Elektroniska underskrifter

Du skapar en elektronisk underskrift varje gång du skriver under ett elektroniskt meddelande.

Det kan till exempel vara när du skriver under med ditt namn i ett vanligt e-postmeddelande.

För den här typen av enklare elektroniska underskrifter finns det få eller inga säkerhetskrav. Det går till exempel inte att låsa dokumentets innehåll till underskriften på ett säkert sätt.

När vi i dagligt tal pratar om elektronisk underskrift menar vi ofta en avancerad elektronisk underskrift. Det handlar till exempel om BankID eller Freja eID Plus.

Det är en underskrift i elektronisk form som med kryptografiska tekniker knyter identiteten på en undertecknare till det undertecknade dokumentet.   

Den här underskriften knyter alltså identiteten på en undertecknare till det undertecknade dokumentet. Detta innebär att du i efterhand kan verifiera vem som skrivit under och vad som skrivits under. 

Det finns ingen förteckning över aktörer som erbjuder avancerade elektroniska underskrifter. Det enklaste sättet att veta om det rör sig om en avancerad elektronisk underskrift är att fråga leverantören.

Även om tillhandahållare inte behöver anmäla sig till PTS, är de skyldiga att rapportera in incidenter. PTS kan granska tillhandahållare om det finns misstankar om att de inte uppfyller kraven i eIDAS  

En kvalificerad underskrift är en avancerad underskrift som har särskilda krav på hur undertecknaren ska kunna identifieras och hur underskriften ska skyddas mot förfalskning. Samtliga krav regleras i eIDAS-förordningen.

Det är bara företag som är kvalificerade leverantörer av betrodda tjänster som har rätt att leverera en kvalificerad betrodd tjänst. 

I en del EU-länder finns krav på att du måste använda en kvalificerad elektronisk underskrift vid särskilda ärenden.

Nej, en kvalificerad elektronisk underskrift är inte alltid bättre. Det beror på vad du har för behov, vilken mycket säkerhet som behövs och i vilken situation du ska använda den elektroniska underskriften.

När det gäller kvalificerade elektroniska underskrifter så finns det tydliga säkerhetskrav. Kraven är däremot mer oklara när det handlar om en avancerad elektronisk underskrift.

Om du använder, eller tar emot, avancerade elektroniska underskrifter behöver du ta ställning till om du kan lita på tjänsten för underskrifter. Du behöver också ställa krav på att tjänsten uppfyller dina verksamhetsbehov.

Den stora skillnaden är att en e-legitimation används för elektronisk legitimering, alltså att identifiera en person, medan en betrodd tjänst kan kopplas till elektronisk signering.

Om du endast legitimerar dig med en e-legitimation så använder du inte en betrodd tjänst. Vissa tjänster, som exempelvis BankID och Freja eID plus, tillhandahåller tjänster för både e-legitimation och elektroniska underskrifter. När en sådan tjänst används för signering utgör den en betrodd tjänst.

Det finns inga generella regler som säger när du ska använda en enkel, avancerad eller kvalificerad elektronisk underskrift.

I vissa fall kan det finnas regler kring att du ska använda avancerade elektroniska underskrifter. Men utöver det så är det verksamhetens behov som avgör vilken underskriftsmetod du väljer.

Nej, det finns i dagsläget inga lagkrav på att du måste använda kvalificerade elektroniska underskrifter i Sverige. I en del EU-länder finns det krav på att du måste använda en kvalificerad elektronisk underskrift i samband med vissa situationer.

Vi kan inte uttala oss om vilka tjänster som är säkrast. Vi har inget mandat att utreda det.

Vi har inte heller någon förteckning över vilka icke-kvalificerade tjänster som finns. De är nämligen inte skyldiga att anmäla sig till oss. De måste dock rapportera incidenter till oss, då vi är tillsynsmyndighet för icke-kvalificerade tillhandahållare.

Om du väljer att upphandla kvalificerade elektroniska underskrifter så finns det tydliga krav på sådana, i eIDAS-förordningen.

Det finns därtill krav i standarder som kan utgöra ett bra stöd i er kravställning.

Tillitsinformation, med information om kvalificerade tillhandahållare och kvalificerade betrodda tjänster, publiceras av EU:s medlemsstater.

