Remissunderlag: Konsekvensutredning av föreskrifter om krav på leverantörers ansökan

Sammanfattning

Myndigheten för digital förvaltning (Digg) avser att med stöd av 6 § förordning (2023:709) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post besluta om föreskrifter som reglerar krav som ska gälla för att en leverantörs ansökan om anslutning till auktorisationssystem för tjänster för elektronisk identifiering och för digital post ska godkännas.

Digg är tillhandahållande myndighet av auktorisationssystem för tjänster för elektronisk identifiering och digital post. Som tillhandahållande myndighet av auktorisationssystem ska Digg bland annat ställa krav som ska gälla för att en leverantörs ansökan om anslutning till auktorisationssystem ska godkännas. De samlade krav som gäller för att en leverantörs ansökan om anslutning till auktorisationssystem ska godkännas ska publiceras av Digg på en webbplats.

Digg har bemyndigats av regeringen att meddela föreskrifter om krav som ska gälla för att en leverantörs ansökan om anslutning till auktorisationssystem ska godkännas. Den här konsekvensutredningen avser de krav som Digg avser ställa i föreskrifter.

1 Inledning

1.1 Vad är auktorisationssystem?

I januari 2024 trädde lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post (härefter lagen om auktorisationssystem) i kraft. I lagen finns bestämmelser om auktorisationssystem i fråga om tjänster för elektronisk identifiering av enskilda och för digital post (härefter auktorisationssystem).

Auktorisationssystem är ett sätt för offentliga aktörer att skaffa tjänster för elektronisk identifiering och för digital post utan att behöva upphandla tjänsterna. Det är också ett sätt för leverantörer av tjänster för elektronisk identifiering och för digital post att erbjuda sina tjänster åt offentliga aktörer .

Digg har utsetts till tillhandahållande myndighet av auktorisationssystem vilket bland annat innebär att Digg ska ställa upp krav som ska gälla för att en leverantörs ansökan om att få ansluta till auktorisationssystem ska godkännas. De föreskrifter som Digg nu tar fram reglerar delvis de krav som föreslås ska gälla för att en leverantörs ansökan om anslutning till auktorisationssystem ska godkännas. Krav finns också i lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och digital post.

Samtliga krav som ska gälla för att en leverantörs ansökan om anslutning till auktorisationssystem ska godkännas ska sedan samlat publiceras på en webbplats. Det innebär att Digg även har möjlighet att ställa upp ytterligare krav för godkännande, förutsatt att de publiceras på en webbplats.

Digg ska sedan granska leverantörerna utifrån uppställda krav. De leverantörer som uppfyller kraven ska Digg godkänna och sedan ingå avtal med om utförande av tjänsterna. Det kommer inte att ske något urval av leverantörer, utan samtliga aktörer som uppfyller de krav som ställts upp, får teckna avtal erbjuda sina tjänster.

Offentliga aktörer kan, i sin tur, ingå avtal med Digg om att få använda tjänsterna i sin verksamhet. Genom auktorisationssystem ges också enskilda möjlighet att välja vilken leverantör som ska utföra tjänsterna åt denne i dennes kontakt med den offentliga aktören.

1.2 Digg inrättar två auktorisationssystem

Digg avser inledningsvis att inrätta två auktorisationssystem; ett auktorisationssystem för tjänster för elektronisk identifiering och ett auktorisationssystem för tjänster för digital post. De föreskrifter som nu föreslås gälla reglerar delar av de krav som ska gälla för att en leverantörs ansökan om anslutning till respektive auktorisationssystem ska godkännas.

I sammanhanget kan även sägas att den föreslagna regleringen inte utesluter att Digg i framtiden kommer kunna inrätta fler auktorisationssystem för tjänster för elektronisk identifiering respektive digital post.

1.3 Digg tillhandahåller infrastruktur för elektronisk identifiering och digital post

Utöver att vara tillhandahållande myndighet av auktorisationssystem tillhandahåller Digg även en infrastruktur för elektronisk identifiering som bland annat består av det så kallade Tillitsramverket för Svensk e-legitimation. Ramverket baseras på internationella standarder och innehåller de krav som återfinns i eIDAS-förordningen samt regler som gäller för svenska e-legitimationer. Ramverket anger vilka krav som ska uppnås för att angiven tillitsnivå i utfärdade e-legitimationer ska säkerställas.

