Tillhandahållare av betrodda tjänster

5.6.1 Kvalificerade och icke kvalificerade tillhandahållare

Tillhandahållare av betrodda tjänster har en central roll i eIDAS-för- ordningen. En tillhandahållare av betrodda tjänster är enligt artikel 3.19 i eIDAS-förordningen en fysisk eller juridisk person som tillhanda- håller en eller flera betrodda tjänster, antingen i egenskap av kvalifi- cerade eller icke kvalificerade tillhandahållare av betrodda tjänster. Som definitionen anger kan en tillhandahållare vara kvalificerad eller icke kvalificerad. Skillnaden mellan de båda framgår bl.a. av arti- kel 3.20, där det föreskrivs att en kvalificerad tillhandahållare är en tillhandahållare av betrodda tjänster som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats status som kvalifi- cerad av tillsynsorganet.

5.6.2 Gemensamma säkerhetskrav och krav

på incidentrapportering

Det finns anledning att hålla isär kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster eftersom de kvalificerade till- handahållarna omfattas av betydligt fler bestämmelser och krav än de icke kvalificerade. Vissa av bestämmelserna i eIDAS-förordningen är emellertid gemensamma oavsett tillhandahållarens status.

I artikel 19.1 föreskrivs att tillhandahållare av betrodda tjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att han- tera riskerna för säkerheten hos de betrodda tjänster som de till- handahåller. Åtgärderna ska säkerställa att säkerhetsnivån står i pro- portion till graden av risk och den senaste tekniska utvecklingen ska

SOU 2021:9 Betrodda tjänster – teknik, juridik och standarder

beaktas. Åtgärder ska i synnerhet vidtas för att förhindra eller mini- mera säkerhetsincidenters inverkan samt för att informera berörda parter om de negativa effekterna av eventuella sådana incidenter.

Enligt artikel 19.2 ska tillhandahållare av betrodda tjänster, utan otillbörligt dröjsmål och under alla omständigheter inom 24 timmar efter upptäckt, underrätta tillsynsorganet och i förekommande fall andra relevanta organ, såsom det behöriga nationella organet för informationssäkerhet eller dataskyddsmyndigheten, om alla säker- hetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de person- uppgifter som ingår i denna. När det är troligt att säkerhetsincidenten eller integritetsförlusten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhanda- hållits, ska tillhandahållaren av betrodda tjänster utan onödigt dröjs- mål även underrätta den fysiska eller juridiska personen om säker- hetsincidenten eller integritetsförlusten. När det är lämpligt, särskilt om säkerhetsincidenten eller integritetsförlusten rör två eller flera medlemsstater, ska det underrättade tillsynsorganet informera tillsyns- organen i övriga berörda medlemsstater samt ENISA. Det under- rättade tillsynsorganet ska informera allmänheten eller kräva att till- handahållaren av betrodda tjänster gör det, om den slår fast att ett avslöjande av säkerhetsincidenten eller integritetsförlusten ligger i allmänhetens intresse. Enligt artikel 19.4 får kommissionen anta genomförandeakter som ytterligare specificerar säkerhetsåtgärder eller fastställer format, förfaranden och tidsfrister avseende säker- hetsincidenter och liknande. Sådana genomförandeakter har emeller- tid i skrivande stund inte antagits.

I december 2020 presenterade kommissionen sitt förslag till revi- derat direktiv om åtgärder för en hög nivå av cybersäkerhet inom uni- onen.24 _{Förslaget är avsett att ersätta det nuvarande s.k. NIS-direk-}

tivet (Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nät- verks- och informationssystem i hela unionen) och innebär även att artikel 19 i eIDAS-förordningen upphävs. Tillhandahållare av be- trodda tjänster är i dagsläget undantagna från direktivets tillämp- ningsområde.25 _{Betrodda tjänster skulle genom förslaget omfattas av}

direktivets bestämmelser avseende säkerhetsåtgärder och incident- 24 _{COM(2020) 823 final av 16 december 2020.}

Betrodda tjänster – teknik, juridik och standarder SOU 2021:9

96

rapportering. Innehållet i dessa bestämmelser är i stora delar likt det som framgår av artikel 19 i eIDAS-förordningen, men de är mer detaljerade än den nuvarande regleringen. Detta skulle således inne- bära att tillhandahållare av betrodda tjänster omfattas av samma krav som tillhandahållare av andra i direktivet utpekade tjänster.

5.6.3 Skillnader i skadeståndsansvar och bevisbörda

Av artikel 13.1 framgår att tillhandahållare av betrodda tjänster om- fattas av skadeståndsansvar för skada som åsamkats en fysisk eller juridisk person avsiktligt eller på grund av oaktsamhet genom under- låtenhet att uppfylla kraven i förordningen. Placeringen av bevis- bördan skiljer sig åt beroende på om tillhandahållaren är kvalificerad eller inte. Presumtionen vid skada är att bevisbördan ligger på till- handahållaren om denne är kvalificerad. Det är således den kvalifice- rade tillhandahållaren som ska bevisa att den skada som uppstått har uppstått utan dennes avsikt eller oaktsamhet. Om tillhandahållaren är icke kvalificerad vilar i stället bevisbördan på den som gör gällande att skada har uppstått.

5.6.4 Krav på kvalificerade tillhandahållare

Som tidigare nämnts omfattas kvalificerade tillhandahållare av be- trodda tjänster av betydligt fler krav än icke kvalificerade.

