- Internasjonale forhold
§ 25.– Rettslig anerkjennelse av kvalifiserte sertifikater fra utstedere etablert utenfor Norge
Sertifikater fra sertifikatutstedere som er etablert innen EØS, anses som kvalifiserte sertifikater i henhold til denne lov dersom de oppfyller kravene til et kvalifisert sertifikat i det landet der utstederen er etablert.
Kvalifiserte sertifikater fra sertifikatutstedere som er etablert i land utenfor EØS, skal gis rettslig anerkjennelse på lik linje med kvalifiserte sertifikater fra sertifikatutstedere innen EØS dersom:
a) utstederen oppfyller kravene i en EØS-stat og har blitt godkjent i henhold til en frivillig sertifiserings- eller godkjenningsordning i den staten,
b) en sertifikatutsteder som er etablert innen EØS, og som oppfyller kravene i etableringsstaten, garanterer for utstederen, eller
c) sertifikatet eller utstederen er anerkjent i henhold til multilaterale eller bilaterale avtaler mellom Norge eller EU og tredjeland eller internasjonale organisasjoner.
Endret ved lover 20 des 2002 Nr. 110 (ikr. 1 jan 2003 iflg. res. 20 des 2002 Nr. 1615), 17 juni 2005 Nr. 104 (ikr. 1 juli 2005 iflg. res. 17 juni 2005 Nr. 584).
Kapittel VI.- Ikrafttredelse og overgangsregler
§ 26.– Ikrafttredelse
Loven trer i kraft fra den tid Kongen bestemmer.(1)
(1) Fra 1 juli 2001 iflg. res. 15 juni 2001 Nr. 614.
§ 27.– Overgangsregler
Utstedere av kvalifiserte sertifikater skal innen 6 måneder etter at loven har trådt i kraft registrere seg i henhold til § 18 eller innenfor samme frist opphøre med å kalle sertifikatene for kvalifiserte eller bruke betegnelse som gir inntrykk av at de er kvalifiserte.