Aan: Ministerie van Economische Zaken T.a.v.: 1) Directeur WJZ, Dhr. E.P. Nas 2) Directeur Regeldruk en ICT beleid, Dhr. M. Bressers Postbus 20401 2500 EK Den Haag Datum: 7 augustus 2015 Kenmerk: 2015005 Onderwerp: consultatie eIDAS-‐wetsvoorstel Geachte heer Nas, Geachte heer Bressers, Met belangstelling heeft het Platform Trust Services van de iTrust Foundation kennis genomen van het voorstel tot de Uitvoeringswet in verband met de uitvoering van EU-‐verordening elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van de Richtlijn 1999/93/EG. Bij deze treft u een afgestemde reactie van de in dit Platform verenigde marktpartijen aan. Allereerst wensen we aan te geven dat we deze EU verordening verwelkomen. Het is namelijk een belangrijke stap in de verdere harmonisatie en interoperabiliteit van elektronische identiteiten en vertrouwensdiensten. Ten tweede onderschrijven we de uitgangspunten die zijn gehanteerd in uw wetsvoorstel, met name het behouden van het goede stelsel van conformiteitsbeoordelingen zoals we dat in Nederland al sinds het ingaan van de Wet elektronische handtekeningen kennen in de vorm van het TTP.NL-‐schema. Tevens onderschrijven we het uitgangspunt waarbij de toezichthouder Agentschap Telecom (AT) ook meer verplicht wordt om zich een eigen oordeel te vormen over de veiligheid van de geleverde vertrouwensdiensten, aangezien het hier de facto vitale infrastructuur betreft. Desalniettemin zijn er enkele wezenlijke aandachtspunten met betrekking tot uw wetsvoorstel. Deze zijn: 1. Coördinatie en stroomlijnen met PKIoverheid en Idensys. De behoefte tot verdere coördinatie en stroomlijning van de eisen aan en het toezicht op elektronische identiteiten en vertrouwens-‐ diensten, zoals vastgesteld bij of krachtens wet enerzijds en in PKIoverheid en Idensys anderzijds. 2. Eenduidiger rollen en verantwoordelijkheden. In het verlengde van bovenstaande punt is het gewenst om toe te werken naar één plaats waar eisen worden geformuleerd, één plaats waar toezicht is belegd en één verantwoordelijke voor het gecoördineerd optreden bij crises. 3. Het minimaliseren van de lasten van toezicht en het maximaliseren van het nut daarvan. Het wetsvoorstel gaat uit van inhoudelijke oordeelsvorming van de toezichthouder, welk uitgangspunt we onderschrijven. Dubbele inspanning dient hierbij echter zoveel mogelijk vermeden te worden en de toezichthouder moet kunnen bouwen op de inhoudelijke bevindingen van de certificerende instelling. Een tweede opmerking betreft de kosten van toezicht. Wij zijn van mening dat deze uit de algemene middelen dienen te worden bestreden, aangezien het toezicht uitsluitend tot doel heeft het maatschappelijk belang van betrouwbare elektronische identiteiten en vertrouwensdiensten veilig te stellen. De marktordening komt tot uitdrukking in het TTP.NL-‐kwaliteitskeurmerk en de kosten hiervoor worden reeds door de markt betaald. Bovendien ervaren marktpartijen in de huidige situatie geen toegevoegde waarde van het wettelijk toezicht. Dat de kosten voor toezicht momenteel ook worden doorberekend aan marktpartijen is weinig
steekhoudend, aangezien deze situatie een direct uitvloeisel is van het beleggen van het toezicht destijds bij OPTA, waarbij de toezichthoudende activiteiten van OPTA goeddeels marktordening betroffen. Voor onze overige kanttekeningen verwijzen wij u naar de bijlage bij deze brief. Ten slotte zijn wij gaarne bereid tot overleg over deze implementatiewet en de verdere invoering hiervan. Gegeven de korte tijd die ons in deze vakantieperiode gegund was voor een gecoördineerde reactie, is deze reactie noodzakelijkerwijs op hoofdlijnen. Met vriendelijke groet, Marktpartijen uit het Platform Trust Services1 Namens deze, iTrust Foundation
René van den Assem voorzitter
