Elektroniska underskrifter och övriga eIDAS-tjänster

Betrodda elektroniska tjänster är funktioner som kan användas för att genomföra tillförlitliga elektroniska ärendehanteringstjänster. De föreskrivs i EU:s eIDAS-förordning. Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom utövar tillsyn över betrodda elektroniska tjänster och beviljar dem status som kvalificerad. Kvalificerade betrodda tjänster finns i nationella förteckningar över betrodda tjänsteleverantörer (trusted list) som gäller i alla EU:s medlemsstater.

Betrodda tjänster - säkra elektroniska tjänster som mål

Tillhandahållande av betrodda tjänster

Tidigare hade det på EU-nivå funnits bestämmelser bara om elektroniska signaturer. Genom eIDAS-förordningen (EU) 910/2014 har kraven på förtroende utvidgats till flera andra funktioner som används i nättjänster och som i förordningen kallas betrodda tjänster (eng. trust services). Majoriteten av de betrodda tjänsterna finns i tjänsternas struktur och är osynliga för användare. eIDAS-förordningen började tillämpas 1.7.2016 och omfattade tillsyn av elektroniska underskrifter, elektroniska stämplar, elektronisk tidsstämpling, elektroniska tjänster för rekommenderade leveranser och autentisering av webbplatser.

Genom eIDAS-förordningen kan tjänsteleverantörer av nättjänster klart visa tillförlitligheten i sin produkt eller funktion. Leverantörer av betrodda tjänster kan ansöka om myndighetsgodkännande för sin tjänst.

Användning av betrodda tjänster

Allt flera ärendehanteringstjänster blir webbaserade. Såväl för aktörer inom den offentliga förvaltningen som för privata aktörer är det viktigt att identifiera kunder på ett tillförlitligt sätt och att genomföra tjänsterna på ett informationssäkert sätt.

Det är frivilligt att använda betrodda tjänster eller kvalificerade betrodda tjänster, om regleringen av tjänsten inte omfattar krav på användningen av dem. Till exempel reglering av betaltjänster omfattar bestämmelser om användningen av kvalificerade stämplar eller certifikat för autentisering av webbplatser, och reglering av e-recept omfattar bestämmelser om användningen av kvalificerade certifikat för elektroniska underskrifter.

Vad är betrodda tjänster?

I eIDAS-förordningen avses med betrodda tjänster som omfattas av tillsyn elektroniska underskrifter, elektroniska stämplar, tjänster för validering och bevarande av elektroniska underskrifter och stämplar, elektroniska tidsstämplingar, elektroniska tjänster för rekommenderade leveranser och autentisering av webbplatser.

Kvalificerade och icke kvalificerade betrodda tjänster

Betrodda tjänster kan vara antingen kvalificerade (qualified) eller icke kvalificerade (non-qualified). Statusen som kvalificerad betrodd tjänst förutsätter att ett ackrediterat organ för bedömning av överensstämmelse har bedömt tjänstens överensstämmelse med krav, att leverantören har gjort en anmälan till Transport- och kommunikationsverket innan verksamheten inleds och att leverantören har fått godkännande av verket.

Tillsyn över icke kvalificerade tjänster sker i efterhand och är mycket lättare än tillsyn över kvalificerade betrodda tjänster. Till exempel tjänster för skapande av elektroniska underskrifter är icke-kvalificerade betrodda tjänster därför att det inte är möjligt att ansöka om godkännande för dem.

Följande tjänster kan vara kvalificerade betrodda tjänster (relevant artikel i eIDAS inom parentes):

  • certifikat för, validering av eller bevarande av elektroniska underskrifter (artikel 28, 33 och 34)
  • certifikat för, validering av eller bevarande av elektroniska stämplar (artikel 38 och 40)
  • elektroniska tidsstämplingar (artikel 42)
  • elektroniska tjänster för rekommenderade leveranser (artikel 44)
  • certifikat för autentisering av webbplatser (artikel 45)

Icke kvalificerade betrodda tjänster är tjänster av ovan nämnda typ eller andra tjänster enligt eIDAS-förordningen som inte har anmälts och förts in i förteckningen över betrodda tjänsteleverantörer.