Digg tillhandahåller även den myndighetsgemensamma infrastrukturen för digital post som har namnet Mina meddelanden. Till infrastrukturen ska offentliga aktörer, de enskilda som begärt att få ta del av digital post från offentliga aktörer samt leverantörer av elektroniska postbefordringstjänster och elektroniska brevlådor (brevlådeoperatörer) anslutas. För att en brevlådeoperatör ska kunna ansluta till infrastrukturen behöver den granskas och godkännas av Digg utifrån de krav som gäller för anslutningen till infrastrukturen.

1.4 Konsekvensutredningens omfattning

En konsekvensutredning ska stå i proportion till förslagets eller beslutets omfattning och effekter.

Lagstiftaren har redan bestämt att auktorisationssystem för tjänster för elektronisk identifiering och digital post ska införas, och på vilket sätt det ska införas. Konsekvenser av att införa auktorisationssystem har utretts och beskrivs i regeringens proposition Auktorisationssystem i fråga om tjänster för elektronisk identifiering och digital post, prop. 2023/24:6. Där beskrivs också konsekvenserna av de krav som lagstiftaren ställer på leverantörerna för att deras ansökan om anslutning till auktorisationssystem ska godkännas.

Diggs förslag till föreskrifter utgör därmed en delmängd av kraven som ska gälla för godkännande av ansökningar från leverantörer av tjänster för elektronisk identifiering och digital post. Digg begränsar därför konsekvensutredningen till konsekvenserna av de krav som Digg i föreskrifter föreslår ska gälla för leverantörer av elektronisk identifiering och digital post.

1.5 Diggs arbete med att ta fram och utforma kraven

Digg har utgått från befintliga regelverk för elektronisk identifiering och digital post i arbetet med att ta fram och utforma kraven på leverantörerna som Digg föreslår ska gälla. Digg har också beaktat den numera upphävda lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (lagen om valfrihetssystem) och de krav som ställdes på leverantörer inom de valfrihetssystem som inrättades med stöd av den lagen.

Digg har även involverat ett urval av offentliga aktörer (exempelvis myndigheter, medlems- och arbetsgivarorganisation Sveriges kommuner och regioner [SKR] och kommunförbund), expertmyndigheter (exempelvis Bolagsverket, Integritetsskyddsmyndigheten, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Post- och telestyrelsen och Skatteverket) och leverantörer av tjänster för elektronisk identifiering och digital post i framtagandet av kraven. Syftet med att involvera dessa aktörer har varit att samla den offentliga förvaltningens kompetens på området och säkerställa att kraven är rätt ställda utifrån offentliga aktörers behov, samt att de också är proportionerliga.

Digg har hållit möten, både i grupp och enskilt med aktörerna, för att inhämta behov och synpunkter på de krav som Digg nu avser ställa på leverantörerna. Digg har också skickat ut utkast till krav till ett urval av aktörerna och tagit emot deras synpunkter. Alla synpunkter har inte kunnat omhändertas inom ramen för det arbete som Digg nu bedrivit med att utforma de krav som föreslås gälla, men Digg avser att arbeta vidare och utveckla auktorisationssystem och har då, genom inhämtat underlag, en bra utgångspunkt för kommande arbete.

I sammanhanget bör nämnas att all form av samverkan som skett med leverantörer har publicerats på Diggs webbplats för att möjliggöra för samtliga intresserade leverantörer och potentiella leverantörer att delta och få tillgång till samma information.

2 Det aktuella problemet och vilken förändring som eftersträvas

Enligt lagstiftaren står tillgången till förvaltningsgemensamma, säkra och kontrollerade tjänster från godkända leverantörer i fokus vid införandet av auktorisationssystem. Mot bakgrund av det rådande säkerhetspolitiska läget behöver den digitala infrastrukturen vara robust. Tjänsterna ska också vara utvecklade utifrån medborgarnas behov. Dessa aspekter är centrala vid utformningen av kraven på leverantörerna och deras tjänster.

