Ny kravspesifikasjon for PKI i offentlig sektor fastsatt

Fornyings-, administrasjons- og kirkedepartementet har fastsatt en ny versjon av kravspesifikasjonen for PKI i offentlig sektor. Ny versjon gjelder fra 28. september 2010, og avløser versjon 1.02 fra januar 2005.

Kravspesifikasjonen for PKI i offentlig sektor er en overordnet, funksjonell kravspesifikasjon for selvdeklarering og anskaffelse av PKI-basert eID som skal benyttes i forbindelse med elektronisk kommunikasjon med og i offentlig sektor i Norge.  Det er i den nye utgaven snakk om mindre endringer som har til hensikt å strukturere, tydeliggjøre og stramme inn dagens krav. Det går særlig på skjerpede krav til sikkerheten ved de ulike klasser av eID/e-signatur, og presisering av krav til enkelte typer PKI-baserte tjenester.

Formålet med kravspesifikasjonen er å bidra til enklere anskaffelser og felles krav til sikre og standardiserte PKI-tjenester i forvaltningen. Den enkelte virksomhet må gjøre selvstendige sikkerhets- og sårbarhetsvurderinger og avgjøre hvilke sikkerhetstjenester og hvilket sikkerhetsnivå de har behov for, i tråd med deres sikkerhetsmål og -strategi.

Kravspesifikasjonen er en forvaltningsstandard som ligger til grunn for anskaffelse i markedet av PKI-tjenester til bruk i offentlig sektor.  Standarden er fastsatt med hjemmel i Forskrift om elektronisk kommunikasjon med og i forvaltningen, §27. Videre er det fastsatt i forskrift om frivillige selvdeklarasjonsordninger for sertifikatutstedere at krav angitt i kravspesifikasjonen skal oppfylles.

Post- og teletilsynet vil underrette alle sertifikatutstedere om de nye kravene i eget brev.