Ni som tillhandahåller en betrodd tjänst ska följa säkerhetskraven i eIDAS-förordningen och NIS2-direktivet och ska rapportera incidenter enligt eIDAS-förordningen till PTS. PTS granskar att företag lever upp till eIDAS-förordningens bestämmelser.

Säkerhetskrav för betrodda tjänster

Ni som tillhandahåller en betrodd tjänst ska följa säkerhetskraven i eIDAS-förordningen och NIS2-direktivet. Enligt SOU 2024:18 (Nya regler om cybersäkerhet - Regeringen.se) finns ett förslag på en ny cybersäkerhetslag som ska genomföra NIS2-direktivet i svensk rätt. 

  • Läs mer på PTS hemsida om vad som gäller för betrodda tjänster innan NIS2-direktivet genomförts i svensk lag här.
  • Läs mer på PTS hemsida om NIS2-direktivet här.

Enligt eIDAS-förordningen ska tillhandahållare av betrodda tjänster

  • Ha lämpliga policyer och vidta motsvarande åtgärder för att hantera rättsliga, affärsmässiga, operativa och andra direkta eller indirekta risker för tillhandahållandet av betrodda tjänster. Detta gäller båda icke-kvalificerade och kvalificerade tillhandahållare.
  • Ovan ska åtminstone innefatta åtgärder avseende
    • registrerings- och anslutningsförfaranden för en tjänst
    • förfarandemässiga eller administrativa kontroller som krävs för att tillhandahålla betrodda tjänster
    • förvaltning och genomförande av betrodda tjänster.

För att följa säkerhetskraven i eIDAS-förordningen bedömer PTS att ni som tillhandahållare bör bedriva ett långsiktigt och systematiskt säkerhetsarbete. Ni behöver också ha en tydlig rollfördelning och med utpekade ansvariga personer.

Den reviderade eIDAS-förordningen trädde i kraft 20 maj 2024. Efter att eIDAS-förordningen trädde i kraft inleddes arbetet med att ta fram genomförandeakter. Genomförandeakter innehåller mer detaljerade bestämmelser som bidrar till en enhetligare tillämpning av eIDAS-förordningen.

Just nu pågår arbete med att ta fram genomförandeakter som kommer att peka på standarder vad gäller kraven på säkerhetsåtgärder. Det kommer att finnas möjlighet att lämna synpunkter på förslagen till genomförandeakter under våren 2025.

Kom med synpunkter på förslag till genomförandeakter

eIDAS-förordningen

Reviderad eIDAS-förordning

Skadeståndsansvar för betrodda tjänster

Tillhandahåller av betrodda tjänster har ett skadeståndsansvar enligt eIDAS-förordningen om det uppstår en skada, som drabbar en person eller ett företag på grund av att tillhandahållaren inte har levt upp till kraven i eIDAS-förordningen. Det spelar ingen roll om skadan uppstår avsiktligt eller på grund av oaktsamhet.

Bevisbördan skiljer sig åt för kvalificerade och icke-kvalificerade tillhandahållare. Läs mer om skadeståndsansvar i artikel 13 i eIDAS-förordningen.  

Reglerna om skadeståndsansvar i eIDAS-förordningen är ett komplement till svenska nationella regler om skadeståndsansvar.

Incidentrapportering

Betrodda tjänster som drabbas av säkerhetsincidenter ska rapporteras till PTS senast 24 timmar efter upptäckt.

Information om rapportering av incidenter.

Tillsyn av betrodda tjänster

Vi på PTS granskar att företag som tillhandahåller betrodda tjänster följer de säkerhetskrav och regler som gäller. Vi kan bedriva händelsestyrd tillsyn för både kvalificerade och icke-kvalificerade leverantörer. När det gäller kvalificerade leverantörer kan vi även bedriva planlagd tillsyn.

Vi kan starta en händelsestyrd granskning om vi, genom anmälningar eller på annat sätt, får indikationer på att reglerna inte följs. Då kan vi inleda ett tillsynsärende mot den tillhandahållare som misstänks bryta mot eIDAS-förordningen.

De klagomål som kommer in till oss är en viktig informationskälla och vi kan använda det som grund för tillsyn och informationsinsatser. Vi kan däremot inte hantera allmänhetens klagomål och vi agerar inte i enskilda konsumenters eller användares ärenden.

Planerad tillsyn av kvalificerade tillhandahållare

Vi kan genomföra planlagda granskningar mot kvalificerade tillhandahållare av betrodda tjänster. Då utreder vi om och hur dessa tillhandahållare lever upp till reglerna. Det kan gälla både en viss kategori kvalificerade tillhandahållare eller en viss typ av kvalificerad betrodd tjänst.

Vi behöver inte misstänka några särskilda brister för att göra en planerad granskning.

Information om kvalificerade tillhandahållare

Om ni vill ta del av våra granskningar, kontakta vårt diarium på pts@pts.se.

Incidentrapportering

Betrodda tjänster som drabbas av säkerhetsincidenter och integritetsförluster ska rapporteras till PTS senast 24 timmar efter upptäckt.

 

Information om rapportering av incidenter.

 

Sidan uppdaterades: