Versions Compared

Old Version 6

changes.mady.by.user Johan Tjäder

Saved on

compared with

New Version 7

changes.mady.by.user Johan Tjäder

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Panel
borderColorblack
borderStylesolid
titleMetadata

1. Identitet

  • Domän: Juridisk och organisatorisk interoperabilitet
  • Version: 0.1
  • Status:
    Status
    colourRed
    titleUTKAST
    [Utkast / Remiss / Fastställd / Ersatt / Arkiverad]

2. Syfte och tillämpning

  • Syfte:
  • Tillämpningsområde (scope): [Vad omfattas?]
  • Utanför scope: [Vad omfattas uttryckligen inte?]
  • Målgrupp:
    • Primär:
    • Sekundär:
  • Typ av normativt artefakt: Policy [Villkor / Policy / Ramverk / Krav / Profil/Specifikation / Annat]
  • Relationer till andra artefakter:

3. Anteckningar (materiella oklarheter)

  • [Punktlista: saker vi måste komma ihåg men där regleringsplats/ansats inte är bestämd]

4. To do (uppföljningsbara åtgärder)

IDÅtgärdOrsak/nyttaBeroendeAnsvar (roll)DeadlineStatus
TD-001

1. Syfte

Denna policy beskriver fastställer krav och rekommenderade arbetsmetoder kontroller för verifiering, dokumentation och uppföljning av juridisk organisationsidentitet för organisationer som ansöker om att verka som Anslutningsoperatörer inom federationen. Policyn reglerar verifiering av organisationsidentitet, finansiell stabilitet, ägarstruktur, organisatorisk mognad och operativ förmåga samt delegation och behörighet - inga tekniska verifieringar av system, certifikat eller komponenter ingår här, utan hanteras i separat teknisk policy.

Policyn omfattar även verifiering av att Anslutningsoperatören har infört och tillämpar de processer och rutiner som krävs för att fullgöra sitt uppdrag i enlighet med federationens anslutningspolicy och registreringspolicyer för federationsmedlemmar. Detta innefattar att operatören ska kunna uppvisa att relevanta processer är dokumenterade, implementerade och faktiskt tillämpade i verksamheten.

anslutningsoperatörer inom Samordnad identitet och behörighet.

En anslutningsoperatör intar en kritisk roll i federationens infrastrukturEn Anslutningsoperatör intar en kritisk roll i federationens infrastruktur. Till skillnad från en Federationsmedlem federationsmedlem som enbart nyttjar federationens tjänster, är Anslutningsoperatören anslutningsoperatören en aktiv och betrodd betrodd förmedlande part som på uppdrag av Federationsoperatören federationsoperatören utför verifieringar, hanterar anslutningsärenden och ansvarar för att federationsmedlemmarnas anslutningar uppfyller gällande krav. Operatörens tillförlitlighet är därmed en förutsättning för hela federationens systemtillit.

...

3. Omfattning och avgränsning

Denna policy gäller endast kontroller och processer som rör juridisk organisationsidentitet, finansiell stabilitet, ägarstruktur, organisatorisk mognad och operativ förmåga, behöriga företrädare samt tillämpning av federationens regelverk - vid anslutning av Anslutningsoperatör anslutningsoperatör samt vid löpande re-verifiering och tillsyn av operatörenkontroll.

Policyn omfattar inte:

Teknisk

...

drift av anslutningstjänsten. Krav på anslutningstjänstens (Intermediate Entity) tekniska drift, tillgänglighet, metadata-publicering och nyckelhantering.

Åtkomst- och verksamhetsbeslut. Policyn reglerar inte beslut om åtkomst, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar gentemot enskilda federationsmedlemmar. Anslutningsoperatören agerar som förmedlande och verifierande aktör, inte som beslutande part i förhållande till federationsmedlemmars åtkomst. Federationsmedlemmar ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.

5. Definitioner

Anslutande organisation: Organisation som ansöker om anslutning som anslutningsoperatör men ännu inte godkänts.

