Ero sivun ”Digivirasto/Notifiointisotku” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
p
 
(21 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
'''Notifiointisotku''' tarkoittaa [[Digivirasto]]n aiheuttamaa sähköisen asioinnin sotkua [[EIDAS|EIDAS-asetuksen]] (''N:o 910/2014'') siirtymäkauden notifikaatioista jotka jätettiin kokonaan tekemättä.
+
[[Tiedosto:Belgian.taxman.login.png|right|thumb|300px|Belgian [https://finance.belgium.be/ verottajan] eurooppalainen sisäänkirjautumissivu jossa ei ole Suomea.]]
 +
'''Notifiointisotku''' tarkoittaa [[Digivirasto]]n aiheuttamaa sähköisen asioinnin sotkua [[eIDAS|eIDAS-asetuksen]] (''N:o 910/2014'') siirtymäkauden notifikaatioista, jotka jätettiin kokonaan tekemättä. Asiasta on 2020 esitetty eduskunnassa [https://www.eduskunta.fi/FI/vaski/Kysymys/Sivut/KK_73+2020.aspx kirjallinen kysymys] (kansanedustaja Kaisa Juuso (ps)), johon kuntaministeri Sirpa Paatero antoi [https://www.eduskunta.fi/FI/vaski/Kysymys/Documents/KKV_73+2020.pdf?lang=fi vastauksen] 12.3.2020.
  
Euroopan unioinin EIDAS-asetus (asetus, ei laki) määrittelee sähköiseen tunnistamiseen ja -allekirjoituksiin liittyviä säädöksiä jotka tulivat 1.7.2016 heti voimaan kaikissa yhteisön jäsenmaissa ilman kansallista ratifiointia jäsenmaissa. Asetuksen tarkoitus oli mm laajentaa joissakin maissa olevat kansalliset lait kattamaan kaikki jäsenmaat kaikkien maiden sähköisillä välineillä tehdyt asiointitapahtumat.
 
  
Sähköinen allekirjoitus tarkoittaa kryptograafista laskentaa matemaattisilla ns ''avaimilla'' joka lopputuloksesta voidaan luotettavasti todeta allekirjoituksen tekijä ja siten lopputuloksesta on tehty lainsäädännöllä ns ''omakätistä allekirjoitusta vastaava'' ja oikeustoimikelpoinen. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla joka täyttää tietyt, asetuksessa määritellyt laatuvaatimukset.
+
__TOC__
  
Suomessa henkilökortin allekirjoitusavaimia on tehty vuoden 2000 alusta asti ja kansallinen lainsäädäntö on tehnyt niistä ''omakätistä allekirjoitusta vastaavia'' jo tuolloin - mutta vain Suomessa. Henkilökorttien sirut ovat siitä lähtien kehittyneet turvallisemmiksi ja niitä otettu sitä mukaan käyttöön kun tekniikka on kehittynyt 20 vuoden aikana.
 
  
Vuonna 2016 voimaan tullut EIDAS-asetus otti teknisen kehityksen huomioon ja asetti allekirjoituksille yksityiskohtaisia vaatimuksia jotta eri jäsenmaiden, verkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä.
+
== eIDAS-asetus ja sen laiminlyönti ==
  
Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltio. Valmistajia on Euroopassa muutamia, esimerkiksi Gemalto, Idemia (Morpho siihen aikaan) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet tai jäsenvaltiot olivat ostaneet tuotteita joissa sitä ei ollut. Koska asetusta saatettiin voimaan olemassa olevaan ympäristöön, sen tuli ottaa huomioon jo käytössä olleet välineet jotta niiden käyttö voisi jatkua keskeytyksettä ja laajentaa niiden käyttö kattamaan koko EU:n alue. Siten säädettiin siirtymäaika joka sallisi olemassa olevat - Suomenkin kortit ''omakätistä allekirjoitusta vastaavassa'' sähköisessä asioinnissa kaikissa EU:n jäsenmaissa.
+
Euroopan unionin eIDAS-asetus (asetus, ei laki) määrittelee sähköiseen tunnistamiseen ja sähköisiin allekirjoituksiin liittyviä säädöksiä, jotka tulivat heti voimaan kaikissa yhteisön jäsenmaissa 1.7.2016 ilman kansallista ratifiointia. Asetuksen tarkoitus oli mm. laajentaa joissakin maissa olevat kansalliset lait kattamaan kaikki jäsenmaat ja kaikkien maiden sähköisillä välineillä tehdyt asiointitapahtumat.
  
