Frågor och svar för dig som använder betrodda tjänster

En betrodd tjänst är en elektronisk tjänst som skapar, kontrollerar, validerar eller bevarar elektroniska underskrifter. Du använder en betrodd tjänst när du exempelvis godkänner ett köp på nätet med mobilt bank-id eller godkänner din deklaration via Skatteverkets e-tjänst. 

Betrodda tjänster kan även användas för elektroniska stämplar, certifikat för autentisering av webbplatser, elektroniska tidsstämplingar eller för elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster. 

Det ställs säkerhetskrav på betrodda tjänster. Kraven regleras i en EU-förordning som heter eiDAS-förordningen.

Det enklaste sättet att veta om ett företag levererar en betrodd tjänst är att fråga företaget. 

PTS har ingen officiell förteckning över alla företag som levererar betrodda tjänster. Anledningen är att enligt nu gällande regler är det endast tillhandahållare av kvalificerade betrodda tjänster som behöver göra en anmälan till PTS. Vi kan därför inte upprätta en lista över aktörer på marknaden och gå i god för dessa, då verktyg för granskning saknas i nuläget.

BankID och mobilt BankID som tillhandahålls av Finansiell ID-Teknik BID AB är en e-legitimation som erbjuds tillsammans med möjligheten att skapa elektroniska underskrifter. När BankID används för att skapa elektroniska underskrifter är tjänsten en betrodd tjänst som behöver följa kraven i eIDAS-förordningen och rapportera eventuella säkerhetsincidenter till PTS.

Freja eID plus är en e-legitimation som erbjuds tillsammans med möjligheten att skapa elektroniska underskrifter. När Freja eID plus används för att skapa elektroniska underskrifter är tjänsten en betrodd tjänst som behöver följa kraven i eIDAS-förordningen och rapportera eventuella säkerhetsincidenter till PTS.

Nej, Svenska Pass AB är en e-legitimation, det vill säga en elektronisk id-handling som du kan använda för att legitimera dig. Svenska Pass AB tillhandahåller i dagsläget igen lösning för elektroniska underskrifter vilket innebär att de inte tillhandahåller någon betrodd tjänst.

Mer information om e-legitimering hos Myndigheten för digital förvaltnings (Digg). 

eiDAS-förordningen är en EU-förordning om elektronisk identifiering och betrodda tjänster. Syftet med förordningen är att underlätta för medborgare och organisationer att använda sin egen e-legitimation inom EU och ESS-länderna. 

Förordningen är uppdelad i två delar. En del handlar om betrodda tjänster och vilka krav som ställs på dessa tjänster, och där är PTS ansvarig myndighet. Den andra delen handlar om elektronisk identifiering och där är Myndigheten för digital förvaltning (DIGG) ansvarig myndighet.

eIDAS-förordningen reglerar följande betrodda tjänster:

• Utfärdande av certifikat för elektroniska underskrifter och stämplar
• Skapande av elektroniska underskrifter och stämplar
• Validering av elektroniska underskrifter och stämplar
• Bevarande av elektroniska underskrifter och stämplar
• Tidsstämpling
• Elektronisk rekommenderad leverans
• Certifikat för autentisering av webbplatser

Betrodda tjänster som används inom ett slutet system och av ett begränsat antal användare är undertagna från eIDAS-förordningen.

De säkerhetskrav som ställs handlar om att företaget som levererar en betrodd tjänst måste utföra särskilda åtgärder. Företaget ska:

• vidta tekniska och organisatoriska åtgärder som är lämpliga för att hantera säkerhetsrisker,
• vidta tekniska och organisatoriska åtgärder som är lämpliga för att förhindra eller minimera negativa konsekvenser av säkerhetshetsincidenter,
• rapportera säkerhetsincidenter till PTS.

Företag som är kvalificerade tillhandahållare av betrodda tjänster är skyldiga att följa ytterligare säkerhetskrav. 

Nej, i Sverige är det Myndigheten för digital förvaltning (Digg) som reglerar e-legitimationer.

En e-legitimation används för elektronisk legitimering. En betrodd tjänst används för att skriva under elektroniskt. Betrodda tjänster kan även användas för elektroniska stämplar, certifikat för autentisering av webbplatser, elektroniska tidsstämplingar eller för elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster.

