Svensk författningssamling
Svensk författningssamling
Lag
om kvalificerade elektroniska signaturer;
utfärdad den 2 november 2000.
Enligt riksdagens beslut1 föreskrivs2 följande.
Allmän bestämmelse
1 § Syftet med denna lag är att underlätta användningen av elektroniska signaturer, genom bestämmelser om säkra anordningar för signaturframställ- ning, om kvalificerade certifikat för elektroniska signaturer och om utfär- dande av sådana certifikat.
Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten.
Definitioner
2 § I lagen avses med
elektronisk signatur: data i elektronisk form som är fogade till eller lo- giskt knutna till andra elektroniska data och som används för att kontrollera att innehållet härrör från den som framstår som utställare och att det inte har förvanskats,
avancerad elektronisk signatur: elektronisk signatur som
a) är knuten uteslutande till en undertecknare,
b) gör det möjligt att identifiera undertecknaren,
c) är skapad med hjälpmedel som endast undertecknaren kontrollerar, och
d) är knuten till andra elektroniska data på ett sådant sätt att förvansk- ningar av dessa data kan upptäckas,
kvalificerad elektronisk signatur: avancerad elektronisk signatur som är baserad på ett kvalificerat certifikat och som är skapad av en säker anord- ning för signaturframställning,
undertecknare: fysisk person som behörigen innehar en anordning för sig- naturframställning,
signaturframställningsdata: unika data, såsom koder eller hemliga kryp- teringsnycklar, som används för att skapa en elektronisk signatur,
anordning för signaturframställning: maskin- eller programvara för an- vändning av signaturframställningsdata,
1 Prop. 1999/2000:117, bet. 2000/01:TU3, rskr. 2000/01:13.
2 Jfr Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer (EGT L 13, 19.1.2000, s. 12, Celex 31999L0093).
SFS 2000:832
Utkom från trycket den 14 november 2000
1
SFS 2000:832 säker anordning för signaturframställning: anordning för signaturfram- ställning som uppfyller kraven i 3 §,
signaturverifieringsdata: data, såsom koder eller öppna krypteringsnyck- lar, som används för att verifiera en elektronisk signatur,
certifikat: intyg i elektronisk form som kopplar ihop signaturverifierings- data med en undertecknare och bekräftar dennes identitet,
kvalificerat certifikat: certifikat som uppfyller kraven i 6 eller 7 §,
certifikatutfärdare: den som utfärdar certifikat eller som garanterar att nå- gon annans certifikat uppfyller vissa krav.
Säkra anordningar för signaturframställning
3 § En anordning för signaturframställning som anges vara säker skall sä- kerställa att signaturen är tillfredsställande skyddad mot förfalskning. An- ordningen skall även säkerställa att signaturframställningsdata
1. i praktiken kan förekomma endast en gång,
2. med rimlig säkerhet inte kan härledas, och
3. på ett tillfredsställande sätt kan skyddas av den behörige underteckna- ren, så att andra inte kan komma åt eller använda dem.
Anordningen får inte förändra de uppgifter som skall signeras elektroniskt eller hindra att de presenteras för undertecknaren före den elektroniska sig- neringen.
4 § Kraven i 3 § på en säker anordning för signaturframställning skall an- ses uppfyllda för sådan maskin- eller programvara som överensstämmer med sådana standarder för produkter för elektroniska signaturer som Euro- peiska gemenskapernas kommission fastställt och offentliggjort referens- nummer till i Europeiska gemenskapernas officiella tidning.
5 § En anordning som anges vara en säker anordning för signaturframställ- ning får släppas ut på marknaden eller användas för att skapa en kvalificerad elektronisk signatur endast om den uppfyller kraven i 3 §. En prövning av om kraven är uppfyllda skall göras av ett organ som anmälts för detta ända- mål enligt lagen (1992:1119) om teknisk kontroll.
Med en prövning enligt första stycket likställs en prövning av ett organ som anmälts för samma ändamål av en annan stat inom Europeiska ekono- miska samarbetsområdet.
Kvalificerade certifikat
6 § För att ett certifikat skall få kallas kvalificerat skall det vara utfärdat för viss tid av en certifikatutfärdare, som uppfyller kraven i 9–12 §§ och fö- reskrifter meddelade med stöd av 13 §, samt innehålla
1. uppgift om att det utfärdats som ett kvalificerat certifikat,
2. certifikatutfärdarens namn och adress samt uppgift om etableringsland,
3. undertecknarens namn eller pseudonym med uppgift om att det är en pseudonym,
4. särskilda uppgifter om undertecknaren, om de är relevanta för ändamå- let med certifikatet,
2
5. signaturverifieringsdata som motsvarar de signaturframställningsdata som undertecknaren vid tidpunkten för utfärdandet har kontroll över,
6. uppgift om certifikatets giltighetstid,
7. certifikatets identifieringskod,
8. certifikatutfärdarens avancerade elektroniska signatur eller en elektro- nisk signatur med motsvarande säkerhetsnivå, och
9. uppgift om eventuella begränsningar av certifikatets användningsom- råde eller av värdet på de transaktioner för vilka certifikatet kan användas (transaktionsbelopp).