Elektronisk underskrift

En avancerad elektronisk underskrift verifierar informationsinnehållet i en elektronisk handling och undertecknarens identitet.

I eIDAS-förordningen definieras tre olika typer av elektroniska underskrifter

  • elektronisk underskrift
  • avancerad elektronisk underskrift
  • kvalificerad elektronisk underskrift

I avancerade elektroniska underskrifter kan undertecknaren identifieras och underskriften kan vara kopplad till de uppgifter som den används för, t.ex. till ett e-postmeddelande, på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. Om handlingen ändras i efterhand, stämmer den tidigare underskriften inte överens med innehållet i den ändrade handlingen.

Elektronisk stämpel

Elektronisk stämpel motsvarar annars en elektronisk underskrift, men stämpeln skapas alltid av en juridisk person. I eIDAS-förordningen definieras tre olika typer av elektroniska stämplar.

Med elektronisk stämpel går det att skapa automatiska systemsignaturer som kan användas för att verifiera integriteten och ursprunget av en undertecknad handling, kod, applikation eller någon annan binärfil. För systemsignaturer är det alltid en juridisk person som skapar stämpeln.

Certifikat för elektroniska underskrifter

Certifikat för elektroniska underskrifter avser ett elektroniskt intyg som kopplar valideringsuppgifter för en elektronisk underskrift till en fysisk person och bekräftar åtminstone namnet eller pseudonymen på den personen.

Obligatoriska uppgifter för kvalificerade certifikat anges i bilaga I till eIDAS-förordningen. Certifikatet ska innehålla bl.a.:

  • en uppgift om att certifikatet har utfärdats som ett kvalificerat certifikat
  • en uppgift om tillhandahållare av certifikat som ska vara en kvalificerad tillhandahållare av betrodda tjänster
  • uppgifter om när certifikatet börjar respektive upphör att gälla
  • uppgift om var det går att göra förfrågningar om certifikatets giltighet
  • undertecknarens namn eller pseudonym
  • uppgift om undertecknarens öppna nyckel (enligt eIDAS-förordningen ”valideringsuppgifter för elektroniska underskrifter som stämmer överens med uppgifterna för skapande av elektroniska underskrifter”)
  • om en privat nyckel som har samband med undertecknarens öppna nyckel är placerad i en kvalificerad anordning för skapande av elektroniska underskrifter (QSCD), en lämplig uppgift som anger detta, åtminstone i en form som lämpar sig för automatiserad behandling

I Finland är det Befolkningsregistercentralen som tillhandahåller signaturcertifikat. Det av Befolkningsregistercentralen beviljat signaturcertifikat finns också till exempel på ett personkort beviljat av polisen och på olika organisationers organisationskort. Chippet, som används i dessa kort, är också en kvalificerad anordning för skapande av elektroniska underskrifter (QSCD) i enlighet med eIDAS-förordningen. Korten innehåller förutom ett signaturcertifikat alltid också ett identifieringscertifikat för stark autentisering.

Certifikat för elektroniska stämplar

Certifikat för elektroniska stämplar betyder ett elektroniskt intyg som kopplar valideringsuppgifter för en elektronisk stämpel till en juridisk person och bekräftar namnet på den personen.

Kvalificerade certifikat för elektroniska stämplar måste innehålla samma uppgifter som certifikat för elektroniska underskrifter. Uppgifterna anges i bilaga III till eIDAS-förordningen.

Validering av elektroniska underskrifter eller stämplar

Med validering avses kontroll och bekräftelse av en kvalificerad elektronisk underskrifts eller en kvalificerad stämpels giltighet.  Parter som förlitar sig på underskriften eller stämpeln kan utföra valideringen själv eller anlita en valideringstjänst.

Med validering avses alltså en tjänst som kompletterar elektroniska underskrifter och stämplar och som säkrar att en elektronisk underskrift eller stämpel är äkta. I valideringen ska man säkra alla de komponenter som har samband med en elektronisk underskrift eller stämpel.