Genom att Digg ställer upp de krav som ska gälla för leverantörer av tjänster för elektronisk identifiering och digital post säkerställer Digg att offentliga aktörer får tillgång till robusta, kvalitetssäkrade förvaltningsgemensamma tjänster genom auktorisationssystem.

3 Redogörelse för vilka konsekvenser som bedöms uppstå om ingen åtgärd vidtas

En central uppgift för Digg i egenskap av tillhandahållande myndighet av auktorisationssystem är att säkerställa att offentliga aktörer får tillgång till förvaltningsgemensamma, säkra tjänster för elektronisk identifiering och digital post som är utvecklade utifrån medborgarnas behov. För att uppnå detta behöver Digg ställa krav på leverantörerna.

Om Digg inte ställer krav på leverantörerna i syfte att säkerställa att offentliga aktörer får tillgång till förvaltningsgemensamma, säkra tjänster för elektronisk identifiering och digital post som är utvecklade utifrån medborgarnas behov finns risk att offentliga aktörer använder sig av tjänster som dels inte är säkra, dels inte motsvarar medborgarnas förväntningar och behov. Det finns också en risk att tjänsterna inte säkerställer en robust digital infrastruktur.

Det framgår också av lag och förordning att Digg i rollen som tillhandahållande myndighet av auktorisationssystem ska ställa krav på leverantörerna och deras tjänster. Om Digg inte ställer krav efterlever Digg inte den rättsliga regleringen för inrättande av ett auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

4 De olika alternativen som finns för att uppnå förändringen och de fördelar respektive nackdelar som bedöms finnas med dessa

4.1 Allmänt om reglering av kraven på leverantörer i föreskrifter

Enligt 6 § lagen om auktorisationssystem ska Digg publicera de krav som ska gälla för att en leverantörs ansökan om anslutning till ett auktorisationssystem ska godkännas på en webbplats. Digg ska sedan, enligt 11 §, pröva leverantörens ansökan mot de krav som Digg publicerat på webbplatsen.

Så som Digg tolkar lagstiftningen skulle det vara tillräckligt att Digg publicerar de krav som ska gälla för att en leverantörs ansökan om anslutning ska godkännas på en webbplats för att de ska vara gällande. Syftet med att kraven ska publiceras på en webbplats har inte närmare beskrivits i förarbetena till lagstiftningen men Digg uppfattar att syftet framförallt är att leverantörer ska ha lika tillgång till kraven.

Fördelen med att enbart publicera kraven på en webbplats är att det skulle vara relativt enkelt att ändra allteftersom behov av ändring uppstår. De krav som Digg ställer är emellertid generellt utformade och riktar sig till en större krets av aktörer. De ska också ligga till grund för Diggs beslut om en leverantörs ansökan om anslutning till auktorisationssystem ska godkännas eller inte. Om Digg skulle besluta att avslå en leverantörs ansökan om anslutning till auktorisationssystem ankommer det dessutom på förvaltningsdomstol att pröva Diggs beslut gentemot de krav som Digg ställt upp på leverantörer. Digg anser att sådana typer av bindande regler som kraven på leverantörer i detta fall kommer att utgöra lämpar sig väl för reglering genom föreskrifter.

4.2 Kraven på leverantörer

4.2.1 Generella krav på leverantörer

De generella krav som Digg avser ställa på leverantörer innebär att leverantören ska ange vissa uppgifter i sin ansökan. Uppgifterna behövs för att Digg ska kunna hantera leverantörens ansökan och i slutändan kunna fatta beslut om godkännande av leverantörens ansökan.

Utöver särskilda krav på ansökan syftar kraven till att Digg, på olika sätt, ska kunna kontrollera leverantören, dess verksamhet och dess företrädare. Kontrollerna syftar i sin tur till att säkerställa att leverantören har såväl ekonomisk som teknisk kapacitet att fullgöra avtalen inom auktorisationssystem och därmed leva upp till de krav som gäller för leverantörer av tjänster för elektronisk identifiering och digital post.