EIDAS-asetuksen ''Artikla 51 - Siirtymätoimenpiteet'' määrittelee seuraavaa:
+
Vuonna 2016 voimaan tullut eIDAS-asetus otti huomioon teknisen kehityksen ja asetti tunnistukselle ja allekirjoitukselle yksityiskohtaisia vaatimuksia, jotta eri jäsenmaiden verkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä.
 +
 
 +
Sähköinen vahva tunnistaminen ja allekirjoitus tarkoittaa kryptografista laskentaa matemaattisilla ns. ''avaimilla'', jonka lopputuloksesta voidaan luotettavasti todeta tapahtuman tekijä ja siten niistä on tehty lainsäädännöllä oikeustoimikelpoisia. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla, joka täyttää tietyt asetuksessa määritellyt laatuvaatimukset.
 +
 
 +
Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltio. Valmistajia on Euroopassa muutamia, esimerkiksi Gemalto, Idemia (siihen aikaan Morpho) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet, tai jäsenvaltiot olivat ostaneet tuotteita, joita ei ollut kukaan tai mikään sertifioinut. Koska asetus saatettiin voimaan olemassa olevaan ympäristöön, sen tuli ottaa huomioon jo käytössä olleet välineet, jotta niiden käyttö voisi jatkua keskeytyksettä, ja laajentaa niiden käyttö kattamaan koko EU:n alue. Siten säädettiin siirtymäaika, joka sallisi olemassa olevat välineet - Suomenkin kortit, jotka vastasivat asetuksen käsitteitä ''korkean varmuustason tunnistaminen'' ja ''kehittynyt sähköinen allekirjoitus'' - sähköisessä asioinnissa kaikissa EU:n jäsenmaissa.
 +
 
 +
Tunnistamisvälineistä eIDAS-asetuksen ''Artikla 9 - Ilmoittaminen'' määrää seuraavaa:
 +
<pre>
 +
        9 artikla
 +
 
 +
      Ilmoittaminen
 +
 
 +
1. Ilmoittavan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:
 +
a) kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;
 +
b) sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta:
 +
  i) sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja
 +
  ii) todentamismenettelyä operoiva osapuoli;
 +
c) sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;
 +
d) tiedot siitä, mikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;
 +
e) kuvaus siitä, miten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;
 +
f) kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;
 +
g) järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.
 +
 
 +
2. Yhden vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon tämän artiklan 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot.
 +
 
 +
3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson päättymisen jälkeen, se julkaisee Euroopan unionin virallisessa lehdessä muutokset 2 kohdassa tarkoitettuun luetteloon kahden kuukauden kuluessa kyseisen ilmoituksen vastaanottamisesta.
 +
 
 +
4. Jäsenvaltio voi toimittaa komissiolle pyynnön poistaa kyseisen jäsenvaltion ilmoittama sähköisen tunnistamisen järjestelmä 2 kohdassa tarkoitetusta luettelosta. Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset luetteloon kuukauden kuluessa jäsenvaltion pyynnön vastaanottamisesta.
 +
 
 +
5. Komissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan mukaisiin ilmoituksiin liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
 +
</pre>
 +
 
 +
Eli asetuksen tekstin mukaan '''jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset'''. Käytännössä ilmoittava virasto olisi ollut Digivirasto. Mitään ilmoitusta Suomen tunnistusvälineistä ei ole toimitettu. Nyt (2024-12-18) Suomen kansalaisvarmenne (Henkilökortti) on <span style="background-color: orange; color: black; font-weight: bold;">PRE-NOTIFIED</span> -tilassa eli komissiolle on ilmoitettu notifikaation tapahtuvan joskus.
 +
 
 +
Tunnistusvälineiden (eID) notifioitu lista:
 +
* [https://ec.europa.eu/digital-building-blocks/sites/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
 +
 
 +
 
 +
Allekirjoitusvälineistä ''Artikla 51 - Siirtymätoimenpiteet'' määrittelee seuraavaa:
  
 
<pre>
 
<pre>
51 artikla
+
          51 artikla
  
Siirtymätoimenpiteet
+
      Siirtymätoimenpiteet
  
 
1.  Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.
 