1 Het Platform Trust Services heeft momenteel de volgende deelnemers: ACM, A.E.T. Europe, Agentschap Telecom, BSI Group, De Elektronische Signatuur, Deloitte, Digidentity, Dynagroup, ECP, Esecor, Inspectie Leefomgeving en Transport, iTrust Foundation, JustiD, Kiwa, Koninklijke Notariële Beroepsorganisatie, KPN, Logius, Ministerie van Defensie, Ministerie van Infrastructuur en Milieu, Ministerie van Volksgezondheid, Welzijn en Sport, Morpho, Multi-‐Post Services, Platform Identity Management Nederland, PKIpartners, PwC, QuoVadis, SSLPost Europe, TNO ICT, Uniq-‐ID, Xolphin 2 www.itrust.foundation |
[email protected] | Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 | BIC: ABNA NL 2A | KvK-‐nummer: 62054570 | BTW: NL8546.20.266.B.01
Bijlage Het voorstel voor de implementatiewet voor de EU-‐verordening ‘Elektronische identiteiten en vertrouwensdiensten’ is op 8 juli jl. gepubliceerd. De internetconsultatie loopt vanaf die datum tot 8 augustus 2015. Deze implementatiewet heeft vergaande gevolgen voor aanbieders van identificatie-‐ en vertrouwensdiensten, certificatie instellingen en naar verwachting ook voor leveranciers van hardware, software, smartcards en consultants op het gebied van informatiebeveiliging en cryptografie. iTrust Foundation (www.itrust.foundation) is de eigenaar van het TTP.NL-‐certificatieschema, dat beheerd wordt door het College van Belanghebbenden TTP.NL. Daarnaast heeft iTrust Foundation het Platform Trust Services opgericht, waarin een aanzienlijk aantal partijen participeert. De lopende internetconsultatie is aanleiding geweest om de Implementatiewet voor te leggen aan het Platform Trust Services voor advies over de betekenis en impact daarvan op de sector. Op 29 juli jl. hebben de deelnemers onderstaand standpunt geformuleerd, dat iTrust Foundation graag namens hen als marktstandpunt inbrengt in de consultatie. De betrokken wet-‐ en regelgevende ministeries en de toezichthouder (EZ, J&V, BZK, PKIoverheid, ACM en AT) waren daarbij niet vertegen-‐ woordigd, maar wel een ruim aantal leveranciers van identificatie-‐ en vertrouwensdiensten, een aantal materiedeskundigen, alsmede BSI als certificerende instelling. Betrokken marktpartijen verwelkomen de verordening en bijbehorende uitvoeringswet, maar hebben daarbij drie hoofdaandachtspunten geformuleerd, die in de coverbrief op hoofdlijnen zijn toegelicht: 1. Coördinatie en stroomlijnen met PKIoverheid en Idensys. 2. Eenduidiger rollen en verantwoordelijkheden. 3. Het minimaliseren van de lasten van toezicht en het maximaliseren van de baten daarvan. Hieronder lichten we deze punten verder toe en geven we nadere details. 1 Meer coördinatie en stroomlijnen van PKIoverheid en Idensys Zoals hierboven aangegeven vraagt het Platform om een verdergaande coördinatie en stroomlijning van de verschillende overheidsactoren die actief zijn richting de leveranciers van de vertrouwensdiensten. De deelnemers in het Platform zijn zich er van bewust dat dit niet in de scope valt van de implementatiewet. Maar het inrichten van het toezicht bij AT biedt wel degelijk mogelijkheden om tenminste op toezicht een vergaande integratie te bereiken. Op deze wijze zouden het toezicht voor PKIoverheid en Idensys ook bij AT kunnen worden ondergebracht. We pleiten er echter voor om het hier niet bij te laten. Het is opportuun om ook bij het stellen van eisen voor de verschillende soorten identiteits-‐ en vertrouwensdiensten een vergaande coördinatie te betrachten; dit geldt trouwens ook voor gekwalificeerde certificaten die onder eigen root CA uitgebracht worden. Hoewel verschillen in eisen bij bijvoorbeeld PKIoverheid en Idensys niet zonder reden bestaan, dienen verschillen steeds logisch verklaarbaar en niet groter te zijn dan nodig. De verschillen die slechts hun oorzaak in de historie vinden, dienen te worden verkleind en weggewerkt. En