Vad betyder SKR:s nya riktlinjer för e-underskrifter?

Sveriges Kommuner och Regioners vägledning från december 2025 ger kommuner och regioner stöd i att välja, upphandla och införa e‑underskrifter på ett enhetligt och rättssäkert sätt. Den kompletterar tidigare material från Digg, eSam, Kammarkollegiet, Sambruk och Riksarkivet. Den kan dock vara lite svårtolkad, så här kommer vår TL;DR.

Syfte och tillämpning

Vägledningen är avsedd för verksamheter inom kommuner och regioner och fokuserar på hur:

• Olika nivåer av elektroniska underskrifter bör användas i offentlig sektor
• Organisationer kan ställa rätt krav vid upphandling
• Långsiktig hantering, arkivering och validering bör utformas

Övergripande rekommendationer

1. Välj rätt nivå av elektronisk underskrift

Det finns tre nivåer av e-underskrifter och bör enligt eIDAS tillämpas beroende på risk och krav:

• Simpel/enkel elektronisk underskrift (SES) – för interna lågriskhandlingar
• Avancerad elektronisk underskrift (AdES) – när identifiering och integritet är viktigt
• Kvalificerad elektronisk underskrift (QES) – när lag kräver högsta säkerhetsnivå, handlingens rättsverkan är särskilt kritisk eller innebär interaktion över landsgränser

Du kan läsa mer om vad de olika nivåerna innebär för just din organisation här.

2. Vid upphandling: ställ krav på teknik, tillit och interoperabilitet

SKR rekommenderar att organisationer ställer krav på:

• Stöd för etablerade format och säkerhetsnivåer, tex avancerad elektronisk underskrift (PAdES)
• Arkiverbart format (PDF/A)
• Tydlig loggning och spårbarhet kopplad till underskriften
• Funktioner för långtidsvalidering (LTV) och äkthet över tid
• Att bevisvärde kan upprätthållas även om certifikat löper ut eller tekniken förändras

3. Säkerställ kedjan av förtroende

SKR:s vägledning beskriver förtroendekedjan, från e‑legitimation till signeringstjänst och vidare till verifiering och arkivering. De betonar även att alla steg måste vara robusta för att helheten ska vara säker.

4. Långsiktig bevaring och validering

Elektroniskt underskrivna handlingar ska kunna kontrolleras även långt efter signering. SKR pekar på:

• Behovet av metadata och valideringsintyg
• Krav på arkivformat och långtidsstöd
• Att förluster i möjligheten att validera underskrifter kan få rättsliga konsekvenser, något som även Riksarkivet understryker

5. När behövs underskrift – och när räcker digitalt godkännande?

SKR klargör att underskrift inte alltid behövs, många processer kan förenklas genom digitala godkännanden när lagstiftningen inte kräver formell underskrift. Detta minskar kostnader och effektiviserar handläggning.

Exempel där digitalt godkännande räcker:

• Interna beställningar (t.ex. IT‑beställningar, behörighetsärenden, lokalservice)
• Godkännande av interna riktlinjer eller policys
• Enkel intern ärendeinitiering (t.ex. begäran om åtgärd eller utredning)

• Enkla delegationsbeslut i verksamhetssystem där användaren är inloggad
• Bekräftelser på mottagande eller delgivning (när lagen inte kräver signatur)
• Intern kontroll, t.ex. checklista-avprickning i kvalitetssystem

• Intern remisshantering
• Projektgodkännanden eller milstolpe‑beslut inom förvaltningen

Här styrs bevisvärdet av loggar, spårbarhet och e‑identifiering, inte av formella underskrifter.

Relation till andra regelverk

Vägledningen bygger vidare på och kompletterar material från Digg, eSam, Kammarkollegiet, Sambruk och Riksarkivet. Den förtydligar hur e‑underskrifter ska förstås i relation till:

• eIDAS-förordningen
  Klargör hur e‑underskrifter ska tolkas enligt eIDAS‑reglerna och vilka krav som gäller för olika nivåer av elektroniska underskrifter
  
• GDPR
  Förtydligar hur hantering av e‑underskrifter ska ske i enlighet med GDPR, särskilt kring personuppgifter, säkerhet och bevisvärde
  
• Tryckfrihetsförordningens regler om allmän handling
  Beskriver hur e-underskrifter förhåller sig till reglerna om allmän handling och arkivering, i linje med Riksarkivets ställningstaganden

Praktisk användning i kommuner och regioner

SKR betonar vikten av:

• Enhetliga interna riktlinjer
• Att all dokumenthantering ses ur ett livscykelperspektiv
• Att val av underskriftsnivå kopplas till riskanalys
• Att teknik och processer harmoniseras över förvaltningen

I praktiken innebär det att kommuner och regioner behöver bestämma en inriktning på hur, var och när elektroniska underskrifter ska användas. Det behöver sen göras tydligt för verksamheten så att alla är införstådda i detta och har kunskapsstöd för såväl signering som validering av signerade dokument. Vidare behövs det också finnas en strategi kring hur länge ett dokument ska leva, hur arkiveringen ska fungera och om en underskrift behöver kunna valideras över långa tidsperioder (hint, det behövs oftast!). För att få hanteringen av elektroniskt underskrivna dokument och handlingar att fungera i praktiken så behöver du också se till att de lösningar och leverantörer som väljs passar in i verksamhetens behov.

Hur kan du se till att följa rekommendationerna?

Naturligtvis kommer vår rekommendation vara att se till att välja en underskriftstjänst som redan uppfyller SKR:s rekommendationer, för att slippa huvudvärken av att läsa krångliga beskrivningar, tolka krav, och jämföra olika leverantörer som kanske eller kanske inte är säkra och robusta nog. Signport är en underskriftstjänst som redan från grunden är byggd för att möta de krav SKR rekommenderar i sin vägledning. Det finns inget arv med föråldrade metoder som behöver tas hänsyn till, inga tvivelaktiga genvägar som kan ifrågasättas.

Signport skapar avancerade elektroniska underskrifter (PAdES/XAdES) i enlighet med eIDAS-förordningen. PDF-dokument kan konverteras till ett arkiverbart format, exempelvis PDF/A-1b som Riksarkivet kräver. Underskrifterna aktiveras för långtidsvalidering (LTV), som gör att de kan valideras över tid även efter att underskriftscertifikatet har gått ut.

Vill du veta mer om SKR:s rekommendationer eller hur Signport kan hjälpa din organisation att uppfylla dem, är du välkommen att kontakta mig direkt!