Anslutningsoperatör: är den organisation som på uppdrag av Federationsoperatören utför verifieringar och hanterar anslutningsärenden för federationsmedlemmar

4. Roller och ansvar

Ledningsaktör fastställer policy och övergripande krav, kan begära verifieringsunderlag, utföra stickprov och initiera revisioner av såväl Federationsoperatör som Anslutningsoperatörer.

Federationsoperatör ansvarar för anslutning, verifiering och löpande tillsyn av Anslutningsoperatörer i enlighet med denna policy. Federationsoperatören fattar beslut om godkännande, begränsning, avstängning eller uppsägning av Anslutningsoperatörer. Federationsoperatören ansvarar även för att säkerställa kontinuitet för anslutna federationsmedlemmar vid eventuellt operatörsbyte.

Anslutningsoperatör (anslutande anslutningsoperatör) är den organisation som på uppdrag av Federationsoperatören utför verifieringar och hanterar anslutningsärenden för federationsmedlemmar. Anslutningsoperatören ansvarar för att tillhandahålla korrekta handlingar, underrätta om väsentliga förändringar i sin organisation och genomföra återkommande bekräftelser när så krävs. Anslutningsoperatören är inte beslutande part i frågor om federationsmedlemmars åtkomst eller tjänstespecifika behörigheter utan agerar som förmedlande och verifierande aktör.

5. Definitioner

Anslutningsoperatör: organisation som har ingått avtal med Federationsoperatören om att utföra verifieringar och hantera anslutningsärenden för federationsmedlemmar inom Samordnad identitet och behörighet.

Avtalstecknare: den person som undertecknar operatörsavtalet för den anslutande anslutningsoperatörenorganisationen. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.

...

Behörig företrädare: person som har rätt att företräda organisationen vid ingående av juridiskt bindande avtal (t.ex. firmatecknare eller person med giltig fullmakt/delegation).

Federationsoperatör: den organisation som ansvarar för federationens styrning och drift, och som ansluter och utövar tillsyn över att tillämpa denna policy vilket bl.a. omfattar anslutning, verifiering och löpande kontroll av Anslutningsoperatörer. Federationsoperatören fattar beslut om godkännande, begränsning, avstängning eller uppsägning av Anslutningsoperatörer.

Federationsmedlem: en organisation som tecknat avtal om anslutning som federationsmedlem till Samordnad identitet och behörighet, och som hanteras av en AnslutningsoperatörAnslutningsoperatör.

Ledningsaktör fastställer denna policy.

Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.

...

6. Organisationsverifiering och behörighetskontroll

6.1. Verifiering av svensk organisation och säte

Syftet är att säkerställa att den anslutande anslutningsoperatören organisationen är en registrerad juridisk person med hemvist i Sverige, och att organisationen som kan identifieras entydigt . Krav på svensk juridisk person och säte motiveras av Anslutningsoperatörens kritiska roll i federationens infrastruktur, vilket kräver tydlig jurisdiktion och möjlighet till rättslig uppföljningoch att det finns förutsättningar för rättslig uppföljning och ansvarsutkrävande.

Federationsoperatören ska kontrollera att den anslutande anslutningsoperatörenorganisationen:

  • är registrerad som juridisk person

    • i Sverige

  • , verifierat mot Bolagsverkets register eller motsvarande nationellt myndighetsregister

    • ,har sitt registrerade säte i Sverige

  • i aktuellt EU/EES-land,

  • har ett giltigt och entydigt

    • organisationsnummer.

  • organisationsnummer eller motsvarande nationell identifierare,

  • har sitt registrerade säte inom EU/EES.

För det fall anslutande organisation är en utländsk organisation ska federationsoperatören Organisation med säte utanför Sverige kan i undantagsfall godkännas efter särskild prövning av Federationsoperatören. I sådana fall ska Federationsoperatören dokumentera hur verifieringen gått till, vilka källor som använts och varför bedömningen anses tillförlitlig. Krav på motsvarande tillförlitlighet som för svenska organisationer gäller.

