Utstedelse av tekniske revisjonsforskrifter for elektroniske signaturer og pålitelige tjenester: Sikring av sikkerhet og styrking av tilliten i det digitale rommet

Rundskrivet er et viktig juridisk grunnlag for å standardisere tekniske revisjonsprosesser, sikre at systemer og organisasjoner som tilbyr og bruker elektroniske signaturer overholder tekniske standarder og informasjonssikkerhet, og bidra til å styrke tilliten til mennesker, bedrifter og forvaltningsorganer i det digitale transaksjonsmiljøet.

I henhold til forskriftene gjelder dette rundskrivet for organisasjoner og enkeltpersoner som deltar i eller er relatert til tekniske revisjonsaktiviteter for informasjonssystemer, prosesser for å tilby sikre elektroniske signaturtjenester, sikre elektroniske signatursertifikater, digitale signaturer, digitale signatursertifikater og andre pålitelige tjenester.

Spesielt oppfordres etater og organisasjoner som lager og bruker sikre elektroniske signaturer til proaktivt å gjennomføre tekniske revisjoner for å selvevaluere samsvar og sikkerhet i systemene og tjenesteleveringsprosessene sine. Dette er et viktig skritt som demonstrerer ånden i å proaktivt forebygge cybersikkerhetsrisikoer i stedet for bare å håndtere hendelser når brudd oppstår.

Pålitelige tjenesteleverandører er pålagt å gjennomføre tekniske revisjoner annethvert år for å sikre at tjenesteleveringssystemene og -prosessene opprettholdes i en trygg og stabil tilstand og oppfyller tekniske krav i henhold til nasjonale standarder.

I følge rundskrivet er grunnlaget for teknisk revisjonsvurdering de spesifikke kravene til informasjonssystemer og tjenesteleveringsprosesser som er spesifisert i tekniske forskrifter, tekniske standarder og tekniske krav som gjelder for elektroniske signaturer, elektroniske sertifikater og pålitelige tjenester.

Tekniske revisjonsaktiviteter utføres i to hovedfaser: Evaluering av informasjon og dokumenter under planleggingsprosessen og faktisk evaluering i den reviderte organisasjonen. Alt innhold må være objektivt, transparent og i samsvar med den tidligere avtalte planen og omfanget.

Maksimal varighet for en revisjon er 6 måneder, og om nødvendig kan den forlenges med opptil 45 dager for å fullføre korrigerende tiltak. Etter fullføring, basert på vurderingsresultatene og korrigerende tiltak (hvis noen), vil revisjonsorganisasjonen vurdere å utstede et sertifikat med en teknisk revisjonsrapport til den reviderte organisasjonen. Hvis kravene ikke oppfylles, må revisjonsorganisasjonen varsle skriftlig, oppgi årsakene og legge ved den tekniske revisjonsrapporten.

Rundskrivet beskriver også det obligatoriske innholdet i den tekniske revisjonsrapporten, inkludert: Generell informasjon om revisjonen, implementeringstidspunkt, vurderingsmetode, resultater av risikoanalyse for informasjonssikkerhet, resultater av systemtesting, tekniske anbefalinger og grunnlag for sertifiseringsbeslutninger.

Leverandører av pålitelige tjenester må sende tekniske revisjonsrapporter til departementet for vitenskap og teknologi , gjennom det nasjonale elektroniske autentiseringssenteret (NEAC), som er samlingspunktet for å sammenstille, overvåke og betjene statlig forvaltningsarbeid.

Regelmessig rapportering bidrar ikke bare til å vurdere den operative statusen til betrodde tjenesteleverandører, men skaper også en enhetlig database for politikkutforming, risikostyring og støtter statlige etater i å forbedre kvaliteten og sikkerheten til den nasjonale digitale transaksjonsinfrastrukturen.

Rundskrivet fastsetter at tekniske revisjonsorganisasjoner er ansvarlige for å utøve sine rettigheter og plikter i samsvar med lovbestemmelsene om tekniske standarder og forskrifter; og sikre uavhengighet, objektivitet og full overholdelse av tekniske revisjonsprosedyrer i samsvar med forskrifter om produkt- og varekvalitet og nettverksinformasjonssikkerhet.

Den nasjonale komiteen for standarder, måleteknikk og kvalitet under Vitenskaps- og teknologidepartementet er kontaktpunktet for å motta og vurdere registreringsdokumenter for utpeking av tekniske revisjonsorganisasjoner og sende dem til vitenskaps- og teknologiministeren for beslutning om å utpeke kvalifiserte organisasjoner i samsvar med loven om standarder og kvalitet.

I mellomtiden er det nasjonale elektroniske autentiseringssenteret ansvarlig for å motta og syntetisere tekniske revisjonsrapporter fra reviderte organisasjoner, og rapporterer regelmessig til vitenskaps- og teknologiministeren for å tjene statens ledelse med levering av pålitelige tjenester.

Utstedelsen av rundskrivet om teknisk revisjon av elektroniske signaturer og pålitelige tjenester anses som et viktig skritt i å fullføre den nasjonale juridiske korridoren for informasjonssikkerhet, elektronisk autentisering og digital transformasjon.

Rundskrivet bidrar til å standardisere det uavhengige vurderingssystemet, styrke risikokontrollen, forbedre teknologisk autonomi og skape digital tillit for brukere i prosessen med å gjennomføre transaksjoner, signere og utveksle elektroniske data.

Rundskrivet trer i kraft fra 1. januar 2026, og markerer et nytt skritt fremover innen teknisk forvaltning og sikrer sikkerheten og påliteligheten til den nasjonale infrastrukturen for elektronisk signatur, mot målet om å bygge en trygg, transparent og bærekraftig utviklet digital forvaltning, digital økonomi og digitalt samfunn.