Regeringen eller, efter regeringens bemyndigande, tillsynsmyndigheten får meddela närmare föreskrifter om krav enligt första stycket.
7 § Om ett certifikat som uppfyller kraven i 6 § första stycket 1–9 utfärdats av en certifikatutfärdare som inte är etablerad i Sverige skall certifikatet an- ses kvalificerat om
1. certifikatutfärdaren är etablerad i en annan stat inom Europeiska ekono- miska samarbetsområdet och där får utfärda kvalificerade certifikat,
2. certifikatutfärdaren uppfyller krav som motsvarar dem som anges i 9–12 §§ och föreskrifter meddelade med stöd av 13 § och är ackrediterad i en annan stat inom Europeiska ekonomiska samarbetsområdet, eller
3. certifikatet garanteras vara kvalificerat av en certifikatutfärdare som av- ses i 1 eller i 6 § första stycket.
Utfärdande av kvalificerade certifikat
8 § En certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos den myndighet som regeringen bestämmer (tillsynsmyndigheten) innan verksamheten påbörjas.
9 § En certifikatutfärdare som utfärdar kvalificerade certifikat till allmän- heten skall bedriva verksamheten tillförlitligt och
1. ha personal med tillräcklig kompetens och erfarenhet för verksamheten, särskilt vad avser ledning, teknik och säkerhetsrutiner,
2. använda sådana rutiner för administration och ledning som uppfyller er- kända standarder,
3. använda pålitliga system och produkter som är skyddade mot ändringar och se till att teknisk och kryptografisk säkerhet upprätthålls,
4. förfoga över tillräckliga ekonomiska medel för att kunna bedriva verk- samheten enligt denna lag och bära risken för skadeståndsskyldighet,
5. ha säkra rutiner för identitetskontroll av de undertecknare som kvalifi- cerade certifikat utfärdas till,
6. förfoga över ett snabbt och säkert system för registrering och omedel- bar återkallelse av kvalificerade certifikat, och
7. vidta åtgärder mot förfalskning av kvalificerade certifikat och i före- kommande fall se till att framställandet av signaturframställningsdata sker konfidentiellt.
Kraven i första stycket 3 skall anses uppfyllda för sådan maskin- eller pro- gramvara som överensstämmer med sådana standarder för produkter för elektroniska signaturer som Europeiska gemenskapernas kommission fast-
SFS 2000:832
3
SFS 2000:832 ställt och offentliggjort referensnummer till i Europeiska gemenskapernas officiella tidning.
10 § En certifikatutfärdare som utfärdar kvalificerade certifikat till allmän- heten skall
1. omedelbart återkalla ett certifikat när undertecknaren begär det eller när det annars finns anledning till det,
2. säkerställa att exakt tidpunkt kan anges för utfärdande och återkallelse av certifikat, och
3. säkerställa att av utfärdaren framställda signaturframställningsdata och signaturverifieringsdata kan användas som komplement till varandra.
11 § En certifikatutfärdare som utfärdar kvalificerade certifikat till allmän- heten skall bevara all relevant information om certifikaten under den tid som är motiverad med hänsyn till typen av certifikat och övriga omständigheter. Certifikatutfärdaren skall även använda tillförlitliga system för lagring av kvalificerade certifikat i verifierbar form, så att
1. endast behöriga personer kan göra tillägg och ändringar,
2. uppgifternas äkthet kan kontrolleras,
3. certifikaten är offentligt tillgängliga endast när innehavarna av certifi- katen har lämnat sitt samtycke, och
4. tekniska förändringar som äventyrar säkerhetskraven framgår för den som handhar systemet.
Certifikatutfärdaren får inte lagra eller kopiera signaturframställningsdata.
12 § Innan en certifikatutfärdare ingår avtal om att utfärda ett kvalificerat certifikat skall certifikatutfärdaren skriftligen och på ett lättbegripligt språk informera motparten om
1. begränsningar och andra villkor för användning av certifikatet,
2. frivillig ackreditering eller certifiering som avses i lagen (1992:1119) om teknisk kontroll, och
3. förfaranden för klagomål och avgörande av tvister. Informationen enligt första stycket får överföras elektroniskt.
