Versions Compared

Old Version 6

changes.mady.by.user Johan Tjäder

Saved on

compared with

New Version Current

changes.mady.by.user Niklas Dahlbäck

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Panel
borderColorblack
borderStylesolid
titleMetadata

1. Identitet

  • Domän: Juridisk och organisatorisk interoperabilitet
  • Version: 0.1
  • Status:
    Status
    colourRed
    titleUTKAST
    [Utkast / Remiss / Fastställd / Ersatt / Arkiverad]

2. Syfte och tillämpning

  • Syfte:
  • Tillämpningsområde (scope): [Vad omfattas?]
    • Utanför scope: [Vad omfattas uttryckligen inte?]
  • Denna policy fastställer krav och kontroller för verifiering, dokumentation och uppföljning av organisationer som ansöker om att verka som anslutningsoperatörer inom Samordnad identitet och behörighet.
  • Målgrupp:
    • Primär: Federationsoperatör och Anslutningsoperatör
    • Sekundär: Federationsmedlem
  • Typ av normativt artefakt: Policy [Villkor / Policy / Ramverk / Krav / Profil/Specifikation / Annat]
  • Relationer till andra artefakter: Villkorsbilaga B, (Registeringspolicy för anslutningstjänst)

3. Anteckningar (materiella oklarheter)

  • [Punktlista: saker vi måste komma ihåg men där regleringsplats/ansats inte är bestämd]

4. To do (uppföljningsbara åtgärder)

IDÅtgärdOrsak/nyttaBeroendeAnsvar (roll)DeadlineStatus
TD-001

Table of Contents

1. Syfte

Denna policy beskriver fastställer krav och rekommenderade arbetsmetoder kontroller för verifiering, dokumentation och uppföljning av juridisk organisationsidentitet för organisationer som ansöker om att verka som Anslutningsoperatörer inom federationen. Policyn reglerar verifiering av organisationsidentitet, finansiell stabilitet, ägarstruktur, organisatorisk mognad och operativ förmåga samt delegation och behörighet - inga tekniska verifieringar av system, certifikat eller komponenter ingår här, utan hanteras i separat teknisk policy.

Policyn omfattar även verifiering av att Anslutningsoperatören har infört och tillämpar de processer och rutiner som krävs för att fullgöra sitt uppdrag i enlighet med federationens anslutningspolicy och registreringspolicyer för federationsmedlemmar. Detta innefattar att operatören ska kunna uppvisa att relevanta processer är dokumenterade, implementerade och faktiskt tillämpade i verksamheten.

anslutningsoperatörer inom Samordnad identitet och behörighet.

En anslutningsoperatör intar en kritisk roll i federationens infrastruktur. Till skillnad från en federationsmedlem som En Anslutningsoperatör intar en kritisk roll i federationens infrastruktur. Till skillnad från en Federationsmedlem som enbart nyttjar federationens tjänster, är Anslutningsoperatören anslutningsoperatören en aktiv och betrodd förmedlande part som på uppdrag av Federationsoperatören federationsoperatören utför verifieringar, hanterar anslutningsärenden och ansvarar för att federationsmedlemmarnas anslutningar uppfyller gällande krav. Operatörens tillförlitlighet är därmed en förutsättning för hela federationens systemtillit.

...

3. Omfattning och avgränsning

Denna policy gäller endast kontroller och processer som rör juridisk organisationsidentitet, finansiell stabilitet, ägarstruktur, organisatorisk mognad och operativ förmåga, behöriga företrädare samt tillämpning av federationens regelverk - vid anslutning av Anslutningsoperatör anslutningsoperatör samt vid löpande re-verifiering och tillsyn av operatörenkontroll.

Policyn omfattar inte:

Teknisk

...

drift av anslutningstjänsten. Krav på anslutningstjänstens (Intermediate Entity) tekniska drift, tillgänglighet, metadata-publicering och nyckelhantering.

Åtkomst- och verksamhetsbeslut. Policyn reglerar inte beslut om

...

åtkomst, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar gentemot enskilda federationsmedlemmar.

...

Anslutningsoperatören agerar som förmedlande och verifierande aktör, inte som beslutande part i förhållande till federationsmedlemmars åtkomst. Federationsmedlemmar ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.

