Avancerad elektronisk underskrift enligt 12 kap. 7 § LOU
Publicerad 02 maj 2018
Enligt 12:7 LOU får en upphandlande myndighet kräva att elektroniska anbudsansökningar och anbud ska vara försedda med avancerade elektroniska underskrifter.
Fråga 1: Om den upphandlande myndigheten kräver detta, är den då bunden av eIDAS-förordningens (EU nr 910/2014) lagregler där även utländska leverantörer ska ges möjlighet att e-legitimera sig, vid till exempel lämnande av anbud.
Fråga 2: Om frågan ovan besvaras med ja, innebär det rimligtvis att marknadens leverantörer av upphandlingssystem bör kunna tillhandahålla lösningar för e-legitimation som är i enlighet med eIDAS-förordningens krav. Förs det i dag något samtal på övergripande nivå mellan upphandlande myndigheter och leverantörer av upphandlingssystem i syfte att underlätta en anpassning till eIDAS-förordningen?
Fråga 3: Vilka lösningar för e-legitimation för utländska leverantörer är i dag godkända utifrån e-IDAS-förordningens krav? Kan till exempel Peppol vara en sådan lösning?
Fråga 1: Om den upphandlande myndigheten kräver detta, är den då bunden av eIDAS-förordningens (EU nr 910/2014) lagregler där även utländska leverantörer ska ges möjlighet att e-legitimera sig, vid till exempel lämnande av anbud.
Fråga 2: Om frågan ovan besvaras med ja, innebär det rimligtvis att marknadens leverantörer av upphandlingssystem bör kunna tillhandahålla lösningar för e-legitimation som är i enlighet med eIDAS-förordningens krav. Förs det i dag något samtal på övergripande nivå mellan upphandlande myndigheter och leverantörer av upphandlingssystem i syfte att underlätta en anpassning till eIDAS-förordningen?
Fråga 3: Vilka lösningar för e-legitimation för utländska leverantörer är i dag godkända utifrån e-IDAS-förordningens krav? Kan till exempel Peppol vara en sådan lösning?
Peter
Publicerad 02 maj 2018
Hej Peter,
Fråga 1
Ja, av 12 kap. 7 § lagen om offentlig upphandling (LOU) framgår att en upphandlande myndighet får kräva en sådan avancerad elektronisk underskrift som avses i artikel 3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 (eIDAS-förordningen). För sådan avancerad elektronisk underskrift gäller bestämmelserna om e-signatur och ömsesidigt erkännande av e-signaturer som framgår av artikel 25–34 i eIDAS-förordningen.
eIDAS-förordningen innebär att det från och med den 29 september 2018 är obligatoriskt för offentliga myndigheter att tillåta inloggning även med utländska e-legitimationer. Med eIDAS kan varje medborgare och organisation använda sin egen e-legitimation som är utfärdad i sitt eget land. För att läsa mer om eIDAS-förordningen på E-legitimationsnämndens webbplats som tillhandahålls av DIGG (Myndigheten för digital förvaltning).
I förarbetena till LOU framgår ”…att det inte är fråga om en skyldighet att ställa ett sådant krav utan en möjlighet om behovet av en säker identifikation av undertecknaren gör det nödvändigt i den enskilda upphandlingen. Det finns även andra, mindre ingripande lösningar som kan användas i elektroniska upphandlingssystem för att identifiera den person som ska underteckna en anbudsansökan eller ett anbud. Kostnaderna för en avancerad elektronisk underskrift synes inte heller vara så höga att de riskerar att nämnvärt försvåra små och medelstora företags tillträde till upphandlingar.” (se prop. 2015/16:195 s. 666)
I artikel 3 i eIDAS-förordningen definieras begreppet avancerad elektronisk underskrift som en elektronisk underskrift som uppfyller kraven enligt artikel 26. Av den hänvisade artikeln framgår vilka krav som tjänsten ska uppnå i form av kopplingen till undertecknaren, identifiering av densamma, tillförlitlighet i lösningen och spårbarhet.
Även om det är tillåtet att kräva en sådan avancerad elektronisk underskrift som avses i eIDAS-förordningen så vore det givetvis inte lämpligt att kräva det om upphandlande myndighet inte har ett it-stöd som stödjer detta. Innan kravet ställs bör därför den upphandlande myndigheten säkerställa att den har ett relevant it-stöd. Kraven bör formuleras utifrån de möjligheter och begränsningar som finns i det befintliga it-stödet.
Fråga 2
Vilka möjligheter och begränsningar upphandlingsverktygen i Sverige tillhandahåller och kommer att tillhandahålla regleras i avtal mellan respektive upphandlande myndighet och dess upphandlingsverktygsleverantör. I dagsläget finns ingen myndighet eller annat organ i Sverige som har befogenhet att meddela föreskrifter eller certifiera it-stöd för offentlig upphandling.