SOU 2021:9 Betrodda tjänster – teknik, juridik och standarder

Figur 5.3 Etablering av kvalificerad tillhandahållare av betrodda tjänster

Källa: Post- och telestyrelsen.

För att få status som kvalificerad tillhandahållare krävs enligt arti- kel 21.1 en anmälan till ett tillsynsorgan (se figur 5.3 för hela gången vid sådan etablering). Tillhandahållaren ska i samband med anmälan även lämna in en rapport om överensstämmelsebedömning som utfär- dats av ett organ för bedömning av överensstämmelse. Bedömningen av överenstämmelse ska omfatta både tillhandahållaren som sådan och de betrodda tjänster som tillhandahållaren vill ska vara kvalificerade. Ett sådant organ ska enligt artikel 3.18 vara ackrediterat för att göra bedömningar av sådana tillhandahållare och de tjänster de tillhanda- håller. I Sverige ackrediterar den statliga myndigheten Styrelsen för ackreditering och teknisk kontroll (Swedac) sådana organ. PTS får med stöd av 2 § förordningen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstäm- melse, hur bedömningar av överensstämmelse ska göras samt rappor- tering av bedömningar av överensstämmelse. I skrivande stund har sådana föreskrifter inte meddelats.

Tillsynsorganet ska enligt artikel 21.2 kontrollera om tillhanda- hållaren och de betrodda tjänster som denne tillhandahåller uppfyller kraven i förordningen. Även inom detta område har kommissionen enligt artikel 21.4 möjlighet att anta genomförandeakter, men sådana genomförandeakter har i dagsläget inte antagits. Det har i sin tur lett

Certifieringsorgan

Kvalificerad tillhandahållare av betrodda tjänster

Certifiering IT-säkerhet (Sveriges Certifieringsorgan för IT-

säkerhet vid Försvarets materielverk)

Ackrediteringsorgan (Swedac)

Tillsynsmyndighet (Post- och telestyrelsen)

Tillitsförteckning 1. Ackreditering 2. Certifiering och överensstämmelse- bedömning Eventuell certifiering av IT-säkerhets- produkter Tillsyn

3. Anmälan med revisionsrapport 4. Granskning av anmälan och tillhandahållare Tillsyn 5. För upp tillhandahållare på tillitsförteckningen

Betrodda tjänster – teknik, juridik och standarder SOU 2021:9

98

till att de nationella tillsynsorganen själva, på olika sätt, har fått be- stämma hur bedömningen ska göras (se mer om detta i avsnitt 5.11). Om tillsynsorganet kommer fram till att tillhandahållaren och de betrodda tjänster som denne tillhandahåller uppfyller kraven i förord- ningen ska organet bevilja tillhandahållaren status som kvalificerad tillhandahållare av betrodda tjänster. Detsamma gäller de tjänster som den tillhandahåller. I samband med det ska den aktuella medlems- statens förteckning över kvalificerade tillhandahållare och betrodda tjänster, som avses i artikel 22.1 i förordningen, uppdateras så att tillhandahållaren och tjänsterna förs upp på förteckningen (se mer om förteckningarna i avsnitt 5.8).

Uttryckliga krav som kvalificerade tillhandahållare har att förhålla sig till finns i artikel 24. Kraven avser primärt tillhandahållaren som sådan och flera av dem har starka kopplingar till de certifikat som ut- färdas (se avsnitt 5.5.2 för kraven avseende certifikat). Nedan följer några exempel på dessa krav.

Kvalificerade tillhandahållare ska bl.a. använda tillförlitliga system och produkter som är skyddade mot ändringar och säkerställa den tekniska säkerheten och tillförlitligheten hos den process som stöds av systemen (artikel 24.2 e). De ska också ha personal, och i förekom- mande fall underleverantörer, som har den sakkunskap, tillförlitlig- het samt de erfarenheter och kvalifikationer som behövs och som har genomgått lämplig utbildning om regler för säkerhet och skydd för personuppgifter (artikel 24.2 b). Vidare ska kvalificerade tillhanda- hållare förfoga över tillräckliga ekonomiska medel och/eller skaffa sig lämplig ansvarsförsäkring i enlighet med nationell rätt, detta med anledning av risken för ansvar vid skador (artikel 24.2 c).

Tillhandahållare som utfärdar kvalificerade certifikat ska bl.a. upp- rätta en certifikatdatabas som hålls uppdaterad (artikel 24.2 k). Om de beslutar att återkalla ett certifikat ska ett sådant återkallande regi- streras i certifikatdatabasen och offentliggöras i god tid och senast inom 24 timmar efter mottagandet av begäran (artikel 24.3).

Kommissionen får med stöd av artikel 24.5 genom genomförande- akter fastställa referensnummer till standarder för tillförlitliga system och produkter som uppfyller kraven i artikel 24.2 e och f. Sådana genomförandeakter har i skrivande stund inte antagits.

Enligt artikel 20.1 ska kvalificerade tillhandahållare minst en gång vartannat år och på egen bekostnad granskas av ett organ för bedöm- ning av överensstämmelse. Syftet med granskningen är att bekräfta

SOU 2021:9 Betrodda tjänster – teknik, juridik och standarder

att tillhandahållaren och de kvalificerade betrodda tjänsterna upp- fyller kraven i förordningen. Den rapport som bedömningen resul- terar i ska överlämnas till tillsynsorganet.