I många fall kan Digg hämta in uppgifter om leverantörerna på egen hand, exempelvis genom att Digg har tillgång till olika typer av officiella register. Genom att inhämta uppgifterna direkt ur officiella register minskar risken för att uppgifter som hämtas in är inaktuella eller manipulerade på något sätt. I de situationer då Digg inte kan få åtkomst till uppgifterna har Digg, enligt föreslagen reglering, möjlighet att begära att leverantören kommer in med uppgifterna i olika former av dokumentation. Anledningen till att Digg ställer krav på att dokumentation inte ska vara äldre än viss tid är för att säkerställa att uppgifterna är aktuella.

4.2.2 Krav på leverantörer av tjänster för elektronisk identifiering

Tjänster för elektronisk identifiering inrymmer olika former av tjänster. För den första delen som blir aktuell inom ramen för ett auktorisationssystem för elektronisk identifiering, utfärdande av e-legitimationer, finns regler i Tillitsramverket för Svensk e-legitimation. Digg anser att denna del är så väsentlig i ett auktorisationssystem för elektronisk identifiering att det bör vara ett av de krav för godkännande som ska anges i föreskriften. I föreskriften anges således att en leverantör som ansöker om anslutning till auktorisationssystem för elektronisk identifiering ska vara godkänd av Digg enligt Tillitsramverket för Svensk e-legitimation för aktuell tillitsnivå.

Tillitsramverket för Svensk e-legitimation är riskbaserat teknikneutralt ramverk där det finns krav på den som utfärdar e-legitimationer avseende bland annat organisation, informationssäkerhet och fysisk säkerhet samt utformning av identitetskontroller. Ramverket är baserat på internationella standarder med olika nivå med olika krav på säkerheten för olika så kallade tillitsnivåer, ju högre tillitsnivå desto högre krav ställs på utfärdaren vid utfärdande av e-legitimationer. Tillitsramverket för Svensk e-legitimation omfattar tillitsnivåerna 2, 3 och 4 vilka motsvarar tillitsnivåerna låg, väsentlig och hög i eIDAS-förordningen.

E-legitimationer som utfärdas till enskilda som har personnummer och som uppnår en eller flera av tillitsnivåerna 2, 3 och 4, enligt definitionerna i Tillitsramverket för Svensk e-legitimation, ska ingå i auktorisationssystemet för elektronisk identifiering. Kravet på godkännande enligt Tillitsramverket för Svensk e-legitimation i föreskriften innebär att leverantörer som är godkända av Digg på dessa tillitsnivåer kan visa att de uppfyller kraven genom godkännandet.

Genom att hänvisa till ett godkännande enligt Tillitsramverket för Svensk e-legitimation som finns publicerat på Diggs hemsida blir det tydligt vilka krav som gäller. Då kraven i Tillitsramverket för Svensk e-legitimation härrör från internationella standarder och motsvarande krav finns inom EU kan kraven anses väletablerade och allmänt accepterade.

Ett alternativ till att kräva att en leverantör som ansöker om anslutning till auktorisationssystem för elektronisk identifiering ska vara godkänd av Digg enligt Tillitsramverket för Svensk e-legitimation vore att i stället för att kräva ett godkännande av Digg i föreskriften, enbart ange att kraven i Tillitsramverket för Svensk e-legitimation ska följas.