waar mogelijk dient overleg over eisen op één plek te gebeuren en niet op verschillende plekken. Bovenstaande geldt ook voor de eisen die gesteld worden aan de conformiteitsbeoordeling. Nu hanteert PKIoverheid de ETSI normen (ETSI EN 319 411-‐2 en ETSI TS 102 042) en naar verwachting zal dit ook voor nieuwe vertrouwensdiensten gaan gelden. De conformiteitsbeoordeling vindt dan ook plaats op basis van die ETSI normen. Maar de diensten die binnen Idensys worden geleverd, worden beoordeeld op basis van de ISO 27001 en een aanvullend normenkader. Deze benaderingswijzen zijn op zich goed met elkaar verenigen, maar dit vraagt wel gerichte inspanning. www.itrust.foundation |
[email protected] | Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 | BIC: ABNA NL 2A | KvK-‐nummer: 62054570 | BTW: NL8546.20.266.B.01
3
2 Eenduidiger rollen en verantwoordelijkheden In het verlengde van bovenstaande is het ook gewenst dat de rollen van de verschillende partijen zo veel mogelijk uniek zijn belegd. Daarbij is het gewenst om meer te gaan managen op het niveau van de gehele sector van identiteits-‐ en vertrouwensdiensten. Wat de markt nodig heeft is: • Eén plaats waar alle ‘intelligence’ plaatsvindt wat betreft actuele dreigingen en trends in dreigingen. Een plaats ook waar een gezamenlijk risicobeeld wordt samengesteld; • Eén plaats waar wordt bepaald hoe te reageren op nieuwe risico’s, nieuwe vormen van dienstverlening etc. Daarbij wordt bepaald hoe de veranderingen worden vertaald naar Programma’s van Eisen, standaardisatievoorstellen en/of noodmaatregelen; • Eén toezichthouder; • Eén verantwoordelijke voor coördinatie bij crises. Pas als de rollen en verantwoordelijkheden eenduidig zijn belegd en er goede overlegvormen en informatievoorziening zijn ingeregeld, wordt er aan de misschien wel meest wezenlijke aanbeveling in het rapport van de Onderzoeksraad voor Veiligheid inzake de DigiNotar affaire voldaan. 3 Het minimaliseren van de lasten van toezicht en het maximaliseren van de baten Ter toelichting van het gemaakte hoofdpunt merken we op dat in de implementatiewet nu is gesteld dat de toezichthouder haar eigen oordeel kan en moet vellen. Het is daarbij de toezichthouder die het oordeel velt een partij toe te laten of niet, dan wel om aanvullende bewijzen te overleggen. Zoals ook al gesteld wordt in de implementatiewet, is het van belang om dubbel werk zo veel mogelijk te vermijden. Het Platform onderschrijft dit uitgangspunt van harte. Wij verkennen dit uitgangspunt hieronder: • Hoewel het aanbieders van vertrouwensdiensten vrij staat om eenieder welke conformiteits-‐ beoordeling van een geaccrediteerde conformiteitsbeoordelaar te overleggen, is het zeer wenselijk dat de conformiteitsbeoordelingen zodanig worden uitgevoerd dat hun rapportage voor de toezichthouder wel degelijk voldoende basis biedt voor een sluitend en definitief oordeel. Hoewel het definitieve oordeel dus ligt bij de toezichthouder is het in het belang van alle partijen dat de auditpraktijk een voldoende sluitend beeld verschaft, zodat een oordeel feitelijk nooit als een verrassing komt; • Om dubbel werk en uiteenlopende beoordelingen te vermijden is het dus ook gewenst dat de toezichthouder nauw samenwerkt met de instellingen die conformiteitsbeoordeling uitvoeren en invloed heeft in de praktijk op de wijze waarop audits worden uitgevoerd, zoals vastgelegd in het schema. Een doorslaggevende stem is daarbij overigens niet vereist, de toezichthouder kan desgewenst altijd gebruik maken van het recht om zelf audits uit te voeren; • Uiteraard moet daarbij het internationale speelveld in de gaten worden gehouden. We bewegen toe naar een Europees geharmoniseerde praktijk van conformiteitsbeoordelingen middels certificatie (ETSI EN 419 103). De concept norm die hiervoor in de maak is, is