5. Definitioner

Anslutande organisation: Organisation som ansöker om anslutning som anslutningsoperatör men ännu inte godkänts.

Anslutningsoperatör:

4. Roller och ansvar

Ledningsaktör fastställer policy och övergripande krav, kan begära verifieringsunderlag, utföra stickprov och initiera revisioner av såväl Federationsoperatör som Anslutningsoperatörer.

Federationsoperatör ansvarar för anslutning, verifiering och löpande tillsyn av Anslutningsoperatörer i enlighet med denna policy. Federationsoperatören fattar beslut om godkännande, begränsning, avstängning eller uppsägning av Anslutningsoperatörer. Federationsoperatören ansvarar även för att säkerställa kontinuitet för anslutna federationsmedlemmar vid eventuellt operatörsbyte.

Anslutningsoperatör (anslutande anslutningsoperatör) är den organisation som på uppdrag av Federationsoperatören utför verifieringar och hanterar anslutningsärenden för federationsmedlemmar. Anslutningsoperatören ansvarar för att tillhandahålla korrekta handlingar, underrätta om väsentliga förändringar i sin organisation och genomföra återkommande bekräftelser när så krävs. Anslutningsoperatören är inte beslutande part i frågor om federationsmedlemmars åtkomst eller tjänstespecifika behörigheter utan agerar som förmedlande och verifierande aktör.

5. Definitioner

Anslutningsoperatör: organisation som har ingått avtal med Federationsoperatören om att utföra verifieringar och hantera anslutningsärenden för federationsmedlemmar inom Samordnad identitet och behörighet.

Medverkar till federationsoperatörens möjlighet att tillämpa denna policy.

Avtalstecknare: den person som undertecknar operatörsavtalet för den anslutande organisationen. Avtalstecknare: den person som undertecknar operatörsavtalet för den anslutande anslutningsoperatören. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.

...

Behörig företrädare: person som har rätt att företräda organisationen vid ingående av juridiskt bindande avtal (t.ex. firmatecknare eller person med giltig fullmakt/delegation).

Federationsoperatör: ansvarar för att tillämpa denna policy vilket bl.a. omfattar anslutning, verifiering och löpande kontroll av Anslutningsoperatörer. Federationsoperatören fattar beslut om godkännande, begränsning, avstängning eller uppsägning av Anslutningsoperatörer.

Federationsmedlem: en den organisation som ansvarar för federationens styrning och drift, och som ansluter och utövar tillsyn över Anslutningsoperatörer.Federationsmedlem: en organisation som tecknat avtal om anslutning som federationsmedlem till Samordnad identitet och behörighet, och som hanteras av en Anslutningsoperatör.

Ledningsaktör fastställer denna policy.

Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.

...

6. Organisationsverifiering och behörighetskontroll

6.1. Verifiering av svensk organisation och säte

Syftet är att säkerställa att den anslutande anslutningsoperatören organisationen är en registrerad juridisk person med hemvist i Sverige, och att organisationen som kan identifieras entydigt . Krav på svensk juridisk person och säte motiveras av Anslutningsoperatörens kritiska roll i federationens infrastruktur, vilket kräver tydlig jurisdiktion och möjlighet till rättslig uppföljningoch att det finns förutsättningar för rättslig uppföljning och ansvarsutkrävande.

Federationsoperatören ska kontrollera att den anslutande anslutningsoperatörenorganisationen:

  • är registrerad som juridisk person

    • i Sverige

  • , verifierat mot Bolagsverkets register eller motsvarande nationellt myndighetsregister

    • ,har sitt registrerade säte i Sverige

  • i aktuellt EU/EES-land,

  • har ett giltigt och entydigt organisationsnummer

    • .

  • eller motsvarande nationell identifierare,

  • har sitt registrerade säte inom EU/EES.

För det fall anslutande organisation är en utländsk organisation ska federationsoperatören Organisation med säte utanför Sverige kan i undantagsfall godkännas efter särskild prövning av Federationsoperatören. I sådana fall ska Federationsoperatören dokumentera hur verifieringen gått till, vilka källor som använts och varför bedömningen anses tillförlitlig. Krav på motsvarande tillförlitlighet som för svenska organisationer gäller.