Information hos Digg om underskriftstjänster.

För att kontrollera en avancerad eller en kvalificerad elektronisk underskrift används normalt en tjänst eller programvara för att genomföra kontrollen (valideringen). Det kan vara en tjänst som verksamheten tillhandahåller eller en inbyggd funktion i till exempel en programvara för att läsa PDF-filer.

Valideringstjänsten kan även baseras på öppen källkod från myndigheten för digital förvaltning (Digg) eller EU-kommissionen.

Det finns flera sätt att ta reda på vilka elektroniska underskrifter som ni kan lita på. Det kan finnas en förteckning i er organisation över vilka tillhandahållare som ni har valt att lita på. Ni kan även ha valt att lita på de som finns listade i den programvara som ni använder för att kontrollera elektroniska underskrifter.

På vår webbplats finns en lista över vilka företag som i Sverige är så kallade kvalificerade tillhandahållare av betrodda tjänster. Här finns även EU:s lista över kvalificerade tillhandahållare.

Endast företag som är kvalificerade tillhandahållare av betrodda tjänster har rätt att leverera kvalificerade betrodda tjänster enligt eIDAS-förordningen. För att få statusen som kvalificerad tillhandahållare behöver företaget och dess betrodda tjänster genomgå en prövning hos både ett ackrediterat certifieringsföretag och hos PTS.

I en del EU-länder finns krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden, exempelvis för att elektroniskt kunna lämna anbud i offentliga upphandlingar.

En elektronisk underskrift i en e-legitimation är den vanligaste formen av underskrift. Underskriftsfunktionen ingår i e-legitimationen.

När du använder en e-legitimation som underskriftslösning måste du som användare ha tillgång till programvara och utrustning som krävs för att skapa underskrifter.

Det kan vara en mobil lösning med e-legitimation i mobiltelefonen eller en lösning där e-legitimation och underskriftsfunktion finns på ett så kallat smart kort. Gemensamt för den här typen av lösningar är att du som användare själv har kontroll över den enhet och de nycklar som skapar den elektroniska underskriften.

DIGG:s information om e-legitimation.

En fristående underskriftstjänst används ofta i myndighetstjänster som kräver att användare kan skriva under olika handlingar och ansökningar med sin e-legitimation. En fristående underskriftstjänst möjliggör att användaren kan identifiera sig med valfri e-legitimation inom ramen för de avtal om elektronisk identifiering som myndigheten har.

Myndigheten för digital förvaltning (Digg) har tagit fram ett tekniskt ramverk för fristående underskriftstjänster. En underskriftstjänst som följer Diggs ramverk kan användas för att skapa såväl avancerade som kvalificerade elektroniska underskrifter.

Underskriftstjänst (DIGG)

En vanligt förekommande tjänst i dag är en underskriftstjänst där en eller flera undertecknare bjuds in att ”skriva under” ett PDF-dokument.

Den slutliga underskrivna handlingen förses med tjänstens stämpel i stället för undertecknarnas individuella underskrifter eller en kombination av underskrifter och en stämpel. Denna typ av tjänst används oftast för att skapa digitala avtal men används även för att skriva under årsredovisningar och andra typer av dokument i PDF-format.

En elektronisk stämpel fungerar på samma sätt som en elektronisk underskrift, men den pekar ut en juridisk person (ett företag) istället för en fysisk person.

På samma sätt som en elektronisk underskrift har olika säkerhetsnivåer har även en elektronisk stämpel det. Det finns så kallade enkla elektroniska stämplar, avancerade elektroniska stämplar och kvalificerade elektroniska stämplar. Samtliga varianter regleras i eIDAS-förordningen.

Det finns fler lösningar och tillhandahållare av tjänster för elektroniska underskrifter än de som vi informerar om här på vår webbplats.

PTS är tillsynsansvarig myndighet över de företag som är kvalificerade tillhandahållare av betrodda tjänster eftersom de måste granskas och anmäla sin verksamhet till myndigheten för att få status som kvalificerad tillhandahållare.

Företag som levererar andra typer av elektroniska underskrifter behöver inte anmäla sig eller sin verksamhet till PTS, vilket innebär att myndigheten inte känner till alla lösningar och tillhandahållare som finns på marknaden.