På sidan:

Vad är ett tillitsmärke och varför behövs det?

Ett tillitsmärke är ett administrativt beslut inom federationsinfrastrukturen, genom vilket en tillitsoperatör intygar att en aktör vid tidpunkten för utfärdandet uppfyller fastställda och standardiserade krav för säker och kontrollerad användning av federationens tjänster. Intygandet skulle kunna basera sig på självdeklaration eller granskning (behöver kanske beskrivas lite det längre ned). Ett tillitsmärke är maskinläsbart och verifierbart påstående: “den här entiteten uppfyller de här kraven".

Om vi utgår från ett "klassiskt" bilateralt informationsutbyte mellan två parter så finns i regel:

en direkt relation mellan parterna,
ett avtal som utlämnande part utformat som reglerar vad just den organisationen anser är nödvändigt kopplat till ansvar, säkerhet och användning,
en praktisk kännedom om motparten och dess system.

När samma logik förs över till en federation, uppstår några nya utmaningar:

Många-till-många i stället för en-till-en
- I en federation kan hundratals aktörer behöva kommunicera med varandra. Det är opraktiskt (och dyrt) att varje part individuellt ska sätta upp sin egen uppsättning krav för att få kommunicera med just denne. Tillitsmärken har i detta fall syftet att normera vissa typer av krav kopplat till informationsutbyte och skapar på så sätt interoperabilitet mellan parter.
Dynamiska relationer
- I en federation med många aktörer så förändras "spelplanen" kontinuerligt, t.ex. så kan en ny aktör ansluta, byta leverantör eller uppdatera sin tjänst. För att säkerställa att parterna vid ett informationsutbyte spelar enligt samma regler behövs maskinläsbara märken som kan kontrolleras automatiskt mot federationens metadata. Tilliten uppdateras i realtid, inte via nya avtal.
Distribuerat ansvar
- osäker på om det utifrån en tillitsmärkeskontext ställer nya krav eller om det snarare är en del av lösningen

Vilka typer av krav som hanteras inom ett tillitsmärke

OpenID Federation (OIDF) definierar hur tillit uttrycks tekniskt – till exempel hur ett Trust Mark kan publiceras, signeras och verifieras maskinellt i federationens metadata.
Men ramverket säger ingenting om vilka krav ett sådant märke faktiskt ska omfatta.

Det är både en styrka och en risk.
Styrka, därför att det ger frihet att anpassa federationen efter nationella behov.
Risk, därför att utan en tydlig definition blir tillitsmärket ett otydligt artefakt och med det både svårt att förstå och omöjligt att förklara juridiskt.

I den svenska tillämpningen av federationsmodellen behöver vi därför tydligt avgränsa vilka typer av krav som kan ligga inom ett tillitsmärke.
Det gör märket begripligt, rättsligt hanterbart och praktiskt användbart.

Tillitsmärket ska samla de krav som är gemensamma, verifierbara och relevanta för den tillit som krävs i själva federationen – inte för hela organisationens övriga verksamhet.
Kraven kan delas in i fyra huvudområden:

Teknisk och kryptografisk säkerhet
- Kraven måste vara gemensamma och standardiserade för att federationens tekniska interoperabilitet ska fungera.
Organisation och styrning
- Krav på att varje teknisk komponent har en ansvarig organisation samt har fastställda roller, kontaktvägar och rutiner för incidenthantering och kontinuitet. För att tilliten ska vara begriplig och juridiskt hållbar krävs att det finns en tydlig och ansvarstagande part bakom varje funktion.
Efterlevnad och transparens
- Detta inkluderar hur aktören visar att kraven är uppfyllda samt hur märket utfärdas, signeras och verifieras maskinellt i federationens metadata. Förlitande parter och system behöver inte förlita sig på manuella kontroller – de kan automatiskt kontrollera om ett tillitsmärke är giltigt och om organisationen uppfyller kraven just nu.
Rollspecifika krav
- Tillitsmärket kan innehålla särskilda krav för de roller som direkt påverkar tilliten i federationens funktioner:
  - Intygstjänster (utfärdare av behörighetsintyg): hur identifiering sker, hur intyg signeras, lagras och skyddas.
  - Förlitande parter: hur intyg verifieras, loggas och används för åtkomstbeslut.
- Federationens styrka bygger på att alla roller beter sig på ett förutsägbart sätt. Rollspecifika krav säkerställer att behörighetsintyg fungerar på samma sätt oavsett vem som utfärdar dem – förutsättningen för interoperabilitet.

Avtal vs. tillitsmärke

Tillitsmärket ersätter inte avtal mellan parter. Ett bilateralt avtal behöver många gånger fortfarande finnas för att reglera rättigheter, ansvar och konsekvenser mellan aktörer.

Ett tillitsmärke däremot visar att en aktör uppfyller en gemensam uppsättning tekniska och organisatoriska krav som federationens parter kommit överens om att lita på och som skapar kostnadseffektivitet, ökad skalbarhet, interoperabilitet och förtroende för infrastrukturen.