6.2. Verifiering av finansiell stabilitet och ägarstruktur

Syftet är att säkerställa att den anslutande anslutningsoperatören organisationen har tillräcklig finansiell stabilitet och en transparent ägarstruktur för att långsiktigt kunna upprätthålla sin roll som Anslutningsoperatör utan risk för plötsligt avbrott i kritisk infrastruktur.

Federationsoperatören ska kontrollera och dokumentera följande:

Finansiell stabilitet

  • Organisationen ska inte vara föremål för likvidation, konkurs, utmätning, företagsrekonstruktion eller annan insolvensprocess vid tidpunkten för anslutning.
  • Organisationen ska uppvisa tillräcklig finansiell kapacitet för att fullgöra sitt uppdrag. Detta bedöms utifrån tillgängliga årsredovisningar, kreditupplysning eller annan tillförlitlig källa. Federationsoperatören fastställer i sin riskbedömning vilka kriterier som ska uppfyllas.
  • Privat organisation som bedriver näringsverksamhet i Sverige ska vara registrerad för F-skatt.
    • Undantag kan medges om
  • Organisation registrerad i annat EU/EES-land ska uppvisa motsvarande registrering som styrker rätt att bedriva näringsverksamhet. Undantag kan medges om organisationsformen inte förutsätter
    • F-skatteregistrering
  • sådan registrering, under förutsättning att
    • Federationsoperatören
  • federationsoperatören dokumenterar alternativ bedömning och motivering.

Ägarstruktur och verkligt huvudmannaskap

  • Organisation som enligt lag (2017:631) om registrering av verkliga huvudmän är skyldig att anmäla uppgifter till Bolagsverket ska ha en aktuell och korrekt registrering. Federationsoperatören ska kontrollera detta mot Bolagsverkets register. För organisation registrerad i annat EU/EES-land ska motsvarande kontroll genomföras mot tillämpligt nationellt register.
  • Organisation som är undantagen från registreringsskyldighet (t.ex. statlig myndighet, börsnoterat bolag, kommun eller region) ska på begäran kunna redogöra för sin
    • kontrollstruktur
  • ägar- och ledningsstruktur eller motsvarande behörighetsordning.
  • Anslutningsoperatören ska utan dröjsmål underrätta
    • Federationsoperatören
  • federationsoperatören om väsentliga förändringar i verkligt huvudmannaskap, ägarstruktur eller kontrollförhållanden som kan påverka förtroendet för operatörskapet.

6.3. Verifiering att avtalstecknare är behörig företrädare

...

Avtalstecknare ska identifieras med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet). I de fall legitimering sker med utländsk e-legitimation utfärdad inom EU/EES ska denna uppfylla minst Level of assurance Substantial (Väsentlig). Annan metod med motsvarande tillförlitlighet kan godtas om federationsoperatören dokumenterar bedömningen.

6.3.6.3.2. Verifiera behörig företrädare

...

Privata organisationer: Verifiera att avtalstecknaren är behörig företrädare genom att styrka firmateckningsrätt eller giltig fullmakt/delegation från behörig företrädare. Behörighet ska verifieras mot relevant nationellt myndighetsregister, t.ex. Bolagsverket firmateckningsregister.

Offentliga organisationer: Federationsoperatören ska kontrollera vilken roll som är behörig att företräda organisationen och att avtalstecknaren innehar sådan roll. Minst ett av följande alternativ ska användas:

...

Syftet med detta avsnitt är att bedöma huruvida den anslutande anslutningsoperatören har tillräcklig organisatorisk mognad, kompetens och operativ förmåga för att utföra uppdraget som Anslutningsoperatör på ett tillförlitligt och säkert sätt, samt att dessa förmågor inte bara är dokumenterade utan faktiskt omsatta i verksamheten.

7.1

...

Erfarenhet

...

och kompetens

...

Federationsoperatören ska kvalificera organisationens mognad utifrån följande:Erfarenhet erfarenhet och kompetens genom att:

  • Organisationen ska kunna uppvisa dokumenterad erfarenhet av identitets- och behörighetshantering, eller annan relevant verksamhet av jämförbar komplexitet.
  • Organisationen ska ha namngiven personal med ansvar för säkerhetsfrågor och en dokumenterad intern rollfördelning för hantering av federationsrelaterade ärenden.