1.  Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.
Rivi 27: Rivi 64:
 
</pre>
 
</pre>
  
Eli asetuksen tekstin mukaan '''varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017''' - päivämäärä jonka Digivirasto jätti täyttämättä. Mitään arviointikertomusta Suomen henkilökorttien teknisistä ominaisuuksien soveltuvuudesta EIDAS-asetukseen ei ikinä toimitettu.
+
Allekirjoitusten osalta '''Turvallisia allekirjoituksen luontivälineitä.... varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017''' - päivämäärä, jonka Digivirasto jätti myöskin täyttämättä.  
  
Maissa jossa oltiin tehty poikkeuksia suomalaisen hyvälaatuisen henkilökortin käytöstä allekirjoituksessa lankesivat EIDAS-asetuksen alaisuuteen ja korttien käyttö tuli mahdottomaksi voimassa olevan asetuksen myötä. Viron valtio lopetti Suomen kortin tukemisen (testaamisen) qDigiDoc-ohjelmiston nelosversiossa ja käytännössä se on myös lakannut toimimasta bugien takia.
+
[[Tiedosto:Eidas.QSCD.list.finland.png|right|thumb|400px|EU:n EIDAS-asetuksen mukaisten [[QSCD]]-allekirjoitusvälineiden lista jossa Suomi loistaa poissaolollaan. Suomalainen allekirjoitus ei kelpaa.]]
 +
Maissa, joissa oli tehty poikkeuksia suomalaisen hyvälaatuisen henkilökortin käytöstä, eIDAS-asetuksen myötä korttien käyttö tuli mahdottomaksi. Viron valtio lopetti Suomen kortin tukemisen web-palveluiden kirjautumisessa ja qDigiDoc-ohjelmiston testaamisen nelosversiossa ja käytännössä sekin on lakannut toimimasta bugien takia.
  
Artikla 51 siirtymäkausi oli yhdenkertainen tarjous, ne maat - takapihat kuten Kroatia ja Slovakia, jotka huolehtivat vastuustaan ovat olleet listalla siitä lähtien. Suomi ei listalla ole eikä tule. Siirtymäkausi ei toistu eikä sitä voi tehdä nykyisille korteille määräajan umpeuduttua.
+
Artikla 51 siirtymäkausi oli yhdenkertainen tarjous, ne maat - takapihat kuten Kroatia ja Slovakia, jotka huolehtivat vastuustaan, ovat olleet listalla siitä lähtien. Suomi ei listalla ole eikä tule. Siirtymäkausi ei toistu eikä sitä voi tehdä nykyisille korteille määräajan umpeuduttua.
  
 
Allekirjoitusvälineiden notifoitua listaa voi jokainen itse tarkastella EU:n sivuilta:
 
Allekirjoitusvälineiden notifoitua listaa voi jokainen itse tarkastella EU:n sivuilta:
 
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Qualified Signature/Seal Creation Devices and Secure Signature Creation Devices]
 
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Qualified Signature/Seal Creation Devices and Secure Signature Creation Devices]
  
Artikla 51 käsittelee ainoastaan varmenteita ja mainitsee allekirjoitukset osana tapahtumia. EU asetti siirtymäkauden myös hyväksyttäville tunnistustavoille (sekä varmenteille että palveluun perustuville) ja jollainen henkilökortin tunnistus- ja salausvarmenne (PIN1) on (''QWAC, Qualified Web Authentication Certificate'') ja myös edellytti niiltä samanlaista notifikaatiota. Suomea ei mainita tälläkään listalla.
+
Vuoden 2021 alusta myönnetyille korteille mitään notifiointia tai kertomuksia ei tarvitse yhteisön valvontaelimille lähetellä, koska ulkomaalainen korttivalmistaja on ne jo tehnyt. Ongelma koskee G2 molempia- ja G3 ensimmäisen sukupolven kortteja joita 99,99% kaikista Suomen noin miljoonasta kortista on{{Template:Citation needed}}. Näiden vanhenemiseen ja normaaliin vaihtoon menee vuosia, koska G3 ensimmäinen sukupolvi (G3.1) otettiin käyttöön 2017 alusta ja sen myöntämisjakso loppui 31.12.2020, eli viimeinen käyttäjälle luovutettu kortti tulee olemaan voimassa siitä eteenpäin viisi vuotta, 2025 loppuun asti.
 