I valideringen kontrolleras bl.a. giltighet för certifikatet för en elektronisk underskrift eller en elektronisk stämpel, att valideringsuppgifterna överensstämmer med de uppgifter som lämnats till den förlitande parten (m.a.o. rätt öppen nyckel) och att integriteten hos de undertecknade uppgifterna inte har äventyrats.

Närmare bestämmelser om kvalificerade elektroniska underskrifter och stämplar finns i artikel 32 i eIDAS-förordningen och krav på tillhandahållare av kvalificerade valideringstjänster i artikel 24 och 33.   

Bevarande av elektroniska underskrifter eller stämplar

Med tjänst för bevarande av elektroniska underskrifter eller stämplar kan en elektronisk underskrifts eller stämpels tillförlitlighet garanteras under lång tid framöver. Tillhandahållaren verifierar den ursprungliga underskriften eller stämpeln på nytt när den tidigare verifieringen har gått ut. 

Elektronisk tidsstämpling

Med elektronisk tidsstämpling avses en tidsstämpling som fogas till en elektronisk underskrift och som intygar tidpunkten för underskriften eller åtminstone det klockslag före vilket underskriften har gjorts, om tidsstämplingen görs i efterhand.

Elektronisk tjänst för rekommenderad leverans

Genom en elektronisk tjänst för rekommenderad leverans överförs uppgifter mellan tredje män så att informationssäkerheten kan bevaras. Tjänsten identifierar både avsändaren och mottagaren på ett tillförlitligt sätt och sörjer för att uppgifterna inte förändras.

Certifikat för autentisering av webbplatser

Tjänster för autentisering av webbplatser erbjuder ett verktyg för personer som besöker webbplatsen att försäkra sig om att webbplatsen är äkta och laglig. Dessa tjänster bidrar till att bygga upp förtroendet för näthandeln, eftersom användarna kan ha förtroende för en webbplats som har autentiserats.

Förteckning över kvalificerade tillhandahållare av betrodda tjänster (Trusted list)

Transport- och kommunikationsverket för ett offentligt register över kvalificerade tillhandahållare av betrodda tjänster (s.k. Trusted list).

TILLHANDAHÅLLARE

TJÄNST SOM TILLHANDAHÅLlS

SPÄRRTJÄNST

CERTIFIKATDOKUMENT

Befolkningsregistercentralen
Fågelviksgränden 4
00530 HELSINGFORS
Telefon: 0295 535 001
www.vrk.fi (Extern länk)

Organisationscertifikat
Medborgarcertifikat
Certifikat för yrkesutbildade personer
inom social- och hälsovården

Tfn: 0800 162 622

Certifikatpolicydokument (Extern länk)


TSL implementation of the Trusted List (Extern länk) [xml, 49 KB] 
A Human readable form of the TSL implementations of the trusted list (Extern länk)[pdf, 310 KB]

SHA-256 hash of the Trusted List XML (Extern länk)  [sha2, 64 B]

The present list is the trusted list including information related to the qualified trust service providers which are supervised by Finnish Transport and Communications Agency (Traficom), together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The cross-border use of electronic signatures has been facilitated through Commission Decision 2009/767/EC of 16 October 2009 which has set the obligation for Member States to establish, maintain and publish trusted lists with information related to certification service providers issuing qualified certificates to the public in accordance with Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures and which are supervised/accredited by the Member States. The present trusted list is the continuation of the trusted list established with Decision 2009/767/EC.

    Tillsyn över betrodda tjänster

    Cybersäkerhetscentret vid Transport- och kommunikationsverket utövar tillsyn över efterlevnaden av eIDAS-förordningen och lagen om stark autentisering och betrodda elektroniska tjänster och meddelar närmare föreskrifter. Vi övervakar att de betrodda elektroniska tjänster som tillhandahålls är tillförlitliga och informationssäkra.

    • Verket kontrollerar att de anmälda tjänsterna uppfyller föreskrivna krav samt för förteckningar över kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som dessa tillhandahåller.
    • Verket är en besvärsmyndighet i ärenden som hänför sig till betrodda tjänster.
    • Verket övervakar icke-kvalificerade tjänsteleverantörer endast på basis av leverantörers störningsanmälningar eller klagomål om tjänster.
    • Verket är inte behörig myndighet när det gäller att lösa avtalstvister.