Ekonomistyrningsverket (ESV) hade fram till den 1 januari 2018 i uppdrag att upphandla ramavtal för upphandlingsplattformar där kravformuleringen kring eIDAS hade följande lydelse. ”Senast per september 2018 finns också stöd för att utländska E-legitimationer kan användas för Autentisering i Tjänsten och för signering av dokument. Detta hanteras så att Upphandlingsverktyget följer EIDAS-regelverket i enlighet med EU-förordning.” ESV:s upphandling överprövades dock på andra grunder varpå inget gällande ramavtal finns idag.
Sedan hösten 2015 finns det ett nationellt e-upphandlingsforum med syfte att stödja införandet av e-upphandling och tillämpningen av de nya direktiven. E-upphandlingsforumet är nära kopplat till Kommissionens expertgrupp för elektronisk upphandling (eng. Multi-Stakeholder Expert Group on e-Procurement) (EXEP). På forummötena informeras om arbetet i EXEP och det ges möjligheter till input till denna expertgrupp. Inom forumet finns idag företrädare för upphandlande myndigheter (inom staten, kommuner, landsting och regioner), företrädare för leverantörer genom näringslivsorganisationer och enskilda företag samt leverantörer av upphandlingsverktyg. Fler deltagare har möjlighet att ansluta sig till forumet. För att läsa mer om e-upphandlingsforum se SFTI:s webbplats.
På EU-nivå pågår flera initiativ för att realisera den digitala inre marknaden och ett projekt som genomförts är e-SENS projektet som bland annat syftat till att skapa it-lösningar för gränsöverskridande kommunikation. e-SENS projektets arbete har förts vidare in i PEPPOL:s arbete. PEPPOL står för Pan-European Public Procurement On-Line och är en organisation som bland annat tillhandahåller en infrastruktur för digital säker informationsförmedling. PEPPOL är också en verksamhets- och avtalsmodell samt en uppsättning vägledningar och tekniska specifikationer (standarder). PEPPOL ger stöd för digitala processer för e-upphandling och e-handel.
Fråga 3
E-legitimationsnämnden, som sedan 1 september 2018 är en del av DIGG, har i uppdrag att utöver stöd och vägledning etablera den nationella noden för e-tjänster och andra tjänster som erbjuder inloggning med e-legitimation. E-legitimationsnämnden har en förteckning över godkända lösningar i Sverige men kan säkert bidra med ytterligare information kring godkända lösningar i andra medlemsstater. För att läsa om hur e-legitimationer godkänns inom eIDAS, se DIGG:s webbplats.
Andra EU-länder, som liksom Sverige är medlemmar i PEPPOL, börjar nu använda PEPPOL-nätverket även för e-upphandling och för att överföra elektroniska e-upphandlingsmeddelanden mellan upphandlande myndighet och leverantör på ett säkert sätt. Användningen är av karaktären pilottester och är i ett tidigt skede. I dagsläget i Sverige används PEPPOL nätverket primärt för överföring av e-handelsmeddelanden (för processen beställning till betalning). ESV är PEPPOL-myndighet i Sverige. Läs mer om PEPPOL på DIGG:s webbplats.
Det finns mycket att läsa om detta område och ett övergripande tips är att ta del av e-legitimationsnämndens stöd på området.
Sammanslutningen eSAMs Juridiska vägledning för införande av e-legitimering och e-underskrifter innehåller också en del frågor kring ställningstaganden för att få en lösning på plats, vägledningen finns på eSAM:s webbplats.
Med vänlig hälsning,
Fråga 1
Ja, av 12 kap. 7 § lagen om offentlig upphandling (LOU) framgår att en upphandlande myndighet får kräva en sådan avancerad elektronisk underskrift som avses i artikel 3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 (eIDAS-förordningen). För sådan avancerad elektronisk underskrift gäller bestämmelserna om e-signatur och ömsesidigt erkännande av e-signaturer som framgår av artikel 25–34 i eIDAS-förordningen.
eIDAS-förordningen innebär att det från och med den 29 september 2018 är obligatoriskt för offentliga myndigheter att tillåta inloggning även med utländska e-legitimationer. Med eIDAS kan varje medborgare och organisation använda sin egen e-legitimation som är utfärdad i sitt eget land. För att läsa mer om eIDAS-förordningen på E-legitimationsnämndens webbplats som tillhandahålls av DIGG (Myndigheten för digital förvaltning).
I förarbetena till LOU framgår ”…att det inte är fråga om en skyldighet att ställa ett sådant krav utan en möjlighet om behovet av en säker identifikation av undertecknaren gör det nödvändigt i den enskilda upphandlingen. Det finns även andra, mindre ingripande lösningar som kan användas i elektroniska upphandlingssystem för att identifiera den person som ska underteckna en anbudsansökan eller ett anbud. Kostnaderna för en avancerad elektronisk underskrift synes inte heller vara så höga att de riskerar att nämnvärt försvåra små och medelstora företags tillträde till upphandlingar.” (se prop. 2015/16:195 s. 666)
I artikel 3 i eIDAS-förordningen definieras begreppet avancerad elektronisk underskrift som en elektronisk underskrift som uppfyller kraven enligt artikel 26. Av den hänvisade artikeln framgår vilka krav som tjänsten ska uppnå i form av kopplingen till undertecknaren, identifiering av densamma, tillförlitlighet i lösningen och spårbarhet.
