För dig som tillhandahåller en betrodd tjänst
Du som tillhandhåller en betrodd tjänst ska följa säkerhetskrav i eIDAS-förordningen och rapportera incidenter till PTS. Om du vill bli en kvalificerad tillhandahållare av betrodd tjänst ska du anmäla detta till PTS.
En tillhandahållare är en aktör som tillhandahåller någon av de betrodda tjänster som definieras i eIDAS-förordningen. Två exempel på betrodda tjänster är elektroniska underskrifter och elektroniska stämplar.
Enligt förordningen finns två kategorier av tillhandahållare, kvalificerade och icke-kvalificerade. Samtliga tillhandahållare måste följa vissa säkerhetskrav, men för kvalificerade tillhandahållare är kraven i vissa avseenden högre.
Säkerhetskrav för betrodda tjänster
Du som är tillhandahållare av en betrodd tjänst ska följa säkerhetskraven i eIDAS-förordningen.
- Företaget ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna hos de betrodda tjänster som tillhandahålls. Detta gäller både kvalificerade och icke-kvalificerade tillhandahållare.
- Säkerhetsnivån i åtgärderna ska stå i proportion till graden av risk och med beaktande av teknikutvecklingen.
- De tekniska och organisatoriska åtgärder som vidtas ska förhindra och minimera säkerhetsincidenter.
- Säkerhetsincidenter av betydande omfattning ska rapporteras till PTS.
- Parter som påverkas av en säkerhetsincident ska informeras om konsekvenserna av incidenten
Säkerhetskraven beskrivs i artikel 19 i eIDAS-förordningen.
För att följa säkerhetskraven i eIDAS-förordningen bedömer PTS att en tillhandahållares säkerhetsarbete bör bedrivas långsiktigt, systematiskt och kontinuerligt, med en tydlig rollfördelning och med utpekade ansvariga personer.
Skadeståndsansvar för betrodda tjänster
Företag som tillhandahåller betrodda tjänster har ett skadeståndsansvar för skada som åsamkats en fysisk eller juridisk person avsiktligt eller på grund av oaktsamhet. Skadeståndsansvaret gäller om skadan inträffat då tillhandahållaren inte levt upp till kraven i eIDAS-förordningen.
Skadeståndsansvaret beskrivs i artikel 13 i eIDAS-förordningen.
Av artikeln framgår att bevisbördan skiljer sig åt för kvalificerade och icke-kvalificerade tillhandahållare.
Reglerna om skadeståndsansvar är ett komplement till svenska nationella regler om skadeståndsansvar som också ska användas vid tillämpning.
Trust services
Läs mer om betrodda tjänster på Enisas webbplats, EU:s nätverks- och informationssäkerhetsbyrå.
Trust services Enisa (in English)
eIDAS-förordningen
Ta del av reglerna för betrodda tjänster i eIDAS-förordningen.
eIDAS-förordningen
E-legitimering
Läs mer om e-legitimering och elektronisk signering hos Myndigheten för digital förvaltning (DIGG).
Myndigheten för digital förvaltning (DIGG)