    Tillhandahållare av dessa tjänster förpliktas av

    • anmälningsskyldighet. En kvalificerad tillhandahållare av betrodda tjänster som är etablerad i Finland måste göra en skriftlig anmälan innan verksamheten inleds.
    • skyldighet att göra en kvalitetsrevision. Kvalificerade tillhandahållare av betrodda tjänster ska i samband med anmälan om att verksamheten inleds ge rapport om överensstämmelsebedömning utfärdad av ett ackrediterat organ för bedömning av överensstämmelse. De ska ge en uppdaterad berättelse eller rapport med minst två års mellanrum. 
    • förbud mot tillhandahållande. Om en kvalificerad betrodd tjänst inte uppfyller kraven i författningarna, återkallar verket statusen som kvalificerad betrodd tjänst. 
    • skyldighet att anmäla ändringar. Kvalificerade tillhandahållare av betrodda tjänster måste underrätta Transport- och kommunikationsverket om alla ändringar i de uppgifter som lämnats i anmälan om inledande av verksamhet. Anmälan måste göras också om att verksamheten upphör samt att verksamheten överförs till en annan tjänsteleverantör.
    • skyldighet att anmäla störningar. Tillhandahållaren ska underrätta Transport- och kommunikationsverket om betydande hot eller störningar som riktas mot tjänsternas informationssäkerhet och funktion samt om de åtgärder som vidtagits för att avhjälpa dem. Skyldigheten gäller även icke kvalificerade betrodda tjänster.
    • tillsynsavgifter. En registreringsavgift ska betalas för en anmälan om att verksamheten inleds. Aktörer som förts in i en förteckning över betrodda tjänsteleverantörer ska betala en årlig tillsynsavgift. Närmare bestämmelser om avgifterna finns i 47 § i autentiseringslagen.

    Anmälningsblanketter och avgifter

    Närmare information om innehållet i anmälningarna finns i anvisningen 214/2016 O Anmälningar om identifieringstjänster och betrodda tjänster.

    Avgiftsgrund

    Bestämmelser om registrerings- och tillsynsavgifter till Transport- och kommunikationsverket finns i 47 § i lagen om stark autentisering och betrodda elektroniska tjänster.

    Övriga tillsynsmyndigheter

    Kommunikationsministeriet svarar för den allmänna styrningen och utvecklingen av betrodda elektroniska tjänster. Finansministeriet svarar för styrningen av tjänsterna inom den offentliga förvaltningen.

    Olika myndigheter styr och övervakar informationssäkerheten och förtroende i betrodda tjänster, konsumentskyddet, skyddet av personuppgifter och en effektiv konkurrens. Dataskyddsombudsmannen övervakar att bestämmelserna om personuppgifter i lagen om stark autentisering och i eIDAS-förordningen iakttas. Konkurrens- och konsumentverket arbetar för att trygga en välfungerande marknad och konkurrens samt konsumentskyddet. Transport- och kommunikationsverket och dataombudsmannen samarbetar vid behov även med Finansinspektionen samt Konkurrens- och konsumentverket.

    FINAS sköter ackreditering av organ för bedömning av överensstämmelse för kvalificerade betrodda tjänster. Transport- och kommunikationsverket ska dessutom godkänna bedömningsorganet.

    eIDAS-arbetsgruppen

    Transport- och kommunikationsverkets eIDAS-arbetsgrupp är öppen för alla intresserade. I arbetsgruppen är det möjligt att följa regleringen och utvecklingen av betrodda elektroniska tjänster och elektronisk identifiering samt byta information om dessa.

    Utbyte av information om frågor som gäller identifieringstjänster och betrodda tjänster på nationell nivå och EU-nivå sker främst via Transport- och kommunikationsverkets e-postlista. Vid behov kan arbetsgruppen tillsätta undergrupper att behandla frågor inom ett visst delområde. Syftet är att arrangera evenemang årligen. Inbjudningar skickas via e-postlistan.

    Organ för bedömning av överensstämmelse hos betrodda tjänster

    Kvalificerade tillhandahållare av betrodda tjänster ska skaffa en bedömning av tjänstens överensstämmelse med krav, innan verksamheten inleds och därefter med minst två års mellanrum. Endast de ackrediterade organ för bedömning av överensstämmelse, som uppfyller kraven i EU-förordningen (EU) 765/2008) och som uttryckligen ackrediterats för bedömning av tjänsterna enligt eIDAS-förordningen, får göra en bedömning av överensstämmelse.

    Tillhandahållare av betrodda tjänster kan skaffa bedömningen av ett ackrediterat organ för bedömning av överensstämmelse i vilket EU-land som helst.

    Mer information

    I Finland är FINAS den nationella ackrediteringsenheten (NAB, national accreditation body) med ansvar för ackrediteringar i enlighet med EU-förordningen 765/2008. Därutöver ska bedömningsorganet ansöka om godkännande hos Transport- och kommunikationsverket. Än så länge finns det inte några ackrediterade bedömningsorgan för eIDAS-bedömningar i Finland.

    Kriterierna för ackreditering

    Den europeiska samarbetsorganisationen för ackreditering (European co-operation for Accreditation – EA) har tagit fram dokumentet EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article 20.1. Dokumentet fastställer på vilket sätt man vid ackreditering av organ för bedömning av överensstämmelse hos betrodda tjänster (Conformity Assessment Bodies – CAB) ska övergå från tidigare praxis till praxis enligt eIDAS, vilka ackrediteringskrav bedömningsorganen ska uppfylla och vilka frågor organen ska ha kompetens för. Grunden utgörs av ETSIs standarder.

    Kommissionen har inte fattat något genomförandebeslut utifrån vilket de standarder som gäller organ för bedömning av överensstämmelse skulle preciseras med stöd av artikel 20.4 i eIDAS. Standarderna i EA:s dokument ligger därför till grund för ackreditering och godkännande av organ för bedömning av överensstämmelse.

    Kraven på organ för bedömning av överensstämmelse ingår i standarden

    • ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers. 
    • Standarden bygger på ISO/IEC 17065, som fastställer de allmänna kraven för bedömningsorgan.
    • Standarden EN 319 403 kompletterar kraven i ISO/IEC särskilt med krav på tillhandahållare av betrodda tjänster och deras tjänster.

    I enlighet med autentiseringslagen ska ett bedömningsorgan ha kompetens för att bedöma en tjänsteleverantör och de tjänster som den tillhandahåller. Transport- och kommunikationsverket har preciserat kompetenskraven i föreskrift 72 genom en hänvisning till ETSIs standarder.

    När FINAS fattar ett sådant beslut om kriterier för ackreditering av ett bedömningsorgan som avses i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005), kan FINAS också beakta andra krav för bedömning av oberoende och kompetens än de standarder som föreskrift 72 hänvisar till.

    Godkännande av bedömningsorgan

    För Transport- och kommunikationsverkets godkännande krävs FINAS ackreditering och en redogörelse för de anvisningar och den uppföljning av anvisningarna som krävs i 33 § 1 mom. 4 punkten i autentiseringslagen.

    Författningar och andra dokument om betrodda tjänster

    Här hittar du material som gäller betrodda tjänster, såsom författningar, föreskrifter, tillsynsbeslut, rekommendationer, tolkningspromemorior, anvisningar och publikationer.

    Författningar - betrodda tjänster

    • Europaparlamentets och rådets förordning (EU) nr 910/2014 (Extern länk) av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS-förordningen)
      • Kommissionens genomförandebeslut (EU) 2015/1505) (Extern länk) om fastställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
      • Kommissionens genomförandebeslut (EU) 2015/1506 (Extern länk) om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
      • Kommissionens genomförandebeslut (EU) 2016/650 (Extern länk) om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

    Anvisningar och rekommendationer

    eIDAS och standarder

    Anvisningsutkast (2017)

    Tekniska anvisningar för tillhandahållare av betrodda tjänster (2017)

    Anvisningar för tillhandahållare av betrodda tjänster (2013)