dus een belangrijk product waarop zowel schemabeheerder als toezichthouder invloed dienen uit te oefenen, omdat dit de uiteindelijke auditpraktijk zal gaan bepalen en in ieder geval de minimumnorm daarvoor zal zijn; • Ten slotte merken we op dat bij de toezichthouder zelf het beoordelend personeel ook gekwalificeerd is om een oordeel te vellen en kennis heeft de markt en van certificatie van managementsystemen. Tevens dient er materiedeskundigheid aanwezig te zijn. Te overwegen valt of het personeel dat het definitieve oordeel uitspreekt bij de toezichthouder zelf ook voldoet aan de vakkundigheidseisen die gesteld worden aan vergelijkbaar personeel bij certificerende instellingen. www.itrust.foundation |
[email protected] | Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 | BIC: ABNA NL 2A | KvK-‐nummer: 62054570 | BTW: NL8546.20.266.B.01
4
Waar het gaat om het maximaliseren van de baten van het toezicht heeft het Platform enige zorgen, omdat er in het geval van het toezicht door ACM geen enkele meerwaarde werd ervaren. Ook een toezichthouder zou zich aan de regels moeten houden dit voor onafhankelijke beoordelingen gelden: • Een duidelijke norm vooraf; • Bij een aanvullende beoordeling tevens een duidelijke scope en onderzoeksplan; • Duidelijke terugkoppeling van bevindingen (zowel positief als negatief); • Hoor en wederhoor; • Een transparante oordeelsvorming. De huidige praktijk voldoet helaas niet aan dergelijke regels. Veel ruimte dus voor verbetering in de nieuwe situatie. Wij wijzen in dit verband ook op het WRR-‐rapport Toezien op publieke belangen (2013), dat noch het doen naleven en handhaven, noch de toezichtkosten, maar de maatschappelijke meerwaarde voorop zet. Ten aanzien van toezichtkosten is er reeds een duidelijk standpunt geformuleerd in de hoofdpunten. Het daar geformuleerde principiële standpunt is dat het wettelijk toezicht in deze situatie het algemeen belang dient en dus uit de algemene middelen bestreden dient te worden. Een ander fundamenteel bezwaar is dat er in de gekozen constructie geen prikkel lijkt te bestaan om de toezichtkosten en de overige lasten van toezicht, te beperken. We wijzen er op dat de toezichtkosten op dit moment een relevant aandeel vormen van de operationele kosten van een leverancier van vertrouwensdiensten. Al deze bijkomende kosten maken de producten voor de markt onacceptabel duur en leiden waarschijnlijk tot vermindering van adoptie in de markt. Verschillende behandelingen in de lidstaten zullen dus ook hier tot een verstoring van het internationale ‘level playing field’ leiden. Overige aandachtspunten 4 Bewustwording eindgebruikers Marktpartijen ervaren, met name op het gebied van web-‐certificaten, dat eindgebruikers zich onvoldoende bewust zijn van het belang daarvan en van de onderliggende kwaliteitsverschillen tussen de verschillende soorten web-‐certificaten. Eenvoudige SSL-‐certificaten hebben minder beschermende werking dan een PKIoverheidscertificaat met dezelfde functionaliteit, maar de verwachtingen van eindgebruikers zijn in beide gevallen even hoog. Anders gezegd: men denkt voor weinig geld een kwalitatief hoogwaardige bescherming te kunnen krijgen, terwijl dat niet het geval is. Voor een deel is dit natuurlijk gewoon marktwerking: wie weinig belang hecht aan een beveiligde website kiest een eenvoudig en betaalbaar certificaat, wie wel belang heeft bij een goede beveiliging (al was het ‘maar’ ter voorkoming van imagoschade) kiest een duurder en degelijker certificaat. Dit zou werken, ware het niet dat gebruikers in de praktijk de verschillen in kwaliteit niet kunnen beoordelen en naar waarde kunnen schatten. Het Platform Trust Services vraagt van de overheid om in aankomende bewustwordings-‐campagnes (ook) voorlichting te geven over een goede bescherming van websites, al dan niet in samenwerking met de leden van het Platform. Eindgebruikers dienen de risico’s te begrijpen van laagwaardige certificaten en dienen een bewuste keuze te maken bij het beschermen van hun websites. 