Informationen skall göras tillgänglig också för annan som är beroende av certifikatet och som begär att få den.
13 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndighe- ten får utfärda närmare bestämmelser om krav enligt 9–12 §§.
Skadestånd
14 § En certifikatutfärdare som till allmänheten utfärdar certifikat som anges vara kvalificerade skall ersätta den skada som åsamkats den som förli- tat sig på certifikatet, om skadan uppkommit genom att
1. certifikatutfärdaren inte har uppfyllt kraven i 10 §,
2. certifikatet inte uppfyller kraven i 6 § första stycket, eller
3. certifikatet vid utfärdandet innehöll felaktiga uppgifter. Certifikatutfärdaren är dock inte skyldig att betala ersättning om utfärda-
ren kan visa att skadan inte har orsakats av vårdslöshet hos utfärdaren själv.
4 Certifikatutfärdaren är inte heller ersättningsskyldig för en skada som härrör
från att ett kvalificerat certifikat använts i strid med begränsningar som gäl- ler användningsområde eller transaktionsbelopp och som tydligt angetts i certifikatet.
Vad som sägs i första stycket 2 och 3 samt i andra stycket gäller även en certifikatutfärdare som garanterar att en annan certifikatutfärdares certifikat är kvalificerade.
15 § Avtalsvillkor som i jämförelse med 14 § är till nackdel för den som förlitar sig på certifikatet är utan verkan mot denne.
Behandling av personuppgifter
16 § En certifikatutfärdare som utfärdar certifikat till allmänheten får in- hämta personuppgifter endast direkt från den som uppgifterna avser eller med dennes uttryckliga samtycke och endast i den utsträckning som är nöd- vändig för att utfärda eller upprätthålla ett certifikat. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt samtycke från den som uppgifterna avser.
Kvalificerade elektroniska signaturer
17 § Om det i lag eller annan författning ställs krav på egenhändig under- skrift eller motsvarande och om det är tillåtet att uppfylla kravet med elek- troniska medel, skall en kvalificerad elektronisk signatur anses uppfylla kra- vet. Vid kommunikation med eller mellan myndigheter kan dock använd- ningen av elektroniska signaturer vara förenad med ytterligare krav.
Tillsyn
18 § Tillsynsmyndigheten skall ha tillsyn över efterlevnaden av denna lag och föreskrifter som har utfärdats med stöd av lagen.
Tillsynsmyndigheten skall föra och ge offentlighet åt en förteckning över certifikatutfärdare som anmält sig enligt 8 § och som enligt denna lag får ut- färda kvalificerade certifikat.
19 § Tillsynsmyndigheten har rätt att på begäran få de upplysningar och ta del av de handlingar som behövs för tillsynen.
Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där verksamhet som står under tillsyn bedrivs.
Tillsynsmyndigheten har rätt att få biträde av kronofogdemyndigheten för tillsyn enligt första och andra styckena.
20 § Tillsynsmyndigheten får meddela de förelägganden och förbud som behövs för efterlevnaden av denna lag eller av föreskrifter som meddelats med stöd av lagen.
Tillsynsmyndigheten får förelägga en certifikatutfärdare, som till allmän- heten utfärdar certifikat som anges vara kvalificerade, att helt eller delvis upphöra med denna verksamhet, endast om mindre ingripande åtgärder visat
SFS 2000:832
5
SFS 2000:832
sig vara verkningslösa. Myndigheten får besluta hur verksamheten skall av- vecklas.
21 § Förelägganden och förbud enligt denna lag får förenas med vite.
Avgifter
22 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndighe- ten får meddela föreskrifter om skyldighet för certifikatutfärdare som utfär- dar kvalificerade certifikat till allmänheten att betala avgift för tillsynsmyn- dighetens verksamhet enligt denna lag.
Överklagande
23 § Tillsynsmyndighetens beslut enligt denna lag eller enligt föreskrifter som meddelats med stöd av lagen får överklagas hos allmän förvaltnings- domstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att beslut enligt denna lag skall gälla omedelbart.
1. Denna lag träder i kraft den 1 januari 2001.
2. Certifikatutfärdare som redan före ikraftträdandet utfärdar sådana certi- fikat som medför anmälningsplikt enligt 8 § behöver inte göra anmälan före den 1 februari 2001.
3. 15 § tillämpas inte i fråga om avtal som träffats före ikraftträdandet.
På regeringens vägnar
XXXX XXXXX-XXXXXX
XXXX XXXXXX
(Näringsdepartementet)
6
Fakta Info Direkt, tel. 00-000 000 00 Elanders Gotab, Stockholm 2000