Ytterligare ett alternativ vore att inte ha detta kravet alls eller att enbart kräva att vissa delar i Tillitsramverket för Svensk e-legitimation ska följas. Digg bedömer dock att det sistnämnda inte är genomförbart om Digg ska kunna uppfylla uppdraget att ge offentliga aktörer tillgång till standardiserade och säkra tjänster för elektronisk identifiering. Tillitsramverket för Svensk e-legitimation är en viktig grundsten för utfärdande av e-legitimationer, inte bara inom ramen för auktorisationssystemet utan för elektronisk identifiering som helhet i offentliga sektorn. Vad gäller då alternativet att enbart hänvisa till kraven i Tillitsramverket för Svensk e-legitimation i stället för att kräva ett godkännande av Digg liknar detta konstruktioner som återfanns i valfrihetssystemet. Digg har dock uppfattat att denna typ av konstruktion berodde på rådande omständigheter och Digg kan inte se några fördelar med en sådan lösning under dagens förutsättningar. En sådan utformning av kravet medför att det både blir svårare för leverantören att visa att den uppfyller kravet och även svårare för Digg att kontrollera att leverantören uppfyller kravet. Digg bedömer också att villkoren i anslutningsavtalet blir tydligare när de kan kopplas till ett godkännande av Digg enligt Tillitsramverket för Svensk e-legitimation. Digg skulle kunna välja att ställa upp andra krav på leverantörerna och deras tjänster som skiljer sig från befintliga regelverk.

4.2.3 Krav på leverantörer av tjänster för digital post

I de krav som Digg föreslår ska gälla för godkännande av leverantörer av digital post inom auktorisationssystem föreslår Digg att leverantören ska vara ansluten till Mina meddelanden som brevlådeoperatör. Ett sådant krav innebär att leverantören behöver leva upp till de krav som gäller för brevlådeoperatörer inom Mina meddelanden. Det innebär också att leverantören lever upp till de krav som gäller för infrastrukturen som leverantören ska verka inom.

Om Digg skulle ställa upp andra krav finns en risk att det ställs krav på leverantörer som inte är nödvändiga för att tillhandahålla tjänster inom Mina meddelanden. Den typen av krav bedöms överflödiga. Om Digg skulle ställa upp andra krav finns också en risk att regelverken över tid skulle komma att skilja sig åt, och därmed också kraven på leverantörerna av digital post.

Olika krav innebär också att leverantörerna skulle behöva underkasta sig olika typer av kontroller som egentligen syftar till att säkerställa samma sak. Det riskerar att bli kostsamt, för såväl leverantören som för Digg i egenskap av tillhandahållande myndighet av auktorisationssystem och infrastrukturansvarig inom Mina meddelanden. Det bedöms därför inte vara lämpligt att ställa krav som avviker från de krav som gäller på brevlådeoperatörer inom Mina meddelanden.

5 Det eller de alternativ som bedöms lämpligast och av vilka skäl

5.1 Digg behöver ställa krav på leverantörerna

Så som framgår ovan ankommer det på Digg att i egenskap av tillhandahållande myndighet ställa krav på leverantörerna. Om Digg inte skulle ställa krav skulle det inte finnas några auktorisationssystem, och därmed finns det, som Digg bedömer det, inga alternativ till att ställa krav. Frågan är snarast vilka krav som är lämpliga att ställa.

5.2 Digg hämtar in uppgifter själv i första hand

Vad gäller kraven på att leverantören ska lämna visst underlag för att visa att den uppfyller de krav som ställs, väljer Digg att utforma kraven på ett sätt som gör att Digg inte kräver in uppgifter som Digg själv har tillgång till genom officiella register. På så sätt åläggs leverantören inte onödiga uppgifter.

5.3 Kraven utgår från befintliga regelverk

Vid utformningen av kraven väljer Digg att utgå från redan befintliga regelverk som gäller för leverantörer av elektronisk identifiering och digital post. Genom att falla tillbaka på befintliga och redan etablerade regelverk blir kraven på leverantörerna inte mer långtgående än vad som redan gäller inom respektive bransch. Befintliga regelverk säkerställer också att tjänsterna är förvaltningsgemensamma och säkra.

6 Bemyndigandet som Diggs beslutanderätt grundar sig på

Auktorisationssystem för tjänster för elektronisk identifiering och för digital post regleras genom

• lag (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post, och
• förordning (2023:709) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

Med stöd av 6 § förordningen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post ges Digg möjlighet att meddela föreskrifter om de krav som ska vara uppfyllda för att en leverantörs ansökan om anslutning till ett auktorisationssystem ska godkännas.