5 Rol CABForum in relatie tot de EU-‐verordening Het lijkt er op dat de Europese Commissie geen rekening gehouden heeft met het bestaan van het CABForum en de invloed die internet providers en browserfabrikanten materieel uitoefenen op aanbieders en afnemers van identificatie-‐ en vertrouwensdiensten. In de praktijk berust de macht bij de browserfabrikanten. www.itrust.foundation |
[email protected] | Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 | BIC: ABNA NL 2A | KvK-‐nummer: 62054570 | BTW: NL8546.20.266.B.01
5
Dit dreigt te leiden tot een tweesplitsing in een Europese overheidsmarkt die geheel eigen regels hanteert dan de rest van de wereld. Dit belooft weinig goeds voor het geschapen Europese kader, zo leert de geschiedenis. Er zijn verschillende benaderingen mogelijk, maar het min of meer negeren van de situatie of de problemen naar het niveau van standaardisatie wegleggen, is niet heel kansrijk. Het Platform Trust Services vraagt van EZ om bij de Europese Commissie de ontstane situatie rondom de governance van digitale certificaten te agenderen. Uiteindelijk is dit een belemmering voor een gezonde marktwerking. 6 Frequentie conformiteitsbeoordelingen Het is in Nederland op dit moment gebruikelijk om elke drie jaar een volledige conformiteitsbeoordeling bij TSP’s uit te voeren en in de tussenliggende jaren, d.m.v. steekproefsgewijs onderzoek, te beoordelen of de werking van het managementsysteem en de beveiliging van de ICT naar behoren werken. Dit is ook de verplichte praktijk bij alle certificatie onder ISO 17021. In Nederland wordt derhalve jaarlijks een beoordeling van de conformiteit uitgevoerd. De vraag is wat de impact is wanneer er (buitenlandse) TSP’s op onze markt verschijnen, waarbij slechts eens in de twee jaar een conformiteitsbeoordeling wordt uitgevoerd. We vermoeden dat dergelijke partijen beduidend lagere kosten maken voor de conformiteitsbeoordelingen. Het Platform stelt voor om aan de sturen op een praktijk waarbij conformiteitsbeoordelingen, net als in Nederland, jaarlijks plaatsvinden. De systematiek zoals thans gehanteerd (integraal in jaar 1, tussentijdse beoordelingen in jaren 2 en 3) zou ook ingang moeten vinden in de vast te stellen norm voor conformiteitsbeoordeling (ETSI EN 419 103). Hiertoe zou ook op de geëigende plaatsen invloed dienen te worden uitgeoefend. 7 Identiteiten aan de basis van gekwalificeerde vertrouwensdiensten De regels omtrent identificatie, die aan de basis ligt van vertrouwensdiensten, lijken nationaal ingevuld te mogen worden in de Verordening. Daarbij is een identificatie op het – overigens nog niet gestandaardiseerde – niveau ‘substantieel’ voldoende om een vertrouwensdienst op het niveau ‘hoog’ te kunnen leveren. Het Platform pleit voor duidelijke en Europees geharmoniseerde regels voor de identificatie in relatie tot de bereikbare betrouwbaarheidsniveaus. Een situatie als bovenstaande lijkt hiermee in strijd te zijn. Het is moeilijk in te zien waarom men identificatie op het niveau ‘hoog’ zou doen, als ‘substantieel’ in alle gevallen volstaat. Beveiliging is immers zo sterk als de zwakste schakel. Dit lijkt een detailpunt, maar is dat in het geheel niet! Het Platform vraagt aandacht van de overheid voor dit implementatie-‐issue, omdat het kan leiden tot een situatie waarin de zo gewenste harmonisatie niet wordt gerealiseerd. Bovendien kan het leiden tot ineffectiviteit en inefficiency in de gehele bedrijfstak.
www.itrust.foundation |
[email protected] | Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 | BIC: ABNA NL 2A | KvK-‐nummer: 62054570 | BTW: NL8546.20.266.B.01
6