Skillnaden kan beskrivas så här:

	Bilateralt avtal	Tillitsmärke
Syfte	Reglera ansvar, ersättning, villkor, sekretess, juridik	Visa att aktören uppfyller gemensamma tekniska och organisatoriska krav
Parter	Två eller flera namngivna organisationer	Utfärdare av märket + den som innehar det
Form	Juridiskt bindande dokument	Maskinläsbart, verifierbart bevis i federationens metadata
Användning	Uttrycker “vi får och vill utbyta information”	Visar “jag uppfyller förutsättningarna för att delta säkert”
Flexibilitet	Kräver omförhandling vid ändring	Uppdateras centralt och kan verifieras i realtid

I praktiken innebär det att ett avtal kan hänvisa till ett tillitsmärke.
Till exempel:

“Part A ska vid anslutning inneha giltigt ENA-tillitsmärke på nivå X eller högre.”

På så sätt kan juridiska avtal bygga på samma kravkatalog utan att varje part behöver tolka och skriva om kraven på egen hand.
Federationen blir flexibel men inte rättslöst flytande.

För att summera så medför tillitsmärken ett antal fördelar som förenklar i ett federationssammanhang:

Gemensam tolkning: Samma krav för alla minskar risken för olika tolkningar av tekniska säkerhetsbegrepp.
Skalbarhet: Fler kan samverka utan att varje ny anslutning kräver nya avtal eller särskilda säkerhetsbilagor.
Effektivitet: Organisationer kan hänvisa till en standardiserad kravkatalog istället för att uppfinna egna.
Maskinell verifiering: Avtal kan inte läsas av system – tillitsmärken kan det.
Klar ansvarsfördelning: Märket visar att en aktör uppfyller de tekniska och organisatoriska förutsättningarna för att delta, men det är avtalet som styr vad man får göra med informationen.

Vad är Ena-tillitsmärke

Ena-tillitsmärke är en instans av ett tillitsmärke som lägger den gemensamma grundnivå av tillit som alla deltagare i den nationella federationen måste uppfylla för att kunna samverka på ett säkert och förutsägbart sätt.

Det fungerar som federationens "baseline" för tillit – ett nationellt, enhetligt kravpaket som gör att olika aktörer, system och sektorer kan lita på varandra utan att behöva uppfinna egna regler för varje integration.

Tillitsmärket är alltså inte ett nytt avtal, inte en branschspecifik certifiering och inte en total kvalitetsstämpel för informationssäkerhet. Det är en gemensam uppsättning verifierbara krav som:

utgör förutsättningen för interoperabilitet – att digitala identiteter, intyg och auktorisationer fungerar lika oavsett vem som utfärdat dem,
ger effektivitet – alla kan hänvisa till samma standardiserade krav i stället för att skapa egna,
skapar förutsägbarhet – både för de som utvecklar och de som använder tjänster inom federationen.

Ena-tillitsmärket är alltså federationens spelplan: den beskriver vilka minimikrav som gäller för att delta, och gör dessa krav maskinellt verifierbara via federationens metadata och trust chain.

På så sätt blir tilliten gemensam, transparent och automatiskt kontrollerbar, i stället för förhandlad och subjektiv.

Vad löser vi med Ena-tillitsmärke?

Vad det löser

Gemensamma krav: En standardiserad kravkatalog för informationssäkerhet och regelefterlevnad inom identitet och behörighet.
Tillit till intygstjänster: Säkerställer att de som utfärdar behörighetsintyg gör det på ett korrekt och säkert sätt.
Kommunikationstillit: Grundläggande säkerhet i kommunikationen mellan parter (kryptering, signering, korrekt adressering).
Maskinell verifierbarhet: Möjlighet att tekniskt kontrollera att motparter uppfyller kraven.
Effektivitet och förutsägbarhet: Färre bilaterala avtal, minskade kostnader och tydligare krav för systemutveckling och anslutning.

Vad det inte löser

Särskilda juridiska krav vid direktåtkomst: I vissa reglerade informationsutbyten, till exempel inom hälso- och sjukvården, krävs särskild insyn i motpartens informationssäkerhet. Dessa krav går längre än vad ENA-tillitsmärket omfattar ( se Särskilda utmaningar inom hälso- och sjukvården)
Branschspecifika risker: Sektorer med egna regelverk (som vården, rättsväsende etc.) kan behöva komplettera det nationella Ena-tillitsmärket med egna krav som speglar deras juridiska spelplan.
Organisationens hela säkerhetsarbete: Märket gäller en aktörs funktion i federationen, inte dess samlade interna säkerhetsarbete.

Särskilda utmaningar inom hälso- och sjukvården

Inom hälso- och sjukvården sker många informationsutbyten med direktåtkomst – det vill säga att en aktör har teknisk åtkomst direkt in i en annan aktörs informationssystem.
Det ställer många gånger högre krav på den etablerade tilliten mellan parter än i andra typer av federerade infomationsutbyten, detta eftersom den utlämnande parten (t.ex. EHM) måste kunna visa att den mottagande parten (t.ex. en vårdgivare) uppfyller särskilda säkerhetskrav enligt lag (se t.ex. 8 kap 2 § lagen (2018:1212) om nationell läkemedelslista)

Exakt hur detta problem ska lösas lämnas här osagt, men det skulle kunna lösas genom att t.ex. vårdsektorn definiera egna tilläggsmärken som bygger ovanpå ENA-märkets grundkrav och innebär fördjupade krav på informationssäkerhet och sekretesshantering,

ENA-tillitsmärket skulle vid en sådan lösning utgöra grundplattan som alla kan använda, medan vårdens kompletterande tillitsmärken bygger vidare på den för att möta de särskilda rättsliga och verksamhetsmässiga behoven.

Denna utmaning fördjupas ytterligare i Användningen av en behörighetsinfrastruktur inom hälso- och sjukvården.