Vissa tjänster, så som exempelvis BankID och Freja eID Plus, tillhandahåller både tjänster för e-legitimation och för elektroniska underskrifter, det vill säga betrodda tjänster.

Förlitande part kallas den part som förlitar sig på en elektronisk identifiering eller betrodda tjänster. 

En elektronisk underskrift är uppgifter i elektronisk form som används för att kontrollera att innehållet kommer från den som har undertecknat handlingen.

I eIDAS-förordningen skiljer man på avancerad elektronisk underskrift och kvalificerad elektronisk underskrift.

En avancerad elektronisk underskrift

• ska vara knuten till endast en undertecknare,
• ska identifiera undertecknaren,
• ska skapas på ett sådant sätt att undertecknaren har kontroll över den,
• ska utformas så att ändringar kan upptäckas.

En avancerad elektronisk underskrift blir en kvalificerad elektronisk underskrift genom att den

• skapas med hjälp av en kvalificerad anordning för underskriftsframställning,
• är baserad på ett kvalificerat certifikat för elektroniska underskrifter.

En elektronisk stämpel fungerar på samma sätt som en elektronisk underskrift, men den pekar ut en juridisk person (ett företag) istället för en fysisk person.

En avancerad elektronisk underskrift måste enligt förordningen uppfylla vissa krav som regleras i art. 26 i eIDAS-förordningen. Kraven innebär att tjänsten

• ska vara knuten till endast en undertecknare,
• ska identifiera undertecknaren,
• ska skapas på ett sådant sätt att undertecknaren har kontroll över den,
• ska utformas så att ändringar kan upptäckas.

En juridisk eller fysisk person som vill använda sig av en tjänst som tillhandahåller en avancerad elektronisk underskrift måste själv bilda sig en uppfattning om tillhandahållaren och dess tjänst är tillförlitlig för ändamålet eller inte. 

PTS har ingen officiell förteckning över tillhandahållare av icke-kvalificerade tjänster, till exempel tillhandahållare av avancerade elektroniska underskrifter.

PTS kan som tillsmyndighet endast granska dessa företag händelsestyrt (det vill säga efter att myndigheten har fått information om en säkerhetsincident). Vi kan därför inte upprätta en lista över aktörer på marknaden och gå i god för dessa, då verktyg för granskning saknas i nuläget.

Ett företag som efter anmälan har bedömts uppfylla de särskilda kraven för kvalificerade tillhandahållare av en betrodd tjänst i eIDAS-förordningen får statusen som kvalificerad tillhandahållare av betrodda tjänster. Dessa krav är högre ställda än kraven på företag som inte är kvalificerade. 

En kvalificerad betrodd tjänst är en tjänst som genomgått en särskild granskning och certifiering enligt eIDAS-förordningen. Ett företag som vill kvalificera sin betrodda tjänst måste anmäla tjänsten till PTS som granskar om tjänsten lever upp till kraven enligt eIDAS-förordningen. 

I Sverige finns det ännu så länge inga lagkrav som innebär att du måste använda en kvalificerad elektronisk underskrift. Däremot finns det formkrav i vissa svenska lagar som ställer krav på avancerade elektroniska underskrifter. 

Vissa verksamheter väljer att använda sig av kvalificerade betrodda tjänster, eftersom dessa omfattas av hårdare säkerhetskrav. Det är upp till  verksamhetsutövaren som bedömer vilken typ av betrodd tjänst som är ändamålsenlig för verksamheten. 

I en del EU-länder finns formkrav som innebär att en kvalificerad underskrift måste användas i samband med vissa elektroniska förfaranden, exempelvis för att elektroniskt kunna lämna anbud i offentliga upphandlingar.

I grunden ställs det samma säkerhetskrav som på en betrodd tjänst. Men, det ställs också strängare säkerhetskrav på en kvalificerad betrodd tjänst. Skadeståndsansvaret är också mer omfattande.

Företag som levererar en kvalificerad betrodd tjänst granskas återkommande av ett certiferad organ. PTS kan som tillsynsmyndighet genomföra både planerade och händelsestyrda granskningar. 

Det finns flera skillnader mellan tjänsterna. För en kvalificerad betrodd tjänst gäller följande: 

• Strängare säkerhetskrav.
• Mer omfattande skadeståndsansvar.
• PTS kan genomföra planlagda och händelsestyrda tillsyner.
• Tjänsten erkänns på lika villkor i samtliga EUs medlemsstater.
• Tillhandahållaren granskas återkommande av ett certifierat organ för överensstämmelse med eIDAS-förordningen.

För en betrodd tjänst som inte är kvalificerad kan PTS enbart genomföra händelsstyrda tillsyner. Tillhandahållaren genomgår inte återkommande granskningar. 

På PTS webbplats finns en förteckning över svenska företag som har statusen kvalificerade tillhandahållare. Alla länder inom EU och EES-länderna som omfattas av eIDAS-förordningen ska ha motsvarande förteckningar.

EU-förteckning över kvalificerade tillhandhållare

Utifrån de nationella förteckningarna skapar EU-kommissionen en lista av listor (Trusted List Browser) som gör att det går att se alla kvalificerade tillhandahållare och kvalificerade betrodda tjänster som finns i EU.

Listorna används bland annat för att kunna identifiera kvalificerade betrodda tjänster som till exempel kvalificerade elektroniska underskrifter från andra medlemsländer inom EU.

Trusted list är en nationell förteckning över de företag som i ett land har statusen kvalificerade tillhandahållare av betrodda tjänster. På PTS webbplats finns en förteckning över företag som har den statusen i Sverige. 

Inte nödvändigtvis. Både kvalificerade och icke-kvalificerade betrodda tjänster är skyldiga att vidta tekniska och organisatoriska åtgärder för att hantera säkerhetsrisker och att rapportera incidenter till PTS som är tillsynsmyndighet. 

En kvalificerad tillhandahållare av en kvalificerad betrodd tjänst har granskats av ett särskilt certiferingsorgan och godkänts av PTS.

En kvalificerad tillhandahållare omfattas även av mer detaljerade krav som exempelvis plan för verksamhetens upphörande och förfogande över tillräckliga ekonomiska medel och/eller ansvarsförsäkring.

En kvalificerad elektronisk underskrift fungerar på så sätt att den skapas med hjälp av en privat nyckel som endast användaren kan nyttja.
Mottagaren av den elektroniska underskriften har en publik nyckel som enbart kan användas för att dekryptera och kontrollera att avsändaren är den han eller hon utger sig för att vara.

Elektronisk underskrift med kvalificerat certifikat

När en datamängd ska undertecknas med en kvalificerad elektronisk underskrift krypteras informationen med hjälp av ett program för skapande av elektroniska underskrifter. Programmet räknar ut ett kondensat av datamängden (även kallat hashsumma).

Hashsumman skickas därefter till användarens anordning för att skapa elektroniska underskrifter. Hashsumman krypteras och skickas tillbaka till underskriftsprogrammet, där den slås ihop med den kvalificerade underskriften, och därigenom skapas ett elektroniskt underskrivet dokument.
Därefter skickar avsändaren allt detta till en mottagare. Tillsammans med den kvalificerade underskriften följer ett kvalificerat certifikat som innehåller den publika nyckeln, som mottagaren behöver för att kunna öppna dokumentet.

Det elektroniskt underskriva dokumentet (som består av den kvalificerade underskriften och det kvalificerade certifikatet) öppnas i ett särskilt system. Meddelandets hashsumma beräknas och jämförs med den dekrypterade hashsumman. Om dessa summor är lika är signeringen korrekt och den kvalificerade underskriften har inte förvanskats.

I nuläget finns ett svenskt företag som är anmäld kvalificerad tillhandahållare av betrodda tjänster och som utfärdar kvalificerade certifikat för elektroniska underskrifter. 

I EU-kommissionens lista över kvalificerade tillhandahållare av betrodda tjänster (Trusted List) hittar du information om företaget.

Här kan du även se vilka övriga företag i Sverige som är anmälda som kvalificerade tillhandahållare och vilka tjänster som de tillhandahåller.