Även om det är tillåtet att kräva en sådan avancerad elektronisk underskrift som avses i eIDAS-förordningen så vore det givetvis inte lämpligt att kräva det om upphandlande myndighet inte har ett it-stöd som stödjer detta. Innan kravet ställs bör därför den upphandlande myndigheten säkerställa att den har ett relevant it-stöd. Kraven bör formuleras utifrån de möjligheter och begränsningar som finns i det befintliga it-stödet.
Fråga 2
Vilka möjligheter och begränsningar upphandlingsverktygen i Sverige tillhandahåller och kommer att tillhandahålla regleras i avtal mellan respektive upphandlande myndighet och dess upphandlingsverktygsleverantör. I dagsläget finns ingen myndighet eller annat organ i Sverige som har befogenhet att meddela föreskrifter eller certifiera it-stöd för offentlig upphandling.
Ekonomistyrningsverket (ESV) hade fram till den 1 januari 2018 i uppdrag att upphandla ramavtal för upphandlingsplattformar där kravformuleringen kring eIDAS hade följande lydelse. ”Senast per september 2018 finns också stöd för att utländska E-legitimationer kan användas för Autentisering i Tjänsten och för signering av dokument. Detta hanteras så att Upphandlingsverktyget följer EIDAS-regelverket i enlighet med EU-förordning.” ESV:s upphandling överprövades dock på andra grunder varpå inget gällande ramavtal finns idag.
Sedan hösten 2015 finns det ett nationellt e-upphandlingsforum med syfte att stödja införandet av e-upphandling och tillämpningen av de nya direktiven. E-upphandlingsforumet är nära kopplat till Kommissionens expertgrupp för elektronisk upphandling (eng. Multi-Stakeholder Expert Group on e-Procurement) (EXEP). På forummötena informeras om arbetet i EXEP och det ges möjligheter till input till denna expertgrupp. Inom forumet finns idag företrädare för upphandlande myndigheter (inom staten, kommuner, landsting och regioner), företrädare för leverantörer genom näringslivsorganisationer och enskilda företag samt leverantörer av upphandlingsverktyg. Fler deltagare har möjlighet att ansluta sig till forumet. För att läsa mer om e-upphandlingsforum se SFTI:s webbplats.
På EU-nivå pågår flera initiativ för att realisera den digitala inre marknaden och ett projekt som genomförts är e-SENS projektet som bland annat syftat till att skapa it-lösningar för gränsöverskridande kommunikation. e-SENS projektets arbete har förts vidare in i PEPPOL:s arbete. PEPPOL står för Pan-European Public Procurement On-Line och är en organisation som bland annat tillhandahåller en infrastruktur för digital säker informationsförmedling. PEPPOL är också en verksamhets- och avtalsmodell samt en uppsättning vägledningar och tekniska specifikationer (standarder). PEPPOL ger stöd för digitala processer för e-upphandling och e-handel.
Fråga 3
E-legitimationsnämnden, som sedan 1 september 2018 är en del av DIGG, har i uppdrag att utöver stöd och vägledning etablera den nationella noden för e-tjänster och andra tjänster som erbjuder inloggning med e-legitimation. E-legitimationsnämnden har en förteckning över godkända lösningar i Sverige men kan säkert bidra med ytterligare information kring godkända lösningar i andra medlemsstater. För att läsa om hur e-legitimationer godkänns inom eIDAS, se DIGG:s webbplats.
Andra EU-länder, som liksom Sverige är medlemmar i PEPPOL, börjar nu använda PEPPOL-nätverket även för e-upphandling och för att överföra elektroniska e-upphandlingsmeddelanden mellan upphandlande myndighet och leverantör på ett säkert sätt. Användningen är av karaktären pilottester och är i ett tidigt skede. I dagsläget i Sverige används PEPPOL nätverket primärt för överföring av e-handelsmeddelanden (för processen beställning till betalning). ESV är PEPPOL-myndighet i Sverige. Läs mer om PEPPOL på DIGG:s webbplats.
Det finns mycket att läsa om detta område och ett övergripande tips är att ta del av e-legitimationsnämndens stöd på området.
Sammanslutningen eSAMs Juridiska vägledning för införande av e-legitimering och e-underskrifter innehåller också en del frågor kring ställningstaganden för att få en lösning på plats, vägledningen finns på eSAM:s webbplats.
Med vänlig hälsning,
Gustav
14 maj 2018 (Uppdaterat 13 mars 2021)
Fråga oss!
Våra öppettider gäller endast på helgfria dagar.