Processer och styrning

  • Organisationen ska ha dokumenterade processer för ärendehantering, incidentrapportering och internkontroll avseende de uppgifter som ingår i operatörsrollen.
  • Organisationen ska kunna uppvisa att det finns intern styrning som säkerställer efterlevnad av federationens regelverk.

7.2. Verifiering av tillämpning av anslutningspolicy och registreringspolicyer

7.2 Verifiering av tillämpning av anslutningspolicy och registreringspolicyer

Syftet är att säkerställa att anslutningsoperatören inte enbart har kännedom om federationens policyer, utan att Syftet är att säkerställa att Anslutningsoperatören inte enbart har kännedom om federationens anslutningspolicy och registreringspolicyer, utan att dessa faktiskt är implementerade i operatörens verksamhet i form av dokumenterade och tillämpade processer och rutiner.

Federationsoperatören ska verifiera att Anslutningsoperatören anslutningsoperatören har dokumenterade processer för tillämpning av:

  • Anslutningspolicy för federationsmedlemmar

...

  • .
  • Registreringspolicy för tekniska komponenter

Tillämpar processerna i praktiken, vilket verifieras genom att Federationsoperatören:

  • granskar ett urval av genomförda anslutningsärenden och tillhörande dokumentation och kontrollerar att dessa är handlagda i enlighet med gällande policyer,
  • intervjuar ansvarig personal och observerar hur processer faktiskt tillämpas,
    • kontrollerar att det finns intern uppföljning och internkontroll av processernas efterlevnad
  • .

Verifiering enligt detta avsnitt ska genomföras vid anslutning av ny Anslutningsoperatör. anslutningsoperatör samt vid fysisk revision enligt avsnitt 10.2. Avvikelser ska dokumenteras och hanteras enligt operatörens en av federationsoperatören godkänd åtgärdsplan.

7.3

...

  • Organisationen ska ha dokumenterade planer för verksamhetskontinuitet, inklusive hantering av nyckelpersonberoende och resursförsörjning vid störningar.

Federationsoperatören fastställer i sin riskbedömning vilka specifika kriterier och bevismedel som ska tillämpas vid mognadsbedömningen och dokumenterar detta enligt avsnitt 12.

8. Spårbarhet och krav på dokumentation vid anslutningsärenden

För varje anslutning eller re-verifiering ska följande sparas:

  • Bevis som ligger till grund för verifieringen enligt avsnitt 6 och 7 (t.ex. registerutdrag, undertecknade beslut, fullmakter/delegationer, kreditupplysningar och signaturunderlag).
  • Protokoll/logg över utförda kontroller: vem som utfört kontrollen, vad som kontrollerats, när kontrollen utförts, använda källor/metoder samt resultat/beslut.
  • Om delegation används för verifiering ska delegationen vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.
  • Om oberoende kanalbekräftelse används ska Federationsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.
  • Resultat och protokoll från on-site revisioner enligt avsnitt 11.2.
  • Beslut om och datum för avvisning, återkallelse eller uppdatering.

Dokumentationen ska sparas så länge organisationen är Anslutningsoperatör + 5 år (eller enligt lagstadgade krav). Den längre arkiveringstiden jämfört med federationsmedlemmar motiveras av operatörens infrastrukturroll och behovet av revisionsspårbarhet.

Dokumentation avseende avvisning ska sparas i 3 år.

9. Verifiering genom oberoende kanalbekräftelse

Med oberoende kanalbekräftelse avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information, via en kanal som är oberoende av den kanal där anslutningsärendet initierades.

Oberoende kanalbekräftelse kan användas som metod för att uppfylla krav i avsnitt 6.1 (tillhörighetskontroll) och kan även användas som kompletterande kontroll i avsnitt 6.3 (behörighetsstyrning) när det bedöms motiverat.

