För dig som tillhandahåller en betrodd tjänst

Du som tillhandhåller en betrodd tjänst ska följa säkerhetskrav i eIDAS-förordningen och rapportera incidenter till PTS. Om du vill bli en kvalificerad tillhandahållare av betrodd tjänst ska du anmäla detta till PTS.

En tillhandahållare är en aktör som tillhandahåller någon av de betrodda tjänsterna som definieras i eIDAS-förordningen. Två exempel på betrodda tjänster är elektroniska underskrifter och elektroniska stämplar. 

Enligt förordningen finns två kategorier av tillhandahållare, kvalificerade och icke-kvalificerade. Samtliga tillhandahållare måste följa vissa säkerhetskrav, men för kvalificerade tillhandahållare är kraven i vissa avseenden högre.

Säkerhetskrav för betrodda tjänster

Du som är tillhandahållare av en betrodd tjänst ska följa säkerhetskraven i eIDAS-förordningen. 

  • Företaget ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna hos de betrodda tjänster som tillhandahålls. Detta gäller både kvalificerade och icke-kvalificerade tillhandahållare.
  • Säkerhetsnivån i åtgärderna ska stå i proportion till graden av risk och med beaktande av teknikutvecklingen.
  • De tekniska och organisatoriska åtgärder som vidtas ska förhindra och minimera säkerhetsincidenter.
  • Säkerhetsincidenter av betydande omfattning ska rapporteras till PTS.
  • Parter som påverkas av en säkerhetsincident ska informeras om konsekvenserna av incidenten

Säkerhetskraven beskrivs i artikel 19 i eIDAS-förordningen. 

För att följa säkerhetskraven i eIDAS-förordningen bedömer PTS att en tillhandahållares säkerhetsarbete bör bedrivas långsiktigt, systematiskt och kontinuerligt, med en tydlig rollfördelning och med utpekade ansvariga personer.

Skadeståndsansvar för betrodda tjänster

Företag som tillhandahåller betrodda tjänster har ett skadeståndsansvar för skada som åsamkats en fysisk eller juridisk person avsiktligt eller på grund av oaktsamhet. Skadeståndsansvaret gäller om skadan inträffat då tillhandahållaren inte levt upp till kraven i eIDAS-förordningen.

Skadeståndsansvaret beskrivs i artikel 13 i eIDAS-förordningen. 

Av artikeln framgår att bevisbördan skiljer sig åt för kvalificerade och icke-kvalificerade tillhandahållare.

Reglerna om skadeståndsansvar är ett komplement till svenska nationella regler om skadeståndsansvar som också ska användas vid tillämpning.