Du som erbjuder en betrodd tjänst ska följa de säkerhetskrav som ställs i eIDAS-förordningen. Du ska också rapportera incidenter till PTS. Vi på PTS granskar att företag lever upp till förordningens bestämmelser.

Säkerhetskrav enligt eIDAS

Du som levererar en betrodd tjänst ska följa säkerhetskraven i eIDAS-förordningen. Det innebär att:

  • Din verksamhet ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna hos de betrodda tjänster som du erbjuder. Detta gäller både kvalificerade och icke-kvalificerade tillhandahållare.
  • Säkerhetsnivån i åtgärderna ska stå i proportion till graden av risk och med hänsyn till teknikutvecklingen.
  • De tekniska och organisatoriska åtgärder som du vidtar ska förhindra och minimera säkerhetsincidenter.
  • Du ska rapportera säkerhetsincidenter av betydande omfattning till PTS.
  • Du ska informera parter som påverkas av en säkerhetsincident om konsekvenserna av incidenten.

För att följa säkerhetskraven i eIDAS-förordningen behöver du som leverantör bedriva ett långsiktigt och systematiskt säkerhetsarbete. Du behöver också ha en tydlig rollfördelning och med utpekade ansvariga personer.

eIDAS-förordningen 

Skadeståndsansvar för betrodda tjänster

Du som erbjuder betrodda tjänster har ett skadeståndsansvar om det uppstår en skada, som drabbar en person eller ett företag. Det spelar ingen roll om skadan uppstår avsiktligt eller på grund av oaktsamhet. Du har skadeståndsansvar om skadan inträffat på grund av att du inte levt upp till kraven i eIDAS-förordningen.

Bevisbördan skiljer sig åt för kvalificerade och icke-kvalificerade tillhandahållare. eIDAS-förordningen 

Incidentrapportering

Betrodda tjänster som drabbas av säkerhetsincidenter och integritetsförluster ska rapporteras till PTS senast 24 timmar efter upptäckt.

 

Information om rapportering av incidenter.

PTS tillsyn

Vi på PTS granskar att företag som erbjuder betrodda tjänster följer de säkerhetskrav och regler som gäller. Vi kan bedriva händelsestyrd tillsyn för både kvalificerade och icke-kvalificerade leverantörer. När det gäller kvalificerade leverantörer kan vi bedriva planlagd tillsyn.

Vi kan starta en händelsestyrd granskning om vi, genom anmälningar eller på annat sätt, får tecken på att reglerna inte följs. Då kan vi inleda ett tillsynsärende mot den leverantör som misstänks bryta mot lagen.

Vi kan däremot inte hantera allmänhetens klagomål och vi agerar inte i enskilda konsumenters eller användares ärenden. De klagomål som kommer in till oss är däremot viktig information och vi kan använda det som grund för tillsyn och informationsinsatser.

Om du vill ta del av våra granskningar, kontakta vårt diarium på pts@pts.se.

Planerad tillsyn av kvalificerade tillhandahållare

Vi kan genomföra planlagda granskningar mot kvalificerade leverantörer av betrodda tjänster. Då utreder vi om och hur dessa leverantörer lever upp till reglerna. Det kan gälla både en viss kategori kvalificerade tillhandahållare eller en viss typ av kvalificerad betrodd tjänst.

Vi behöver inte misstänka några särskilda brister för att göra en planerad granskning.

Information om kvalificerade tillhandahållare

Sidan uppdaterades: