Kompletterande bestämmelser till EU:s reviderade förordning om elektronisk identifiering

Slutbetänkande av Utredningen om säker och tillgänglig digital identitet

Stockholm 2024

SOU 2024:45

3.6Betrodda tjänster och de funktioner

4.1Ramverk för gränsöverskridande elektronisk

4.3Skillnader i stora drag mellan den ursprungliga

6

SOU 2024:45Innehåll

4.7.2En verktygslåda med en teknisk

4.7.4Aktörer som är involverade i den europeiska

4.7.5Identitetsplånbokslösningen,

4.8.5Elektronisk tjänst för rekommenderad

4.9.1Kvalificerade tjänster för förvaltning

av anordningar för skapande av elektroniska

4.10.1Kvalificerade och icke-kvalificerade

4.10.2Säkerhetskrav och krav på

7

6.1Behovet av ytterligare kompletterande bestämmelser

6.2Nya och ändrade nationella bestämmelser med

6.3.1Tillhandahållare av den europeiska digitala

6.3.2Den tillhandahållande myndigheten

6.3.6Tillhandahållande av förteckningar

6.3.7Certifiering av den digitala europeiska identitetsplånboken och system för elektronisk

6.3.8Tillhandahållandet förutsätter att åtgärder

8

SOU 2024:45Innehåll

6.6.1Tillsyn över den europeiska digitala

6.6.2Tillsynsmyndigheten ska ansvara

6.6.4Tillsynsmyndigheten ska ha vissa ytterligare

6.6.6Tillsynsstrukturen för nationellt utfärdade

6.6.10Sanktionsavgift ska bygga på strikt ansvar

6.8Identitetsplånbokens användningsområden

6.9Missbruk eller annan otillåten användning

9

8.5Förslaget om ansvar för tillhandahållande

8.5.1Övriga tillkommande kostnader

8.5.3Förslaget om att tillhandahålla personidentifieringsuppgifter för juridiska

8.6Förslaget om tillsyn över identitetsplånboken

8.7Förslaget om att tillhandahålla registret över

8.9.2Påverkan på företag inom området

8.9.3Påverkan på företag som tillhandahåller

10

9.1Förslaget till lag om ändring i lagen (2016:561)

om kompletterande bestämmelser till EU:s förordning

9.2Förslaget till förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s

9.3Förslaget till förordning om ändring i förordningen

(2007:951) med instruktion för Post- och telestyrelsen .... 286

9.4Förslaget till förordning om ändring i förordningen

9.6Förslaget till förordning om ändring i förordningen

11

14

SOU 2024:45Förkortningar

15

16

hållande av en europeisk digital identitetsplånbok och nationella be- stämmelser om sanktionsavgifter vid regelöverträdelser som begås av kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjäns- ter. Utredningens arbete och prioriteringar redovisas i kap. 2.

I detta sammanhang bör även tilläggas att den reviderade eIDAS- förordningen, som förvisso utmärks av en tämligen hög detaljnivå, kommer att konkretiseras ytterligare genom ett flertal direkt tillämp- liga genomförandeakter. Det medför att det för närvarande är svårt eller närmast omöjligt att få en full överblick av förordningens tillämp- ning och dess konsekvenser. I anslutning till beskrivningen av de kon- sekvenser som utredningens förslag bedöms ge upphov till redovisas i korthet även kommissionens konsekvensanalys av sitt förslag till reviderad eIDAS-förordning (se kap. 8).

Kommittédirektiven finns i bilaga 1 till detta betänkande.

Inrättandet av en europeisk digital identitetsplånbok

Enligt den direkt tillämpliga reviderade eIDAS-förordningen ska, som framgått, medlemsstaterna säkerställa tillhandahållandet av en euro- peisk digital identitetsplånbok. Syftet är att alla fysiska och juridiska personer i EU på ett säkert, tillitsbaserat och sömlöst sätt ska ges till- gång till publika och privata tjänster inom unionen online och, när det är lämpligt, i offlineläge.

De europeiska digitala identitetsplånböckerna ska tillhandahållas inom 24 månader efter ikraftträdande av kommissionens genomför- andeakter med bl.a. referensstandarder för identitetsplånboken och dess certifiering. Dessa genomförandeakter ska antas senast den 21 november 2024.

Användningen av en europeisk digital identitetsplånbok ska vara fri- villig och, för fysiska personer, avgiftsfri. Avsaknad av en sådan identi- tetsplånbok ska inte påverka tillgången till service eller möjligheten att bedriva verksamhet. Identitetsplånboken ska göras tillgänglig för personer med funktionsnedsättning på lika villkor i enlighet med bestämmelserna i Europaparlamentets och rådets direktiv (EU) 2019/ 882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster.

Den europeiska digitala identitetsplånboken ska göra det möjligt för användaren att begära, erhålla, välja, kombinera, lagra, radera, dela

18

och visa upp uppgifter om personidentifiering. Med sådana person- identifieringsuppgifter, och i tillämpliga fall i kombination med elek- troniska attributsintyg, ska användaren kunna autentisera sig gent- emot bl.a. förlitande parter. Med förlitande part avses t.ex. en aktör som tillhandahåller en digital tjänst för vilken åtkomst ges efter att identifiering skett med exempelvis en europeisk digital identitetsplån- bok eller en e-legitimation. Identitetsplånboken är i detta avseende ett medel för elektronisk identifiering.1 Den ska således kunna användas för bl.a. det ändamålet.

Det är användaren som förser sin identitetsplånbok (benämns i betänkandet även plånboksinstans) med elektroniska attributsintyg. Med attribut avses egenskaper, kvaliteter, rättigheter eller tillstånd hos en fysisk eller juridisk person eller hos ett föremål.

All behandling av personuppgifter som utförs av tillhandahållare av den europeiska digitala identitetsplånboken som medel för elektronisk identifiering ska utföras i enlighet med lämpliga och effektiva data- skyddsåtgärder. Det ska kunna visas att behandlingen är förenlig med EU:s dataskyddsförordning.2

Den europeiska digitala identitetsplånboken beskrivs i avsnitt 4.7.

Tillhandahållare av den europeiska digitala identitetsplånboken

För att säkerställa att Sverige, inom föreskriven tid, uppfyller kraven som ställs på medlemsstaterna föreslås att regeringen utser en statlig myndighet med ansvar att tillhandahålla en europeisk digital identi- tetsplånbok till både fysiska och juridiska personer (tillhandahållande myndighet). En statligt tillhandahållen identitetsplånbok kan även öka robustheten i ekosystemet för elektronisk identifiering.

Myndigheten för digital förvaltning bedöms vara lämpad för upp- giften att tillhandahålla den europeiska digitala identitetsplånboken.

Vi föreslår samtidigt att Sverige tillvaratar möjligheten i den revi- derade eIDAS-förordningen att författningsreglera att certifierade europeiska digitala identitetsplånböcker ska få tillhandahållas även av

1I eIDAS-förordningen, liksom i svensk kompletterande lagstiftning, används benämningen medel för elektronisk identifiering för det som i vardagligt tal kallas e-legitimation, se vidare av- snitt 3.3.

2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

19

privata aktörer som godkänts för detta efter att ha genomgått ett anmäl- nings- och granskningsförfarande (godkända tillhandahållare). Det är ändamålsenligt att den tillhandahållande myndigheten ansvarar för denna granskning.

Villkor för ett sådant godkännande och utformningen för gransk- ningsförfarandet får regleras på annan nivå än lag genom det föreskrifts- bemyndigande som föreslås för regeringen eller den myndighet som regeringen bestämmer. Bemyndiganden att meddela föreskrifter före- slås även i fråga om dels ytterligare funktioner för de europeiska digi- tala identitetsplånböckerna, inbegripet interoperabilitet med befintliga nationella medel för elektronisk identifiering, dels undantag från för- ordningskravet att i vissa fall tillhandahålla öppen källkod.

För tillhandahållande av den europeiska digitala identitetsplån- boken till juridiska personer får, enligt vårt förslag, en avgift tas ut av den tillhandahållande myndigheten.

Förslag och bedömningar finns i avsnitten 6.3.1 och 6.3.2.

Tillhandahållare av uppgifter för personidentifiering för den europeiska digitala identitetsplånboken

En förutsättning för användning av den europeiska digitala identitets- plånboken som medel för identifiering och för bl.a. lagring av elek- troniska attributsintyg är att den förses med uppgifter för personidenti- fiering relaterade till en fysisk eller juridisk person. En i sammanhanget förekommande benämning är den engelska akronymen för ”personal identification data”, PID.

Iden reviderade eIDAS-förordningen förutsätts att endast med- lemsstaternas behöriga myndigheter kan fastställa identiteter med en hög tillförlitlighetsnivå och därmed garantera att en person faktiskt är den som personen påstår sig vara. Av den anledningen måste tillhanda- hållandet av de europeiska digitala identitetsplånböckerna bygga på den juridiska identiteten för unionsmedborgare, invånare i unionen och juridiska personer.

Därför föreslås att regeringen ska utse de statliga myndigheter som ska tillhandahålla elektroniska attesteringar av sådana uppgifter för personidentifiering för fysiska och juridiska personer som krävs för användningen av den europeiska digitala identitetsplånboken.

20

Även om det finns andra, i sig lämpade myndigheter, talar effektivi- tetsskäl för att den myndighet som av regeringen utses som tillhanda- hållare av den europeiska digitala identitetsplånboken också bör ansvara för att till identitetsplånboken tillhandahålla uppgifter för person- identifiering för fysiska personer.

När det gäller tillhandahållande av juridiska personers uppgifter för personidentifiering (med förkortningen LPID för ”legal PID”) finns det också tänkbara alternativ. Det finns inte en specifik myndig- het i Sverige som har registreringsansvar för samtliga juridiska personer. Av effektivitetsskäl bör dock ett uppdelat ansvar undvikas. Det föreslås därför att regeringen utser en och samma myndighet att tillhandahålla uppgifter för personidentifiering för juridiska personer. Vi förordar att Bolagsverket ges denna uppgift.

För tillhandahållande av uppgifter för personidentifiering till juri- diska personer får, enligt vårt förslag, en avgift tas ut av den myndig- het som tillhandahåller sådana uppgifter.

Förslag och bedömningar redovisas i avsnitt 6.3.3.

Tillhandahållare av kostnadsfria valideringsmekanismer och förteckningar för validering

Medlemsstaterna ska enligt den reviderade eIDAS-förordningen till- handahålla kostnadsfria valideringsmekanismer för de europeiska digi- tala identitetsplånböckerna. Sådana valideringsmekanismer syftar till att dels säkerställa att europeiska digitala identitetsplånböckers äkthet och giltighet kan kontrolleras, dels göra det möjligt för användare av europeiska digitala identitetsplånböcker att kontrollera äkthet och giltighet för identiteten hos registrerade förlitande parter.

För att säkerställa att kraven på att möjliggöra föreskriven validering uppfylls över tid, föreslås att regeringen utser två statliga myndigheter med uppgift att tillhandahålla kostnadsfria valideringsmekanismer i enlighet med den reviderade eIDAS-förordningen.

Det framstår, enligt vår bedömning, som ändamålsenligt att vali- deringsmekanismerna tillhandahålls av den myndighet som av reger- ingen utses att tillhandahålla den europeiska digitala identitetsplån- boken respektive tillsynsmyndigheten som ansvarar för registret över förlitande parter (se nedan).

21

Beroende av vilka tekniska lösningar som används för validering kan det behöva upprättas, underhållas och offentliggöras sådana för- teckningar som möjliggör valideringen. Detta gäller även validering av uppgifter för personidentifiering för den europeiska digitala identitets- plånboken. Det är tillhandahållarna som ska tillse att validering är möjlig.

Förslag och bedömningar redovisas i avsnitt 6.3.5 och 6.3.6.

Certifiering av den europeiska

digitala identitetsplånboken och system för elektronisk identifiering

Att den europeiska digitala identitetsplånboken uppfyller kraven i den reviderade eIDAS-förordningen ska certifieras av ett, av varje med- lemsstat, utpekat organ för bedömning av överensstämmelse. Certi- fieringskravet framgår således direkt av förordningen, som också före- skriver bl.a. att certifieringen ska vara giltig i högst fem år och villkoras av att en sårbarhetsbedömning genomförs med intervall om två år.

Certifieringen av identitetsplånboken, liksom system för elektro- nisk identifiering, avser i huvudsak överensstämmelse med föreskrivna cybersäkerhetskrav och ska bygga på de relevanta europeiska ord- ningar för cybersäkerhetscertifiering som inrättats i enlighet med Europaparlamentets och rådets förordning (EU) 2019/881 av den

17april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikations- teknik och om upphävande av förordning (EU) nr 526/2013 (cyber- säkerhetsakten).

Regeringen eller den myndighet som regeringen bestämmer ska, enligt lämnat förslag, utse ansvarigt organ för certifiering av euro- peiska digitala identitetsplånböcker och system för elektronisk identi- fiering. Det bedöms vara ändamålsenligt att certifieringen utförs av certifieringsorgan som är ackrediterade enligt cybersäkerhetsakten. För svenskt vidkommande är det således Försvarets materielverk som är bäst lämpat för uppgiften att utse ansvarigt organ för certifiering av dels europeiska digitala identitetsplånböcker, dels system för elektro- nisk identifiering i Sverige.

För det begränsade utrymme för nationella certifieringsordningar som lämnas i den reviderade eIDAS-förordningen finns behov av ett

22

föreskriftsbemyndigande. Utrymmet för den nationella certifierings- ordningen omfattar dels andra områden än cybersäkerhet, dels sådana cybersäkerhetskrav som inte täcks av någon cybersäkerhetscertifi- eringsordning enligt cybersäkerhetsakten. De senare kraven torde ha nära koppling till tillhandahållandet av den europeiska digitala identi- tetsplånboken samt granskning och godkännande av privata aktörer som tillhandahållare av sådana identitetsplånböcker. Med beaktande av tidigare redovisad bedömning avseende ansvaret för den statligt till- handahållna europeiska digitala identitetsplånboken och förslaget om granskningsförfarande för godkännande som tillhandahållare av en sådan identitetsplånbok, är det lämpligt att Myndigheten för digital förvaltning, i förekommande fall, och med stöd av föreslaget före- skriftsbemyndigande, tar fram en sådan nationell certifieringsordning.

Förslag och bedömningar finns i avsnitt 6.3.7.

Register över förlitande parter

En förlitande part som avser att förlita sig på europeiska digitala identi- tetsplånböcker för tillhandahållande av offentliga eller privata tjänster genom digital interaktion ska enligt den reviderade eIDAS-förord- ningen registrera sig i den medlemsstat där den är etablerad.

Registreringen är avsedd att underlätta medlemsstaternas kontroller av lagenligheten hos de förlitande parternas verksamhet i enlighet med unionsrätten och syftar till att öka öppenheten i och förtroendet för användningen av sådana identitetsplånböcker. Av registrerade upp- gifter ska bl.a. framgå vilka uppgifter som den förlitande parten, vid tillhandahållande av sina tjänster, avser att begära från användare; några andra än dessa uppgifter får inte begäras utan en föregående omregi- strering.

Med hänsyn till hur regleringen om registret för förlitande parter är utformad i den reviderade eIDAS-förordningen föreslås att ansvaret för detta register ska åvila tillsynsmyndigheten över ramverket över den europeiska digitala identitetsplånboken, se vidare nedan.

Förslaget redovisas i avsnitt 6.6.2.

23

Tillsyn över den europeiska digitala identitetsplånboken

Av den reviderade eIDAS-förordningen framgår att varje medlemsstat ska utse ett eller flera tillsynsorgan inom dess territorium som ska ansvara för tillsyn över ramverket för den europeiska digitala identitets- plånboken och ges erforderliga befogenheter och tillräckliga resurser för att kunna utföra sin uppgift på ett ändamålsenligt, effektivt och oberoende sätt.

Vi föreslår därför att den myndighet som regeringen bestämmer ska ges ansvar att utöva tillsyn över att tillhandahållare av europeiska digitala identitetsplånböcker som är etablerade i Sverige efterlever dels kraven i den reviderade eIDAS-förordningen och de rättsakter som meddelas med stöd av densamma, dels kraven i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering (kompletteringslagen) och de föreskrifter som meddelas med stöd av densamma.

Med beaktande av den reviderade eIDAS-förordningens före- skrivna tillsynsbefogenheter bör bestämmelsen om tillsyn över den europeiska digitala identitetsplånboken och dess tillhandahållare, med undantag för möjligheten att förena förelägganden och förbud med vite, motsvara vad som enligt gällande bestämmelser i kompletterings- lagen föreskrivs i fråga om tillhandahållare av betrodda tjänster.

Om europeiska digitala identitetsplånböcker, föreskrivna vali- deringsmekanismer, eller det system för elektronisk identifiering inom ramen för vilket sådana identitetsplånböcker tillhandahålls är föremål för incidenter eller delvis äventyras på ett sätt som påverkar deras till- förlitlighet, eller tillförlitligheten för andra europeiska digitala identi- tetsplånböcker, ska den medlemsstat som tillhandahöll dessa identi- tetsplånböcker utan onödigt dröjsmål vidta åtgärder i enlighet med den reviderade eIDAS-förordningen. Det handlar om att tillfälligt upphäva tillhandahållandet och användningen av europeiska digitala identitets- plånböcker, eller att återkalla dessa, om det är motiverat mot bakgrund av allvaret i ifrågavarande säkerhetsincident eller händelsen som även- tyrat tillförlitligheten. För att säkerställa att dessa åtgärder vidtas på föreskrivet sätt ska detta ingå i ansvaret för den av regeringen utsedda tillsynsmyndigheten.

Det föreslås vidare att regeringen eller, efter regeringens bemyndi- gande, tillsynsmyndigheten ska få meddela föreskrifter om skyldig-

24

het för tillhandahållare av en europeisk digital identitetsplånbok att betala avgift för tillsynsmyndighetens verksamhet.

Ett samlat tillsynsansvar över både tillhandahållare av betrodda tjänster och tillhandahållare av den europeiska digitala identitetsplån- boken bedöms medföra samordningsvinster som i sin tur kan förväntas leda till ökad kostnadseffektivitet när det gäller tillsyn på digitali- seringsområdet. Post- och telestyrelsen bör därför utses som tillsyns- organ över ramverket för den europeiska digitala identitetsplånboken.

Av den reviderade eIDAS-förordningen följer att tillsynsorgan får söka ömsesidigt bistånd från varandra för att underlätta tillsynen och efterlevnaden av skyldigheterna enligt förordningen. De berörda medlemsstaterna ska i enlighet med sin nationella rätt besluta om och inrätta arrangemang och förfaranden för gemensamma åtgärder som ska vidtas inom ramen för det ömsesidiga biståndet. För att säker- ställa att detta krav uppfylls föreslås att Post- och telestyrelsen, i egen- skap av tillsynsmyndighet, bemyndigas att meddela föreskrifter i nämnda avseenden.

Post- och telestyrelsen föreslås också utgöra den gemensamma kontaktpunkten för betrodda tjänster, europeiska digitala identitets- plånböcker och anmälda system för elektronisk identifiering i enlighet med det som föreskrivs i den reviderade eIDAS-förordningen.

Förslag och bedömningar finns i avsnitten 6.6.1, 6.6.3 och 6.6.4.

Administrativa sanktionsavgifter

Av den reviderade eIDAS-förordningen följer, i likhet med tidigare, att medlemsstaterna ska fastställa bestämmelser om effektiva, propor- tionerliga och avskräckande sanktioner. Därutöver föreskrivs att med- lemsstaterna ska säkerställa att överträdelser av förordningen, som begås av kvalificerade och icke-kvalificerade tillhandahållare av be- trodda tjänster, ska medföra administrativa sanktionsavgifter som ska uppgå till vissa lägsta maximinivåer.

Vi bedömer att omständigheterna motiverar att en tillsynsmyndig- het och inte domstol beslutar om sanktionsavgifter. Det föreslås därför att tillsynsmyndigheten ska besluta om sådana sanktionsavgifter. Be- stämmelser om detta tas in i kompletteringslagen, liksom bestäm- melser om sanktionsavgifternas beloppsnivåer och omständigheter som ska beaktas när sådana avgifter bestäms. Tillsynsmyndighetens

25

beslut om sanktionsavgift ska få överklagas till allmän förvaltnings- domstol.

För att upprätthålla kravet på förutsägbarhet ska endast sådana överträdelser som tydligt kan avgränsas, och som inte kräver ett alltför stort mått av tolkning, kunna föranleda beslut om sanktionsavgift. I kompletteringslagen ska därför preciseras vilka överträdelser det är fråga om. Regleringen ska bygga på strikt ansvar. Det ska inte vara obligatoriskt att ta ut sanktionsavgift för de i lagen uppräknade över- trädelserna. Av lagen ska också framgå att sanktionsavgifter inte får beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. I lagen ska även införas bestämmelser om förfarandet vid beslut om sanktionsavgifter, såsom delgivningskrav, verkställighet och preskrip- tion.

Förslagen redovisas i avsnitten 6.6.7–6.6.12.

Författningsreglering

Den lagreglering som är nödvändig med anledning av inrättandet av en europeisk digital identitetsplånbok och kraven om utfärdande av sanktionsavgifter ska, enligt förslagen, införas huvudsakligen i lagen med kompletterande bestämmelser till EU:s förordning om elektro- nisk identifiering. I lagen tas även in centrala bestämmelser om be- handling av personuppgifter som föranleds av tillhandahållandet av den europeiska digitala identitetsplånboken.

För att omfatta även de tillkommande beslut som enligt lämnade förslag får fattas enligt dels den reviderade eIDAS-förordningen med kommande tillhörande genomförandeakter, dels kompletteringslagen och föreskrifter som meddelas med stöd av densamma, ändras gällande bestämmelse om överklagande på så sätt att det framgår att den inte endast gäller beslut som meddelats av tillsynsmyndigheten.

Vissa övriga bestämmelser, bl.a. sådana som behövs för verkställig- heten av kompletteringslagen, införs i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Våra förslag medför behov av följdändringar i bl.a. offentlighets och sekretessförordningen (2009:641). Tillägg behöver också göras i respektive myndighetsinstruktion för de myndigheter som av reger-

26

ingen utses för nytt eller utökat ansvar i egenskap av dels tillhanda- hållare av den europeiska digitala identitetsplånboken, dels tillhanda- hållare av sådana elektroniska attesteringar av uppgifter för person- identifiering som ska kunna kopplas till en sådan identitetsplånbok (PID och LPID), dels ansvarigt organ att utöva tillsyn över ramverket för den europeiska digitala identitetsplånboken enligt den reviderade EU-förordningen.

Ny och ändrad reglering föreslås träda i kraft den 1 oktober 2025. Förslag och bedömningar redovisas i avsnitten 6.2, 6.3.9, 6.3.10

och 6.7 samt i kapitel 7.

27

om elektronisk identifiering).

Termer och uttryck i lagen har samma betydelse som i EU:s för- ordning om elektronisk identifiering.

Såvitt gäller behandling av personuppgifter kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller även lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning och före- skrifter som har meddelats i anslut- ning till den lagen, om inte annat

2Senaste lydelse 2016:562.

30

följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.

Europeisk digital identitetsplånbok

6 §

Regeringen bestämmer vilken myndighet som ska tillhandahålla den europeiska digitala identitets- plånboken i enlighet med arti- kel 5a.2 i EU:s förordning om elektronisk identifiering (tillhanda- hållande myndighet).

Den europeiska digitala identi- tetsplånboken får tillhandahållas även av den som, efter granskning, har godkänts av den tillhanda- hållande myndigheten (godkänd tillhandahållare).

7 §

För ett godkännande som avses

i6 § andra stycket krävs att vill- koren för den europeiska digitala identitetsplånboken, liksom för att tillhandahålla en sådan, är upp- fyllda i enlighet med EU:s förord- ning om elektronisk identifiering och de rättsakter som meddelats med stöd av förordningen samt denna lag och föreskrifter som meddelats med stöd av lagen.

Om det, efter ett godkännande, finns anledning att anta att vill- koren enligt första stycket inte är uppfyllda ska den tillhandahållande myndigheten snarast underrätta

31

den myndighet som avses i 17 § om detta.

Regeringen eller den myndighet regeringen bestämmer ska meddela föreskrifter om villkor för godkän- nande och om anmälnings- och granskningsförfarandet enligt 6 § andra stycket.

8 §

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om:

1.sådana undantag från kravet att tillhandahålla öppen källkod som avses i artikel 5a.3 i EU:s för- ordning om elektronisk identifi- ering, och

2.sådana ytterligare funktioner för den europeiska digitala identi- tetsplånboken som avses i arti- kel 5a.7 i EU:s förordning om elek- tronisk identifiering.

9 §

Regeringen bestämmer vilken eller vilka myndigheter som ska till- handahålla sådana uppgifter för personidentifiering som avses i arti- kel 3 i EU:s förordning om elektro- nisk identifiering, och som ska kunna kopplas till den europeiska digitala identitetsplånboken.

32

Kostnadsfria valideringsmekanismer

10§

Den statliga myndighet som

regeringen bestämmer ska tillhanda- hålla

1.en kostnadsfri validerings- mekanism som säkerställer att euro- peiska digitala identitetsplånböckers äkthet och giltighet kan kontrol- leras.

2.En kostnadsfri validerings- mekanism som gör det möjligt för användare av europeiska digitala identitetsplånböcker att kontrol- lera äkthet och giltighet för identi- teten hos de förlitande parter som registrerats enligt 17 § 3.

Behandling av personuppgifter för tillhandahållande och återkallelse av den europeiska digitala identitetsplånboken

11§

Den tillhandahållande myn-

digheten ska med hjälp av auto- matiserad behandling föra en data- bas med en samling uppgifter om de europeiska digitala identitetsplån- böcker som myndigheten har till- handahållit.

Regeringen eller den myndig- het som regeringen bestämmer får med stöd av 8 kap. 7 § regerings- formen meddela ytterligare före- skrifter om vilka uppgifter databasen ska innehålla och den längsta tid

33

som personuppgifter får behandlas i databasen.

12§

Den tillhandahållande myndig-

heten får behandla personuppgifter om det är nödvändigt för att hand- lägga ärenden om tillhandahållande och återkallelse av giltigheten av en europeisk digital identitetsplånbok samt nödvändig administration av databasen över europeiska digi- tala identitetsplånböcker.

Personuppgifter som avses i första stycket får också behandlas om det är nödvändigt för att fullgöra upp- giftsutlämnande som sker i överens- stämmelse med lag eller förordning.

13 §

Uppgifter om lagöverträdelser som innefattar brott, domar i brott- mål, straffprocessuella tvångsmedel eller administrativa frihetsberövan- den får inte användas som sök- begrepp i databasen över europeiska digitala identitetsplånböcker.

Regeringen eller den myndighet som regeringen bestämmer får med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om integritetshöjande åtgärder till skydd för personuppgifter i verksamheten med tillhandahållandet av den euro- peiska digitala identitetsplånboken.

34

14§

Artikel 21.1 i EU:s dataskydds-

förordning om rätten att göra in- vändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som meddelats i anslut- ning till lagen.

Certifiering

15§

Regeringen eller den myndig-

het som regeringen bestämmer ska utse ansvarigt organ för certifiering av europeiska digitala identitets- plånböcker, system för elektronisk identifiering, anordningar för skapande av kvalificerade elektro- niska underskrifter och anordningar för skapande av kvalificerade elek- troniska stämplar.

Granskning av kvalificerade tillhandahållare av betrodda tjänster

16 §3

Bestämmelser om ackreditering av sådana organ för bedömning av överensstämmelse som i enlighet med artikel 20 i EU:s förordning om elektronisk identifiering ska granska kvalificerade tillhandahållare av betrodda tjänster, finns i Europaparlamentets och rådets förord- ning (EG) nr 765/2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 och i lagen (2011:791) om ackredi- tering och teknisk kontroll.

Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om krav för ackreditering av organ för bedöm-

3Senaste lydelse 2022:1134.

35

ning av överensstämmelse, hur bedömningar av överensstämmelse ska göras, och rapportering av be- dömningar av överensstämmelse.

Tillsyn

17 §

Den myndighet som regeringen bestämmer (tillsynsmyndigheten)

2.utöva tillsyn över efterlevnaden av denna lag och föreskrifter som har meddelats med stöd av lagen

3.upprätta, underhålla och offentliggöra en förteckning över förlitande parter och uppgifter om dessa i enlighet med artikel 5b.2 och 5b.5 i EU:s förordning om elektronisk identifiering, och

4.vidta nödvändiga åtgärder i enlighet med artikel 5e.1–3 i EU:s förordning om elektronisk identi- fiering vid säkerhetsincidenter som rör i artikeln angivna europeiska digitala identitetplånböcker, vali- deringsmekanismer eller det system för elektronisk identifiering inom ramen för vilket de europeiska digitala identitetplånböckerna till- handahålls.

Tillsynsmyndigheten får med- dela föreskrifter om sådana arrange- mang och förfaranden för ömse- sidigt bestånd som avses i artikel 46d

iEU:s förordning om elektronisk identifiering.

36

19 §

Tillsynsmyndigheten får meddela de förelägganden och förbud som behövs för efterlevnaden av

1.EU:s förordning om elektronisk identifiering och rättsakter som har meddelats med stöd av den förordningen, och

2.denna lag och föreskrifter som har meddelats med stöd av lagen.

Tillsynsmyndigheten får bestämma att beslut enligt första stycket ska gälla omedelbart.

Administrativa sanktionsavgifter för betrodda tjänster

20§

Tillsynsmyndigheten får besluta

om sanktionsavgifter enligt EU:s förordning om elektronisk identi- fiering i dess lydelse enligt Europa- parlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller in- rättandet av ett europeiskt ramverk för digital identitet. Sådana sank- tionsavgifter får tas ut av kvalifi- cerade och icke-kvalificerade till- handahållare av betrodda tjänster som

1.utger sig för att vara en kva- lificerad tillhandahållare utan att vara det eller tillhandahåller en icke-kvalificerad betrodd tjänst som utges vara kvalificerad,

2.har lämnat oriktiga eller ofullständiga uppgifter vid ansökan om att bli kvalificerad,

37

3.innehar status som kvalifi- cerad tillhandahållare av betrodda tjänster eller har en kvalificerad betrodd tjänst, och inte i enlighet med artikel 24.2 a i nämnda för- ordning informerar om någon änd- ring av tillhandahållandet av tjäns- ten eller en avsikt att upphöra med verksamheten,

4.missbrukar EU-förtroende- märket för kvalificerade betrodda tjänster,

5.underlåter att rapportera om sådana incidenter som ska rappor- teras enligt artikel 19a.1 b och arti- kel 24.2 fb i nämnda förordning, eller

6.överträder ett beslut av till- synsmyndigheten om föreläggande som innebär ett förbud.

21§

En sanktionsavgift ska för

fysiska personer bestämmas till lägst 5 000 kronor och högst ett belopp motsvarande 5 miljoner euro.

En sanktionsavgift för juri- diska personer ska bestämmas till lägst 5 000 kronor och högst det högsta av ett belopp motsvarande 5 miljoner euro respektive en pro- cent av den totala globala års- omsättningen för det företag som tillhandahållaren av betrodda tjänster tillhörde under det räken- skapsår som föregick det år då överträdelsen inträffade.

38

22§

När sanktionsavgiftens storlek

bestäms ska särskild hänsyn tas till berörd enhets storlek, affärsmodeller och överträdelsernas allvar.

23§

Tillsynsmyndigheten ska få sätta

ner sanktionsavgiften helt eller del- vis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

24§

En sanktionsavgift får inte be-

slutas om överträdelsen omfattas av ett föreläggande om vite och över- trädelsen ligger till grund för en ansökan om utdömande av vitet.

25§

En sanktionsavgift får endast

beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträ- delsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

26§

Sanktionsavgiften tillfaller

staten.

27 §

En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft

39

skrifter om skyldighet för skrifter om skyldighet för

40

30§

Regeringen eller, efter regeringens

bemyndigande, de myndigheter som avses i 6 § första stycket och 9 § får meddela föreskrifter om skyldighet för juridiska personer att betala avgift för att tillhanda- hållas en europeisk digital identitets- plånbok respektive uppgifter för personidentifiering enligt denna lag och föreskrifter som meddelats med stöd av den.

Överklagande

31 §

Tillsynsmyndighetens beslut enligt EU:s förordning om elek- tronisk identifiering och rätts- akter som har meddelats med stöd av den förordningen, samt enligt denna lag och föreskrifter som har meddelats med stöd av lagen, får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1.Denna lag träder i kraft den 1 oktober 2025.

2.Äldre bestämmelser gäller för överträdelser som ägt rum före ikraftträdandet.

41

1.2Förslag till förordning om ändring

i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning

om elektronisk identifiering

Härigenom föreskrivs i fråga om förordningen (2016:576) med kom- pletterande bestämmelser till EU:s förordning om elektronisk identi- fiering1

dels att 2 och 3 §§ ska upphöra att gälla,

dels att nuvarande 4 och 5 §§ ska betecknas 15 och 16 §§, och 6–

10 §§ ska betecknas 2–6 §§,

dels att nya 2 och 4 §§ och rubriken närmast för 2 § ska ha följande lydelse,

dels att rubriken närmast före nya 15 § ska lyda ”Tillsyn”,

dels att det ska införas åtta nya paragrafer, 7–14 §§, av följande lydelse,

dels att det närmast före 7 och 14 §§ ska införas rubriker av följande lydelse.

1Senaste lydelse av

7§ 2021:321

9§ 2021:321

10§ 2021:321.

2Senaste lydelse 2021:321.

42

SOU 2024:45Författningsförslag

Myndigheten får ta ut avgifter av de privata aktörer som har an- slutit sig till noden för inkommande gränsöverskridande elektronisk identifiering som myndigheten tillhandahåller.

Europeisk digital identitetsplånbok

7 §

Myndigheten för digital förvalt- ning ska vara den tillhandahål- lande myndigheten enligt 6 § första stycket lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering såvitt avser tillhanda- hållandet av en europeisk digital identitetsplånbok för både fysiska och juridiska personer.

8 §

Myndigheten för digital förvalt- ning ska meddela föreskrifter om villkor för godkännande som till- handahållare av en europeisk digital identitetsplånbok och hur gransk- ningsförfarandet enligt 6 § andra

3Senaste lydelse 2021:321.

43

stycket lagen (2016:561) med kom- pletterande bestämmelser till EU:s förordning om elektronisk identi- fiering ska gå till,

Myndigheten får meddela före- skrifter om

1.sådana undantag från kravet att tillhandahålla öppen källkod som avses i artikel 5a.3 i EU:s för- ordning om elektronisk identifi- ering, och

2.sådana ytterligare funktioner för den europeiska digitala identi- tetsplånboken som avses i arti- kel 5a.7 i EU:s förordning om elek- tronisk identifiering.

9 §

Myndigheten för digital förvalt- ning ska i fråga om fysiska personer tillhandahålla sådana uppgifter för personidentifiering som avses i artikel 3 i EU:s förordning om elektronisk identifiering, och som ska kunna kopplas till den euro- peiska digitala identitetsplånboken.

Bolagsverket ska i fråga om juridiska personer tillhandahålla sådana uppgifter för personidenti- fiering som avses i artikel 3 i EU:s förordning om elektronisk identi- fiering, och som ska kunna kopplas till den europeiska digitala identi- tetsplånboken.

Myndigheterna får ta ut avgift av en juridisk person som tillhanda- hålls en europeisk digital identitets- plånbok och uppgifter för person- identifiering.

44

10§

Myndigheten för digital förvalt-

ning ska tillhandahålla en sådan valideringsmekanism som avses i 10 § 1 lagen (2016:561) om elektro- nisk identifiering.

Post- och telestyrelsen ska till- handahålla en sådan validerings- mekanism som avses i 10 § 2 lagen om elektronisk identifiering.

11 §

Den databas som Myndigheten för digital förvaltning ska föra enligt 11 § lagen (2016:561) med kom- pletterande bestämmelser till EU:s förordning om elektronisk identi- fiering ska i fråga om en fysisk person innehålla

1.fullständigt namn, person- nummer alternativt samordnings- nummer för personer med styrkt identitet, och födelsetid för använ- daren av den tillhandahållna europeiska digitala identitetsplån- boken,

2.uppgift om det medel för elek- tronisk identifiering med vilket användaren har styrkt sin identitet,

3.uppgift som på ett unikt sätt identifierar den tillhandahållna europeiska digitala identitetsplån- boken, och

4.uppgift om status för en till- handahållen europeisk digital identitetsplånbok, om den har åter- kallats samt skälen för det.

Utöver det som anges i första stycket 3–4 ska databasen, i fråga

45

om en juridisk person, innehålla uppgifter om dess namn och orga- nisationsnummer.

12§

Databasen som avses i 11 § får

tillföras sådana uppgifter från Skatteverkets folkbokföringsdatabas som anges i 11 § första stycket 1.

13§

Uppgifter och handlingar vilka

finns i databasen som avses i 11 § ska gallras senast tio år efter ut- gången av det kalenderår då

1.den europeiska digitala identi- tetsplånboken tillhandahölls, eller

2.ett ärende om återkallelse av- slutades.

Myndigheten för digital förvalt- ning får meddela närmare före- skrifter om integritetshöjande åtgärder till skydd för personupp- gifter i databasen.

Certifiering

14§

Försvarets materielverk ska

utse ansvarigt organ för sådan certifiering av den europeiska digitala identitetsplånboken och system för elektronisk identifiering som avses i artikel 5c.1 i EU:s förordning om elektronisk identi- fiering samt ansvarigt organ för certifiering av sådana anordningar för skapande av kvalificerade elek- troniska underskrifter och anord-

46

ningar för skapande av kvalificerade elektroniska stämplar som avses i artikel 30 och 39 i nämnd för- ordning.

Denna förordning träder i kraft den 1 oktober 2025.

47

1.3Förslag till förordning om ändring i förordningen (2007:854) med instruktion för Försvarets materielverk

Härigenom föreskrivs att 5 § förordningen (2007:854) med instruk- tion för Försvarets materielverk (2009:641) ska ha följande lydelse.

5 §1

Vid Försvarets materielverk finns ett nationellt certifieringsorgan för it-säkerhet i produkter och system. Materielverket, certifierings- organet, ska i sin verksamhet beakta nationella säkerhetsintressen, verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat samt vara Sveriges signatär och representant inom den internationella överenskommelsen för ömsesidigt erkän- nande av certifikat (CCRA) och motsvarande överenskommelse inom Europa (SOG-IS MRA).

Certifieringsorganet ska ansvara för certifiering av anordningar för skapande av kvalificerade elektro- niska underskrifter och anordningar för kvalificerade elektroniska stämp- lar enligt artikel 30 och 39 i Europa- parlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektro- niska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Denna förordning träder i kraft den 1 oktober 2025.

1Senaste lydelse 2016:577.

48

1.4Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen

Härigenom föreskrivs att 4 § i förordningen (2007:951) med instruk- tion för Post- och telestyrelsen ska ha följande lydelse.

4 §1

Post- och telestyrelsen har till uppgift att

1.främja tillgången till säkra och effektiva elektroniska kom- munikationer, inbegripet att se till att samhällsomfattande tjänster finns tillgängliga, och att främja tillgången till ett brett urval av elek- troniska kommunikationstjänster,

2.främja utbyggnaden av och följa tillgången till bredband och mobiltäckning i alla delar av landet, inbegripet att skapa förutsätt- ningar för samverkan mellan myndigheter som kan bidra till utbygg- naden av bredband,

3.svara för att möjligheterna till radiokommunikation och andra användningar av radiovågor utnyttjas effektivt,

4.svara för att nummer ur nationella nummerplaner utnyttjas på ett effektivt sätt,

5.främja en effektiv konkurrens,

6.övervaka pris- och tjänsteutvecklingen,

7.bedriva informationsverksamhet riktad till konsumenter,

8.följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation och uppkomsten av eventuella miljö- och hälsorisker,

9.pröva frågor om tillstånd och skyldigheter, fastställa och analy- sera marknader samt utöva tillsyn och pröva tvister enligt lagen (2022:482) om elektronisk kommunikation,

10.meddela föreskrifter enligt förordningen (2022:511) om elek- tronisk kommunikation,

11.upprätta och offentliggöra planer för frekvensfördelning till ledning för radioanvändningen samt offentliggöra information av allmänt intresse om rättigheter, villkor, förfaranden och avgifter som rör radiospektrumanvändningen,

1Senaste lydelse 2022:515.

49

12.tillhandahålla information om frekvensanvändning till Euro- peiska radiokommunikationskontorets frekvensinformationssystem (EFIS),

13.vara marknadskontrollmyndighet enligt radioutrustningslagen (2016:392),

samt ge stöd och information till myndigheter och enskilda när det gäller betrodda tjänster,

15.följa utvecklingen när det gäller toppdomäner med geografiska namn som har anknytning till Sverige,

16.vara tillsynsmyndighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter enligt förordningen (2006:25) om nationella toppdomäner för Sverige på internet,

17.verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgärder, och verka för ökad krishanteringsförmåga,

18.verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhets- skydds- och integritetsskyddsområdet samt med andra berörda aktörer,

50

19.lämna råd och stöd till myndigheter, kommuner och regioner och till företag, organisationer och andra enskilda i frågor om nät- säkerhet,

20.vara tvistlösnings- och tillsynsmyndighet enligt lagen (2016:534) om åtgärder för utbyggnad av bredbandsnät och ansvara för informationstjänsten för utbyggnad av bredbandsnät enligt samma lag, och

21.vara tillsynsmyndighet enligt lagen (2018:1174) om informa- tionssäkerhet för samhällsviktiga och digitala tjänster.

Denna förordning träder i kraft den 1 oktober 2025.

51

1.5Förslag till förordning om ändring i förordningen (2007:1110) med instruktion för Bolagsverket

Härigenom föreskrivs i fråga om förordningen (2007:1110) med instruktion för Bolagsverket att det ska införas en ny paragraf, 2 b § av följande lydelse.

trodda tjänster för elektroniska transaktioner på den inre mark- naden och om upphävande av direk- tiv 1999/93/EG (EU:s förordning om elektronisk identifiering).

Denna förordning träder i kraft den 1 oktober 2025.

52

1.6Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att 6 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.

6 §1

Sekretess gäller i nedan angiven verksamhet, som avser registre- ring av betydande del av befolkningen, för

1.uppgift om en enskilds personliga förhållanden, om det av sär- skild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och

2.uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio

år.

1Senaste lydelse 2023: 297.

53

Denna förordning träder i kraft den 1 oktober 2025.

54

1.7Förslag till förordning om ändring i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning

Härigenom föreskrivs att 3 § i förordningen (2018:1486) med instruk- tion för Myndigheten för digital förvaltning ska ha följande lydelse.

3 §1

Myndigheten ska

1.ansvara för den offentliga förvaltningens tillgång till infra- struktur och tjänster för elektronisk identifiering och underskrift,

4.ansvara för tillhandahål- landet av en europeisk digital identitetsplånbok i enlighet med eIDAS-förordningen samt, i fråga om fysiska personer, även till- handahålla sådana uppgifter för personidentifiering som avses i

1Senaste lydelse 2023:712.

55

artikel 3 i eIDAS-förordningen vilka ska kunna kopplas till den europeiska digitala identitetsplån- boken.

Denna förordning träder i kraft den 1 oktober 2025.

56

2.2Utredningens arbete

Utredningsarbetet påbörjades i januari 2023. Under utredningstiden har vi haft sex sammanträden med sakkunnig- och expertgruppen.

Utöver att ha tagit del av relevant skriftligt underlag har vi genom- fört ett antal möten och samtal med både aktörer i offentlig förvalt- ning och utfärdare av privata e-legitimationer.

Vi har enligt våra direktiv haft att beakta relevant arbete som be- drivs inom Regeringskansliet och utredningsväsendet samt särskilt beakta det arbete som bedrivs hos Myndigheten för digital förvalt- ning (Digg). Vi har under utredningstiden haft flera möten och kon- takter med bl.a. Bolagsverket, Digg och Post- och telestyrelsen.

Visst underlag till konsekvensutredningen har tagits fram av Governo AB på vårt uppdrag.

2.3Utredningens prioriteringar

Den reviderade eIDAS-förordningen publicerades i Europeiska unio- nens officiella tidning den 30 april 2024 och trädde i kraft den 20 maj 2024 (se bilaga 2). Någon konsoliderad version av eIDAS-förord- ningen med de ändringar som genomförts i samband med revide- ringen har i skrivande stund inte publicerats.

Före den 30 april 2024 har vi fått arbeta med tillgängliga utkast. Detta har i hög utsträckning försvårat arbetet och avsaknaden av den beslutade förordningstexten under merparten av utredningstiden har lett till att det varit nödvändigt att prioritera frågor som enligt vår be- dömning är de mest centrala för att skapa förutsättningar för att Sverige ska kunna följa den reviderade eIDAS-förordningen med utgångs- punkt för vad som i skrivande stund är känt. Eftersom det stora antal genomförandeakter som ska komplettera förordningen inte är klara vid tidpunkten då utredningen lämnas är det inte heller möjligt att få en full överblick över förordningens tillämpning och konsekvenser.

2.4Betänkandets disposition

I kapitel 3 definieras några för betänkandet centrala begrepp och termer.

I kapitel 4 redogörs för eIDAS-förordningen.

58

Kapitel 5 innehåller en redovisning av nationell reglering av elek- tronisk identifiering och betrodda tjänster.

Kapitel 6 innehåller utredningens överväganden och förslag.

I kapitel 7 behandlas ikraftträdande och övergångsbestämmelser. I kapitel 8 redogör vi för konsekvenserna av våra förslag.

I kapitel 9 finns författningskommentarerna.

59

Det kan här noteras att i förordning (EU) 910/2014 om elektro- nisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, härefter kallad eIDAS-förordningen, används uttrycket personidenti- fieringsuppgift i stället för identitetsbeteckning. Detta begrepp har i Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet, härefter kallad den reviderade eIDAS-förordningen, fått benämningen upp- gifter för personidentifiering och även delvis fått en annan innebörd.

Iartikel 3.3 i den reviderade eIDAS-förordningen definieras upp- gifter för personidentifiering som en uppsättning uppgifter som ut- färdas i enlighet med unionsrätten eller nationell rätt, som gör det möjligt att fastställa identiteten på en fysisk eller juridisk person eller på en fysisk person som företräder en annan fysisk person eller en juridisk person. Det rör sig således bl.a. om identitetsbeteckningar för att identifiera en fysisk person och det kan exempelvis vara ett personnummer, samordningsnummer eller ett organisationsnummer som används för att identifiera en juridisk person. I betänkandet kommer personidentifieringsuppgifter och uppgifter för personupp- giftsidentifiering användas som synonyma begrepp med den innebörd som framgår av artikel 3.3 i den reviderade eIDAS-förordningen. I för- fattningsförslagen används emellertid endast uppgifter för personupp- giftsidentifiering.

Organisationsnummer är en identitetsbeteckning för juridiska per- soner. Den myndighet som registrerar företag, föreningar eller andra organisationer när de ska bildas, tilldelar organisationsnumret. De flesta juridiska personer får sitt organisationsnummer från Bolags- verket. Organisationsnummer kan även tilldelas av bl.a. Skatteverket, Statistiska centralbyrån och Lantmäteriet. Det är Skatteverket som i enlighet med 5 § lagen (1974:174) om identitetsbeteckning för juridiska personer m.fl. för ett centralt register över tilldelade organisations- nummer.

62

3.2Identifiering och autentisering

Av artikel 3.1 i den reviderade eIDAS-förordningen framgår att elek- tronisk identifiering är en process inom vilken uppgifter för person- identifiering i elektronisk form, som unikt avser en fysisk eller juri- disk person eller en fysisk person som företräder en annan fysisk per- son eller en juridisk person, används.

I artikel 3.5 i den reviderade eIDAS-förordningen definieras autenti- sering som en elektronisk process som gör det möjligt att bekräfta en fysisk eller juridisk persons elektroniska identifiering eller att be- kräfta ursprunget för och integriteten hos uppgifter i elektronisk form (jfr validering, avsnitt 3.6.2). Svenska datatermgruppen definierar auten- tisering som kontroll av uppgiven identitet, t.ex. vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelande mellan användare.4 Internetstiftelsen å sin sida definierar autenti- sering som att helt enkelt kunna visa upp och styrka sin identitet för en annan part.5

Det förekommer flera olika metoder av autentisering. I samband med autentisering brukar det talas om en-, två- eller flerfaktorsauten- tisering. Användning av lösenord eller PIN-kod brukar ses som en- faktorsautentisering som baseras på något en person vet eller kan. Med dessa metoder går det egentligen bara att veta att lösenordet och PIN-koden används, men inte av vem.

Tvåfaktorsautentisering kan vara en kombination av lösenord, dvs. något som personen kan, med något som personen har, exempelvis ett smartkort eller en applikation i en mobiltelefon, alternativt i kom- bination med någon form av inloggning med biometrisk avläsning, t.ex. med fingeravtryck. Även andra autentiseringslösningar kan an- vändas såsom koddosor, USB-stickor, engångslösenord via sms m.m.

Ett annat begrepp som förekommer med koppling till autenti- sering är stark autentisering. I den reviderade eIDAS-förordningen definieras i artikel 3.51 stark användarautentisering som en autenti- sering som är baserad på användningen av åtminstone två autenti- seringsfaktorer från olika kategorier av antingen kunskap (något som endast användaren känner till), besittning (något som endast använda- ren besitter) eller unik egenskap (något som användaren är) som är oberoende av varandra på ett sådant sätt att en incident avseende en

4www.termado.com/DatatermSearch/?ss=autentisering (hämtad 2024-05-05).

5internetstiftelsen.se/guide/digitala-identiteter/ordlista/ (hämtad 2024-03-05).

63

av faktorerna inte äventyrar tillförlitligheten hos de andra, och som är utformad för att skydda konfidentialiteten för autentiseringsdata.

3.3E-legitimation

Begreppen e-legitimation och elektronisk identitetshandling före- kommer inte i eIDAS-förordningen. Där används i stället medel för elektronisk identifiering som i artikel 3.2 i den reviderade eIDAS- förordningen definieras som en materiell och/eller immateriell enhet som innehåller uppgifter för personidentifiering och som används för autentisering för en nättjänst eller, i tillämpliga fall, för en off- linetjänst. Vad gäller författningstext är medel för elektronisk identifiering det uttryck som används både i eIDAS-förordningen och nationella författningar.

Med begreppet e-legitimation, som används i detta betänkande, avses en identitetshandling som kan användas för att identifiera inne- havaren på elektronisk väg.6 Med hjälp av en e-legitimation kan inne- havaren identifiera sig och myndigheter eller andra aktörer som har digitala tjänster få en bekräftelse på vem personen är. En e-legitima- tion innehåller, liksom en fysisk identitetshandling, uppgifter som en- tydigt kan kopplas till en viss person.7

Alla former av medel för elektronisk identifiering kan således inte anses utgöra en e-legitimation utan det krävs att det rör sig om en hand- ling som har en både tydlig och säker koppling till innehavarens iden- titet. En e-legitimation kan finnas som en applikation i en mobiltele- fon eller surfplatta eller som en fil på en dator. Den kan också finnas på en fysisk bärare, såsom ett smartkort. Kortet innehåller då ett chip där informationen lagras.8

6Elektronisk identitetshandling är en alternativ benämning, om vilken det anförts att den bättre återspeglar syfte och användning, dvs. att visa respektive kontrollera en individs identitet och inte uttala något om dennes behörigheter, se reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 171 f. Jfr dock 2017 års ID-kortutredning som förordade den inarbetade benämningen e-legitimation, vilken bl.a. används i det tillitsramverk som Myndigheten för digital förvaltning ansvarar för och som gäller för det kvalitetsmärke som för närvarande benämns Svensk e-legitimation, se Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 129 f.

7Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 129.

8Ibid.

64

3.4Den europeiska digitala identitetsplånboken

Enligt definitionen i artikel 3.42 i den reviderade eIDAS-förord- ningen är en europeisk digital identitetsplånbok ”ett medel för elek- tronisk identifiering som gör det möjligt för användaren att på ett säkert sätt lagra, hantera och validera personidentitetsuppgifter och elektroniska attributsintyg i syfte att tillhandahålla dem till förlitande parter och andra användare av europeiska digitala identitetsplånböcker, och att underteckna med kvalificerade elektroniska underskrifter eller att stämpla med kvalificerade elektroniska stämplar”.

För att förenklat beskriva den europeiska digitala identitetsplån- boken finns behov av att ibland göra åtskillnad mellan plånbokslösning (”Wallet Solution”) och plånboksinstans (”Wallet instance”).9

Med plånbokslösning avses den mjukvara med de arkitekturval, protokoll, egenskaper och andra vägval som tillhandahållaren gjort för att möta kraven som följer av definitionen och regleringen i den revi- derade eIDAS-förordningen. En plånbokslösning ska certifieras som en europeisk digital identitetsplånbok innan den får tillhandahållas till fysiska och juridiska personer. Därefter kan plånbokslösningen hämtas och installeras som en lokal kopia på en mobiltelefon eller till en annan terminal, dvs. en plånboksinstans. När uppgifter för person- identifiering (PID) kopplats till plånboksinstansen är den giltig och utgör en europeisk digital identitetsplånbok. Plånboksinstansen kon- trolleras av användaren och kan användas i tjänster som tillhandahålls av förlitande parter. Se mer om plånbokslösning, plånboksinstans och PID samt faserna för dessa i avsnitt 4.7.5.

3.5Förlitande part

En förlitande part är enligt definitionen i artikel 3.6 i den reviderade eIDAS-förordningen ”en fysisk eller juridisk person som förlitar sig på elektronisk identifiering, europeiska digitala identitetsplånböcker eller andra medel för elektronisk identifiering eller på en betrodd tjänst”. Med andra ord är den förlitande parten exempelvis den aktör som till- handahåller en digital tjänst där åtkomst ges efter att identifiering skett med en e-legitimation.

9En sådan åtskillnad görs i The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework Architecture and Reference Framework, version 1.4.0.

65

3.6Betrodda tjänster och de funktioner som utgör betrodda tjänster

3.6.1Vad är betrodda tjänster?

En del av eIDAS-förordningen reglerar betrodda tjänster. Betrodda tjänster definieras i artikel 3.16 i den reviderade eIDAS-förordningen som en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av en uppräkning i förordningen av vissa utpekade funktioner som utgör betrodda tjänster.

3.6.2De funktioner som utgör betrodda tjänster

Förenklat kan betrodda tjänster som samlingsbegrepp, utifrån den reviderade förordningen, sammanfattas med att det är elektroniska tjänster som erbjuder vissa utpekade funktioner kopplade till elek- troniska underskrifter, elektroniska stämplar, elektroniska tidsstämp- lingar, elektroniskt intygande av attribut, elektronisk arkivering av elektroniska dokument, registrering av data i elektroniska liggare eller certifikat för autentisering av webbplatser. Dessutom är elektroniska tjänster för rekommenderade leveranser betrodda tjänster i sig. En när- mare genomgång av dessa funktioner återfinns nedan.

Utfärdande

Utfärdande av certifikat eller av elektroniska intyg av attribut eller av elektroniska tidsstämplingar definieras inte tydligt i förordningen. Däremot framgår det att utfärdandet innebär att den som tillhanda- håller tjänsten går i god för att koppla ett visst certifikat till en viss fysisk- eller juridisk person eller webbplats. Det kan även innebära att utfärdaren av ett elektroniskt intyg om ett attribut går i god för att det attributet stämmer om den fysiska eller juridiska person som attributet kopplas till. Utfärdaren kan även gå i god för att en händelse, t.ex. en elektronisk underskrift, skett vid en viss exakt tidpunkt genom en tidsstämplingstjänst.

66

Skapande

Funktionen skapande definieras inte i förordningen. Innebörden av skapande är däremot tämligen uppenbar enligt vår mening. Av arti- kel 3.22 framgår vidare att en anordning för underskriftsframställning är en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk underskrift.

Validering

Funktionen validering definieras i artikel 3.41 i den reviderade eIDAS- förordningen som en process genom vilken det kontrolleras och be- kräftas att data i elektronisk form är giltiga i enlighet med denna förordning. Med validering avses alltså en tjänst som kompletterar användningen av t.ex. elektroniska underskrifter och som kontrolle- rar att en sådan underskrift är äkta. Detaljerade bestämmelser om validering av kvalificerade elektroniska underskrifter finns i artikel 32. Av artikel 40 följer att motsvarande sätt ska gälla för validering och bevarande av kvalificerade elektroniska stämplar.

I syfte att illustrera hur valideringen av en elektronisk underskrift går till beskrivs processen nedan på ett övergripande sätt. Genom vali- deringen ska alla de komponenter som har använts för att skapa under- skriften säkras. Detta innebär bl.a. kontroll av giltighet för certifika- tet, att valideringsuppgifterna överensstämmer med de uppgifter som lämnats till den förlitande parten och att den undertecknade eller stämplade informationen inte har förändrats sedan den skrevs under. Valideringen innebär även att ett flertal olika kontroller görs för att säkerställa att en underskrift är äkta och oförvanskad. Dessa kon- troller görs normalt av en intern tjänst i en organisation eller av en, kvalificerad eller icke-kvalificerad, betrodd tjänst som tillhandahålls av tredje part. Valideringstjänsten lämnar då vidare ett resultat av vali- deringen som är undertecknat eller stämplat av valideringstjänsten.

Kontrollen som omfattas av valideringen är att certifikatet som underskriften skapats med är utfärdat av en utfärdare som är betrodd, av den egna organisationen eller finns i förteckningen över kvalificerade tillhandahållare av kvalificerade elektroniska underskrifter. I eIDAS- förordningen finns även krav gällande kvalificerade valideringstjänster och på validering av avancerade elektroniska underskrifter skapade

67

med kvalificerade certifikat (artikel 33 respektive artikel 32 a i den reviderade eIDAS-förordningen).

Bevarande

Begreppet bevarande som används i artikel 3.16 i den reviderade eIDAS-förordningen definieras inte uttryckligen. Ledning för tolk- ning av begreppet kan hämtas från artikel 34, där det föreskrivs att en kvalificerad tjänst för bevarande av kvalificerade elektroniska under- skrifter ska göra det möjligt att förlänga underskriftens tillförlitlighet utöver perioden för teknisk giltighet. Det bör noteras att innebörden av begreppet bevarande i förordningen inte överensstämmer med inne- börden av begreppet i svensk arkivlagstiftning.10

Förvaltning av anordningar för underskrifter och stämplar på distans

Begreppet förvaltning som används i artikel 3.16 i den reviderade eIDAS-förordningen definieras inte. Av definitionen av tjänsten i artikel 3.23 a i den reviderade eIDAS-förordningen följer att en kvali- ficerad anordning för skapande av elektroniska underskrifter på distans innebär att en kvalificerad tillhandahållare av betrodda tjänster tillhandahåller en sådan anordning som genererar, förvaltar och kopi- erar de data som skapar den elektroniska underskriften för underteck- narens räkning. Det innebär att hanteringen är det som en sådan tjänstetillhandahållare gör för att tillhandahålla tjänsten. Mer om den betrodda tjänsten kvalificerade tjänster för förvaltning av anordningar för skapande av elektroniska underskrifter på distans finns i av- snitt 4.9.1.

10Av 3 § tredje stycket arkivlagen (1990:782) framgår att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov.

68

Tillhandahållande av elektroniska tjänster för rekommenderade leveranser

Elektronisk tjänst för rekommenderad leverans definieras i förord- ningens artikel 3.36 som en tjänst som gör det möjligt att överföra uppgifter mellan tredje män på elektronisk väg och tillhandahåller bevis avseende de överförda uppgifternas hantering, inklusive bevis för upp- gifternas sändning och mottagande, och som skyddar överförda upp- gifter mot risken för förlust, stöld, skada eller otillåtna ändringar. En mer omfattande redogörelse för tjänsten finns i avsnitt 4.8.5.

Elektronisk arkivering av elektroniska uppgifter och dokument

Elektronisk arkivering definieras i artikel 3.48 i den reviderade eIDAS- förordningen som en tjänst som säkerställer mottagande, lagring, hämtning och radering av elektroniska uppgifter och dokument i syfte att säkerställa deras hållbarhet och läsbarhet samt att bevara deras inte- gritet, konfidentialitet och ursprungsbevis under hela bevarandeperio- den. Av skäl 67 i den reviderade förordningens ingress framgår att nationella arkivinstitutioner och liknande som arkiverar och bevarar kulturarvet (exempelvis Riksarkivet) oftast är styrda av nationell regler- ing och inte nödvändigtvis tillhandahåller betrodda tjänster i enlighet med denna förordning.

Registrering av elektroniska uppgifter i en elektronisk liggare

Elektroniska liggare definieras i artikel 3.52 i den reviderade eIDAS- förordningen som en sekvens av elektroniska dataloggar som säker- ställer dataintegriteten och riktigheten i dessa loggars kronologiska ordning. Registrering i detta fall betyder att data läggs in i liggaren. Se mer elektroniska liggare i avsnitt 4.9.4.

69

för elektronisk identifiering omfattar även andra lösningar för autenti- sering än e-legitimation. Betrodda tjänster är enkelt uttryckt elektro- niska tjänster som erbjuder vissa utpekade funktioner kopplade till elektroniska underskrifter, elektroniska stämplar, elektroniska tids- stämplingar eller certifikat för autentisering av webbplatser. Dessutom är elektroniska tjänster för rekommenderade leveranser betrodda tjäns- ter i sig.

EU-regelverket kompletteras på nationell nivå i Sverige av lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och förordningen (2016:576) med kom- pletterande bestämmelser till EU:s förordning om elektronisk identi- fiering, vilka trädde i kraft den 1 juli 2016, se mer om dessa författ- ningar i kapitel 5.

4.2Översyn av förordningen

I enlighet med vad som föreskrivs i artikel 49 i eIDAS-förordningen har en översyn och utvärdering av förordningen gjorts av kommis- sionen.

Den 19 februari 2020 tillkännagav kommissionen i meddelandet Att forma EU:s digitala framtid att översynen av eIDAS-förordningen skulle ske utifrån målsättningen att förordningen ska

–bli mer effektiv,

–utökas i sitt tillämpningsområde för att skapa nyttor för privat sek- tor, och

–främja tillgången till digitala identiteter för alla européer.

I meddelandet fastslog kommissionen också inriktningen, bl.a. att individer ska ha möjligheten att kontrollera sin digitala identitet.2 Samma år (juni–oktober 2020) genomfördes ett offentligt samråd.3

2https://commission.europa.eu/system/files/2020-02/communication-shaping-europes- digital-future-feb2020_en_4.pdf (hämtad 2024-05-27). En bred användning av säkra och pålit- liga användarkontrollerade digitala identiteter, så att varje användare kan ha kontroll över sin online-närvaro och sina interaktioner, angavs som ett mål även i kommissionens meddelande den 9 mars 2021, Digital kompass 2030: den europeiska vägen in i det digitala decenniet,

se https://eur-lex.europa.eu/legal-content/SV/ALL/?uri=CELEX%3A52021DC0118 (hämtad 2024-05-27).

3https://digital-strategy.ec.europa.eu/en/news/digital-identity-and-trust-commission- launches-public-consultation-eidas-regulation (hämtad 2024-05-27).

72

Synpunkter inhämtades även från medlemsstaterna under bilaterala och multilaterala möten och undersökningar.

De viktigaste slutsatserna från översynen och utvärderingen var att eIDAS-förordningen måste förstärkas för att ge medborgarna möjlig- het att använda både offentliga och privata tjänster, och att det finns behov av att möjliggöra utfärdande och användning av gränsöver- skridande elektroniska attesteringar av attribut.4 Bedömningen som gjordes var att s.k. ”plånböcker för digitala identiteter” är det lämpli- gaste instrumentet för att åstadkomma detta. På så vis kan användarna ges möjlighet att välja vilken privat tjänsteleverantör de vill dela sina attribut med utifrån aktuellt användningsfall och beroende på den säkerhet som krävs för transaktionen. Beträffande ramen för betrodda tjänster ansågs fler åtgärder vara nödvändiga för att ytterligare harmo- nisera vissa förfaranden kopplade till fjärridentifiering och nationell tillsyn. Med utgångspunkt i dessa slutsatser presenterade kommis- sionen den 3 juni 2021 ett förslag till en reviderad förordning (Europa- parlamentets och rådets förordning om ändring av förordning [EU] nr 910/2014 vad gäller inrättandet av en ram för europeisk digi- tal identitet, COM[2021] 281).5

Efter genomförda förhandlingar med Europaparlamentet och rådet nåddes en slutlig överenskommelse den 8 november 2023.6 En central del i den reviderade förordningen är regleringen av en europeisk digital identitetsplånbok, som syftar till att ge medlemsstaternas medborgare, invånare och företag tillförlitlig tillgång till offentliga och privata onlinetjänster över hela Europa.

Sedan både Europaparlamentet och rådet formellt godkänt överens- kommelsen offentliggjordes den reviderade förordningen i Europeiska unionens officiella tidning den 30 april 2024, härefter den reviderade eIDAS-förordningen.7 I enlighet med artikel 52 i den reviderade

4I den svenska språkversionen av den reviderade eIDAS-förordningen används i stället benäm- ningen elektroniska attributsintyg.

5eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:52021PC0281&from=EN. (hämtad 2024-05-27) Se även Regeringskansliets faktapromemoria 2020/21:FPM118 Förord- ning om digital identitet.

6https://digital-strategy.ec.europa.eu/sv/news/commission-welcomes-final-agreement-eu- digital-identity-wallet (hämtad 2024-05-27) och https://www.europarl.europa.eu/cmsdata/ 278103/eIDAS-4th-column-extract.pdf. (hämtad 2024-05-27)

7Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet, https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=OJ:L_202401183. (hämtad 2024-05-27)

73

eIDAS-förordningen trädde den nya förordningen därefter i kraft den tjugonde dagen efter dess offentliggörande, dvs. den 20 maj 2024.

Kravet att tillhandahålla digitala identitetsplånböcker ska uppfyllas av medlemsstaterna inom 24 månader efter ikraftträdande av genom- förandeakter som fastställer de tekniska specifikationerna för identi- tetsplånboken och de tekniska specifikationerna för certifiering. Dessa genomförandeakter, som ska antas sex månader efter ikraftträdandet av förordningen, kommer att bygga på de specifikationer som tagits fram inom ramen för EU:s verktygslåda för digital identitet och fast- ställa harmoniserade villkor för införandet av identitetsplånböckerna i hela unionen (artikel 5a.1 och 5a.23 samt artikel 5c.6).

Utöver det som redan nämnts kommer genomförandeakter att antas i en stor mängd andra avseenden. Genom sannolikt direkt tillämpliga genomförandeförordningar ska det fastställas bl.a. tekniska specifikationer, förfaranden, krav eller referensstandarder för exem- pelvis främjandet av användares anslutning och ibruktagande (”on- boarding”) av den europeiska digitala identitetsplånboken (arti- kel 5a.24) och registrering av förlitande parter (artikel 5b.11). Vidare förutsätts genomförandeakter som fastställer t.ex. tekniska minimi- specifikationer för specificering av tillitsnivåer för e-legitimationer (artikel 8.3), referensstandarder för gränsöverskridande identitets- matchning (artikel 11a.3), och förfaranden för kontrollen av identitet och attribut som utförs av kvalificerade tillhandahållare av betrodda tjänster (artikel 24.1 c). Trots att den reviderade eIDAS-förordningen utmärks av en redan tämligen hög detaljnivå kommer förordningen, med en stor mängd direkt tillämpliga genomförandeakter, att kon- kretiseras ytterligare. I dagsläget innebär detta dock att det är svårt eller närmast omöjligt att få en full överblick av förordningens tillämpning och dess konsekvenser.

Även om kraven på medlemsstaterna regleras direkt genom den reviderade eIDAS-förordningen och kommande genomförandeakter, kan – som anges i våra direktiv – regeländringar eller införande av fler kompletterande bestämmelser behövas i det nationella regelverket. Vi återkommer till våra överväganden i detta avseende i kapitel 6.

74

4.3Skillnader i stora drag mellan den ursprungliga och den reviderade eIDAS-förordningen

En väsentlig förändring i förhållande till gällande förordning är in- förandet av regleringen om den europeiska digitala identitetsplån- boken (se mer om detta i avsnitt 4.7).8

Vidare medför den reviderade förordningen skärpningar vad gäl- ler säkerhetsnivåer och integritetsskydd. Samtidigt har en strävan under översynen varit att ramverket ska förenkla och harmonisera skapandet och användandet av digitala identiteter. Nya och ändrade regler avser också att underlätta offentliga upphandlingsprocesser och förbättra interoperabiliteten mellan olika nationella system.

Beträffande betrodda tjänster innebär förordningen vissa ändringar av befintliga sådana tjänster såväl som införandet av fyra nya; tillhanda- hålla elektroniska attributsintyg, elektronisk arkivering, elektroniska liggare och förvaltning av anordningar för underskrifter och stämplar på distans. Läs mer om de nya betrodda tjänsterna i avsnitt 4.9.

Ändringar avseende redan reglerade betrodda tjänster innebär en ökad harmonisering. Det sker genom att, för flertalet artiklar om be- trodda tjänster, kommissionen ges en möjlighet att ta fram genom- förandeakter. Dessa ska, för det stora flertalet tjänster, tas fram senast den 21 november 2024. De generella säkerhetsreglerna för kvalificerade och icke-kvalificerade betrodda tjänster har flyttats till det s.k. NIS2- direktivet.9

I den reviderade förordningen införs även nya bestämmelser, vilka tillsammans med delvis uppdaterade befintliga, utgör ett ramverk för styrning. Bestämmelserna omfattar tillsyn av den europeiska digitala identitetsplånboken såväl som betrodda tjänster (se avsnitten 4.7.4 och 4.10.5). Ramverket för styrning omfattar även bestämmelser om kom- munikation mellan dels olika medlemsstater, dels medlemsstaterna och kommissionen. I sistnämnda avseende föreskrivs till att börja med

8I kommissionens ursprungliga förslag fanns även (i artikel 7) ett obligatorium för medlems- staterna att anmäla ett system för elektronisk identifiering med minst en e-legitimation på den högsta tillitsnivån. Detta krav har slopats under förhandlingarna. Kravet kan emellertid möjligen sägas följa indirekt av reglerna om den europeiska digitala identitetsplånboken. Sådana identitetsplånböcker måste nå tillitsnivå hög, särskilt när det gäller kraven på identitets- kontroll och verifiering, samt hantering och autentisering av medel för elektronisk identifiering (dvs. e-legitimationer), se bl.a. artikel 5a.11 och 5a.24.

9Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åt- gärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (Text av betydelse för EES).

75

att varje medlemsstat ska utse en gemensam kontaktpunkt för be- trodda tjänster, identitetsplånboken och notifierade e-legitimations- system. Dessa ska fungera som en förbindelse för gränsöverskridande kontakt tillsynsmyndigheter emellan, samt när det är lämpligt även mellan kommissionen och Europeiska unionens cybersäkerhetsbyrå samt andra berörda myndigheter inom medlemsstaten (artikel 46c).

Vidare förskrivs nu i artikel 46d att tillsynsmyndigheterna, bl.a. genom den europeiska samarbetsgruppen för digital identitet, får söka ömsesidigt bistånd. Sådant bistånd kan sökas från en tillsynsmyndig- het i en annan medlemsstat där en berörd tillhandahållare av betrodda tjänster eller tillhandahållare av en europeisk digital identitetsplånbok är etablerad, har sina nätverk och informationssystem, eller erbjuder sina tjänster. Syftet är att underlätta tillsyn och upprätthållande av regelverket i förordningen.

Nämnda samarbetsgrupp ska etableras av kommissionen för att ge stöd till och underlätta medlemsstaternas gränsöverskridande sam- arbete och informationsutbyte kopplat till betrodda tjänster, den euro- peiska digitala identitetsplånboken och notifierade system för elek- tronisk identifiering. Samarbetsgruppen ska bestå av representanter utnämnda av medlemsstaterna och kommissionen. Kommissionen ska agera ordförande och administrera ett sekretariat (artikel 46e).

4.4Den reviderade förordningens struktur och innehåll

Förordningen är indelad i sju kapitel och kompletteras av sju bilagor. Kapitel I innehåller alltjämt allmänna bestämmelser. Kapitel II är nu uppdelat i två avsnitt, där det första innehåller bestämmelser om den europeiska digitala identitetsplånboken, medan det andra avsnittet handlar om system för elektronisk identifiering. I likhet med tidigare finns i kapitel III bestämmelser om betrodda tjänster. I nya kapi- tel IVa finns nya och delvis ändrade bestämmelser om tillsyn, vilka gemensamt utgör ett ramverk för styrning. De återstående kapitlen, kapitel IV, V och VI innehåller bl.a. bestämmelser om rättslig verkan av elektroniska dokument, delegering av befogenheter och genom- förandebestämmelser samt övergångsbestämmelser och ikraftträdande.

76

Ide följande avsnitten redogörs för den reviderade eIDAS-för- ordningens centrala bestämmelser och sådana bestämmelser som är av betydelse med hänsyn till utredningens uppdrag.

4.5Allmänna bestämmelser

4.5.1Syften

I artikel 1 i förordningen anges dess syfte. Enligt den ursprungliga lydelsen är målet med förordningen att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för e-legitimationer (”medel för elektronisk identifiering”) och betrodda tjänster.

I skäl 2 till förordningen i dess tidigare lydelse angavs att den syftar till att öka förtroendet för elektroniska transaktioner på den inre mark- naden genom att tillhandahålla en gemensam grund för ett säkert elek- troniskt samspel mellan medborgare, företag och offentliga myndig- heter. Därigenom ska effektiviteten öka hos offentliga och privata nättjänster samt i elektronisk affärsverksamhet och e-handel i unionen.

I den reviderade förordningen framhålls även syftet att möjliggöra och underlätta fysiska och juridiska personers utövande av rätten att delta i det digitala samhället på ett säkert sätt och ha tillgång till offent- liga och privata nättjänster i hela unionen (artikel 1.1). För dessa syften fastställer förordningen villkor för medlemsstaterna att, utöver de nu- varande, tillhandahålla och erkänna europeiska digitala identitetsplån- böcker (artikel 1.1 a). I ingressen till den reviderade förordningen tydliggörs i flera punkter (skäl) att ramverket ämnar leda till en bred användning av en tillförlitlig, frivillig och användarvänlig digital iden- titet, se t.ex. skälen 3–6. När det talas om rätten till användning av bl.a. digitala tjänster innefattar det ett krav på medlemsstaterna att säker- ställa att ”alla människor i EU”, dvs. unionsmedborgare och invånare i unionen (enligt definitionen i nationell rätt), men även företag erbjuds en tillgänglig, säker och tillförlitlig digital identitet som möjliggör till- gång till sådana tjänster (se t.ex. skälen 4–7).

77

4.5.2Tillämpningsområde

Enligt artikel 2.1 (i dess tidigare lydelse) ska förordningen tillämpas på system för elektronisk identifiering som anmälts av en medlemsstat, och tillhandahållare av betrodda tjänster.

System för elektronisk identifiering är ett sådant system genom vilket medel för elektronisk identifiering (i detta betänkande även benämnt e-legitimationer) utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en annan fysisk person eller en juridisk person (se definitionen i dess nya lydelse i artikel 3.4). I det följande kallar vi dessa system för e-legitimationssystem för att inte göra texten onödigt svårläst.

I likhet med tidigare gäller förordningen enbart för sådana e-legiti- mationssystem som har anmälts till kommissionen för gränsöver- skridande användning och för sådana tillhandahållare av betrodda tjän- ster som är etablerade inom unionen.

Med inrättandet av den europeiska digitala identitetsplånboken ut- vidgas tillämpningsområdet till att även omfatta identitetsplånböcker som tillhandahålls i medlemsstaterna. Förordningens tillämpning i detta avseende görs, till skillnad mot e-legitimationer, inte beroende av något anmälningsförfarande, eller annat villkor än att identitetsplån- boken ska vara tillhandahållen av en medlemsstat. Reglerna om den europeiska digitala identitetsplånboken är alltså direkt tillämpliga såväl vid nationell som vid gränsöverskridandande användning. Natio- nell reglering om den europeiska digitala identitetsplånboken är där- med tillåten bara i de delar förordningen påbjuder eller tillåter det.

I detta sammanhang bör också tilläggas att i de fall en medlemsstat kräver elektronisk identifiering och autentisering för åtkomst till digi- tala tjänster inom offentlig sektor ska sådana identitetsplånböcker som tillhandahållits i enlighet med den reviderade eIDAS-förord- ningen accepteras (artikel 5f.1). En motsvarande skyldighet ska under vissa förhållanden även gälla för privata förlitande parter när dessa till följd av bestämmelser i nationell eller unionsrättslig lagstiftning är ålagda att använda stark användarautentisering, eller om sådan krävs enligt avtalsförpliktelser (artikel 5f.2). Oaktat denna artikels rubrik, ”Gränsöverskridande användning av europeiska digitala identitets- plånböcker”, får bestämmelserna däri ses som förtydliganden, såsom att förlitande parter i privat sektor inte är skyldiga att acceptera så- dana identitetsplånböcker utöver det som följer av punkten 2. Skyldig-

78

heter och krav enligt dessa bestämmelser kan dock inte anses gälla bara vid gränsöverskridande användning.

Utanför tillämpningsområdet ligger fortfarande sådant tillhanda- hållande av betrodda tjänster som till följd av nationell lagstiftning eller avtal mellan en avgränsad krets deltagare endast används inom slutna system (artikel 2.2).

Med vissa förtydliganden innebär vidare tillämpningsbestämmel- serna att förordningen inte påverkar regler i nationell lagstiftning eller unionsrätt som avser ingående av avtal och deras giltighet, eller andra rättsliga eller förfarandemässiga skyldigheter avseende form, eller sektorspecifika krav avseende form (artikel 2.3). I skäl 46 i den revi- derade förordningens ingress anges att den inte heller avser inverka på nationella formkrav avseende offentliga register, i synnerhet inte kom- mersiella register eller fastighetsregister.

Likaså tydliggörs genom ett tillägg i den nya punkten 4 i artikel 2 att den reviderade förordningen inte påverkar tillämpningen av Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter benämnd EU:s dataskyddsförordning.10

4.5.3Definitioner

IeIDAS-förordningen definieras en rad begrepp och uttryck i artikel 3. Mer eller mindre omfattande ändringar har gjorts i flera av definitionerna (led 1–6, 14, 16, 18, 21, 38 och 41) i den reviderade förordningen. Dessutom införs definitioner för ytterligare 19 begrepp och uttryck, t.ex. användare (led 5a), samt kvalificerad anordning för skapande av elektroniska underskrifter, respektive stämplar, på distans (led 23a och 23b, se mer om detta i avsnitt 4.9.1).

Tillkomna och ändrade definitioner behövs med anledning av bl.a. regleringen av den europeiska digitala identitetsplånboken (se särskilt led 16 och 42–57).

10Jfr artikel 5.1 i eIDAS-förordningen i dess tidigare lydelse, som hänvisade till det numera upphävda dataskyddsdirektivet, Europaparlamentets och rådets direktiv 95/46/EG av den

24oktober 1995 om skydd för enskilda personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter.

79

4.5.4Inremarknadsprincipen

Principen om en inre marknad, som slås fast i artikel 4, har inte änd- rats. I likhet med tidigare får således den som tillhandahåller betrodda tjänster i en medlemsstat inte hindras att göra detta även i en annan medlemsstat av skäl som omfattas av områden som regleras i förord- ningen. Produkter och betrodda tjänster som överensstämmer med förordningen ska omfattas av fri rörlighet på den inre marknaden. Genom ömsesidigt erkännande av e-legitimationer (”medel för elek- tronisk identifiering”) ska tillhandahållandet av tjänster över gränserna på den inre marknaden underlättas (se vidare avsnitt 4.6.1).

4.5.5Användning av pseudonymer vid elektroniska transaktioner

I likhet med det som föreskrivs i den ursprungliga lydelsen av för- ordningen ska användning av pseudonymer vid elektroniska transak- tioner inte förbjudas (artikel 5). Bestämmelsen har kompletterats såtillvida att det rör pseudonymer ”som valts av användaren”. Fort- farande gäller att bestämmelsen i sig inte påverkar den rättsliga verkan som pseudonymer har enligt nationell rätt. Därutöver har förtydligats att bestämmelsen inte heller påverkar tillämpningen av specifika unionsrättsliga eller nationella regler som föreskriver att användare ska identifiera sig. För att skapa tillit till de europeiska digitala identi- tetsplånböckerna är det nödvändigt att det kan säkerställas att den person som gör anspråk på eller hävdar en viss identitet faktiskt är den person som han eller hon utger sig för att vara. Behovet av att kunna lita på rättsligt fastställda identiteter, som regleras nationellt i varje medlemsstat, bör dock inte hindra användare av identitetsplånböcker från att få tillgång till tjänster genom användning av pseudonymer. Som framgår av skäl 19 gäller detta dock under förutsättning att det inte finns något föreskrivet krav om att uppge sin faktiska, rättsligt fastställda, identitet för att identifiera sig. Sådana krav kan uppställas i såväl unionsrätten som i medlemsstaternas nationella lagstiftning.

80

4.6Elektronisk identifiering

4.6.1Ömsesidigt erkännande

Enligt artikel 6 i eIDAS-förordningen, som inte är ändrad, ska medel för elektronisk identifiering under vissa förutsättningar omfattas av ömsesidigt erkännande. Det gäller sådana e-legitimationer som är utfärdade inom ramen för ett e-legitimationssystem som har anmälts av en medlemsstat och förts upp på en särskild förteckning som offentliggörs av kommissionen (se mer om anmälningsförfarandet i nästa avsnitt).

Det kan i sammanhanget noteras att en innehavare inte alltid har möjlighet att använda tillhandahållna nättjänster efter genomförd in- loggning, trots kravet på ömsesidigt erkännande av anmälda e-legi- timationer. I dagsläget är det vanligt att den som använt en utländsk e-legitimation hamnar i ett s.k. digitalt väntrum, där det inte går att utföra det förfarande som tjänsten avser. Detta är en följd av att många digitala tjänster inom den offentliga förvaltningen ställer krav på an- vändning av exempelvis personnummer (se även avsnitt 4.6.4).

4.6.2Anmälningsförfarande och tillitsnivåer

Liksom tidigare är det endast medlemsstater som kan anmäla e-legi- timationssystem, och det behöver inte vara medlemsstaten som ut- färdar e-legitimationerna i systemet. E-legitimationerna kan vara ut- färdade av den anmälande medlemsstaten, på uppdrag av den anmälande medlemsstaten eller oberoende av den anmälande medlemsstaten men erkännas av medlemsstaten.

En anmälan delas in i tre steg. Det första steget är s.k. föranmälan. Under detta steg förser den anmälande medlemsstaten andra med- lemsstater med information om det system som anmäls. Nästa steg är enligt vedertagen praxis en sakkunnigbedömning. Under detta steg bedöms kvaliteten och säkerheten i det anmälda systemet utifrån kraven i förordningen och genomförandeförordning (EU) 2015/ 1502.11 Bedömningen genomförs av andra medlemsstater och avslutas

11Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och för faranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska trans- aktioner på den inre marknaden.

81

med ett utlåtande som antas av samtliga medlemsstater. Det sista steget är formell anmälan och publicering i EU:s officiella tidning.12 De krav som måste vara uppfyllda för att anmäla ett e-legitima- tionssystem framgår av artikel 7. Av artikel 9 följer vilka uppgifter som en anmälan ska innehålla och i artikel 8 finns bestämmelser (komplet- terade genom tidigare nämnd genomförandeförordning) om tillits- nivåer för e-legitimationssystem. Tillitsnivåerna återger graden av tillit till en e-legitimation vid fastställande av en persons identitet och ska- par visshet om att den person som gör anspråk på en viss identitet

faktiskt är den person som har tilldelats denna identitet.

Som redan nämnts innebar rådets förslag till reviderad förordning en uttrycklig skyldighet för medlemsstaterna att anmäla ett e-legitima- tionssystem med åtminstone en e-legitimation på högsta tillitsnivå (se avsnitt 4.3). Indirekt gäller dock ett sådant krav eftersom minst en europeisk digital identitetsplånbok ska tillhandahållas av varje medlemsstat inom ramen för ett system för elektronisk identifiering (artikel 5a.1, 5a.5 f och 5a.24). Till dess att en eventuell genomförande- akt enligt artikel 5a.24 har antagits krävs identifiering med en e-legi- timation på tillitsnivå hög för att få tillgång till en identitetsplånbok.

I artiklarna 7–9 återstår nu enbart vissa redaktionella ändringar (artikel 7 g, artikel 8.3, artikel 9.2 och artikel 9.3).

Sakkunnighetsbedömningen av anmälda e-legitimationssystem har, som nämnts, vuxit fram som en praxis mellan medlemsstaterna med beaktande av föreskriven samarbetsskyldighet i artikel 12.5 i dess tidi- gare lydelse. Sakkunnighetsbedömningen av e-legitimationssystem görs obligatorisk genom en ändrad lydelse av artikel 12.5 och dess hän- visning till artikel 9.1 a. Anmälningsförfarandet påverkas således av denna ändring samt av bestämmelser i den nya artikeln 12a (se vidare avsnitt 4.6.6, jfr 4.7.5).

4.6.3Säkerhetsincidenter och skadeståndsansvar

I artikel 10 i eIDAS-förordningen finns bestämmelser om hantering av säkerhetsincidenter i anmälda e-legitimationssystem eller den auten- tisering som avses i artikel 7 f. Vid intrång eller om systemet äventyras

12Sverige har tre e-legitimationer som är föranmälda och granskade av andra medlemsstater. En av dessa e-legitimationer, Freja+, är anmäld och kan därmed användas för gränsöver- skridande e-legitimering inom EU. https://ec.europa.eu/digital-building- blocks/sites/display/EIDCOMMUNITY/Sweden (hämtad 2024-05-26)

82

på ett sätt som påverkar tillförlitligheten i dess gränsöverskridande autentisering ska den anmälande medlemsstaten utan dröjsmål till- fälligt upphäva eller återkalla denna gränsöverskridande autentisering eller de berörda utsatta delarna. Artikeln fastslår även när sådan auten- tisering ska återinföras samt informationsskyldighet för berörd med- lemsstat och kommissionen med anledning av en säkerhetsincident. I den reviderade förordningen görs inga förändringar av artikeln, vars rubrik dock förtydligas för att tydliggöra att artikeln reglerar inciden- ter i e-legitimationssystem (säkerhetsincidenter och informationskrav i fråga om digitala identitetsplånböcker regleras i artikel 5e i den reviderade eIDAS-förordningen).

Bestämmelser om skadeståndsansvar finns i artikel 11, som gäller för den anmälande medlemsstaten, den som har utfärdat e-legitima- tioner och den part som har hand om autentiseringsförfarandet, ifall dessa inte uppfyller sina skyldigheter enligt förordningen. Bestäm- melserna är desamma i den reviderade förordningen.

4.6.4Gränsöverskridande identitetsmatchning

I den reviderade förordningen föreskrivs att medlemsländerna ska säkerställa otvetydig identitetsmatchning för gränsöverskridande tjän- ster (artikel 11a.1).13 Skyldigheten gäller för medlemsstater i egenskap av förlitande parter, dvs. den träffar offentliga aktörers digitala tjänster.

Identitetsmatchning definieras som ”en process där uppgifter för personidentifiering eller medel för elektronisk identifiering matchas mot eller kopplas till ett befintligt konto som tillhör samma person” (artikel 3.55).

I den reviderade eIDAS-förordningen anges att offentliga aktörer använder de personidentifieringsuppgifter som finns tillgängliga i sys- temen för e-legitimationer för att matcha den elektroniska identiteten hos användare från andra medlemsstater med de personidentifierings- uppgifter som tillhandahålls dessa användare i den medlemsstat som utför den gränsöverskridande identitetsmatchningsprocessen. Vidare konstateras att det, trots användningen av förordningens föreskrivna

13I kommissionens förslag till reviderad förordning innehöll artikel 11a en skyldighet för medlemsstaterna att, i fråga om anmälda e-legitimationer och digitala identitetsplånböcker, säkerställa en unik identifiering (”unique identification”) genom att i minimiuppsättningen av personidentifieringsuppgifter inkludera en unik och beständig identifierare

(”unique and persistent identifier”), eur-lex.europa.eu/legal- content/SV/TXT/HTML/?uri=CELEX:52021PC0281&from=EN (hämtad 2024-05-27).

83

minimiuppsättning av sådana uppgifter, krävs ytterligare information om användaren och särskilda kompletterande unika identifierings- förfaranden som ska utföras på nationell nivå för att säkerställa korrekt identitetsmatchning när medlemsstaterna agerar som förlitande parter (skäl 41).

Det nya kravet på gränsöverskridande identitetsmatchning avser enligt skäl 41 vidare att ytterligare stödja användbarheten av e-legitima- tioner, tillhandahålla bättre offentliga nättjänster och öka rättssäker- heten när det gäller användarnas elektroniska identitet.

För att säkerställa en hög skyddsnivå för personuppgifter som används för identitetsmatchning och för att förhindra profilering av användare ska medlemsstaterna se till att det finns tekniska och orga- nisatoriska förutsättningar för detta (artikel 11a.2). Referensstandar- der samt, vid behov, specifikationer och förfaranden för den före- skrivna identitetsmatchningen ska fastställas av kommissionen i en genomförandeakt (artikel 11a.3).

4.6.5Interoperabilitet

Enligt artikel 12 i eIDAS-förordningen ska nationella e-legitimations- system som anmälts för gränsöverskridande användning enligt arti- kel 9.1 vara interoperabla. För tillämpningen av detta krav finns ett fastställt interoperabilitetsramverk (artikel 12.3–6 med tillhörande genomförandeakter).

Den reviderade förordningen innebär en ökad betydelse av inter- operabilitet, som också utgör ny rubrik för artikeln. I stället för nu- varande krav på medlemsstaterna att samarbeta kring interoperabilitet och säkerhet, ska de genomföra sakkunnighetsbedömningar av anmälda e-legitimationssystem. I likhet med tidigare kommer närmare reglering av sådana granskningar att fastställas av kommissionen i genomförande- akter (artikel 12.6 och 12.8).

Vidare görs vissa förtydliganden och kompletteringar, bl.a. fastslås att ramverket ska främja tillämpning av inte bara principen om ett inbyggt integritetsskydd utan även inbyggd säkerhet (artikel 12.3 c).

84

4.6.6Certifiering av e-legitimationssystem

Iden reviderade eIDAS-förordningen införs, såvitt gäller e-legitima- tionssystem, bestämmelser om certifiering i en ny artikel 12a (se även artikel 5c avseende certifieringskrav för den digitala identitetsplån- boken).

Medlemsstaterna ska utse organ med uppgift att certifiera att system för elektronisk identifiering som ska genomgå det tidigare redo- visade anmälningsförfarandet överensstämmer med de krav på cyber- säkerhet som föreskrivs i förordningen.

Vidare fastslås att denna certifiering ska utföras inom ramen för en relevant ordning för cybersäkerhetscertifiering enligt förordning (EU) 2019/88114 eller delar därav (jfr skäl 25). Detta hindrar inte med- lemsstaterna att, av den anmälande medlemsstaten, begära ytterligare information om hela eller delar av e-legitimationssystem som certifie- rats enligt hänvisad ordning (artikel 12a.4).

Certifieringen är giltig i högst fem år, under förutsättning att en regelbunden tvåårig sårbarhetsanalys genomförs. Om sårbarheter identifieras och inte åtgärdas inom tre månader ska certifieringen upp- hävas (artikel 12a.3).

Sakkunnigbedömningar som Den europeiska samarbetsgruppen för digital identitet (EDICG) får genomföra (se artikel 46e.5 d) ska inte tillämpas i fråga om system för elektronisk identifiering eller delar av sådana system som certifierats i enlighet med artikel 12a. Medlems- staterna får använda sig av ett certifikat eller en försäkran om överens- stämmelse, som utfärdats i enlighet med en relevant europeisk ordning för cybersäkerhetscertifiering eller delar av en sådan ordning beträf- fande krav i artikel 8.2 (tillitsnivåer) som inte avser cybersäkerhet.

4.6.7Åtkomst till hård- och mjukvarufunktioner

Enligt nya bestämmelser i den reviderade eIDAS-förordningen ska tillhandahållare av europeiska digitala identitetsplånböcker och utfär- dare av anmälda e-legitimationer under vissa angivna förutsättningar ges åtkomst till hård- och mjukvarufunktioner (artikel 12b).

14Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informa- tions- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).

85

För att säkerställa att de digitala identitetsplånböckerna fungerar effektivt är tillhandahållarna av dessa i behov av en effektiv interopera- bilitet samt rättvisa, rimliga och icke-diskriminerande villkor så att identitetsplånböckerna har tillgång till specifika maskinvaru- och programvarufunktioner i mobila enheter. I skäl 49 i förordningens ingress anges att det kan handla om tillgång till exempelvis antenner för närfältskommunikation (NFC) och säkerhetskomponenter, in- begripet universella smartkort, inbäddade säkerhetskomponenter, microSD-kort och Bluetooth Low Energy. I nämnda skäl anges vidare att tillgången till dessa komponenter kan kontrolleras av mobilnäts- operatörer och utrustningstillverkare, varför tillverkare av original- utrustning för mobila enheter eller tillhandahållare av elektroniska kommunikationstjänster inte bör få neka tillgång till sådana kompo- nenter när de behövs för att tillhandahålla tjänster relaterade till de europeiska digitala identitetsplånböckerna.

Bestämmelsen i artikel 12b omfattar specifikt sådana företag som av kommissionen utses till s.k. grindvakter för uppräknade centrala plattformstjänster enligt EU:s förordning om öppna och rättvisa mark- nader inom den digitala sektorn (DMA-förordningen).15 Dessa grind- vakter ska således, kostnadsfritt, möjliggöra effektiv driftskompati- bilitet med och, i driftskompatibilitetssyfte, ge tillgång till funktioner i operativsystem, maskinvara eller programvara, oavsett huruvida dessa funktioner är en del av det operativsystem som grindvakten har till- gång till eller använder när denne tillhandahåller sådana tjänster (i den mening som avses i artikel 6.7 i DMA-förordningen).

4.7Europeisk digital identitetsplånbok

4.7.1Summarisk introduktion

Syftet med att införa en europeisk digital identitetsplånbok är att se till att alla fysiska och juridiska personer inom EU på ett säkert, tillits- baserat och sömlöst sätt ges tillgång till publika och privata tjänster inom unionen (se artikel 5a.1).

Utfärdandet, användningen och återkallandet av europeiska digitala identitetsplånböcker ska vara utan kostnad för alla fysiska personer

15Europaparlamentets och rådets förordning (EU) 2022/1925 av den 14 september 2022 om öppna och rättvisa marknader inom den digitala sektorn och om ändring av direktiv (EU) 2019/1937 och (EU) 2020/1828 (förordningen om digitala marknader).

86

(se artikel 5a.13). Det ska vara frivilligt att använda identitetsplån- boken och avsaknaden av en sådan ska inte påverka tillgången till service eller möjligheten att bedriva verksamhet (se artikel 5a.15). Identitetsplånboken ska, i enlighet med bestämmelserna i EU:s direk- tiv 2019/882, göras tillgänglig för personer med funktionsnedsättning på lika villkor (se artikel 5a.21).

Genom sin europeiska digitala identitetsplånbok ska användaren kunna begära, erhålla, välja, kombinera, lagra, radera, dela och visa upp- gifter för personidentifiering (se mer om personidentifieringsuppgifter i avsnitt 4.7.4 och 6.3.3). Med ifrågavarande personidentifieringsupp- gifter, och i tillämpliga fall i kombination med elektroniska attributs- intyg, ska användaren kunna autentisera gentemot förlitande parter online och, när det är lämpligt, i offlineläge, i syfte att få tillgång till offentliga och privata tjänster (se artikel 5a.4 a).

Figur 4.1 Identitetsplånbokens huvudsakliga användningsområden

Anskaffandet av en europeisk digital identitetsplånbok sker, förenklat beskrivet, genom att användaren först skaffar en digital identitetsplån- bok som stöds av medlemsstaten. Därefter kopplas, med en e-legitima- tion på tillitsnivå hög, nödvändiga och tillräckligt säkra uppgifter för personidentifiering till den digitala plånboken (se mer om tillhandahål- landet i avsnitt 6.3.1). När en sådan koppling skapats har användaren tillgång till en europeisk digital identitetsplånbok. Användaren kan därefter förse sitt exemplar av den europeiska identitetsplånboken (sin identitetsplånboksinstans) med olika attributsintyg. Med attribut avses enligt den reviderade eIDAS-förordningens definition egenska-

87

per, kvaliteter, rättigheter eller tillstånd hos en fysisk eller juridisk person eller hos ett föremål (se artikel 3.43). Det kan vara fråga om exempelvis studieintyg eller intyg om körkortsbehörighet. Enligt den reviderade eIDAS-förordningen ska medlemsstaterna säkerställa att identitetsplånboken – om användaren vill – kan innehålla åtminstone uppgifter om innehavarens adress, ålder, kön, civilstatus, familje- sammansättning, nationalitet eller medborgarskap, utbildnings- och yrkeskvalifikationer jämte eventuella titlar och licenser, fullmakter, offentliga tillstånd och licenser samt – för juridiska personer – även finansiella data och bolagsdata (se artikel 45e och bilaga VI). Identitets- plånboken ska sedan kunna användas i såväl digitala som analoga tjänster.

Figur 4.2 illustrerar på ett förenklat sätt hur flödet vid anskaffandet av en europeisk digital identitetsplånbok ser ut.

Figur 4.2 Flödet vid anskaffande av identitetsplånboken

Ett exempel på hur användaren kan ha nytta av sin identitetsplånbok i praktiken är för att visa upp sitt körkort vid bilhyra. Ett biluthyr- ningsföretag kräver i det sammanhanget vanligen ett intyg på att användaren innehar körkort. Användaren kan vid uthyrningstillfället, eller i förväg, via identitetsplånboken begära att ett körkortsintyg utfärdas till identitetsplånboken. Utfärdaren kan vara en extern part som vänder sig till en autentisk källa (som för körkort är Transport- styrelsen, se mer om autentiska källor i avsnitt 4.7.4) för kontroll av attributet eller till den autentiska källan direkt. Informationen kan där- efter skickas till identitetsplånboksinstansen och visas upp för bil- uthyraren.

Figur 4.3 illustrerar användning av identitetsplånboken vid bilhyra.

88

SOU 2024:45EU:s förordning om elektronisk identifiering

plånbok

Transportstyrelsen (Autentisk källa)

Kontroll av attribut mot autentiska källor regleras i artikel 45e. Vid utredningens kontakter med berörda intressenter har framförts att bestämmelsen kan tolkas på olika sätt i fråga om det endast är den autentiska källan som kan utfärda ett attributsintyg från en sådan källa eller inte. Vi har bedömt att bestämmelsen lämnar utrymme för i figur 4.3 beskriven ordning. Det bör dock anmärkas att bestämmel- sen omfattas av kommande genomförandeförordningar vilket alltså inte har kunnat beaktas inom ramen för utredningens bedömning.

Identitetsplånboken ska erbjuda flertalet ytterligare funktioner. Det ska exempelvis vara möjligt för användaren att generera pseudonymer och lagra dem i krypterad form lokalt i identitetsplånboken, auten- tisera en annan persons europeiska digitala identitetsplånbok samt ta emot och dela personidentifieringsuppgifter och elektroniska attributs- intyg på ett säkert sätt mellan två europeiska digitala identitetsplån- böcker. Via en instrumentpanel i identitetsplånboken ska användaren ges tillgång till en logg över alla transaktioner som skett, kunna se en uppdaterad förteckning över förlitande parter med vilka användaren har upprättat en förbindelse och i tillämpliga fall alla utbytta uppgifter samt kunna begära att en förlitande part raderar personuppgifter eller rapportera en förlitande part till integritetskyddsmyndigheten vid miss- tanke om olagliga eller obehöriga förfrågningar (jfr artikel 5a.4 b–d).

89

4.7.2En verktygslåda med en teknisk arkitektur- och referensram arbetas fram

Den 3 juni 2021 antog EU-kommissionen en rekommendation med uppmaning till medlemsstaterna att ta fram en s.k. verktygslåda inklu- sive en teknisk arkitektur- och referensram, vars engelska akronym är ARF (Architecture and Reference Framework).16

Verktygslådan ska innehålla en uppsättning gemensamma standar- der och tekniska specifikationer samt en uppsättning gemensamma riktlinjer och bästa praxis. Enligt rekommendationen från kommis- sionen ska arbetet ligga till grund för genomförandet av den reviderade eIDAS-förordningen när den trätt i kraft, utan att påverka eller före- gripa lagstiftningsprocessen. Verktygslådan ska komplettera den revi- derade eIDAS-förordningen och möjliggöra skapandet av en robust ram för digital identifiering och autentisering som bygger på gemen- samma standarder i hela EU.17 Verktygslådan utgör emellertid inte någon rättskälla utan det är endast den reviderade eIDAS-förordningen och genomförandeakterna som ska betraktas som sådana.

Arbetet med att ta fram verktygslådan sker kontinuerligt i eIDAS- expertgrupp18, som bildades i samband med antagandet av eIDAS- förordningen för att förbereda genomförandeakter enligt förord- ningen. Gruppen består av experter som nominerats av de olika medlemsländerna i EU/EES. Sverige har nominerat experter från flera myndigheter, bl.a. Digg, PTS, Transportstyrelsen och Polisen. I den senare delen av gruppens arbete har även deltagare från de storskaliga pilotprojekten bjudits in (se mer om pilotprojekten i avsnitt 4.7.3. nedan). Det har medfört ett ökat svenskt deltagande från främst Bolagsverket, men även Vetenskapsrådet/Sunet. Den senaste versio- nen av ARF:en publicerades den 23 maj och utgör version 1.4.0.19

16COMMISSION RECOMMENDATION of 3.6.202 on a common Union Toolbox for a coordinated approach towards a European Digital Identity Framework.

17https://digital-strategy.ec.europa.eu/sv/policies/eudi-wallet-toolbox (hämtad 2024-05-19).

18eIDAS Expert Group (E 03032) https://ec.europa.eu/transparency/expert-groups- register/screen/expert-groups/consult?lang=en&groupID=3032 (hämtad 2024-05-27).

19https://eu-digital-identity-wallet.github.io/eudi-doc-architecture-and-reference- framework/latest/arf/ (hämtad 2024-05-27).

90

4.7.3Fyra pilotprojekt för att testa

den digitala europeiska identitetsplånboken

EU-kommissionen har utlyst s.k. storskaliga pilotprojekt i syfte att testa den europeiska digitala identitetsplånboken och säkerställa att den införs på ett säkert och smidigt sätt. Pilotprojekten, som är fyra till antalet, inleddes i maj 2023 och planeras pågå till 2025. De omfattar cirka 360 aktörer, däribland privata företag och offentliga myndig- heter från 26 medlemsstater samt från Norge, Island och Ukraina. Varje pilotprojekt är uppbyggt som ett konsortium som sammanför expertis från både den offentliga och den privata sektorn inom EU, med medfinansiering genom bidrag från Europeiska kommissionen. Pilotprojekten styrs av de tekniska specifikationer som utvecklats av eIDAS-expertgruppen.20 I det följande redovisas kortfattat de fyra projektens ändamål och de länder som ingår i respektive konsortium.21

Potential-konsortiet omfattar fler än 140 offentliga och privata aktö- rer från 19 medlemsstater och Ukraina. I pilotprojektet testas använd- ningsfallen mobila körkort, öppnande av bankkonto, registrering av SIM-kort, kvalificerade elektroniska underskrifter, tillgång till e-tjäns- ter från offentlig förvaltning och elektroniska recept. Projektet sam- ordnas av Frankrike och Tyskland.22

NOBID-konsortiet omfattar aktörer från sex EU/EES-länder som fokuserar på användningsfallet betalningar för inhemsk och gränsöver- skridande användning. Norge leder arbetet men i konsortiet ingår även Danmark, Lettland, Tyskland, Italien och Island.23

EWC-konsortiet omfattar över 15 offentliga förvaltningar och

40privata enheter från 18 medlemsstater och Ukraina. I pilotprojektet testas användningsfallen resor, betalningar och organisatorisk digital identitet. Samordnare för konsortiet är Sverige genom Bolagsverket.24 DC4EU-konsortiet omfattar 99 institutioner från 25 länder med stöd av offentliga och privata organisationer, enheter och myndigheter. I pilotprojektet testas användningsfallen fri rörlighet med socialför- säkringsdokument som det europeiska hälso- och sjukvårdskortet

20https://digital-strategy.ec.europa.eu/sv/policies/eudi-wallet-implementation (hämtad 2025-05-19).

21https://digital-strategy.ec.europa.eu/sv/news/eu-digital-identity-4-projects-launched-test- eudi-wallet (hämtad 2024-05-19).

22https://www.digital-identity-wallet.eu/ (hämtad 2024-05-20).

23https://www.nobidconsortium.com/about/(hämtad 2024-05-20).

24https://eudiwalletconsortium.org/ (hämtad 2024-05-20).

91

och utbildnings eller andra professionella kvalifikationer. Från Sverige deltar bl.a. Vetenskapsrådet/Sunet. Spanien är koordinator i arbetet.25

4.7.4Aktörer som är involverade i den europeiska digitala identitetsplånboken

I detta avsnitt presenteras de aktörer som är involverade i den euro- peiska digitala identitetsplånboken. Beskrivningen av aktörerna är hämtad från den ovan beskrivna arkitektur- och referensramen, ARF:en.26

Figur 4.4 nedan visar en översikt över hur några centrala aktörer förhåller sig till varandra.

Figur 4.4 Översikt över vissa involverade aktörer

Registreras

Källa: ARF version 1.4.0.

25https://www.dc4eu.eu/project/ (hämtad 2024-05-20).

26The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework – Architecture and Reference Framework, version 1.4.0.

92

Användare av europeiska digitala identitetsplånböcker

Användare av europeiska digitala identitetsplånböcker använder sin plånboksinstans för att ta emot, lagra och visa upp uppgifter för per- sonidentifiering (PID, dvs. den engelska akronymen för ”personal identification data”), kvalificerade elektroniska attributsintyg, offent- ligt utfärdade elektroniska attributsintyg eller attributsintyg om sig själva, inklusive sådana som bevisar identiteten. Användaren kan också skapa kvalificerade elektroniska underskrifter och stämplar samt an- vända identitetsplånboken för att interagera med andra identitetsplån- böcker.

Tillhandahållare av europeiska digitala identitetsplånböcker

Tillhandahållare av europeiska digitala identitetsplånböcker kan vara en medlemsstat eller en privat aktör som uppdras av eller erkänns av medlemsstaten för att tillhandahålla identitetsplånböcker. Det är upp till respektive medlemsstat att bestämma villkoren för de privata aktö- rerna (se våra förslag i avsnitt 6.3.1 och 6.3.2).

Tillhandahållaren av identitetsplånboken ska tillse att användaren erbjuds en identitetsplånbokinstans som ger denne full kontroll över sin PID, sina elektroniska attributsintyg och alla andra personupp- gifter som finns i identitetsplånboken.

Tillhandahållare av PID

Tillhandahållare av PID är betrodda aktörer som är ansvariga för att

i)verifiera identiteten för plånboksanvändare i överensstämmelse med kraven enligt tillitsnivå hög, ii) utfärda PID till identitetsplånböcker och iii) tillgängliggöra information för förlitande parter för att möjlig- göra validering av PID. Tillhandahållare av PID kan enligt förord- ningen exempelvis vara den aktör som utfärdar offentliga identitets- handlingar, elektroniska identitetshandlingar eller tillhandahållare av europeiska digitala identitetsplånböcker. Det är upp till varje medlems- stat att bestämma villkoren för ifrågavarande tjänster (se våra förslag i avsnitt 6.3.3).

93

Tillhandahållare av förteckningar för validering

I ARF:en anges ”trusted list providers” som en aktör. För att särskilja dessa aktörer och förteckningar från den tillitsförteckning med upp- gifter om kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som dessa tillhandahåller, som i Sverige sköts av PTS, kommer vi att benämna dessa aktörer som tillhanda- hållare av förteckningar för validering (se mer om tillitsförteckningen i avsnitt 4.10.7).

Den reviderade eIDAS-förordningen ställer krav på att vissa delar av identitetsplånbokens ekosystem ska kunna valideras. Detta är en central funktion i den tillitsmodell som presenteras i ARF:en.27 Inom ramen för identitetsplånbokens ekosystem finns behov av förteck- ningar för validering från åtminstone följande tillhandahållare:

–tillhandahållare av identitetsplånböcker,

–tillhandahållare av PID,

–tillhandahållare av kvalificerade attributsintyg och

–tillhandahållare av attributsintyg från autentisk källa.

I ARF:en nämns, utöver de ovan listade förteckningarna, en för- teckning över certifikatutfärdare28 som utfärdar certifikat till tillhanda- hållare av PID, tillhandahållare av register över förlitande parter, till- handahållare av kvalificerade attributsintyg och tillhandahållare av attributsintyg från autentisk källa. Användningen av termen certifikat i ARF:en och beskrivningen av tillitsmodellen leder till att en naturlig koppling kan göras till den ovan nämnda tillitsförteckningen. Enligt ARF:en ska detta dock inte ses som att det utgör en presumtion för att en viss teknisk lösning ska användas. Beroende på implementer- ingen är även andra tekniska lösningar möjliga och ska inte vara styr- ande gällande tillitsmodellen.29 Tillitsmodellen beskrivs i ARF:en som konceptuell och att implementeringen kan ske på olika sätt, exempelvis att alla förteckningar kan samlas i en gemensam förteckning.30

27The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework – Architecture and Reference Framework, version 1.4.0, avsnitt 6.

28A.a., avsnitt 3.4.

29A,a,, avsnitt 6.1.1.

30Ibid.

94

Tillhandahållare av kvalificerade elektroniska attributsintyg

Kvalificerade elektroniska attributsintyg tillhandahålls av kvalificerade tillhandahållare av betrodda tjänster. Dessa träffas av kraven på kvali- ficerade tillhandahållare och tjänster i förordningen men dessa tjänster behöver även omfattas av vissa specifika krav som möjliggör använd- ning av attributen i identitetsplånboken. Det handlar om att attester- ingstjänsten och identitetsplånboken behöver kunna identifiera sig för varandra och det kan behövas gränssnitt mot autentiska källor. Tillhandahållare av elektroniska attributsintyg behöver vidare ha infor- mation om var validering av attribut kan ske men det behöver finnas mekanismer som samtidigt inte visar i vilka e-tjänster attesteringarna används.

Tillhandahållare av attributsintyg

från ett offentligt organs autentiska källa

Attributsintyg från ett offentlig organs autentiska källa utfärdas av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa. De krav som autentiska källor ställer för utfärdande och drift av ifrågavarande attributsintyg är avsedda att säkerställa att förlitande parter kan uppfatta den som kvalificerade attributsintyg.

Tillhandahållare av icke-kvalificerade attributsintyg

Elektroniska attributsintyg kan tillhandahållas av alla tillhandahållare av betrodda tjänster. De omfattas av händelsestyrd tillsyn under för- ordningen men de flesta sådana tillhandahållare regleras via avtal gäl- lande regler, kommersiella villkor, erkännande och användningsom- råden. Dessa områden kan vara sådana som t.ex. körkort, digitala betalningar, utbildningsbevis. För att sådana icke-kvalificerade atte- sterade attribut ska kunna användas med den digitala identitetsplån- boken behöver tillhandahållarna av sådana attribut, tekniskt följa de gränssnittskrav som identitetsplånboken uppställer.

95

Utfärdare av kvalificerade och icke-kvalificerade certifikat för elektroniska underskrifter och stämplar

Identitetsplånboken ska enligt förordningen kunna användas för att skapa kvalificerade elektroniska underskrifter eller stämplar. Det kan ske genom att identitetsplånboken certifieras som en anordning för framställning av kvalificerade elektroniska underskrifter eller stämplar. Det andra alternativet är att identitetsplånboken möjliggör säker läsning av en annan lokal anordning för underskrifter som t.ex. ett kort via NFC eller för autentisering till en distansunderskriftslösning där tillhandahållaren eller någon annan tillhandahåller anordningen för skapande av kvalificerade elektroniska underskrifter.

Autentiska källor

Autentiska källor är offentliga eller privata register som innehåller attribut om juridiska eller fysiska personer och som ses som grund- källan för dessa attribut. Enligt den reviderade eIDAS-förordningens bilaga VI ska ansvariga för autentiska källor ha ett gränssnitt till kvali- ficerade tillhandahållare av elektroniska attributsintyg som möjliggör att riktigheten hos ett attribut kan verifieras direkt hos den autentiska källan eller via ombud för den autentiska källan.

Förlitande parter

Förlitande parter är fysiska eller juridiska personer som förlitar sig på elektronisk identifiering eller betrodda tjänster. I sammanhanget med identitetsplånboken är förlitande parter de som efterfrågar attribut från PID eller andra attesteringar från innehavaren av identitetsplån- boken. För att en förlitande part ska få förlita sig på plånboken ska den förlitande parten informera medlemslandet där denne är etablerad. Medlemslandet ska då föra upp den förlitande parten i ett register. Förlitande parter behöver ha ett gränssnitt mot plånboken för att kunna efterfråga attribut och för autentisering av den förlitande parten och plånboken. Förlitande parter är också skyldiga att kontrollera PID och andra attributs giltighet vid användning.

96

Organ för bedömning av överensstämmelse

Den digitala identitetsplånboken ska vara certifierad av ett ackrediterat organ för bedömning av överensstämmelse. Organet ska pekas ut av medlemsstaten. Kvalificerade tillhandahållare av betrodda tjänster och dess kvalificerade betrodda tjänster ska återkommande kontrolleras av ett organ för bedömning av överensstämmelse. Organet för bedöm- ning av överenstämmelse ska ackrediteras av ett nationellt ackrediter- ingsorgan. Standarder och certifieringsordningar kommer att tas fram inom ramen för arbetet med den s.k. verktygslådan och kommer seder- mera finnas i genomförandeakter.

Tillsynsorgan

Tillsynsorganens roll är att granska och säkerställa funktionaliteten hos tillhandahållare av europeiska digitala identitetsplånböcker och andra relevanta aktörer. Tillsynsorganen ska utses av medlemsstaterna och anmälas till kommissionen av medlemsstaten, se våra förslag rörande tillsyn i avsnitt 6.6.

4.7.5Identitetsplånbokslösningen, identitetsplånboksinstansen och PID

I detta avsnitt redovisas hur en identitetsplånbokslösning, en identitets- plånboksinstans och PID förhåller sig till varandra.

Identitetsplånbokslösningen

En identitetsplånbokslösning befinner sig, under sin livscykel, i olika stadier i enlighet med vad som framgår av artikel 5d. Aktuellt stadie påverkar samtliga identitetsplånboksinstanser som tillhandahållits inom ramen för lösningen.

Figur 4.5 nedan visar identitetsplånbokslösningens olika faser.

97

Figur 4.5 Identitetsplånbokslösningens olika faser

Återkalla

Källa: ARF 1.4.0.

Kandidatstadiet är det första stadiet för identitetsplånbokslösningen. Lösningen är då fullt implementerad och tillhandahållaren kan ansöka om att lösningen ska bli certifierad.

Om identitetsplånbokslösningen uppfyller relevanta krav kan med- lemsstaten besluta att identitetsplånboksinstanser får tillhandahållas. Identitetsplånbokslösningen är då i stadiet ”giltig”.

I enlighet med vad som följer av artikel 5e kan en medlemsstat till- fälligt spärra en viss identitetsplånbokslösning, besluta att upphäva spärren (dvs. aktivera lösningen igen) alternativt återkalla den helt (se våra förslag i avsnitt 6.6.3).

98

Identitetsplånboksinstansen

En identitetsplånboksinstans livscykel inleds när användaren installerar en applikation från en giltig identitetsplånbokslösning till sin användar- enhet. Instansens status övergår då till installerad. Figur 4.6 nedan illu- strerar identitetsplånboksinstansens olika stadier.

Figur 4.6 Identitetsplånboksinstansens olika faser

Avinstallerad

Källa: ARF Version 1.4.0.

Efter att användaren, via tillhandahållaren av vald identitetsplånboks- lösning, aktiverat plånboksinstansen är den i operativt tillstånd. I det operativa tillståndet är det användaren som hanterar plånboksinstansen, men det kan involvera att tillhandahållaren uppdaterar instansen, åter- kallar instansen (även på begäran av användaren) eller att användaren

99

avinstallerar plånboksinstansen. I det operativa stadiet kan användaren begära utfärdande av PID och valfria attributsintyg.

När en identitetsplånboksinstans innehåller en giltig PID är den att betrakta som giltig. Detta stadie kan inte uppnås utan att en PID be- gärts. I stadiet giltig kan användaren använda sin identitetsplånboksin- stans för att visa upp PID-attribut. Om giltigheten av PID löper ut, eller om PID återkallas, blir identitetsplånboksinstansen inte automa- tiskt obrukbar, men dess stadie återgår till operativt. Detta kan i sin tur påverka giltigheten av och möjligheten att använda olika attributsintyg.

Personidentifieringsuppgifter (PID)

Inom ramen för den europeiska digitala identitetsplånboken inleds livscykeln för PID när den utfärdas till en identitetsplånboksinstans. När giltighetstiden för PID inleds övergår den från att vara utfärdad till att vara giltig. Giltighetstiden kan avslutas genom att den löper ut eller genom att den återkallas av PID-tillhandahållaren. Därefter kan PID aldrig återgå till att vara giltig igen utan en ny PID måste, om för- utsättningar för det finns, utfärdas. Figur 4.7 nedan illustrerar olika faser för PID.

Figur 4.7 PID:ens olika faser

PID-tillhandahållaren utfärdar en PID

Utfärdad

Källa: ARF 1.4.0.

100

4.8Befintliga betrodda tjänster

4.8.1Elektroniska underskrifter

Iartikel 3.10 i eIDAS-förordningen definieras en elektronisk under- skrift som uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. Detta är den grundläggande definitionen av elektronisk underskrift och det är således en elektro- nisk underskrift som varken är avancerad eller kvalificerad. En sådan underskrift skulle t.ex. kunna vara att skriva sitt namn under ett e-post- meddelande.

Avancerade elektroniska underskrifter

Utöver den grundläggande definitionen av elektroniska underskrifter definierar eIDAS-förordningen två andra typer av underskrifter: avan- cerade (artikel 3.11) och kvalificerade (artikel 3.12). På dessa ställs krav som går utöver grunddefinitionen. En avancerad elektronisk under- skrift ska uppfylla de krav som uppställs i artikel 26. Detta innebär att

a)Den ska vara unikt knuten till undertecknaren.

b)Undertecknaren ska kunna identifieras genom den.

c)Den ska vara skapad på grundval av uppgifter för skapande av elek- troniska underskrifter som undertecknaren med hög grad av till- förlitlighet kan använda uteslutande under sin egen kontroll.

d)Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av upp- gifterna kan upptäckas.

Ytterligare krav än de som framgår ovan ställer eIDAS-förordningen inte upp avseende avancerade elektroniska underskrifter. Förordningen föreskriver inte heller hur det går att leva upp till dessa krav tekniskt.

Kommissionen ska enligt den reviderade eIDAS-förordningens artikel 26.2 senast den 21 maj 2026 bedöma behovet av en genom- förandeakt som pekar ut standarder, specifikationer eller förfaranden för avancerade elektroniska underskrifter. En sådan genomförandeakt skulle om en tillhandahållare följer den, ge en presumtion om att de

101

uppfyller kraven för avancerade elektroniska underskrifter. Det finns en befintlig genomförandeakt enligt artikel 27.5 i eIDAS-förordningen som pekar ut ett antal tekniska specifikationer avseende elektroniska underskrifter.31 Dessa är dock de format som medlemsstaterna ska erkänna avseende avancerade elektroniska underskrifter som är i enlighet med dessa specifikationer. Genomförandebeslutet ska dock inte tolkas som att det uteslutande är dessa tekniska specifikationer som kan användas för att en avancerad elektronisk underskrift ska uppfylla kraven i artikel 26.

Kvalificerade elektroniska underskrifter

För att en elektronisk underskrift ska vara kvalificerad ställs ytter- ligare krav. En sådan underskrift ska uppfylla samma krav som en avan- cerad elektronisk underskrift och därtill skapas med en kvalificerad anordning för underskriftsframställning samt baseras på ett kvalifi- cerat certifikat för elektroniska underskrifter. De detaljerade kraven återfinns delvis i bilaga I till eIDAS-förordningen, delvis i bilaga I till den reviderade eIDAS-förordningen. Där framgår att sådana certifikat ska innehålla bl.a. uppgifter om den kvalificerade tillhandahållare av betrodda tjänster som utfärdar certifikaten, undertecknarens namn eller en pseudonym, uppgifter om när certifikatet börjar respektive upphör att gälla samt certifikatets identifieringskod. Koden måste vara unik för den aktuella kvalificerade tillhandahållaren av betrodda tjänster.

Kommissionen ska med stöd av artikel 28.6 senast den 21 maj 2025 ta fram genomförandeakter som upprättar förteckning över referens- standarder och vid behov specifikationer och förfaranden för kvalifi- cerade certifikat för elektroniska underskrifter. Vidare finns det i artikel 24.1 a krav på kvalificerade tillhandahållare att, när de utfärdar ett kvalificerat certifikat för en betrodd tjänst, på lämpligt sätt kon- trollera identiteten och i förekommande fall eventuella särskilda attri- but för den fysiska eller juridiska person till vilken det kvalificerade certifikatet utfärdas. Informationen kan kontrolleras genom fysisk

31Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fast- ställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

102

närvaro av den fysiska personen eller fysisk närvaro av en behörig företrädare för en juridisk person. Kontroll kan också under vissa förutsättningar ske på distans med hjälp av medel för elektronisk identifiering eller genom ett certifikat för en kvalificerad elektronisk underskrift eller stämpel som har utfärdats genom fysisk närvaro eller på distans. Informationen kan även kontrolleras med hjälp av andra identifieringsmetoder som erbjuder garantier som är likvärdiga med fysisk närvaro. EU-kommissionen ska enligt artikel 24.1 c senast den

21maj 2024 genom genomförandeakter, upprätta en förteckning över referensstandarder och vid behov fastställa specifikationer och för- faranden för kontroll av identitet och attribut.

Anordningar för underskriftframställning

En anordning för underskriftframställning definieras i artikel 3.22 som en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk underskrift. Anordningen är en skyddad miljö för lagring och användning av privata nycklar som smarta kort eller s.k. HSM-moduler.32 Förordningen innehåller endast krav på kvalificerade sådana anordningar. Dessa ska uppfylla kraven i bilaga II till eIDAS- förordningen och i bilaga II i den reviderade eIDAS-förordningen. I bilagan finns ett flertal krav, bl.a. att kvalificerade anordningar för skapande av elektroniska underskrifter genom lämpliga tekniker och förfaranden ska säkerställa att de uppgifter för skapande av elektro- niska underskrifter som används för att skapa elektroniska under- skrifter i praktiken endast kan förekomma en gång och att den elektro- niska underskriften på ett tillförlitligt sätt är skyddad mot förfalskning med den teknik som för närvarande finns tillgänglig. Anordningar för skapande av kvalificerade elektroniska underskrifter och stämplar ska certifieras av offentliga eller privata organ som utsetts av medlems- staterna. Kommissionen har i ett genomförandebeslut fastställt de standarder för säkerhetsbedömning av informationsteknikprodukter som gäller för certifiering av kvalificerade anordningar för skapande av

32Hardware Security Module

103

elektroniska underskrifter eller kvalificerade anordningar för skapande av elektroniska stämplar.33

Validering av avancerade elektroniska underskrifter baserade på kvalificerade certifikat och av kvalificerade elektroniska underskrifter

Som framgår ovan innehåller den reviderade eIDAS-förordningen även krav som avser validering av avancerade elektroniska underskrifter baserade på kvalificerade certifikat. Enligt artikel 32a ska en avancerad elektronisk underskrifts giltighet bekräftas om processen för valide- ring enligt nedan följs:

a)Certifikatet som användes för att skapa underskriften vid tid- punkten för undertecknandet var ett kvalificerat certifikat för elek- troniska underskrifter som överensstämmer med förordningens bilaga I.

b)Det kvalificerade certifikatet var utfärdat av en kvalificerad till- handahållare av betrodda tjänster och var giltigt vid tidpunkten för undertecknandet.

c)Valideringsuppgifterna för underskriften överensstämmer med de uppgifter som lämnats till den förlitande parten.

d)Certifikatets unika uppsättning uppgifter som avser underteck- naren har tillhandahållits den förlitande parten på rätt sätt.

e)Användningen av en eventuell pseudonym har tydligt angetts för den förlitande parten om en pseudonym användes vid tidpunkten för undertecknandet.

f)Integriteten hos de undertecknade uppgifterna inte har även- tyrats.

g)Kraven i artikel 26 var uppfyllda vid tidpunkten för underteck- nandet.

33Kommissionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektro- niska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektro- niska transaktioner på den inre marknaden.

104

Av artikel 32a.2 framgår att det system som används för att validera den kvalificerade elektroniska underskriften ska ge den förlitande parten det korrekta resultatet av valideringsförfarandet och göra det möjligt för den förlitande parten att upptäcka eventuella problem som är relevanta för säkerheten. Senast den 21 maj 2025 ska kommissionen med stöd av artikel 32a.3 genom genomförandeakter fastställa för- teckning med referensstandarder och vid behov fastställa specifika- tioner och förfaranden för validering av avancerade elektroniska underskrifter baserade på kvalificerade certifikat.

Krav avseende kvalificerade valideringstjänster för kvalificerade elektroniska underskrifter finns i artikel 32. Även för kvalificerade vali- deringstjänster ska kommissionen, med stöd av artikel 32.3, senast den

21maj 2025 anta genomförandeakter med förteckning över referens- standarder och vid behov fastställa specifikationer och förfaranden för kvalificerade valideringstjänster.

Kvalificerade bevarandetjänster av kvalificerade elektroniska underskrifter

I artikel 34 ställs krav på kvalificerade tjänster för bevarande av kvalifi- cerade elektroniska underskrifter. Sådana tjänster får endast tillhanda- hållas av kvalificerade tillhandahållare av betrodda tjänster som an- vänder förfaranden och tekniker som gör det möjligt att förlänga den kvalificerade elektroniska underskriftens tillförlitlighet utöver perio- den för teknisk giltighet. Utöver det innehåller förordningen inga bestämmelser om bevarande, utöver att bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjäns- ter definieras som en betrodd tjänst (artikel 3.16). Kommissionen ska enligt artikel 34.2 senast den 21 maj 2025 genom genomförandeakter, upprätta en förteckning över referensstandarder och vid behov fast- ställa specifikation och förfaranden för kvalificerade tjänster för be- varande av kvalificerade elektroniska underskrifter.

4.8.2Elektroniska stämplar

Sett till både den bakomliggande tekniken och utformningen av de bestämmelser som reglerar elektroniska stämplar och elektroniska underskrifter finns det stora likheter mellan dessa två typer av utställar-

105

verifikationer. Den avgörande skillnaden utgörs av vem som skapar en elektronisk underskrift respektive stämpel. Elektroniska stämplar skapas av juridiska personer (artikel 36), till skillnad från elektroniska underskrifter som skapas av fysiska personer (artikel 26). En elektro- nisk stämpel definieras i förordningen som uppgifter i elektronisk form som är fogade eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa den senares ursprung och integritet (arti- kel 3.24). Definitionen är snarlik den för elektroniska underskrifter men det finns alltså inte någon undertecknare när det gäller stämplar. I likhet med vad som gäller för elektroniska underskrifter finns det i förordningen olika nivåer av elektroniska stämplar. Utöver grund- definitionen finns avancerade elektroniska stämplar samt kvalificerade elektroniska stämplar. Systematiken när det gäller kraven är dessutom densamma. En avancerad elektronisk stämpel ska leva upp till kraven i artikel 36. Detta innebär att

a)Den ska vara knuten uteslutande till skaparen av stämpeln.

b)Skaparen av stämpeln ska kunna identifieras genom det.

c)Det ska vara skapat på grundval av uppgifter för skapande av elek- troniska stämplar som stämpelns skapare med hög grad av tillför- litlighet under sin kontroll kan använda för skapande av elektro- niska stämplar.

d)Den ska vara kopplad till de uppgifter den avser på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

En kvalificerad elektronisk stämpel ska enligt artikel 3.27, i likhet med vad som gäller för underskrifter, leva upp till kraven på en avancerad elektronisk stämpel samt skapas med hjälp av en kvalificerad anord- ning för skapande av elektroniska stämplar och som är baserat på ett kvalificerat certifikat för elektroniska stämplar. Kraven för stämplar är i stora delar desamma som för elektroniska underskrifter, med den skillnaden att kraven för stämplarna i relevanta delar hänvisar till skapa- ren av stämpeln i stället för undertecknaren. Ett illustrerande exempel är kraven på kvalificerade certifikat för elektroniska stämplar som fast- ställs i dels bilaga III i eIDAS-förordningen, dels bilaga III i den reviderade eIDAS-förordningen. Den enda skillnaden gentemot under- skrifter är att det för stämplar finns krav på att information om skaparen av stämpeln ska finnas (namn och i förekommande fall registrerings-

106

nummer) medan det för underskrifter ska finnas information om undertecknaren.

Även de betrodda tjänsterna validering och bevarande av elektro- niska stämplar regleras i förordningen och de har då exakt samma orda- lydelse som bestämmelserna för validering av elektroniska under- skrifter och bevarande av elektroniska underskrifter. Motsvarande delegation till EU-kommissionen att ta fram genomförandeakter finns med samma ordalydelse, t.ex. för avancerade elektroniska stämplar enligt artikel 36.2 som för avancerade elektroniska underskrifter enligt artikel 26.2.

4.8.3Elektronisk tidsstämpling

I förordningen definieras elektronisk tidsstämpling i artikel 3.33 som uppgifter i elektronisk form som binder andra uppgifter i elektronisk form till en viss tidpunkt och därmed utgör bevis för att de senare upp- gifterna existerade vid den tidpunkten. Betrodda tjänster som avser tidsstämpling kan vara kvalificerade eller icke-kvalificerade. För icke- kvalificerade tjänster innehåller förordningen inga krav utöver defini- tionen. Kvalificerad elektronisk tidsstämpling ska däremot enligt arti- kel 42 uppfylla följande bestämmelser:

a)Den ska binda datumet och tiden till uppgifter så att möjligheten att uppgifterna ändras utan att det går att upptäcka rimligtvis kan uteslutas.

b)Den ska vara grundad på en korrekt tidskälla som är kopplad till samordnad universaltid.

c)Den ska vara undertecknad med hjälp av en avancerad elektronisk underskrift eller förseglad med en avancerad elektronisk stämpel från den kvalificerade tillhandahållaren av betrodda tjänster eller genom en likvärdig metod.

En kvalificerad elektronisk tidsstämpling ska enligt artikel 41 i eIDAS- förordningen omfattas av en presumtion om korrekthet hos det datum och den tid som den anger och integritet hos de uppgifter som datumet och tiden är kopplade till. Kommissionen ska enligt artikel 42.2 senast den 21 maj 2025 genom genomförandeakter upprätta en förteckning över referensstandarder och vid behov fastställa specifikationer och

107

förfaranden för bindning av datum och tidpunkt till uppgifter och fastställande av korrektheten för tidskällor avseende kvalificerade elektroniska tidsstämplingar.

4.8.4Certifikat för autentisering av webbplatser

Ett certifikat för autentisering av webbplatser definieras i artikel 3.38 i den reviderade eIDAS-förordningen som ett elektroniskt intyg som gör det möjligt att autentisera en webbplats och kopplar webbplatsen till den fysiska eller juridiska person som certifikatet utfärdats för. Även för autentisering av webbplatser kan certifikaten, och i förläng- ningen tjänsterna, vara kvalificerade eller icke-kvalificerade. Inga sär- skilda bestämmelser, utöver definitionen, finns för de icke-kvalifi- cerade certifikaten. Krav som kvalificerade certifikat för autentisering av webbplatser ska uppfylla finns emellertid. Dels ska ett kvalificerat certifikat utfärdas av en kvalificerad tillhandahållare av betrodda tjänster, dels uppfylla kraven i bilaga IV till eIDAS-förordningen och den reviderade eIDAS-förordningen (artikel 45 och artikel 24.1 a). Kommissionen ska senast den 21 maj 2025 med stöd av artikel 45.2 genom genomförandeakter upprätta en förteckning över referens- standarder och vid behov fastställa specifikationer och förfaranden för kvalificerade certifikat för autentisering av webbplatser. Förord- ningen ställer även i artikel 45.1 a krav på att vissa uppgifter som ytter- ligare attribut från kvalificerade certifikat för autentisering av webb- platser av webbläsarna, på ett användarvänligt sätt visas för besökarna på en webbplats som använder ett kvalificerat certifikat för autenti- sering av webbplatser.

4.8.5Elektronisk tjänst för rekommenderad leverans

Elektroniska tjänster för rekommenderade leveranser gör, enligt definitionen i artikel 3.36 i eIDAS-förordningen, det möjligt att över- föra uppgifter mellan tredje män på elektronisk väg och tillhandahåller bevis avseende de överförda uppgifternas hantering, inklusive bevis för uppgifternas sändning och mottagande, och som skyddar överförda uppgifter mot risken för förlust, stöld, skada eller otillåtna ändringar. Ytterligare vägledning om hur termen ska tolkas och tillämpas ger inte förordningen. Däremot framgår av skäl 66 i den ursprungliga eIDAS-

108

förordningen att det är av avgörande betydelse att det föreskrivs en rättslig ram för att främja gränsöverskridande erkännande mellan be- fintliga nationella rättssystem för elektroniska tjänster för rekom- menderade leveranser. Vidare framgår av samma skältext att den ramen skulle kunna öppna nya marknadsmöjligheter för unionens tillhanda- hållare av betrodda tjänster att erbjuda nya paneuropeiska tjänster för elektroniska tjänster för rekommenderade leveranser.

Elektroniska tjänster för rekommenderade leveranser kan vara kvalificerade eller icke-kvalificerade. Bestämmelser utöver definitionen för icke-kvalificerade tjänster saknas i förordningen. De krav som ställs på kvalificerade elektroniska tjänster för rekommenderade leve- ranser är bl.a. att de ska tillhandahållas av en eller flera kvalificerade tillhandahållare av betrodda tjänster, att de med hög grad av tillförlit- lighet ska säkerställa avsändarens identitet och att de ska säkerställa adressatens identitet innan uppgifterna levereras (artikel 44.1).

Om uppgifterna överförs mellan två eller flera kvalificerade till- handahållare av betrodda tjänster ska kraven gälla för alla involverade kvalificerade tillhandahållare av betrodda tjänster. Av artikel 44.2 a framgår att kvalificerade tillhandahållare av kvalificerade tjänster för elektronisk rekommenderad leverans får komma överens om inter- operabilitet mellan de tjänster som de tillhandahåller. Ett ramverk för interoperabilitet ska uppfylla kraven i punkt 1 och efterlevnaden ska kontrolleras av ett organ för bedömning av överensstämmelse. Kom- missionen får ta fram genomförandeakter som pekar ut standarder eller specifikationer och procedurer för interoperabilitet enligt ovanstående stycke.

Kommissionen ska även enligt artikel 44.2 senast den 21 maj 2025 genom genomförandeakter upprätta en förteckning över referens- standarder och vid behov fastställa specifikationer och förfaranden för processer för att sända och ta emot uppgifter avseende kvalificerade elektroniska tjänster för rekommenderade leveranser. Kommissionen får vidare enligt artikel 44.2 b genom genomförandeakter upprätta en förteckning över referensstandarder och vid behov fastställa specifika- tioner och förfaranden för interoperabilitetsramverk på området.

109

4.9Nya betrodda tjänster

4.9.1Kvalificerade tjänster för förvaltning av anordningar för skapande av elektroniska underskrifter på distans

Kvalificerade tjänster för förvaltning av anordningar för skapande av elektroniska underskrifter på distans ska enligt definitionen i arti- kel 3.23a omfattas av kraven i artikel 29a och bestå av att en kvalifi- cerad tillhandahållare av betrodda tjänster genererar, förvaltar och kopierar den data som skapar den elektroniska underskriften för undertecknarens räkning. En anordning för skapande av elektroniska underskrifter är enligt definitionen i artikel 3.22 i eIDAS-förord- ningen en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk underskrift. Anordningen är en skyddad miljö för lagring och användning av privata nycklar.

Kraven på den som tillhandahåller en sådan tjänst finns i artikel 29a

iden reviderade eIDAS-förordningen och av kraven framgår att det enbart är kvalificerade tillhandahållare av betrodda tjänster som får generera och hantera data för skapandet av elektroniska underskrifter åt undertecknaren. Data får säkerhetskopieras men ska då ha minst samma skydd som de lagrade nycklarna och antalet lagrade säkerhets- kopior av nycklar ska inte överstiga det som krävs för kontinuitet i tjänsten. Vidare ska alla kraven som finns i samband med certifieringen av anordningen i enlighet med artikel 30 följas.

Kommissionen ska senast 12 månader efter den reviderade förord- ningen ikraftträdande ta den 21 maj 2025 genom genomförandeakter upprätta en förteckning över referensstandarder och vid behov speci- fikationer och förfaranden för att hantera tjänsten.

4.9.2Elektroniska attributsintyg

Den betrodda tjänsten elektroniska attributsintyg kommer att använ- das tillsammans med den digitala identitetsplånboken. Identitets- plånboken är tänkt att, utöver en elektronisk identitet, kunna innehålla ett antal attribut om innehavaren. Av definitionen i artikel 3.43 i den reviderade eIDAS-förordningen framgår att ett attribut är en egen- skap, en kvalitet, en rättighet eller ett tillstånd för en fysisk eller juri- disk person eller ett föremål. Ett elektroniskt attributsintyg är enligt artikel 3.44, ett intyg i elektronisk form som möjliggör autentisering

110

av attribut. Vidare framgår av artikel 3.45 att ett kvalificerat elektro- niskt attributsintyg är ett elektroniskt attributsintyg som utfärdats av en kvalificerad tillhandahållare av betrodda tjänster och uppfyller kraven i bilaga V. Elektroniska attributsintyg kan även enligt arti- kel 3.46 utfärdas av eller på uppdrag av offentligt organ som ansvarar för en autentisk källa som då ska uppfylla kraven i artikel 45f och bilaga VII. Enligt artikel 3.47 är en autentisk källa, samlingsplats eller system, som innehas under ansvar ett offentligt organ eller privat enhet, som innehåller och tillhandahåller attribut om en fysisk eller juridisk person eller ett föremål och som anses vara en primärkälla för den informationen eller erkänns som autentisk enligt unionsrätten eller nationell lagstiftning, inbegripet administrativa förfaranden.

Av kraven i artiklarna 45b–45h i den reviderade eIDAS-förord- ningen framgår bl.a. att den betrodda tjänsten elektroniska attributs- intyg kan vara antingen en icke-kvalificerad tjänst, en kvalificerad sådan tjänst eller en tjänst som tillhandahålls av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa.

Alla tillhandahållare av elektroniska attributsintyg ska enligt arti- kel 45g tillhandahålla attributsintygen till de digitala identitetsplån- böckerna på ett sätt som möjliggör för användare av den europeiska digitala identitetsplånboken att efterfråga, hämta, lagra och hantera attributsintygen oavsett i vilken medlemsstat som plånboken tillhanda- hålls. Elektroniska attributsintyg ska tillhandahållas till de identitets- plånböcker som tillhandahålls i enlighet med artikel 5a i den reviderade eIDAS-förordningen. Tillhandahållare av elektroniska attributsintyg får vidare enligt artikel 45h inte kombinera personuppgifter från den tjänsten med tillhandahållarens eventuella andra tjänster eller dess kom- mersiella partners tjänster. Vidare ska personuppgifter från intygstjäns- ten vara logiskt separerade från andra data som tillhandahållaren har.

Kvalificerade tjänster för elektroniska attributsintyg ska separera tjänsten mot andra tjänster som tillhandahållaren tillhandahåller. En- ligt artikel 45b ska kvalificerade tillhandahållare av elektroniska attri- butsintyg förutsättas ha samma rättsverkan som attesteringar på papper. Elektroniska attributsintyg som tillhandahålls av ett offentligt organ som ansvarar för en autentisk källa ska vidare erkännas på samma sätt i alla medlemsländer.

Kraven på kvalificerade elektroniska attributsintyg återfinns i arti- kel 45d och i bilaga V och får inte omfattas av andra obligatoriska krav. Av bilaga V följer att kvalificerade attributsintyg ska innehålla

111

–En uppgift, åtminstone i en form som lämpar sig för automati- serad behandling, om att intyget har utfärdats som ett kvalificerat elektroniskt attributsintyg.

–En uppsättning uppgifter som otvetydigt avser den kvalificerade tillhandahållare av betrodda tjänster som utfärdar det kvalificerade elektroniska attributsintyget, inbegripet uppgift om åtminstone vilken medlemsstat tillhandahållaren är etablerad i, samt för en juri- disk person: namn och, i tillämpliga fall, registreringsnummer i enlighet med vad som uppgetts i de officiella handlingarna, för en fysisk person: personens namn.

–En uppsättning uppgifter som otvetydigt avser den enhet som de intygade attributen hänvisar till; om en pseudonym används ska detta anges tydligt.

–Det intygade attributet eller de intygade attributen, inbegripet, i tillämpliga fall, de uppgifter som är nödvändiga för att fastställa omfattningen för dessa attribut.

–Detaljerade uppgifter om när intyget börjar respektive upphör att gälla.

–Intygets identitetskod, vilken måste vara unik för den kvalificerade tillhandahållaren av betrodda tjänster, och, i tillämpliga fall, upp- gift om det intygssystem som attributsintyget omfattas av.

–Den kvalificerade elektroniska underskriften eller den kvalificerade elektroniska stämpeln för den utfärdande kvalificerade tillhanda- hållaren av betrodda tjänster.

–Uppgift om var det certifikat som stöder den kvalificerade elektro- niska underskrift eller den kvalificerade elektroniska stämpel som avses i led g är tillgängligt kostnadsfritt.

–Information om det kvalificerade intygets giltighet, eller uppgift om var de tjänster som kan användas för att göra förfrågningar är lokaliserade.

Granskning av om en kvalificerad tillhandahållare av elektroniska attributsintyg uppfyller kraven görs genom att granska att kraven i bilaga V och de standarder, specifikationer och förfaranden enligt den genomförandeakt som kommissionen ska ta fram efterlevs. Kommis-

112

sionen ska senast den 21 november 2024 genom genomförandeakter upprätta en förteckning över referensstandarder och vid behov fastställa specifikationer och förfaranden för kvalificerade elektroniska attributsintyg. Vidare ska sådana attribut som spärrats inte kunna bli giltiga igen utan nya behöver då tillhandahållas.

Kraven på elektroniska attributsintyg som tillhandahålls av eller på uppdrag av ett offentligt organ som ansvarar för en autentisk källa finns i artikel 45f och i bilaga VII. Kraven liknar det som gäller för kvalificerade tillhandahållare av tjänsten. Skillnaden är att medlems- staten ska säkerställa att det offentliga organet som tillhandahåller tjänsten uppfyller motsvarande krav som kvalificerade tillhandahållare av betrodda tjänster. Vidare ska medlemsstaten notifiera de offentliga organ som ansvarar för en sådan tjänst till kommissionen. Notifie- ringen ska innehålla en bedömning av överensstämmelse från ett organ för bedömning av överensstämmelse som visar att kraven i artikel 45f och bilaga VII uppnås.

Kommissionen ska enligt artikel 45f.6 senast den 21 november 2024 genom genomförandeakter upprätta en förteckning över referens- standarder och vid behov specifikationer och förfaranden för tjänsten. Kommissionen ska vidare enligt artikel 45f.7 senast den 21 november 2024 genom en genomförandeakt upprätta en förteckning över referensstandarder och vid behov specifikationer och förfaranden avseende förfarandet för bedömning av överensstämmelse enligt ovan.

I artikel 45e i förordningen och i bilaga VI listas de attribut som medlemsstaterna ska vidta åtgärder för att göra det möjligt för kvalifi- cerade tillhandahållare av elektroniska attributsintyg att kontrollera äktheten hos. Vidare ska det med elektroniska medel, och på begäran av användaren gå att kontrollera äktheten hos attributen via den relevanta autentiska källan på nationell nivå eller via särskilt utsedda mellanhänder som är erkända på nationell nivå i enlighet med natio- nell lagstiftning eller unionslagstiftning och i de fall då dessa attribut utgår från autentiska källor inom offentlig sektor. Detta gäller attributen:

•Adress

•Ålder

•Kön

113

•Civilstånd

•Familjesammansättning

•Nationalitet eller medborgarskap

•Utbildningskvalifikationer, titlar och licenser

•Yrkeskvalifikationer, titlar och licenser

•Befogenheter och uppdrag att företräda fysiska eller juridiska personer

•Offentliga tillstånd och licenser

•För juridiska personer, finansiella uppgifter och företagsuppgifter.

4.9.3Elektroniska arkiveringstjänster

Elektronisk arkivering definieras i artikel 3.48 som en tjänst som säkerställer mottagande, lagring, hämtning och radering av elektro- niska uppgifter och elektroniska dokument i syfte att säkerställa deras hållbarhet och läsbarhet samt att bevara deras integritet, konfidentiali- tet och ursprungsbevis under hela bevarandeperioden. Av artikel 45i framgår dess rättsliga verkan i punkt 1 och i punkt 2 den särskilda presumtion som kvalificerade elektroniska arkivtjänster omfattas av vad gäller integritet och ursprung under perioden av bevarandet hos den kvalificerade arkivtjänsten. Det finns inga specifika krav avseende icke-kvalificerade arkivtjänster i förordningen.

Kraven på kvalificerade tillhandahållare av kvalificerade elektro- niska arkivtjänster finns i artikel 45j:

•Tjänsten tillhandahålls av en kvalificerad tillhandahållare.

•Tillhandahållaren ska använda förfaranden och teknik som kan säkerställa att elektroniska uppgifter och elektroniska dokument håller och är läsbara även efter den tekniska giltighetstiden och åtminstone under hela den rättsliga eller avtalsenliga bevarande- perioden, samtidigt som deras integritet och korrekta ursprung bibehålls.

•Tillhandahållaren ska säkerställa att dessa elektroniska uppgifter och elektroniska dokument bevaras på ett sådant sätt att de skyddas

114

mot förlust och ändring, med undantag för ändringar som rör deras medium eller elektroniska format.

•De ska göra det möjligt för behöriga förlitande parter att ta emot en rapport på ett automatiserat sätt som bekräftar att elektroniska uppgifter och elektroniska dokument som hämtats från ett kvali- ficerat elektroniskt arkiv omfattas av presumtionen om uppgifter- nas integritet från början av bevarandeperioden till tidpunkten för hämtningen.

•Den rapport som avses i första stycket led d ska tillhandahållas på ett tillförlitligt och effektivt sätt och ska vara försedd med den kvalificerade elektroniska underskriften eller den kvalificerade elektroniska stämpeln för tillhandahållaren av den kvalificerade elektroniska arkiveringstjänsten.

Senast den 21 maj 2025 ska kommissionen, genom genomförande- akter, upprätta en förteckning över referensstandarder och, vid behov, fastställa specifikationer och förfaranden för kvalificerade elektro- niska arkiveringstjänster.

4.9.4Elektroniska liggare

Elektroniska liggare definieras enligt artikel 3.52 i den reviderade eIDAS-förordningen som en sekvens av elektroniska dataloggar som säkerställer dataintegriteten och riktigheten i dessa loggars krono- logiska ordning. Av artikel 3.54 följer att dataloggar definieras som elektroniska uppgifter som registrerats med tillhörande metadata som stöder behandlingen av dessa data. I artikel 45k regleras det rättsliga erkännandet av elektroniska liggare. Enligt artikel 45k.2 ska dataloggar i en kvalificerad elektronisk liggare omfattas av en presumtion om deras unika och korrekta sekventiella kronologiska ordningsföljd och deras integritet.

Kraven på kvalificerade elektroniska liggare finns i artikel 45l och de ska möta följande krav:

a)De ska skapas och förvaltas av en eller flera kvalificerade tillhanda- hållare av betrodda tjänster.

b)De ska fastställa ursprunget till dataloggarna i liggaren.

115

c)De ska säkerställa unik sekventiell kronologisk ordning för data- loggarna i liggaren.

d)De ska registrera data på ett sådant sätt att alla senare ändringar av uppgifterna omedelbart kan upptäckas, varvid deras integritet säker- ställs över tid.

Kommissionen ska senast den 21 maj 2025 enligt artikel 45l.3 genom genomförandeakter, upprätta en förteckning över referensstandarder och, vid behov, fastställa specifikationer och förfaranden för de krav som fastställs i punkt 1 i denna artikel.

4.10Tillhandahållare av betrodda tjänster

4.10.1Kvalificerade och icke-kvalificerade tillhandahållare

Tillhandahållare av betrodda tjänster har en central roll i eIDAS-regel- verket. En tillhandahållare av betrodda tjänster är enligt artikel 3.19 i eIDAS-förordningen en fysisk eller juridisk person som tillhandahål- ler en eller flera betrodda tjänster, antingen i egenskap av kvalificerade eller icke-kvalificerade tillhandahållare av betrodda tjänster. Som defi- nitionen anger kan en tillhandahållare vara kvalificerad eller icke-kvali- ficerad. Skillnaden mellan de båda framgår bl.a. av artikel 3.20, där det anges att en kvalificerad tillhandahållare är en tillhandahållare av be- trodda tjänster som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats status som kvalificerad av tillsynsorganet.

4.10.2Säkerhetskrav och krav på incidentrapportering

Säkerhetskraven på kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster regleras dels i det s.k. NIS2-direktivet34, dels i den reviderade eIDAS-förordningen. Enligt NIS2-direktivet är icke-kvali- ficerade tillhandahållare av betrodda tjänster viktiga enheter medan kvalificerade tillhandahållare av betrodda tjänster är väsentliga en-

34Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/ 2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direk- tivet) (Text av betydelse för EES).

116

heter.35 Kraven på cybersäkerhet och riskhantering finns i artikel 21

iNIS2-direktivet:

1.Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteter vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisa- toriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och för att förhindra eller minimera inciden- ters påverkan på mottagarna av deras tjänster och på andra tjänster.

Med beaktande av de senaste, och i tillämpliga fall, relevanta europeiska och internationella standarder samt genomförandekostnaderna, ska de åtgärder som avses i första stycket säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till entitetens grad av riskexponering, enti- tetens storlek samt sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konse- kvenser.

2.De åtgärder som avses i punkt 1 ska baseras på en allriskansats som syftar till att skydda nätverks- och informationssystem och dessa systems fysiska miljö från incidenter, och ska minst inbegripa

a) strategier för riskanalys och informationssystemens säkerhet, b incidenthantering,

c) driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,

d) säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör för- bindelserna mellan varje entitet och dess direkta leverantörer eller tjänste- leverantörer,

e) säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhets- information,

f) strategier och förfaranden för att bedöma effektiviteten i riskhan- teringsåtgärderna för cybersäkerhet,

g) grundläggande praxis för cyberhygien och utbildning i cybersäkerhet, h) strategier och förfaranden för användning av kryptografi och, när så

är lämpligt, kryptering,

i) personalsäkerhet, strategier för åtkomstkontroll och tillgångsför- valtning,

j) användning inom entiteten, när så är lämpligt, av lösningar för multi- faktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem.

Utöver bestämmelserna i NIS2-direktivet pågår arbete med en genom- förandeakt som fastställer de tekniska och metodologiska specifika- tionerna för punkterna ovan. Denna genomförandeakt ska vara antagen senast den 17 oktober 2024 och omfattar kraven på tillhandahållare

35A.a. artikel 3.1 b) respektive artikel 3.2.

117

av betrodda tjänster.36 Utredningen om genomförande av NIS2- och CER-direktiven har i sitt delbetänkande37 föreslagit en cybersäker- hetslag som bl.a. reglerar riskhanteringsåtgärder och incidentrap- portering.38 Den reviderade eIDAS-förordningen kompletterar NIS2- direktivet genom att ställa säkerhetskrav som är mer specifika för de betrodda tjänster som tillhandahålls och omfattar andra områden än nät- och informationssystem som behövs för att tillhandahålla tjänster. Mer generella säkerhetskrav finns i artikel 19a avseende icke-kvali- ficerade tillhandahållare av betrodda tjänster och i artikel 24.2 fa) av- seende kvalificerade tillhandahållare av betrodda tjänster som utfärdar kvalificerade certifikat. Bestämmelserna är likalydande i sin utform- ning och enbart entiteten som regleras skiljer sig. Tillhandahållare av betrodda tjänster ska:

a)ha lämpliga policyer och vidta motsvarande åtgärder för att hantera rättsliga, affärsmässiga, operativa och andra direkta eller indirekta risker för tillhandahållandet av kvalificerade betrodda tjänster; trots bestäm- melserna i artikel 21 i direktiv Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemen- sam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet) ska dessa åtgärder innefatta åtminstone

i)åtgärder avseende registrering och onboarding-förfaranden för en tjänst,

ii)åtgärder avseende förfarandemässiga eller administrativa kontroller,

iii)åtgärder avseende förvaltning och genomförande av tjänster.

Utöver säkerhetsbestämmelser regleras även incidentrapporteringen för icke-kvalificerade och kvalificerade tillhandahållare av betrodda tjänster främst i NIS2-direktivet39 men även till viss del i den reviderade eIDAS-förordningen. I detta fall avser rapporteringen överträdelser av de specifika kompletterande kraven på säkerhet som finns i förord- ningen.

36Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/ 2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direk- tivet), artikel 21.5.

37Nya regler om cybersäkerhet (SOU 2024:18).

38A.a. s. 41 ff.

39Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/ 2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direk- tivet), artikel 23.

118

4.10.3Skillnader i skadeståndsansvar och bevisbörda

Av artikel 13, som delvis ändrats i den reviderade eIDAS-förord- ningen, framgår att tillhandahållare av betrodda tjänster omfattas av skadeståndsansvar för skada som åsamkats en fysisk eller juridisk per- son avsiktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla kraven i förordningen. Placeringen av bevisbördan skiljer sig åt beroende på om tillhandahållaren är kvalificerad eller inte. Presum- tionen vid skada är att bevisbördan ligger på tillhandahållaren om denne är kvalificerad. Det är således den kvalificerade tillhandahållaren som ska bevisa att den skada som uppstått har uppstått utan dennes avsikt eller oaktsamhet. Om tillhandahållaren är icke-kvalificerad vilar i stället bevisbördan på den som gör gällande att skada har uppstått.

4.10.4Krav på kvalificerade tillhandahållare

Som tidigare nämnts omfattas kvalificerade tillhandahållare av be- trodda tjänster av betydligt fler krav än icke-kvalificerade. För att få status som kvalificerad tillhandahållare krävs enligt artikel 21.1 en anmälan till ett tillsynsorgan. Tillhandahållaren ska i samband med anmälan även lämna in en rapport om överensstämmelsebedömning som utfärdats av ett organ för bedömning av överensstämmelse. Be- dömningen av överenstämmelse ska omfatta både tillhandahållaren som sådan och de betrodda tjänster som tillhandahållaren vill ska vara kvalificerade. Ett sådant organ ska enligt artikel 3.18 vara ackrediterat för att göra bedömningar av sådana tillhandahållare och de tjänster de tillhandahåller. I Sverige ackrediterar den statliga myndigheten Styrelsen för ackreditering och teknisk kontroll (Swedac) sådana organ.

Tillsynsorganet ska enligt artikel 21.2 kontrollera om tillhandahål- laren och de betrodda tjänster som denne tillhandahåller uppfyller kraven i förordningen. Om tillsynsorganet kommer fram till att till- handahållaren och de betrodda tjänster som denne tillhandahåller uppfyller kraven i förordningen ska organet bevilja tillhandahållaren status som kvalificerad tillhandahållare av betrodda tjänster. Det- samma gäller de tjänster som den tillhandahåller. I samband med det ska den aktuella medlemsstatens förteckning över kvalificerade till- handahållare och betrodda tjänster, som avses i artikel 22.1 i förord- ningen, uppdateras så att tillhandahållaren och tjänsterna förs upp på förteckningen. Kommissionen ska enligt artikel 21.4 inom 12 måna-

119

der från förordningens ikraftträdande anta genomförandeakter av- seende format och förfaranden på detta område.

Uttryckliga krav som kvalificerade tillhandahållare har att förhålla sig till finns i artikel 24. Kraven avser primärt tillhandahållaren som sådan och flera av dem har starka kopplingar till de kvalificerade certi- fikat som utfärdas. Nedan följer några exempel på dessa krav. Kvalifi- cerade tillhandahållare ska bl.a. använda tillförlitliga system och produkter som är skyddade mot ändringar och säkerställa den tekniska säkerheten och tillförlitligheten hos den process som stöds av systemen (artikel 24.2 e). De ska också ha personal, och i förekommande fall underleverantörer, som har den sakkunskap, tillförlitlighet samt de erfarenheter och kvalifikationer som behövs och som har genomgått lämplig utbildning om regler för säkerhet och skydd för personupp- gifter (artikel 24.2 b). Vidare ska kvalificerade tillhandahållare förfoga över tillräckliga ekonomiska medel och/eller skaffa sig lämplig ansvars- försäkring i enlighet med nationell rätt, detta med anledning av risken för ansvar vid skador (artikel 24.2 c). Tillhandahållare som utfärdar kvalificerade certifikat ska bl.a. upprätta en certifikatdatabas som hålls uppdaterad (artikel 24.2 k). Om de beslutar att återkalla ett certifikat ska ett sådant återkallande registreras i certifikatdatabasen och offent- liggöras i god tid och senast inom 24 timmar efter mottagandet av begäran (artikel 24.3).

Enligt artikel 20.1 ska kvalificerade tillhandahållare minst en gång vartannat år och på egen bekostnad granskas av ett organ för bedöm- ning av överensstämmelse. Syftet med granskningen är att bekräfta att tillhandahållaren och de kvalificerade betrodda tjänsterna uppfyller kraven i förordningen. Den rapport som bedömningen resulterar i ska överlämnas till tillsynsorganet.

4.10.5Tillsyn

Utöver tillhandahållare av betrodda tjänster har de nationella tillsyns- organen en viktig roll i den reviderade eIDAS-förordningen. Enligt artikel 46b ska medlemsstaterna utse ett eller flera tillsynsorgan som är etablerat inom deras territorium som ska ansvara för tillsynsupp- gifter i den medlemsstat som utsett organet. Det är även möjligt att utse ett tillsynsorgan som är etablerat i en annan medlemsstat, efter ömsesidig överenskommelse med den medlemsstaten. Den reviderade

120

eIDAS-förordningen ställer betydligt högre krav på tillsyn över kvali- ficerade tillhandahållare och betrodda tjänster än tillhandahållare och betrodda tjänster som är icke-kvalificerade. När det gäller kvalificerade tillhandahållare och betrodda tjänster ska organen aktivt utöva tillsyn i enlighet med de bestämmelser som finns i förordningen, för att se till att tillhandahållarna och tjänsterna uppfyller kraven i förordningen. För icke-kvalificerade tillhandahållare och tjänster är tillsynen emeller- tid händelsestyrd, således efter rapporterad incident eller vid objektiv misstanke om att reglerna inte efterlevs.

Vissa av tillsynsorganens uppgifter har nämnts i tidigare avsnitt, såsom beviljandet av status om kvalificerad tillhandahållare och han- tering av säkerhetsincidenter. Organen får dessutom för bedömning av överensstämmelse när som helst granska eller begära att ett organ för bedömning av överensstämmelse gör en överensstämmelsebedöm- ning av de kvalificerade tillhandahållarna för att bekräfta att de och de kvalificerade betrodda tjänster som tillhandahåller uppfyller kraven i förordningen. Tillsynsorganet behöver även samverka med tillsyns- myndigheter som ansvarar för betrodda tjänster enligt NIS2-direk- tivet gällande såväl etablering av kvalificerade tillhandahållare som rapporterade incidenter avseende tillhandahållare av betrodda tjänster och de tjänster de tillhandahåller.

Tillsynsorganen i medlemsstaterna ska samarbeta och ge varandra ömsesidigt bistånd när det behövs, exempelvis genom att förse ett annat organ med information eller bistå med tillsynsåtgärder. Det finns även ett forum för tillsynsorganen, Forum of European Supervisory Authorities for trust service providers (FESA) som bl.a. syftar till att främja samarbetet mellan organen. Utöver tillsynsorgan från EU:s medlemsstater deltar också tillsynsorgan från andra länder i forumet, exempelvis Albanien och Serbien. Samarbete sker även inom Enisas gruppering European Competent Authorities for Trust Services (ECATS).

4.10.6Sanktioner

Enligt artikel 16.1 i den reviderade eIDAS-förordningen ska med- lemsstaterna fastställa bestämmelser om de sanktioner som ska tillämpas vid överträdelser av förordningen. Sanktionerna ska vara effektiva, proportionella och avskräckande.

121

Av artikel 16.2 framgår att överträdelser av bestämmelser i förord- ningen som begås av kvalificerade eller icke-kvalificerade tillhanda- hållare av betrodda tjänster ska förenas med sanktionsavgifter (se mer om sanktionsavgifter i avsnitt 6.6.7–6.6.12).

4.10.7Förteckning över tillhandahållare och betrodda tjänster

Enligt artikel 22 i eIDAS-förordningen ska varje medlemsstat upp- rätta, underhålla och offentliggöra förteckningar med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som den ansvarar för, tillsammans med uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Dessa tillitsförteckningar benämns som ”trusted list” i den engelska språkversionen av förordningen och det är även vanligt att den engelska termen används i Sverige.

Medlemsstaterna ska på ett säkert sätt upprätta, underhålla och offentliggöra elektroniskt undertecknade eller förseglade förteck- ningar i en form som lämpar sig för automatiserad behandling. Kommissionen har i ett genomförandebeslut fastställt tekniska minimi- specifikationer och format för förteckningarna.40. Syftet med för- teckningarna är att det ska gå att kontrollera vilka tillhandahållare på marknaden som är kvalificerade samt se vilka betrodda tjänster de till- handahåller.

4.11Rättslig verkan av betrodda tjänster

Förordningen innehåller ett flertal bestämmelser om rättslig verkan. Till att börja med föreskrivs i artikel 25.1, 35.1, 41.1 respektive 46 att elektroniska underskrifter, elektroniska stämplar, elektroniska tids- stämplingar och elektroniska dokument inte får förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att de har elektronisk form eller, med undantag för elektro- niska dokument, för att de inte lever upp till kraven för att vara kvalifi- cerade.

40Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om faststäl- lande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transak- tioner på den inre marknaden (Text av betydelse för EES).

122

För elektroniska tjänster för rekommenderade leveranser gäller enligt artikel 43.1 att uppgifter som sänds och tas emot genom en sådan tjänst inte får förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att de har elektronisk form eller för att de inte uppfyller kraven på den kvalificerade elektroniska tjänsten för rekommenderade leveranser. Innebörden av den senare skrivningen är något svårtolkad. Den torde emellertid innebära att uppgifterna inte får förvägras rättslig verkan enbart på grund av att tjänsten som de har sänts eller tagits emot med inte är kvalificerad.

För vissa tjänster finns dessutom egna bestämmelser om tjänsterna är kvalificerade. I artikel 25.2 föreskrivs att en kvalificerad elektronisk underskrift ska ha motsvarande rättsliga verkan som en handskriven underskrift. Detta innebär emellertid inte att en kvalificerad elektro- nisk underskrift kan ersätta egenhändigt undertecknande när ett så- dant formkrav finns i nationell rätt.41

Vidare finns i förordningen för kvalificerade tjänster för elektro- niska stämplar (artikel 35.2), elektroniska tidsstämplingar (artikel 41.2) och elektroniska tjänster för rekommenderade leveranser (artikel 43.2) också regler om presumtion om integritet och korrekthet. En kvalifi- cerad elektronisk stämpel ska t.ex. enligt ovan nämnd artikel omfattas av en presumtion om integritet hos de uppgifter som den kvalificerade elektroniska stämpeln är kopplad till och om att de har korrekt ur- sprung. Vad gäller rättslig verkan av nya betrodda tjänster, se av- snitt 4.9.

4.11.1Erkännande av betrodda tjänster från andra länder

I den reviderade eIDAS-förordningen finns i artikel 24a.1 och 24a.3 bestämmelser om att kvalificerade elektroniska underskrifter och stämplar som baseras på ett kvalificerat certifikat som utfärdats i en medlemsstat ska erkännas som kvalificerad elektronisk underskrift eller stämpel i alla andra medlemsstater.

Anordningar för skapande av kvalificerade elektroniska under- skrifter och stämplar som certifieras i en medlemsstat ska godtas som sådana anordningar i alla medlemsstater (artikel 24a.2).

41Se mer om tolkningen av innebörden av denna artikel i Vem kan man lita på? – Enkel och ända- målsenlig användning av betrodda tjänster i den offentliga förvaltningen (SOU 2021:9) s. 102 f.

123

Samma erkännande gäller när kvalificerade elektroniska under- skrifter och stämplar skapas med kvalificerade tjänster för förvaltning av anordningar för skapande av elektroniska underskrifter på distans så såväl underskrifter och stämplar som anordningar ska erkännas av alla medlemsstater.

Enligt artikel 24a.4 och 24a.5 ska kvalificerade tjänster för vali- dering av kvalificerade underskrifter och stämplar respektive kvalifi- cerade tjänster för bevarande av kvalificerade elektroniska under- skrifter och stämplar erkännas i alla medlemsstater. Detsamma gäller för en kvalificerad elektronisk tidsstämpling enligt artikel 24a.6.

Ett kvalificerat certifikat för autentisering av webbplatser, en kvalificerad elektronisk tjänst för rekommenderade leveranser, ett kvalificerat elektroniskt attributsintyg, en kvalificerad elektronisk arkiveringstjänst och en kvalificerad elektronisk liggare som tillhanda- hålls i en medlemsstat ska erkännas som kvalificerade sådana tjänster i alla medlemsstater i enlighet med artikel 24a.7–11.

För erkännande av betrodda tjänster som tillhandahålls i tredje- land finns i artikel 14 bestämmelser om hur sådana kan godtas.

124

föreskriva t.ex. om krav för ackreditering av organ för överensstäm- melsebedömning, hur sådana bedömningar ska göras och avrappor- teras, om certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter och anordningar för skapande av kvalifi- cerade elektroniska stämplar, om säkerhetsegenskaper som sådana anordningar ska uppfylla samt om förfarandet och kraven för anslut- ning till den svenska förbindelsepunkten (noden) för inkommande gränsöverskridande elektronisk identifiering, och om vilka krav som ska gälla för att ett system för elektronisk identifiering ska få anmälas för gränsöverskridande elektronisk identifiering.

Vid Försvarets materielverk finns ett nationellt certifieringsorgan för it-säkerhet i produkter och system (CSEC). Av 5 § andra stycket förordningen (2007:854) med instruktion för Försvarets materielverk framgår att CSEC ska ansvara för certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter och anordningar för kvalificerade elektroniska stämplar enligt artikel 30 och 39 i eIDAS-förordningen.

5.2Tillsyn

Enligt eIDAS-förordningens artikel 17.1 i dess tidigare lydelse är med- lemsstaterna skyldiga att utse ett tillsynsorgan som är etablerat inom deras territorium som ska ansvara för tillsynsuppgifter i den medlems- stat som utsett organet. Det är även möjligt att utse ett tillsynsorgan som är etablerat i en annan medlemsstat, efter ömsesidig överenskom- melse med den medlemsstaten.

I Sverige är PTS tillsynsorgan (4 § kompletteringsförordningen). Tillsynsansvaret är begränsat till betrodda tjänster. eIDAS-förord- ningen ställer högre krav på tillsyn över kvalificerade tillhandahållare och betrodda tjänster än tillhandahållare och betrodda tjänster som är icke-kvalificerade. När det gäller de förra ska aktiv tillsyn utövas i enlihet med de bestämmelser som finns i förordningen, för att se till att tillhandahållarna och tjänsterna uppfyller föreskrivna krav. För icke- kvalificerade tillhandahållare och tjänster är tillsynen i stället händelse- styrd, dvs. förutsätter att det finns en rapporterad incident eller en misstanke om att reglerna inte efterlevs. Den närmare innebörden av myndighetens tillsynsuppgifter redovisas i avsnitt 4.10.5. Tillsyns- organen i medlemsstaterna ska samarbeta och ge varandra ömsesidigt

126

bistånd när det behövs, exempelvis genom att förse ett annat organ med information eller bistå med tillsynsåtgärder. Det finns även ett forum för tillsynsorganen, Forum of European Supervisory Authorities for trust service providers (FESA) som bl.a. syftar till att främja sam- arbetet mellan organen.

Inom ramen för sitt ansvar att främja användningen av elektronisk identifiering har Digg enligt sin myndighetsinstruktion bl.a. ansvar för att förvalta och utveckla tillitsramverket för kvalitetsmärket Svensk e-legitimation (3 § 2 förordningen [2018:1486] med instruktion för Myndigheten för digital förvaltning). En e-legitimation för vilken dess utfärdare har ansökt om kvalitetsmärket granskas av Digg enligt kraven i det svenska tillitsramverket. Digg har dock inte något tillsyns- ansvar över utfärdare av e-legitimationer i förhållande till eIDAS-för- ordningen.2 Se mer om tillsyn beträffande nationellt utfärdade e-legi- timationer i avsnitt 6.6.6.

2Omständigheten att utfärdare av e-legitimationer står under enbart begränsad tillsyn, uppdelad på flera statliga myndigheter har problematiserats, bl.a. i betänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61), s. 180 ff.

127

och de system för elektronisk identifiering inom ramen för vilka de tillhandahålls, dels sådana e-legitimationssystem som ska genomgå förordningens anmälningsförfarande för gränsöverskridande använd- ning (artikel 5c.1 respektive 12a.1). Vidare ska medlemsstaterna utse organ som ansvarar för register över förlitande parter som avser att förlita sig på europeiska digitala identitetsplånböcker (artikel 5b.1 i förening med artikel 5a.18 a). Det handlar också om att säkerställa att överträdelser av eIDAS-förordningen träffas av bestämmelser som föreskriver effektiva, proportionella och avskräckande sanktioner (artikel 16). Till skillnad från tidigare fastslås att överträdelse som begås av kvalificerade och icke-kvalificerade tillhandahållare av be- trodda tjänster ska medföra sanktionsavgifter.

Den reviderade eIDAS-förordningen ger i vissa delar medlems- staterna även möjlighet att vidta åtgärder. Av artikel 5a.7 följer att medlemsstaterna, i enlighet med nationell rätt, får föreskriva ytter- ligare funktioner för de europeiska digitala identitetsplånböckerna, inbegripet interoperabilitet med befintliga nationella medel för elek- tronisk identifiering.

Ett annat exempel på utrymme för nationell reglering har anknyt- ning till reglerna om att den europeiska digitala identitetsplånboken ska vara kostnadsfri för fysiska personer (artikel 5a.13). Som utgångs- punkt ska identitetsplånboken ge alla fysiska personer möjlighet att kostnadsfritt underteckna med kvalificerade elektroniska under- skrifter (artikel 5a.5 g). Ifrågavarande användning ska dock kunna begränsas till sådan för icke-yrkesmässiga ändamål (artikel 5a.5 andra stycket). Även beträffande tillämpning av dataskyddsåtgärder finns visst utrymme för medlemsstaterna att föreskriva om ytterligare spe- cificeringar (artikel 5a.17). Vi återkommer till dessa frågor i det följande.

Avslutningsvis kan tilläggas att det på vissa ställen i den reviderade eIDAS-förordningen även hänvisas till reglering i nationell rätt. Exem- pelvis fastslås det i artikel 2.3, med visst förtydligande, att förord- ningen inte påverkar unionsrätt eller nationell rätt som avser ingående av avtal och deras giltighet eller andra rättsliga eller förfarandemässiga skyldigheter avseende form, eller sektorspecifika krav avseende form. För svenskt vidkommande finns anledning att driva på digitaliserings- arbetet inom offentlig förvaltning. Med hänsyn till vårt uppdrags tidsram finns dock inte utrymme för överväganden om exempelvis författningskrav om digitaliserad ärendehandläggning.

130

6.2Nya och ändrade nationella bestämmelser med anledning av den reviderade eIDAS-förordningen

Utredningens förslag: Nödvändiga nationella bestämmelser in- förs i den befintliga lagen respektive förordningen med komplet- terande bestämmelser till EU:s förordning om elektronisk iden- tifiering.

De hänvisningar till EU-förordningen som finns i lagen ska, med undantag för bestämmelsen om sanktionsavgift, avse förord- ningen i den vid varje tidpunkt gällande lydelsen.

Tillägg ska göras i respektive myndighetsinstruktion för de myndigheter som av regeringen ges ett nytt eller utökat ansvar i egenskap av

–tillhandahållare av den europeiska digitala identitetsplånboken,

–tillhandahållare av sådana elektroniska attesteringar av uppgifter för personidentifiering som ska kunna kopplas till en europeisk digital identitetsplånbok, och

–ansvarigt organ att utöva tillsyn över ramverket för den euro- peiska digitala identitetsplånboken.

Utredningens bedömning: Det föreligger i nuläget inget behov av lagstiftningsåtgärd vad gäller hänvisningar till EU:s förordning om elektronisk identifiering i andra svenska författningar.

Skälen för utredningens förslag och bedömning

I lagen (2016:561) med kompletterande bestämmelser till EU:s för- ordning om elektronisk identifiering (kompletteringslagen) och för- ordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering (kompletteringsförord- ningen) är det lämpligt att reglera hur den europeiska digitala iden- titetsplånboken ska tillhandahållas (se avsnitt 6.3.1). Dessa författ- ningar lämpar sig också för reglering av vilka aktörer som ska ansvara för tillhandahållandet av elektroniska attesteringar av uppgifter för personidentifiering att koppla till identitetsplånboken (se avsnitt 6.3.3). Likaså ska det i kompletteringslagen och kompletteringsförordningen införas bestämmelser om dels ansvar för certifiering av den europeiska

131

digitala identitetsplånboken såväl som system för elektronisk identi- fiering, dels ansvar för tillsyn över tillhandahållare av sådana identi- tetsplånböcker och för registret över förlitande parter.

För de myndigheter som utses av regeringen till tillhandahållare av dels identitetsplånboken, dels uppgifter om personidentifiering och till tillsynsorgan ska tillägg göras om dessa nya uppgifter i respek- tive myndighets instruktion (se avsnitten 6.3.1, 6.3.3, 6.6.1 och 6.6.2). Såvitt gäller ansvar som certifieringsorgan, är det dock lämpligare att

istället reglera detta i kompletteringsförordningen (se avsnitt 6.3.7). I kompletteringslagen och kompletteringsförordningen införs

lämpligen också nödvändiga bestämmelser om behandling av person- uppgifter för tillhandahållandet av den europeiska digitala identitets- plånboken (se avsnitt 6.3.9) samt reglering av möjligheten för tillsyns- myndigheten över tillhandahållare av betrodda tjänster att påföra sanktionsavgifter i enlighet med den reviderade eIDAS-förordningen (se avsnitt 6.6.7). Med anledning av de relativt sett många nya bestäm- melser som ska införas i dessa författningar ges samtidigt vissa be- fintliga bestämmelser nya beteckningar i syfte att skapa en mer över- skådlig struktur.1

I ett antal svenska författningar förekommer hänvisningar till eIDAS-förordningen, huvudsakligen till definitionen av avancerad elektronisk underskrift i artikel 3. Dessa hänvisningar är s.k. statiska hänvisningar (se bilaga 3 till detta betänkande). Det gäller även för den befintliga hänvisningen till eIDAS-förordningen i kompletterings- lagen, men däremot inte i fråga om kompletteringsförordningen (eller för myndighetsinstruktionerna för Myndigheten för digital förvalt- ning [Digg] och Post- och telestyrelsen [PTS]).

Hänvisningar till EU-rättsakter i författningar kan, som fram- gått, göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse; som i nu förekommande fall i kompletteringslagen, till eIDAS-förord- ningen ”i dess ursprungliga lydelse”. En följd av denna hänvisnings- teknik är att den nationella författningen normalt behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär däremot att hänvisningen avser EU-rättsakten i den vid varje tid- punkt gällande lydelsen.

1En sökning i Svensk författningssamling (SFS) visar att det finns en lagrumshänvisning till kompletteringslagen: 1 § förordningen (2016:602) om finansiering av Post- och telestyrelsens verksamhet.

132

Som framgår av avsnitt 4.10.6 och som närmare behandlas i av- snitten 6.6.7–6.6.12 föreskrivs i den reviderade eIDAS-förordningen att medlemsstaterna ska säkerställa att regelöverträdelser som begås av kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster medför sanktionsavgifter. De sanktionsbestämmelser som vi, till följd därav, föreslår ska införas i kompletteringslagen bör inne- hålla statiska hänvisningar till förordningen med hänsyn till behovet av förutsebarhet i fråga om vilka överträdelser som kan leda till sank- tioner.2

För att säkerställa att eventuella ändringar i eIDAS-förordningen kan få omedelbart genomslag är det lämpligt att övriga hänvisningar i kompletteringslagen är dynamiska. Den befintliga statiska hänvis- ningen i 1 § ska därmed ändras.

När det gäller övriga lagar och förordningar med statiska hänvis- ningar till eIDAS-förordningens definition av avancerad elektronisk underskrift i artikel 3 föreligger i nuläget, trots revisionen av eIDAS- förordningen, inget behov av lagstiftningsåtgärd. Definitionen i fråga är densamma i den ursprungliga och den reviderade eIDAS-förord- ningen. För det fall det anses påkallat att ersätta den statiska hänvis- ningen till en dynamisk kan en ändring göras i samband med att ifrågavarande författningar är föremål för ett lagstiftningsärende i även andra avseenden.

6.3Den europeiska digitala identitetsplånboken

6.3.1Tillhandahållare av den europeiska digitala identitetsplånboken

Utredningens förslag: Den statliga myndighet som regeringen bestämmer ska tillhandahålla den europeiska digitala identitets- plånboken till fysiska och juridiska personer i enlighet med EU:s reviderade förordning om elektronisk identifiering (tillhandahåll- ande myndighet).

Efter anmälan, granskning och godkännande får även privata aktörer tillhandahålla en certifierad europeisk digital identitets- plånbok till fysiska och juridiska personer. För godkännande krävs

2Se t.ex. lagrådsremissen den 2 maj 2024 med kompletterande bestämmelser till EU:s förord- ning om digitala tjänster, s. 30 f.

133

att tillhandahållaren kan uppfylla villkoren för den europeiska digi- tala identitetsplånboken enligt den reviderade EU-förordningen och rättsakter som meddelats i anslutning till förordningen samt kraven i lagen med kompletterande bestämmelser till EU:s förord- ning om elektronisk identifiering och föreskrifter som meddelats med stöd av lagen.

Ansvarig för granskning och godkännande ska vara den myn- dighet som av regeringen utsetts som tillhandahållare av den euro- peiska digitala identitetsplånboken. Den tillhandahållande myn- digheten ska underrätta tillsynsmyndigheten över tillhandahållare av den europeiska digitala identitetsplånboken om det finns an- ledning att anta att villkoren för ett godkännande inte längre är uppfyllda.

Regeringen eller den myndighet som regeringen bestämmer ska meddela föreskrifter om anmälnings- och granskningsförfarandet och de villkor som ska gälla för ett godkännande som tillhanda- hållare av den europeiska digitala identitetsplånboken.

För tillhandahållande av den europeiska digitala identitetsplån- boken till juridiska personer får en avgift tas ut av den tillhanda- hållande myndigheten.

Utredningens bedömning: Myndigheten för digital förvaltning är bäst lämpad för uppgiften att tillhandahålla den digitala euro- peiska identitetsplånboken för såväl fysiska som juridiska personer.

Skälen för utredningens förslag och bedömning

En öppen modell för certifierade europeiska digitala identitetsplånböcker

I vårt uppdrag ingår att utreda hur det kan säkerställas att en kost- nadseffektiv europeisk digital identitetsplånbok i enlighet med den reviderade eIDAS-förordningen ska utfärdas.

Förordningen tillåter, som framgått, att identitetsplånboken utfär- das a) direkt av en medlemsstat, b) på uppdrag av en medlemsstat eller c) oberoende av en medlemsstat men erkänd av ifrågavarande medlemsstat (se artikel 5a.2 och skäl 16 i förordningens ingress samt jfr artikel 7 om berättigande till anmälan av system för elektronisk identifiering).

134

Digg har föreslagit att en statlig myndighet får ett författnings- reglerat uppdrag att utfärda och tillhandahålla identitetsplånböcker med föreskrivna funktioner enligt eIDAS-förordningen. Vid sidan av en statligt tillhandahållen europeisk digital identitetsplånbok bör en- ligt Digg även privata aktörer tillåtas att erbjuda sådana plånböcker.3

Digg har identifierat att det finns ett intresse hos privata aktörer att eventuellt erbjuda identitetsplånböcker.4 Denna bild stämmer överens med vad som framkommit vid utredningens kontakter med aktörer inom den privata sektorn. Det har i dessa sammanhang bekräf- tats att det finns förutsättningar att dra nytta av och att det kan komma att finnas möjligheter att bygga vidare på erfarenheter av be- fintliga medel för elektronisk identifiering och bakomliggande infra- struktur (jfr skäl 8 i den reviderade eIDAS-förordningens ingress).

Som tidigare redovisats förutsätter den reviderade eIDAS-förord- ningen att det finns tillgång till minst en digital europeisk identitets- plånbok i varje medlemsland. Detta krav ska vara uppfyllt inom 24 månader från och med ikraftträdande av genomförandeakter som fastställer de tekniska specifikationerna för identitetsplånboken och dess certifiering.5 Givet att rättsakterna antas i tid och i anslutning därtill publiceras i Europeiska unionens tidning, ska europeiska digi- tala identitetsplånböcker finnas tillgängliga senast i december 2026.

Det går inte att garantera att privata aktörer kommer att utveckla och tillhandahålla identitetsplånböcker som är tillgängliga för alla fysiska och juridiska personer i Sverige i enlighet med den reviderade eIDAS-förordningen. För att säkerställa att Sverige inom angiven tidsram uppfyller förordningskravet finns därför behov av att upp- dra åt en statlig myndighet att – vid sidan av eventuella privata aktö- rer – tillhandahålla en europeisk digital identitetsplånbok. En statligt utfärdad identitetsplånbok kan även öka robustheten i ekosystemet för elektronisk identifiering. I tider av konflikter och ökande cyber- säkerhetshot är det väsentligt att myndigheter och enskilda har till- gång till medel för elektronisk identifiering som staten har rådighet över. Staten har alltså en viktig roll i att öka motståndskraften i syste- met men också för att motverka eventuella marknadsmonopol.6

3Myndigheten för digital förvaltning, Digital plånbok, 2022-01-11, s. 24 ff.

4Ibid.

5Dessa genomförandeakter ska antas i enlighet med det i artikel 48.2 anvisade förfarandet senast den 21 november 2024, se artikel 5a.1 med hänvisning till artikel 5a.23 och artikel 5c.6.

6Se mer om detta i delbetänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61), s. 95 ff.

135

I lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering införs därför en bestämmelse enligt vilken en av regeringen utsedd statlig myndighet ska tillhandahålla en euro- peisk digital identitetsplånbok (den tillhandahållande myndigheten).

I likhet med Digg förordar även vi en öppen modell för certifierade europeiska digitala identitetsplånböcker. Med stöd av artikel 5a.2 c i den reviderade eIDAS-förordningen bör därför författningsregleras att även privata aktörer ska kunna erbjuda sådana identitetsplånböcker i enlighet med förordningen efter att ha genomgått ett ansöknings- och granskningsförfarande.

Det är upp till varje medlemsstat att fastställa de villkor och krav som ska gälla för tillhandahållande av en europeisk digital identitets- plånbok på medlemsstatens uppdrag eller med dess erkännande.

Som framgår av det följande gör vi bedömningen att Digg är lämpad för att ansvara för den statligt tillhandahållna europeiska digitala identi- tetsplånboken. Av anförda skäl för den bedömningen är det ändamåls- enligt att samma myndighet också ansvarar för granskning och god- kännande av tillhandahållare som avser att erbjuda den europeiska digitala identitetsplånboken (godkända tillhandahållare). Om utfallet av en granskning inte leder till ett godkännande utgör detta ett över- klagbart beslut, se vidare avsnitt 6.7.

Om det, efter ett godkännande, framkommer uppgifter som ger anledning att anta att villkoren inte längre är uppfyllda, ska en under- rättelse om detta göras till tillsynsmyndigheten över tillhandahållare av den europeiska digitala identitetsplånboken, som har till uppgift att vidta erforderliga åtgärder (se artikel 46a.5). Tillsynsmyndighetens ansvar och befogenheter behandlas närmare i avsnitten 6.6.1 och 6.6.3.

Föreskrifter med villkor för att godkännas som tillhandahållare av den europeiska digitala identitetsplånboken

Det är, som nämnts, upp till varje medlemsstat att fastställa de vill- kor och krav som ska gälla för tillhandahållande av en europeisk digi- tal identitetsplånbok på medlemsstatens uppdrag eller med dess erkän- nande. En avgörande förutsättning är att en sådan, av Sverige erkänd, identitetsplånbok uppfyller samtliga krav i den reviderade eIDAS-för- ordningen och dess genomförandeakter, dvs. samma skyldigheter som direkt enligt förordningen åvilar den myndighet ansvarar för det statligt tillhandahållna europeiska digitala identitetsplånboken. Det är med

136

denna utgångspunkt som svenska föreskrifter med villkor för god- kännande ska utformas.