Exempel på metoder för oberoende kanalbekräftelse:

  • Fysisk post (aktiveringskod eller bekräftelsebrev) till organisationens registrerade adress.
  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerad verifiering på organisationens webbplats.
  • Bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

Federationsoperatören ska, baserat på riskanalys, fastställa och dokumentera vilka metoder för oberoende kanalbekräftelse som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 12).

10. Avgränsning mot åtkomst- och verksamhetsbeslut

Denna policy innehåller endast krav för identitets- och organisationsverifiering av Anslutningsoperatörer. Anslutningsoperatören agerar i sin roll som förmedlande och verifierande aktör — inte som beslutande part — i förhållande till federationsmedlemmarnas åtkomst och tjänstespecifika behörigheter.

Det innebär att:

  • Anslutningsoperatören inte självständigt får fatta beslut om en federationsmedlems åtkomst till enskilda tjänster eller tilldela tjänstespecifika behörigheter utöver vad som följer av federationsregelverket.
  • Federationsmedlemmar ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar i förhållande till sina egna system och tjänster.
  • Anslutningsoperatören ska agera opartiskt och konsekvent i sin tillämpning av federationens regelverk, utan att gynna eller missgynna enskilda federationsmedlemmar.

...

Kontinuitet

Syftet är att säkerställa att anslutningsoperatören kan upprätthålla spårbarhet, konfidentialitet och riktighet i sina verifieringar, beslut och sin dokumentation även vid störningar i den egna verksamheten. Tillgänglighet i anslutningstjänsten är en relevant men sekundär aspekt - det som bär federationens tillit är att de kontroller och det underlag operatören ansvarar för förblir korrekta och skyddade.

Organisationen ska ha en dokumenterad plan för verksamhetskontinuitet. Planen ska vara proportionell i förhållande till operatörens uppdragsomfattning och de risker som identifierats, och ska beskriva hur operatören avser att upprätthålla ovan angivna egenskaper vid störningar.

Där en störning bedöms kunna övergå i permanent oförmåga att fullgöra uppdraget ska kontinuitetsplanen ha koppling till den avvecklingsplan som krävs enligt avsnitt 12.1.

Federationsoperatören fastställer i sin riskbedömning vilka specifika kriterier och bevismedel som ska tillämpas vid bedömning av verksamhetskontinuitet (se avsnitt 10).

7.4 Krav på anslutningstjänst

Här behöver vi peka ut relevanta krav i "kravkatalogen" och beskriva HUR eller VAD som ska kontrolleras för att kunna säkerställa kravuppfyllnad. Villkorsbilaga B.

8. Spårbarhet och krav på dokumentation vid anslutningsärenden

För varje anslutning eller re-verifiering ska följande sparas:

  • Bevis som ligger till grund för verifieringen enligt avsnitt 6 och 7 (t.ex. registerutdrag, undertecknade beslut, fullmakter/delegationer, kreditupplysningar och signaturunderlag).
  • Protokoll/logg över utförda kontroller: vem som utfört kontrollen, vad som kontrollerats, när kontrollen utförts, använda källor/metoder samt resultat/beslut.
  • Om delegation används för verifiering ska delegationen vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.
  • Om oberoende kanalbekräftelse används ska Federationsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.
  • Resultat och protokoll från on-site revisioner enligt avsnitt 10.2.
  • Beslut om och datum för avvisning, återkallelse eller uppdatering.

Dokumentationen ska sparas så länge organisationen är Anslutningsoperatör + 5 år (eller enligt lagstadgade krav). Den längre arkiveringstiden jämfört med federationsmedlemmar motiveras av operatörens infrastrukturroll och behovet av revisionsspårbarhet.

Dokumentation avseende avvisning ska sparas i 3 år.

9. Verifiering genom oberoende kanalbekräftelse

Med oberoende kanalbekräftelse avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information, via en kanal som är oberoende av den kanal där anslutningsärendet initierades.

Oberoende kanalbekräftelse kan användas som metod för att uppfylla krav i avsnitt 6.1 (tillhörighetskontroll) och kan även användas som kompletterande kontroll i avsnitt 6.3 (behörighetsstyrning) när det bedöms motiverat.

Exempel på metoder för oberoende kanalbekräftelse:

  • Fysisk post (aktiveringskod eller bekräftelsebrev) till organisationens registrerade adress.
  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerad verifiering på organisationens webbplats.
  • Bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

Federationsoperatören ska, baserat på riskanalys, fastställa och dokumentera vilka metoder för oberoende kanalbekräftelse som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 12).

10. Livscykelhantering - verifiering och kontroll över tid

För att säkerställa att en Anslutningsoperatörs förutsättningar för uppdraget förblir korrekta och uppfyllda över tid ska Federationsoperatören tillämpa en kombination av periodisk re-verifiering, fysisk revision, händelsestyrd uppföljning och kontinuerlig övervakning.

Re-verifiering ska i tillämpliga delar omfatta samma verifieringsobjekt och kontrollpunkter som vid anslutning enligt avsnitt 6 och 7. Resultat ska dokumenteras enligt spårbarhetskraven i avsnitt 8.

...

10.1. Periodisk re-verifiering av organisationsuppgifter

Federationsoperatören ska re-verifiera Anslutningsoperatörens anslutning minst en gång per år. Re-verifieringen ska minst omfatta:

  • Kontroll av organisationsstatus mot nationellt myndighetsregister.
  • Kontroll av verkligt huvudmannaskap och eventuella ägarförändringar.
  • Kontroll av F-skatteregistrering och finansiell ställning, med hänsyn till tillgänglig information (t.ex. publicerade årsredovisningar, kreditupplysning).
  • Bekräftelse av att utsedda kontaktpersoner och säkerhetsansvarig är aktuella och nåbara.
  • Genomgång av eventuella avvikelser eller incidenter sedan senaste verifiering.

...

10.2. Obligatorisk on-site revision

Utöver den periodiska re-verifieringen ska Federationsoperatören genomföra fysisk revision (on-site revision) hos Anslutningsoperatören. Syftet är att verifiera att operatörens processer, styrning och förmåga i praktiken motsvarar de krav som ställs i denna policy och i tillämpliga tekniska policyer.

On-site revision ska genomföras:

  • Inom 12 månader från det att organisationen godkänts som Anslutningsoperatör (initialgranskning).
  • Därefter minst vartannat år som en del av den löpande tillsynen.
  • Vid händelsestyrd re-verifiering enligt avsnitt 11.3, om Federationsoperatören bedömer att situationen motiverar det.

On-site revisionen ska minst omfatta:

...

ska genomföras:

  • Minst vartannat år som en del av den löpande tillsynen.
  • Vid händelsestyrd re-verifiering enligt avsnitt 10.3, om Federationsoperatören bedömer att situationen motiverar det.

On-site revisionen ska minst omfatta de delar som anges i avsnitt 7

...

.

Federationsoperatören ska i förväg kommunicera revisionsplan och syfte till Anslutningsoperatören. Anslutningsoperatören är skyldig att medverka vid on-site revisioner och ge Federationsoperatörens revisorer tillgång till relevanta lokaler, personal och dokumentation.

Revisionen ska dokumenteras i ett revisionsprotokoll. Konstaterade avvikelser ska åtgärdas enligt en av Federationsoperatören godkänd åtgärdsplan.

...

10.3. Händelsestyrd re-verifiering

Omgående re-verifiering ska initieras vid incidenter eller händelser som kan påverka tillförlitligheten till Anslutningsoperatörens organisation eller uppdragsförmåga. Detta kan exempelvis vara:

...

Federationsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar. Om automatisk övervakning inte är möjlig ska Federationsoperatören säkerställa att motsvarande informationsinhämtning sker genom andra rutiner med dokumenterad riskbedömning.

...

10.4. Incidenthantering och åtgärdstrappor

Vid upptäckt av att en Anslutningsoperatör inte kan re-verifieras, eller att allvarliga brister konstateras, ska Federationsoperatören:

  1. Omedelbart initiera förnyad verifiering och bedöma behovet av tillfälliga begränsningar i operatörens uppdrag (t.ex. begränsat mandat , eller pausad möjlighet att godkänna nya federationsmedlemmar, eller karantän för operatörens åtgärder).
  2. Informera berörda parter och federationsmedlemmar enligt avtal och sekretessregler, i den mån detta är möjligt utan att äventyra utredningenatt försämra möjligheterna att kontrollera efterlevnad.
  3. Säkerställa kontinuitet för anslutna federationsmedlemmar genom att vid behov aktivera plan för operatörsbyte (se avsnitt 13.2).
  4. Genomföra åtgärd (uppdatering, begränsning, återkallelse av operatörsmandat eller uppsägning) baserat på utredningens resultat.