I förarbetena (se prop. 2023/24:6 Auktorisationssystem i fråga om tjänster för elektronisk identifiering och digital post, s. 39) anges att Digg kommer att ange generellt utformade krav för anslutning till auktorisationssystem som riktar sig till en större krets. Dessa krav kommer att ligga till grund för Diggs beslut om godkännande aven leverantörs ansökan om anslutning till auktorisationssystem. Digg ges därför bemyndigande att meddela föreskrifter om detta.

7 Den föreslagna föreskriften

Föreskriften om krav på leverantörers ansökan om anslutning till auktorisationssystem för elektronisk identifiering och digital post föreslås utformas enligt följande:

Remissunderlag: Förslag till föreskrifter om krav på leverantörers ansökan om anslutning.

8 Analys

8.1 Beskrivning och beräkningar av regleringens kostnader och intäkter för staten, kommuner, regioner, företag och andra enskilda

Digg bedömer att de krav som ställs på leverantörer som vill ansluta till auktorisationssystem inte medför några kostnader eller intäkter för stat, kommun eller region.

För leverantörer som vill ansöka om att ansluta till auktorisationssystem kommer administrativa kostnader uppstå i form av den arbetstid som krävs för att fylla i de uppgifter som efterfrågas i ansökan och komma in med det underlag som efterfrågas.

Beroende på vilka uppgifter som Digg på egen hand kan få tillgång till genom officiella register kommer den arbetstid som krävs för att fylla i ansökan och bifoga underlag variera. Förutsatt att Digg kan hämta de flesta uppgifter själv (vilket torde vara normalfallet) uppskattar Digg att det inte bör ta mer än två timmar för leverantören att fylla i ansökan. Vid en uppskattad arbetskostnad om 1 000 kronor per timme skulle kostnaden då för leverantören vara 2 000 kronor.

I de fall då Digg inte kan kontrollera uppgifterna i officiella register kommer det uppstå en kostnad för leverantören för att den själv behöver inhämta uppgifterna och sedan lämna över dessa till Digg. Digg bedömer att det inte bör ta mer än åtta timmar (en arbetsdag) för leverantören att komma in med samtliga uppgifter. Vid en uppskattad arbetskostnad om 1 000 kronor per timme skulle kostnaden då för leverantören vara 8 000 kronor. Till det skulle det kunna tillkomma kostnader för underlagen. Kostnaderna kommer att variera beroende på i vilket land leverantörens uppgifter finns registrerade. Digg uppskattar att den samlade kostnaden för att ta fram underlagen inte bör överskrida 5 000 kronor.

8.2 Redogörelse för vilka åtgärder som har vidtagits för att förslaget inte ska medföra mer långtgående kostnader eller begränsningar än vad som bedöms vara nödvändigt för att uppnå dess syfte

Enligt 5 § i lagen om auktorisationssystem ska Digg följa principerna om öppenhet, ömsesidigt erkännande och proportionalitet när Digg tillhandahåller auktorisationssystem. Det innebär att de principerna också ska gälla när Digg tar fram krav som ska gälla för att leverantörer ska godkännas. Digg har därför noggrant övervägt de krav som ska ställas på leverantörerna och inte gått utöver krav som kan bedömas som nödvändiga.

Vid utformningen av kraven har Digg valt att utgå från de redan befintliga regelverken som gäller för leverantörer av elektronisk identifiering och digital post. Genom att falla tillbaka på redan etablerade regelverk för leverantörer av elektronisk identifiering och digital post blir kraven på leverantörerna inte mer långtgående än vad som redan gäller inom respektive bransch.

Digg avser att, i första hand, själv inhämta efterfrågade uppgifter ur offentliga register för att minska den administrativa bördan för leverantörer.

8.3 Bedömning av om särskild hänsyn behöver tas när det gäller tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser

Det är angeläget att Digg inrättar auktorisationssystem så snart som möjligt. De krav som ska gälla för leverantörer av tjänster för elektronisk identifiering och digital post är centrala i det avseendet. Det är därför angeläget att föreskrifterna träder i kraft så snart som möjligt. Mot bakgrund härav föreslår Digg att föreskriften träder i kraft den 5 maj 2025.

I Diggs arbete med att införa auktorisationssystem kommer Digg på olika sätt informera om auktorisationssystem och därmed också de krav som ställs på leverantörerna. Informationen kommer att lämnas på flera sätt, bland annat genom deltagande i webbinariet Digg-forum, på Diggs webbplats och genom riktade insatser anpassade efter olika aktörer.

Arbetet med att informera aktörer har redan inletts och Digg informerar löpande om arbetet på sin webbplats.

I samband med att det föreslagna regelverket anmäls till EU (se avsnitt 8.5) kommer Digg att informera om det, samt vilka krav Digg föreslår ska gälla på sin webbplats. När reglerna har granskats kommer Digg också informera om det. Det är angeläget för Digg att såväl potentiella leverantörer som offentliga aktörer nås av informationen.

När föreskrifterna väl träder i kraft kommer Digg att publicera kraven samlat på en webbplats i enlighet med de krav som finns för publicering av kraven i lagen om auktorisationssystem.

8.4 Beskrivning av hur och när konsekvenserna av förslaget kan utvärderas

8.4.1 Utvärdering av formen av reglering

Eftersom såväl regleringen av auktorisationssystem som uppgiften för Digg att tillhandahålla auktorisationssystem är ny kommer Digg behöva utvärdera om regleringen av kraven på leverantörer i föreskrifter är en lämplig form.

En första utvärdering kommer att genomföras i slutet av år 2025, i samband med att Digg utvärderar hur myndigheten arbetat med införandet av auktorisationssystem. Därefter kommer utvärdering ske i samband med att kraven ses över, vilket kommer att ske minst vartannat år.

Om de föreslagna reglerna prövas av domstol kommer Digg också göra en utvärdering av hur domstolen tillämpat och tolkat regleringen i samband med sin prövning. Digg ska därför göra en översyn första gången en förvaltningsdomstol prövar ett beslut om att avslå en leverantörs ansökan om anslutning till auktorisationssystem.

8.4.2 Utvärdering av kraven på leverantörer

Digg avser att kontinuerligt följa upp de föreslagna kraven för att ta ställning till om kraven leder till att offentliga aktörer får tillgång till robusta, kvalitetssäkrade förvaltningsgemensamma tjänster genom auktorisationssystem. Digg avser att redan under 2025 arbeta vidare med auktorisationssystem och se över de ställda kraven för att se om de behöver kompletteras på något sätt. Digg behöver också säkerställa att kraven som ställs inte är administrativt betungande för leverantörerna i onödan, och om åtgärder kan vidtas för att minska leverantörens administrativa börda i samband med ansökan.

För att följa upp kraven avser Digg bland annat ha uppföljningsmöten med såväl leverantörer som användande offentliga aktörer och expertmyndigheter.

I de avtal som Digg tar fram som ska gälla för leverantörer som är anslutna till auktorisationssystem förbehåller sig Digg rätten att två gånger per år kalla leverantörer till att delta i uppföljningsmöten med Digg.

Digg kommer också, efter det att auktorisationssystem inrättats, utvärdera om de nyttor som lagstiftaren sett framför sig med införandet av auktorisationssystem nås genom Diggs införande eller om det finns anledning på Digg att ändra på något i exempelvis kravställningen på leverantörerna.

8.5 Bedömning av om förslaget överensstämmer med de skyldigheter som följer av Sveriges anslutning till Europeiska unionen

När myndigheter tar fram vissa typer av föreskrifter kan det finnas en skyldighet att anmäla förslagen till EU. Exempel på anmälningsskyldighet finns i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (anmälningsdirektivet), samt i Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirektivet).

Digg bedömer att det finns en skyldighet att anmäla de föreslagna föreskrifterna till EU. Digg avser därför att under december 2024 överlämna denna konsekvensutredning med tillhörande föreslagna regler till Kommerskollegium för vidare anmälan till EU.

Det är Diggs bedömning att de förslag till krav som nu föreslås är förenliga med de skyldigheter som följer av Sveriges anslutning till EU.