 
Tunnistusvälineiden (eID) notifioitu lista:
 
* [https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
 
 
 
Jatkossa jos Suomi julkistaa uusia kortteja, mitään notifiointia tai kertomuksia ei tarvitse yhteisön valvontaelimille lähetellä koska ulkomaalainen korttivalmistaja on ne jo tehnyt. Tähän menee kuitenkin vuosia koska viimeisin sukupolvi G3 otettiin käyttöön 2017 alusta ja sen myöntämisjakson loputtua (päivämäärä ei ole tiedossa) viimeinen käyttäjälle luovutettu kortti tulee olemaan voimassa siitä eteenpäin viisi vuotta, mahdollisesti 2024-2026 asti.
 
  
Käytännössä tämä tarkoittaa, että suomalaisella henkilökortilla ei voi asioida ulkomaisissa palveluissa kuten EIDAS-asetus alunperin tarkoitti. Asia ei ole vähäpätöinen, siitä osoituksena Digivirasto on itse toteuttanut vaadittavat yhdyskäytävät Suomi.fi-tunnistuspalveluunsa ja näillä ulkomaalaisilla välineillä pääsee siten kirjautumaan julkisiin palveluihin kuten yritysrekisteri (PRH) tai verottajalle.
+
Käytännössä tämä tarkoittaa sitä, että suomalaisella henkilökortilla ei voi asioida ulkomaisissa palveluissa, kuten eIDAS-asetus alunperin tarkoitti. Asia ei ole vähäpätöinen, siitä osoituksena Digivirasto on itse toteuttanut vaadittavat yhdyskäytävät Suomi.fi-tunnistuspalveluunsa ja näillä ulkomaalaisilla välineillä pääsee siten kirjautumaan julkisiin palveluihin kuten yritysrekisteri (PRH) tai verottajalle.
  
 
Yhteenveto sotkusta:
 
Yhteenveto sotkusta:
* asia koskee kaikkia käytössä olevia kortteja, G2- ja G3-sukupolvia
+
* asia koskee kaikkia käytössä olevia kortteja, G2.1 ja G2.2 - ja G3.1 (G3 ensimmäistä) -sukupolvia
 
* '''kaikkien osapuolien ollessa Suomen sisällä, asialla ei ole merkitystä'''
 
* '''kaikkien osapuolien ollessa Suomen sisällä, asialla ei ole merkitystä'''
* suomalainen kortti ei kelpaa muissa EU-maissa
+
* suomalainen kortti ei kelpaa muissa EU-maissa kuin mekaanisena välineenä
* muiden EU-maiden välineet kelpaavat Suomessa
+
* muiden EU-maiden välineet kelpaavat Suomessa sähköisinä
* sotku koskee varmasti allekirjoituksia, mutta myöskään EU:n web-tunnistus (QWAC) ei toimi
+
* koskee sekä tunnistamista (web, sähköposti - QWAC), että allekirjoittamista (QSCD, QES)
* ainoa korjaus olisi julkistaa G4 korttisukupolvi jolla on valmistajan tekemä sertifiointi
+
* ei koske vuoden 2021 alusta myönnettyjä kortteja
* suomalaisille joille asialla on merkitystä, korjaus vaatii uuden kortin hankkimista ennen nykyisen vanhenemista
+
* '''tunnistamisvälineen ilmoittamisen voi vielä tehdä''', jos niin päätetään
 
+
* allekirjoittamisvälineen ilmoittamisen määräaika umpeutui 1.7.2017.
Vielä epäselvää:
+
* suomalaisille joille asialla on merkitystä, korjaus vaatii uuden 55€ kortin hankkimista
* kattaako Artikla 51 kohdat 3. ja 4. kortin tunnistusvarmenteet (QWAC)?
 
* onko eID-tunnistus notifiointi vielä auki vai loppunut? Ilmeisesti auki.
 