Beslut om avstängning eller uppsägning av Anslutningsoperatör fattas av Federationsoperatören.

...

10.5. Ändring av behöriga kontaktpersoner

Kontaktpersoner kan endast ändras på begäran av behörig företrädare för Anslutningsoperatören. Varje ändring ska dokumenteras enligt avsnitt 8. I övrigt gäller samma regler som anges i avsnitt 6.4. Federationsoperatören ska bekräfta och arkivera varje ändring av säkerhetsansvarig kontaktperson med särskild notering.

...

11. Dokumentation av process och rutin för tillämpning av anslutningspolicy

Federationsoperatören ska ha skriftlig dokumentation som beskriver process och rutin för hur denna anslutningspolicy tillämpas. Dokumentationen ska inkludera:

  • Federationsoperatörens riskbedömning och motivering av valda verifieringsmetoder (inkl. oberoende kanalbekräftelse).
  • Kriterier för mognadsbedömning enligt avsnitt 7.
  • Kriterier för finansiell bedömning enligt avsnitt 6.2.
  • Kriterier för när kompletterande kontroller eller on-site revision utöver ordinarie plan krävs.
  • Rutiner för kommunikation med Anslutningsoperatörer vid re-verifiering och revision.

...

12. Avveckling, överlåtelse och exit-hantering

...

12.1. Krav på plan för kontrollerad avveckling

Anslutningsoperatören ska, som villkor för operatörsavtalet, upprätta och underhålla en dokumenterad plan för kontrollerad avveckling av sitt operatörskap. Planen ska säkerställa att anslutna federationsmedlemmars verksamhet inte störs vid ett upphörande av operatörskapet, oavsett om avslut sker planerat eller på grund av bristande efterlevnad.

...

Federationsoperatören ska godkänna avvecklingsplanen vid operatörens anslutningsoperatörens anslutning och vid varje väsentlig revidering. Planen ska hållas aktuell och uppdateras vid väsentliga förändringar i operatörens organisation eller uppdragets omfattning.

...

12.2. Säkerställande av medlemskontinuitet vid operatörsbyte

Federationsoperatören ansvarar för att säkerställa att anslutna federationsmedlemmars anslutning och tillgång till federationens tjänster inte avbryts vid ett operatörsbyte. Detta ska uppnås genom:

  • Att Federationsoperatören vid behov kan överta direktansvar för berörda federationsmedlemmar under en övergångsperiod.Att det finns förberedda rutiner för snabb omfördelning av federationsmedlemmar till annan Anslutningsoperatörhar en kontinuitetsplan som säkerställer federationsmedlemmars anslutning.
  • Att Anslutningsoperatören är skyldig att medverka aktivt i överlämningsprocessen och inte vidta åtgärder som försvårar ett ordnat operatörsbyte.

...

12.3. Överlåtelse av tekniska åtaganden och data

Vid avslut av operatörskap, oavsett orsak, ska Anslutningsoperatören:

  • Överlämna all dokumentation och verifieringsunderlag avseende anslutna federationsmedlemmar till Federationsoperatören, i ett strukturerat och tillgängligt format.
  • Säkerställa att data och dokumentation som inte ska överlämnas hanteras i enlighet med gällande dataskyddsregler och avtalade krav.Inte radera eller förstöra dokumentation som omfattas av arkiveringskrav i avsnitt 8 utan Federationsoperatörens godkännande.
  • Säkerställa att inga tekniska åtkomster eller behörigheter kvarstår efter det att operatörsavtalet upphört, om inte särskild överenskommelse träffats med Federationsoperatören.

Federationsoperatören ska bekräfta mottagande av överlämnad dokumentation och kvittera att överlämningen genomförts korrekt.

...

12.4. Uppsägning och avslut av anslutning (i avtalet istället?)

Federationsoperatören får säga upp operatörsavtalet om Anslutningsoperatören:

...