Status: UTKAST

Syfte och tillämpning

Detta dokument fastställer krav och vägledning för anslutningsoperatörers kontroller vid anslutning av federationsmedlemmar. Syftet är att skapa förutsättningar för en stark och tillförlitlig koppling mellan en organisation och de entiteter som registreras i federationen, så att federationsmedlemmar med hög grad av säkerhet kan veta vilken organisation som ansvarar för respektive entitet. Dessa krav med tillhörande vägledning syftar därför till att säkerställa att anslutningsoperatörens verksamhet bedrivs på ett sådant sätt att denna koppling kan upprätthållas över tid.

Dokumentet ska operationaliseras av en intern process hos varje anslutningsoperatör. 

Vad andra parter kan förutsätta

När en organisation anslutits enligt detta dokument kan övriga parter i federationen förutsätta att:

• organisationens identitet har verifierats mot tillförlitliga källor,
• avtalet tecknats av en person med rätt att binda organisationen,
• verifieringsunderlagen är dokumenterade och spårbara,
• organisationen har utsett behöriga roller med definierade mandat samt att
• anslutningsoperatören genomför löpande uppföljning.

Omfattning och avgränsning

Dokumentet gäller kontroller och processer som rör juridisk organisationsidentitet, verifiering av behörig företrädare, etablering av behöriga roller samt löpande re-verifiering vid federationsanslutning.

Dokumentet omfattar inte:

• Registrering av tekniska komponenter (se Registrering - Tillämpningskrav och vägledning).
• Teknisk verifiering av systemidentiteter, certifikat eller kryptografisk nyckelhantering.
• Beslut om åtkomst, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar.

Definitioner

Se Bilaga A — Definitioner

Krav och vägledning

1. Ansökan om anslutning

1.1 Anslutande organisation ansöker om anslutning till federationen hos sin valda anslutningsoperatör.

Vägledning: Ansökan utgör den formella initieringen av anslutningsärendet och triggar de kontroller som föreskrivs i detta dokument.

1.2 Ansökan ska undertecknas av behörig företrädare för den anslutande organisationen. Anslutande organisation ska på begäran kunna styrka företrädarens rätt att företräda organisationen i anslutningsärendet.

Vägledning: Kravet säkerställer att ansökan är förankrad hos en person med mandat att agera för organisationens räkning. Det är inte nödvändigt att samma person som undertecknar ansökan också tecknar det slutliga avtalet, men behörighetsgrunden ska i båda fallen kunna styrkas.

1.3 I ansökan ska den anslutande organisationen ange: (a) organisationens namn, (b) organisationsnummer eller motsvarande identifikationsnummer som framgår av registreringsbevis, (c) postadress, samt (d) uppgift om vem som är behörig företrädare.

Vägledning: Uppgifterna ska vara tillräckliga för att anslutningsoperatören ska kunna genomföra organisationsverifieringen enligt avsnitt 2.

1.4 Den anslutande organisationen ska i ansökan ange beställare (kontaktperson för anslutningsärendet). Anslutningsoperatören ska styrka att beställaren kan kopplas till den anslutande organisationen genom minst en av följande metoder: (a) skriftlig fullmakt/delegation som anger att beställaren får driva anslutningsärendet, eller (b) oberoende kanalbekräftelse enligt avsnitt 8.

Vägledning: Beställaren är en processroll, d.v.s. den som driver ärendet praktiskt. Tillhörighetskontrollen avser att säkerställa att den som interagerar med anslutningsoperatören faktiskt representerar organisationen. Kontrollen avser inte att verifiera beställarens rätt att ingå avtal, det hanteras i avsnitt 4.

2. Verifiering av organisationsidentitet

2.1 Den anslutande organisationen ska vara etablerad och registrerad som juridisk person i en stat inom Europeiska ekonomiska samarbetsområdet (EU/EES), ha ett giltigt och entydigt organisationsnummer eller motsvarande nationell identifierare samt ha sitt registrerade säte inom EU/EES.

Vägledning: Kravet säkerställer att organisationen är en identifierbar juridisk person.

2.2 Den anslutande organisationen ska på begäran av anslutningsoperatören lämna dokumentation som motsvarar kopia på registreringsbevis utfärdat av behörig officiell myndighet. Dokumentationen ska vara aktuell.

Vägledning: Anslutningsoperatören bör tillämpa en tidsgräns för dokumentationens aktualitet, exempelvis att den inte får vara äldre än två månader räknat från ansökningsdagen.

2.3 Anslutningsoperatören ska verifiera organisationsnummer mot relevant nationellt myndighetsregister och dokumentera resultatet.

Vägledning: Verifieringen görs enligt den källa som gäller för organisationens hemland, för svensk organisation i normalfallet mot Bolagsverket, och för organisation i annan EU/EES-stat mot motsvarande nationellt myndighetsregister. För organisation i annan EU/EES-stat ska anslutningsoperatören dokumentera vilken källa som använts, hur verifieringen gått till och varför bedömningen anses tillförlitlig. Krav på motsvarande tillförlitlighet som för svenska organisationer gäller. Verifieringen ska vara oberoende av de uppgifter organisationen själv har lämnat i ansökan, det handlar om att kontrollera påstådda uppgifter mot en betrodd källa.

3. Organisationens status, finansiella stabilitet och ägarstruktur

3.1 Organisationen ska vara aktiv och inte föremål för likvidation, konkurs, utmätning, företagsrekonstruktion, avveckling eller annan insolvensprocess, och inte vara registrerad som vilande, vid tidpunkten för anslutning. Anslutningsoperatören ska kontrollera detta mot relevant myndighetsregister.

Vägledning: Syftet är att säkerställa att federationen består av verksamma aktörer vars identitet kan upprätthållas över tid. För svensk organisation görs kontrollen mot relevant nationellt myndighetsregister och för organisation i annan EU/EES-stat mot tillämpligt register i hemlandet, med dokumentation av metod och bedömning.

3.2 Svensk privat organisation som bedriver näringsverksamhet ska vara registrerad för F-skatt. Organisation i annan EU/EES-stat ska uppvisa motsvarande registrering som styrker rätt att bedriva näringsverksamhet i hemlandet.

Vägledning: Undantag kan medges om organisationsformen inte förutsätter sådan registrering, under förutsättning att den kontrollerande parten dokumenterar alternativ bedömning och motivering. Offentliga organisationer har andra registreringsförhållanden som ska beaktas.

3.3 Anslutande organisation ska säkerställa att uppgifter om organisationens kontrollstruktur är transparenta och dokumenterade, både vid anslutning och löpande under medlemskapet.

Vägledning: Organisation som enligt lag (2017:631) om registrering av verkliga huvudmän är skyldig att anmäla uppgifter till Bolagsverket ska ha en aktuell och korrekt registrering. Organisation som är undantagen (t.ex. statlig myndighet, börsnoterat bolag, kommun, region) ska på begäran kunna redogöra för sin kontrollstruktur eller motsvarande behörighetsordning.

3.4 Federationsmedlem ska utan dröjsmål underrätta anslutningsoperatören om väsentliga förändringar i organisationens status, verkligt huvudmannaskap eller kontrollstruktur.

Vägledning: Underrättelseskyldigheten gäller redan från det att förändringen är känd för organisationen.

4. Behörig företrädare och avtalstecknande

4.1 Avtalstecknaren ska identifieras med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet).

Vägledning: Kravet säkerställer att den som tecknar avtalet är identifierad med hög tillförlitlighet. I de fall legitimering sker med utländsk e-legitimation utfärdad inom EU/EES ska denna uppfylla minst Level of Assurance Substantial (Väsentlig).

4.2 Anslutningsoperatören ska verifiera och dokumentera vilken behörighetsgrund som gäller för organisationen vid avtalstecknande samt att avtalstecknaren innehar denna behörighetsgrund vid tidpunkten för undertecknande.

Vägledning: Syftet är att säkerställa att federationsavtalet är juridiskt bindande. Behörighetsgrunden varierar beroende på organisationsform, exempelvis firmateckning, delegationsordning eller fullmakt.

4.3 För privata organisationer ska anslutningsoperatören styrka firmateckningsrätt eller giltig fullmakt/delegation från behörig företrädare. Behörighet ska verifieras mot relevant nationellt myndighetsregister.

Vägledning: I Sverige sker verifiering normalt mot Bolagsverket.

4.4 För offentliga organisationer ska anslutningsoperatören kontrollera vilken roll som är behörig att företräda organisationen och att avtalstecknaren innehar sådan roll, genom minst ett av följande alternativ: (a) formellt beslutsdokument (protokollutdrag, delegationsbeslut) undertecknat enligt organisationens delegationsordning, (b) bekräftelse från officiell e-postadress kopplad till myndighetens domän i kombination med offentlig hänvisning, eller (c) annan motsvarande tillförlitlig styrkning, dokumenterad och motiverad av operatören.

Vägledning: Offentliga organisationer har andra behörighetsgrunder än privata. I normalfallet framgår behörigheten av en delegationsordning eller motsvarande internt styrdokument.

5. Behöriga roller

5.1 Generella krav

5.1.1 Avtalstecknare ska vid avtalsingåendet utse namngivna personer i de behöriga roller som anges i avsnitt 5.3–5.5.

Vägledning: Behöriga roller är namngivna fysiska personer med definierade och dokumenterade mandat att företräda federationsmedlemmen i specifika avseenden gentemot federationen. Syftet är att säkerställa tillit, spårbarhet och tydlig ansvarsfördelning. En behörig roll ska alltid innehas av en namngiven person, inte en funktion, befattning eller gruppbrevlåda. Utöver de behöriga rollerna kan organisationen anmäla ytterligare kontakter för informationsspridning och liknande; sådana kontakter kan vara funktioner (t.ex. en supportbrevlåda) men saknar behörighet att utföra åtgärder som påverkar anslutningen.

5.1.2 Varje rollinnehavare ska identifieras med personlig identifierare som dokumenteras i anslutningsärendet.

Vägledning: Identifieraren behövs för att kunna styrka rollinnehavarens identitet vid kontakt med anslutningsoperatören och vid åtgärder som rör anslutningen.

5.1.3 Utsedda behöriga roller ska grundas på dokumenterad delegation eller fullmakt.

Vägledning: Delegationen ska ange vilken roll som avses, omfattning av mandatet samt eventuell tidsbegränsning. Den ska vara spårbar enligt avsnitt 6.

5.1.4 En person får inte samtidigt inneha roller vars mandat står i konflikt med varandra.

Vägledning: Behörig verksamhetskontakt och behörig teknisk kontakt bör exempelvis inte vara samma person, eftersom verksamhetskontakten har mandat att utse och ersätta den tekniska kontakten. Avtalstecknare kan sammanfalla med behörig verksamhetskontakt om organisationens storlek och komplexitet motiverar det, detta ska i så fall dokumenteras och motiveras.

5.2 Avtalstecknare

5.2.1 Federationsmedlemmen ska ha en utsedd avtalstecknare som har juridisk rätt att företräda organisationen och ingå avtal om anslutning.

Vägledning: Avtalstecknaren verifieras enligt avsnitt 4. Det är i samband med avtalsingåendet som de övriga behöriga rollerna initialt utses. Rollen avser den juridiska befogenheten att binda organisationen vid avtal, den medför inte i sig behörighet att ändra i organisationens tekniska anslutning eller att anmäla löpande ändringar avseende anslutningen.

5.3 Behörig verksamhetskontakt

5.3.1 Federationsmedlemmen ska utse en behörig verksamhetskontakt som har mandat att: (a) anmäla uppgifter och ändringar som rör anslutningen till anslutningsoperatören, inklusive avtalsmässiga förändringar och faktura- och adressfrågor, (b) utse och ersätta behörig teknisk kontakt, samt (c) begära ändringar som kräver verksamhetsmässigt beslut.

Vägledning: Verksamhetskontakten är överordnad de tekniska rollerna i den dagliga hanteringen av anslutningen och fungerar som organisationens primära kontaktpunkt för icke-tekniska ärenden. Rollen innefattar inte behörighet att ändra i organisationens tekniska anslutning, det mandatet tillhör den tekniska kontakten. Verksamhetskontakten ska vara en namngiven person hos den anslutande organisationen/federationsmedlemmen.

5.4 Behörig teknisk kontakt

5.4.1 Federationsmedlemmen ska utse en behörig teknisk kontakt som har mandat att: (a) anmäla uppgifter och ändringar som rör den tekniska anslutningen till anslutningsoperatören, inklusive förmedling och ändring av teknisk metadata och certifikat, (b) utse och ersätta behöriga tekniska agenter, samt (c) ansvara för livscykelhantering av tekniska komponenter och incidenthantering.

Vägledning: Den tekniska kontakten är överordnad behöriga tekniska agenter och ansvarar för organisationens tekniska anslutning i dess helhet. Rollen innefattar inte behörighet att ändra vem som är verksamhetskontakt eller att fatta beslut om avtalsmässiga förändringar.

5.5 Behörig teknisk agent

5.5.1 Federationsmedlemmen får utse en eller flera behöriga tekniska agenter som genom dokumenterad delegation utför avgränsade tekniska åtgärder avseende federationsmedlemmens tekniska anslutning.

Vägledning: Rollen är avsedd för situationer där organisationen vill delegera en begränsad del av den tekniska anslutningen eller där en extern resurs (t.ex. en tjänsteleverantör eller integratör) behöver administrera metadata för organisationens räkning. En teknisk agent kan inte utse några andra roller, mandatet är avgränsat till de tekniska åtgärder som framgår av delegationen.

5.5.2 Behörig teknisk agent ska vara en namngiven fysisk person som identifieras med egen e-legitimation vid åtgärder som rör den tekniska anslutningen.

Vägledning: Kravet säkerställer spårbarhet. Delegationen till en extern organisation räcker inte, det ska framgå vilken specifik person hos den externa organisationen som har behörighet att agera.

5.5.3 Delegationen till behörig teknisk agent ska ange vilken federationsmedlem och vilka åtgärder delegationen omfattar. Delegationen ska vara utfärdad av behörig teknisk kontakt eller behörig verksamhetskontakt.

Vägledning: Delegationen ska vara avgränsad till specifika åtgärder och kan vara tidsbegränsad. En generell delegation som ger obegränsad behörighet att agera för federationsmedlemmens räkning uppfyller inte kravet.

5.6 Ändring av rollinnehavare

5.6.1 Ändring av behörig verksamhetskontakt ska initieras av behörig företrädare för federationsmedlemmen.

Vägledning: Denna roll styr organisationens relation till federationen på en övergripande nivå. Behörig företrädare avser här en person med juridisk rätt att företräda organisationen, det kan vara den nuvarande avtalstecknaren eller en annan person med samma behörighetsgrund (t.ex. en annan firmatecknare). Detta säkerställer att organisationen inte blir låst om den ursprungliga avtalstecknaren slutar.

5.6.2 Ändring av behörig teknisk kontakt ska initieras av behörig verksamhetskontakt.

Vägledning: Verksamhetskontakten har mandat att tillsätta och ersätta den tekniska kontakten, exempelvis vid personalförändringar.

5.6.3 Ändring av behörig teknisk agent ska initieras av behörig teknisk kontakt eller behörig verksamhetskontakt, genom ny eller uppdaterad delegation.

Vägledning: Eftersom den tekniska agenten verkar på operativ nivå kan både den tekniska kontakten och verksamhetskontakten initiera sådana ändringar.

5.6.4 Varje ändring av rollinnehavare ska dokumenteras enligt avsnitt 6.

6. Spårbarhet och dokumentation

6.1 Anslutningsoperatören ska dokumentera och arkivera bevis som ligger till grund för verifieringar enligt avsnitt 2–5 (t.ex. registerutdrag, undertecknade beslut, fullmakter, delegationer och signaturunderlag).

Vägledning: Dokumentationen ska vara tillräcklig för att tredje part (t.ex. ledningsaktör vid revision) ska kunna bedöma om kontrollerna genomförts korrekt.

6.2 Anslutningsoperatören ska föra protokoll/logg över utförda kontroller med uppgift om vem som utfört kontrollen, vad som kontrollerats, tidpunkt, använda källor/metoder samt resultat/beslut.

Vägledning: Syftet är full spårbarhet. Protokollet ska kunna uppvisas vid begäran från ledningsaktören.

6.3 Delegationer och fullmakter som ligger till grund för behöriga roller ska vara skriftliga eller elektroniskt signerade, ange omfattning och vara tidsbegränsade eller tydligt reglerade avseende giltighet.

Vägledning: Obegränsade delegationer utgör en risk. Anslutningsoperatören bör säkerställa att delegeringens omfattning matchar den roll den avser.

6.4 Om oberoende kanalbekräftelse används ska anslutningsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.

Vägledning: Bedömningen ska göras i förhållande till ärendets karaktär och den risk som en felaktig tillhörighetsbedömning medför.

6.5 Dokumentationen ska sparas så länge organisationen är federationsmedlem samt tre år därefter, eller enligt lagstadgade krav om dessa är strängare. Dokumentation avseende avvisning ska sparas i minst ett år.

Vägledning: Bevarandetiden säkerställer att revisioner och tvister kan hanteras även efter att en anslutning avslutats.

7. Livscykelhantering - verifiering över tid

7.1 Anslutningsoperatören ska re-verifiera federationsmedlems anslutning minst en gång per år. Re-verifiering ska omfatta samma kontrollpunkter som vid anslutning enligt avsnitt 2–5, i den utsträckning som är relevant.

Vägledning: Syftet är att säkerställa att organisationsidentiteten, behörighetsförhållandena och de behöriga rollerna förblir korrekta. Re-verifiering ska dokumenteras enligt avsnitt 6.

7.2 Omgående re-verifiering ska initieras vid händelser som kan påverka tillförlitligheten i organisationsverifieringen, exempelvis ändring i firmatecknare eller styrelse, företagsfusion eller förvärv, namnändring, offentlig anmälan om konkurs eller likvidation, meddelande om större omstrukturering, eller indikationer om falska eller förfalskade delegationshandlingar.

Vägledning: Listan är inte uttömmande. Anslutningsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register. Om automatisk övervakning inte är möjlig ska operatören säkerställa motsvarande informationsinhämtning genom andra rutiner, med dokumenterad riskbedömning.

7.3 Vid upptäckt av att en federationsmedlem inte kan re-verifieras ska anslutningsoperatören omedelbart initiera förnyad verifiering och vidta tillfällig minimering av förtroende, informera federationsoperatören och berörda parter, samt genomföra åtgärd baserat på utredningens resultat.

Vägledning: Åtgärder kan innefatta karantän, begränsad åtkomst, återkallelse av anslutning eller uppsägning.

7.4 Anslutningsoperatören ska skyndsamt informera federationsoperatören när brister upptäcks i en federationsmedlems förutsättningar för anslutning enligt detta dokument. Beslut om avstängning eller uppsägning av medlemmens anslutning fattas av part som har mandat enligt avtal och federationens regelverk.

Vägledning: Informationsplikten inträder så snart en brist är känd, oavsett om en utredning pågår. Grunderna och förfarandet för avstängning och uppsägning regleras i de avtal som tas fram inom en federationskontext och i federationens regelverk, inte i detta dokument.

8. Oberoende kanalbekräftelse - metod

8.1 Anslutningsoperatören ska, baserat på riskanalys, fastställa och dokumentera vilka metoder för oberoende kanalbekräftelse som används och under vilka förutsättningar de bedöms tillräckliga.

Vägledning: Oberoende kanalbekräftelse kan användas för att uppfylla krav 1.4 om tillhörighetskontroll av beställare och kan även användas som kompletterande kontroll vid behörighetsstyrkning enligt avsnitt 4 när det bedöms motiverat. Exempel på metoder är fysisk post med aktiveringskod till organisationens registrerade adress, bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerad verifiering på organisationens webbplats, samt bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

9. Dokumentation av process och rutin

9.1 Anslutningsoperatören ska ha skriftlig dokumentation som beskriver process och rutin för hur kraven i detta dokument tillämpas. Dokumentationen ska inkludera operatörens riskbedömning och motivering av valda verifieringsmetoder, inklusive kriterier för oberoende kanalbekräftelse och för när kompletterande kontroller krävs.