* milloin ongelmallisten G3-sukupolven korttien myöntäminen loppuu?
 
 
 
 
 
 
 
'''Artikla 51''', Suomen oma Area 51, josta kukaan ei haluaisi puhua.
 
  
 +
== Nykytilanne (2024-12-18) ==
 +
* [[Henkilökortti#G3.1|G3.1 korttien viimeiset voimassaoloajat]] loppuvat 2025(?)
 +
* Uudet kortit piti notifioida [[Digitaalinen henkilöllisyys]] valmistuttua (eka lompakko)
 +
* Hanketta [https://dvv.fi/digitaalisen-henkilollisyyden-uudistus ei käsitelty edukunnassa] (eduskunta ei ehtinyt käsittelemään)
 +
* Lompakkoa jolle ei tullut lakia, ei notifioitu, ei myöskään henkilökortteja
 +
* Valtio aloitti uuden [[Euroopan_Unioni/Lompakko|EU-lompakko]] hankkeen joka notifioidaan
 +
* Ilmeisesti henkilökortit on tarkoitus taas notifioida samalla
 +
* Mitään ei ole notifioitu vieläkään eikä suomalaiset välineet käy eIDAS-tunnisteina ulkomailla
 +
* EU-komissiolle on ilmoitettu, että notifikaatio tehdään joskus ja prosessi on <span style="background-color: orange; color: black; font-weight: bold;">PRE-NOTIFIED</span> -tilassa.
  
 
== Katso myös ==
 
== Katso myös ==
 
* [[Digivirasto]]
 
* [[Digivirasto]]
* [[EIDAS]], [[QSCD]], [[QWAC]]
+
* [[EIDAS]], [[QSCD]], [[QES]], [[SSCD]] [[QWAC]]
 
* [[Allekirjoitus]], [[:Luokka:Lait]]
 
* [[Allekirjoitus]], [[:Luokka:Lait]]
  
Rivi 73: Rivi 108:
 
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Compiled list of notified SSCDs/QSCDs]
 
* [https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD Compiled list of notified SSCDs/QSCDs]
 
* [https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
 
* [https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Overview of pre-notified and notified eID schemes]
 +
* [https://www.bsi.bund.de/EN/Topics/ElectrIDDocuments/German-eID/eIDAS-notification/eIDAS_notification_node.html bsi.bund.de eIDAS Notification of the German eID] Saksan notifiointi dokumentit ja prosessi
  
 
[[Luokka:Allekirjoitus]]
 
[[Luokka:Allekirjoitus]]
 
[[Luokka:Digivirasto]]
 
[[Luokka:Digivirasto]]

Nykyinen versio 18. joulukuuta 2024 kello 12.30

Belgian verottajan eurooppalainen sisäänkirjautumissivu jossa ei ole Suomea.

Notifiointisotku tarkoittaa Digiviraston aiheuttamaa sähköisen asioinnin sotkua eIDAS-asetuksen (N:o 910/2014) siirtymäkauden notifikaatioista, jotka jätettiin kokonaan tekemättä. Asiasta on 2020 esitetty eduskunnassa kirjallinen kysymys (kansanedustaja Kaisa Juuso (ps)), johon kuntaministeri Sirpa Paatero antoi vastauksen 12.3.2020.



eIDAS-asetus ja sen laiminlyönti

Euroopan unionin eIDAS-asetus (asetus, ei laki) määrittelee sähköiseen tunnistamiseen ja sähköisiin allekirjoituksiin liittyviä säädöksiä, jotka tulivat heti voimaan kaikissa yhteisön jäsenmaissa 1.7.2016 ilman kansallista ratifiointia. Asetuksen tarkoitus oli mm. laajentaa joissakin maissa olevat kansalliset lait kattamaan kaikki jäsenmaat ja kaikkien maiden sähköisillä välineillä tehdyt asiointitapahtumat.

Vuonna 2016 voimaan tullut eIDAS-asetus otti huomioon teknisen kehityksen ja asetti tunnistukselle ja allekirjoitukselle yksityiskohtaisia vaatimuksia, jotta eri jäsenmaiden verkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä.