6.2. Verifiering av finansiell stabilitet och ägarstruktur

Syftet är att säkerställa att den anslutande anslutningsoperatören organisationen har tillräcklig finansiell stabilitet och en transparent ägarstruktur för att långsiktigt kunna upprätthålla sin roll som Anslutningsoperatör utan risk för plötsligt avbrott i kritisk infrastruktur.

Federationsoperatören ska kontrollera och dokumentera följande:

Finansiell stabilitet

  • Organisationen ska inte vara föremål för likvidation, konkurs, utmätning, företagsrekonstruktion eller annan insolvensprocess vid tidpunkten för anslutning.
  • Organisationen ska uppvisa tillräcklig finansiell kapacitet för att fullgöra sitt uppdrag. Detta bedöms utifrån tillgängliga årsredovisningar, kreditupplysning eller annan tillförlitlig källa. Federationsoperatören fastställer i sin riskbedömning vilka kriterier som ska uppfyllas.
    • Privat organisation som bedriver näringsverksamhet ska vara registrerad för F-skatt
  • Privat organisation som bedriver näringsverksamhet i Sverige ska vara registrerad för F-skatt. Organisation registrerad i annat EU/EES-land ska uppvisa motsvarande registrering som styrker rätt att bedriva näringsverksamhet. Undantag kan medges om organisationsformen inte förutsätter
    • F-skatteregistrering
  • sådan registrering, under förutsättning att
    • Federationsoperatören
  • federationsoperatören dokumenterar alternativ bedömning och motivering.

Ägarstruktur och verkligt huvudmannaskap

  • Organisation som enligt lag (2017:631) om registrering av verkliga huvudmän är skyldig att anmäla uppgifter till Bolagsverket ska ha en aktuell och korrekt registrering. Federationsoperatören ska kontrollera detta mot Bolagsverkets register. För organisation registrerad i annat EU/EES-land ska motsvarande kontroll genomföras mot tillämpligt nationellt register.
  • Organisation som är undantagen från registreringsskyldighet (t.ex. statlig myndighet, börsnoterat bolag, kommun eller region) ska på begäran kunna redogöra för sin
    • kontrollstruktur
  • ägar- och ledningsstruktur eller motsvarande behörighetsordning.
  • Anslutningsoperatören ska utan dröjsmål underrätta
    • Federationsoperatören
  • federationsoperatören om väsentliga förändringar i verkligt huvudmannaskap, ägarstruktur eller kontrollförhållanden som kan påverka förtroendet för operatörskapet.

6.3. Verifiering att avtalstecknare är behörig företrädare

...

Avtalstecknare ska identifieras med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet). I de fall legitimering sker med utländsk e-legitimation utfärdad inom EU/EES ska denna uppfylla minst Level of assurance Substantial (Väsentlig). Annan metod med motsvarande tillförlitlighet kan godtas om federationsoperatören dokumenterar bedömningen.

6.3.2. Verifiera behörig företrädare

...

Privata organisationer: Verifiera att avtalstecknaren är behörig företrädare genom att styrka firmateckningsrätt eller giltig fullmakt/delegation från behörig företrädare. Behörighet ska verifieras mot relevant nationellt myndighetsregister, t.ex. Bolagsverket firmateckningsregister.

Offentliga organisationer: Federationsoperatören ska kontrollera vilken roll som är behörig att företräda organisationen och att avtalstecknaren innehar sådan roll. Minst ett av följande alternativ ska användas:

...

Syftet med detta avsnitt är att bedöma huruvida den anslutande anslutningsoperatören organisationen har tillräcklig organisatorisk mognad, kompetens och operativ förmåga för att utföra uppdraget som Anslutningsoperatör på ett tillförlitligt och säkert sätt samt att dessa förmågor inte bara är dokumenterade utan faktiskt omsatta i verksamheten.

...