En ljusnande plånbok är vår

2024-05-31

Beslutet är fattat! Nu uppdateras EU:s förordning om elektronisk identifiering och betrodda tjänster (eIDAS-förordningen). Den största nyheten är att en identitetsplånbok, vid namn ”EU Digital Identity Wallet” (EUDI Wallet), introduceras. När eIDAS-förordningen introducerades 2014 fanns det också höga ambitioner, som tyvärr ofta mötts med digitala väntrum. Blir det annorlunda nu?

eIDAS är en förordning vilket innebär att manöverutrymmet för medlemsländerna är starkt begränsat. En förordning blir direkt tillämplig i medlemslandet. Tidplanen blir därmed också tydlig. Den 21 november, 6 månader efter att beslutet klubbats, ska genomförandeakter för identitetsplånboken finnas på plats och två år efter det ska det gå att använda identitetsplånböckerna. I dessa NIS2-tider, där remissrundan precis avslutats, är det lätt att tänka att vi får eIDAS2. Det är dock inte en ny eIDAS-förordning, utan en uppdatering av existerande förordning. NIS och NIS2 är förövrigt EU-direktiv vilket är viktigt att tillägga.

Redan för två år sedan gav regeringen Digg uppdrag att ta fram en eller flera digitala plånböcker inom ramen för EU:s storskaliga pilotprojekt (Large Scale Pilots; EUDI) vilket ska ses som startskottet för att Digg ikläder sig rollen som plånboksoperatör. Ett naturligt val. Jag känner mig helt trygg så länge som Digg också inte bedriver tillsyn mot sig själv. Det finns lite tendenser i exempelvis utredningen om den statliga e-legitimationen som oroar något.

Just ansvarsfördelningen kring eIDAS är tudelad i Sverige. Digg är lite mer framåtlutande och har tagit flera delar av tårtan av bara farten, men PTS som tillsynsmyndighet är lite famlande i kölvattnet av Digg. Det rimliga är att Digg fortsätter att vara framåtlutande och gör verkstad av alla delar inom ramen för eIDAS och att PTS kavlar upp ärmarna och blir den naturliga tillsynsmyndigheten för alla delar inom ramen för eIDAS. Inte bara för betrodda tjänster.

Om vi hade sorterat ansvarsfrågan tidigare hade exempelvis underskriftsarenan blommat betydligt bättre än vad den gör just nu. Sverige är hopplöst efter och tvingas använda europeiska tjänster i större utsträckning än kanske önskvärt för att realisera kvalificerade underskrifter och stämplar. Å andra sidan visar det att den fria rörligheten inom EU fungerar, men ur ett säkerhetspolitiskt perspektiv finns det flera fördelar med att vara betydligt mer autonom när det kommer till samhällsviktiga tjänster. Jag ser gärna svensk flagg när underskriften valideras. 

Vad är vägen fram för EUDI Wallet? Infrastrukturen byggs redan och med Digg vid rodret kommer det att landa bra. Kvarstår för alla som ska producera och konsumera information i plånboken att rusta sig för det. Lika naturligt som att konsumera alla godkända e-legitimationer via öppna och inkluderande protokoll som SAML och OIDC ska det vara att konsumera information från en EUDI plånbok. Förmågan ska finnas hos var och envar.

För alla organisationer som har information om mig som kan förpackas i plånboksliknande format förväntar jag mig realiserar möjligheten. Det är inte bara min förväntan utan det är förordningens förväntan vilket redan avspeglas hos oss. I de utbildningar vi håller är kursintyg försedda med kvalificerad e-stämpel och givetvis attesterade plånboksattribut i strukturerat JSON-format enligt European Digital Credentials Infrastructure (EDCI) för den som önskar.

En anekdot apropå uppdateringen av eIDAS är att EU:s officiella tidning där kungörandet av uppdateringen av förordningen sker är e-stämplad på kvalificerad nivå. Det har ett mycket viktigt signalvärde att beslutande organ också lever som man lär. Frågan är dock om någon någonsin verifierat stämpeln? Namngivningspraxis för de publicerade pdf-upplagorna av den officiella tidningen motsvarar inte den namngivning som XAdES-QESeal-stämpeln förväntar sig, vilket kräver en hel del manuellt omdöpningsarbete av de 24 språkversionernas upplagor av tidningen. Alla 24 upplagorna måste vara med i valideringen för att verifieringen ska gå igenom.

2½ år går väldigt fort varför det är hög tid att agera. Ett viktigt medskick för att inte mötas av nya digitala väntrum är att våga göra det enkelt. E-stämpeln av EU:s officiella tidning är inte ett exempel på det.