Sähköinen vahva tunnistaminen ja allekirjoitus tarkoittaa kryptografista laskentaa matemaattisilla ns. avaimilla, jonka lopputuloksesta voidaan luotettavasti todeta tapahtuman tekijä ja siten niistä on tehty lainsäädännöllä oikeustoimikelpoisia. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla, joka täyttää tietyt asetuksessa määritellyt laatuvaatimukset.

Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltio. Valmistajia on Euroopassa muutamia, esimerkiksi Gemalto, Idemia (siihen aikaan Morpho) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet, tai jäsenvaltiot olivat ostaneet tuotteita, joita ei ollut kukaan tai mikään sertifioinut. Koska asetus saatettiin voimaan olemassa olevaan ympäristöön, sen tuli ottaa huomioon jo käytössä olleet välineet, jotta niiden käyttö voisi jatkua keskeytyksettä, ja laajentaa niiden käyttö kattamaan koko EU:n alue. Siten säädettiin siirtymäaika, joka sallisi olemassa olevat välineet - Suomenkin kortit, jotka vastasivat asetuksen käsitteitä korkean varmuustason tunnistaminen ja kehittynyt sähköinen allekirjoitus - sähköisessä asioinnissa kaikissa EU:n jäsenmaissa.

Tunnistamisvälineistä eIDAS-asetuksen Artikla 9 - Ilmoittaminen määrää seuraavaa:

         9 artikla

       Ilmoittaminen

1. Ilmoittavan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:
a) kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;
b) sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta:
  i) sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja
  ii) todentamismenettelyä operoiva osapuoli;
c) sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;
d) tiedot siitä, mikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;
e) kuvaus siitä, miten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;
f) kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;
g) järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.

2. Yhden vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon tämän artiklan 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot.

3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson päättymisen jälkeen, se julkaisee Euroopan unionin virallisessa lehdessä muutokset 2 kohdassa tarkoitettuun luetteloon kahden kuukauden kuluessa kyseisen ilmoituksen vastaanottamisesta.

4. Jäsenvaltio voi toimittaa komissiolle pyynnön poistaa kyseisen jäsenvaltion ilmoittama sähköisen tunnistamisen järjestelmä 2 kohdassa tarkoitetusta luettelosta. Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset luetteloon kuukauden kuluessa jäsenvaltion pyynnön vastaanottamisesta.

5. Komissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan mukaisiin ilmoituksiin liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Eli asetuksen tekstin mukaan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset. Käytännössä ilmoittava virasto olisi ollut Digivirasto. Mitään ilmoitusta Suomen tunnistusvälineistä ei ole toimitettu. Nyt (2024-12-18) Suomen kansalaisvarmenne (Henkilökortti) on PRE-NOTIFIED -tilassa eli komissiolle on ilmoitettu notifikaation tapahtuvan joskus.

Tunnistusvälineiden (eID) notifioitu lista:


Allekirjoitusvälineistä Artikla 51 - Siirtymätoimenpiteet määrittelee seuraavaa:

           51 artikla

       Siirtymätoimenpiteet

1.   Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.

2.   Direktiivin 1999/93/EY mukaisesti luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka.

3.   Direktiivin 1999/93/EY mukaisen hyväksyttyjä varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017. Kyseistä varmennepalvelujen tarjoajaa pidetään tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana siihen saakka, kun vaatimustenmukaisuuden arviointikertomus on toimitettu ja valvontaelin on saattanut loppuun sen arvioinnin.

4.   Jos direktiivin 1999/93/EY mukainen hyväksyttyjä varmenteita myöntävä varmennepalvelujen tarjoaja ei toimita valvontaelimelle vaatimustenmukaisuuden arviointikertomusta 3 kohdassa tarkoitetussa määräajassa, kyseistä varmennepalvelujen tarjoajaa ei pidetä tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana 2 päivästä heinäkuuta 2017.

Allekirjoitusten osalta Turvallisia allekirjoituksen luontivälineitä.... varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017 - päivämäärä, jonka Digivirasto jätti myöskin täyttämättä.

EU:n EIDAS-asetuksen mukaisten QSCD-allekirjoitusvälineiden lista jossa Suomi loistaa poissaolollaan. Suomalainen allekirjoitus ei kelpaa.

Maissa, joissa oli tehty poikkeuksia suomalaisen hyvälaatuisen henkilökortin käytöstä, eIDAS-asetuksen myötä korttien käyttö tuli mahdottomaksi. Viron valtio lopetti Suomen kortin tukemisen web-palveluiden kirjautumisessa ja qDigiDoc-ohjelmiston testaamisen nelosversiossa ja käytännössä sekin on lakannut toimimasta bugien takia.

Artikla 51 siirtymäkausi oli yhdenkertainen tarjous, ne maat - takapihat kuten Kroatia ja Slovakia, jotka huolehtivat vastuustaan, ovat olleet listalla siitä lähtien. Suomi ei listalla ole eikä tule. Siirtymäkausi ei toistu eikä sitä voi tehdä nykyisille korteille määräajan umpeuduttua.

Allekirjoitusvälineiden notifoitua listaa voi jokainen itse tarkastella EU:n sivuilta:

Vuoden 2021 alusta myönnetyille korteille mitään notifiointia tai kertomuksia ei tarvitse yhteisön valvontaelimille lähetellä, koska ulkomaalainen korttivalmistaja on ne jo tehnyt. Ongelma koskee G2 molempia- ja G3 ensimmäisen sukupolven kortteja joita 99,99% kaikista Suomen noin miljoonasta kortista onLähde puuttuu. Näiden vanhenemiseen ja normaaliin vaihtoon menee vuosia, koska G3 ensimmäinen sukupolvi (G3.1) otettiin käyttöön 2017 alusta ja sen myöntämisjakso loppui 31.12.2020, eli viimeinen käyttäjälle luovutettu kortti tulee olemaan voimassa siitä eteenpäin viisi vuotta, 2025 loppuun asti.

Käytännössä tämä tarkoittaa sitä, että suomalaisella henkilökortilla ei voi asioida ulkomaisissa palveluissa, kuten eIDAS-asetus alunperin tarkoitti. Asia ei ole vähäpätöinen, siitä osoituksena Digivirasto on itse toteuttanut vaadittavat yhdyskäytävät Suomi.fi-tunnistuspalveluunsa ja näillä ulkomaalaisilla välineillä pääsee siten kirjautumaan julkisiin palveluihin kuten yritysrekisteri (PRH) tai verottajalle.

Yhteenveto sotkusta:

  • asia koskee kaikkia käytössä olevia kortteja, G2.1 ja G2.2 - ja G3.1 (G3 ensimmäistä) -sukupolvia
  • kaikkien osapuolien ollessa Suomen sisällä, asialla ei ole merkitystä
  • suomalainen kortti ei kelpaa muissa EU-maissa kuin mekaanisena välineenä
  • muiden EU-maiden välineet kelpaavat Suomessa sähköisinä
  • koskee sekä tunnistamista (web, sähköposti - QWAC), että allekirjoittamista (QSCD, QES)
  • ei koske vuoden 2021 alusta myönnettyjä kortteja
  • tunnistamisvälineen ilmoittamisen voi vielä tehdä, jos niin päätetään
  • allekirjoittamisvälineen ilmoittamisen määräaika umpeutui 1.7.2017.
  • suomalaisille joille asialla on merkitystä, korjaus vaatii uuden 55€ kortin hankkimista

Nykytilanne (2024-12-18)

  • G3.1 korttien viimeiset voimassaoloajat loppuvat 2025(?)
  • Uudet kortit piti notifioida Digitaalinen henkilöllisyys valmistuttua (eka lompakko)
  • Hanketta ei käsitelty edukunnassa (eduskunta ei ehtinyt käsittelemään)
  • Lompakkoa jolle ei tullut lakia, ei notifioitu, ei myöskään henkilökortteja
  • Valtio aloitti uuden EU-lompakko hankkeen joka notifioidaan
  • Ilmeisesti henkilökortit on tarkoitus taas notifioida samalla
  • Mitään ei ole notifioitu vieläkään eikä suomalaiset välineet käy eIDAS-tunnisteina ulkomailla
  • EU-komissiolle on ilmoitettu, että notifikaatio tehdään joskus ja prosessi on PRE-NOTIFIED -tilassa.

Katso myös

Aiheesta muualla