Bilaga 2 Skyddsklasser

Bilaga till Allmänna villkor för Mina meddelanden.

Ändringar gjorda i Bilaga 2 Skyddsklasser

Senast ändring genomförd 1 juli 2025

  • Krav på e-legitimation har utökats till att även omfatta en e-legitimation som är anmäld enligt eIDAS-förordningen på som lägst nivå väsentlig

Skyddsåtgärder i 3 nivåer

Mina meddelanden har tre nivåer av skyddsåtgärder som i denna Bilaga omnämns som skyddsklasser.

Endast Meddelanden som innehåller information som Avsändaren bedömer har tillräckligt skydd i enlighet med någon av dessa skyddsklasser får skickas via Mina meddelanden.

Skyddsklasser

Varje Avsändare är skyldig att informationssäkerhetsklassificera den information som Avsändaren avser att skicka via Mina meddelanden.

Det krävs tekniska såväl som administrativa lösningar för att minimera hot utifrån den informationssäkerhetsklassning som görs. De perspektiv som ska beaktas vid informationssäkerhetsklassning av Meddelanden som skickas är som lägst: konfidentialitet (sekretess), riktighet, tillgänglighet och spårbarhet. Därutöver får även andra perspektiv beaktas.

Samtliga Brevlådeoperatörer som är anslutna till Mina meddelanden ska kunna hantera Meddelanden av skyddsklass 1, 2 och 3. För att upprätthålla en hög grad av säkerhet och tillförlitlighet inom Infrastrukturen samt säkerställa tekniska och administrativa lösningar som minimerar hot för den information som Brevlådeoperatören hanterar måste Brevlådeoperatörerna uppfylla de gemensamma krav som framgår av i Bilaga 1: Krav på säkerhet för Brevlådeoperatörer.

Merparten av kraven är av övergripande karaktär och ställs på Brevlådeoperatörens organisation, processer och rutiner, medan vissa är specifika för en viss skyddsklass. Olika Regler för skyddsklasser återfinns också i Allmänna villkor för Mina meddelanden, Tjänstespecifikation samt i API-specifikationen som publiceras på Diggs webbplats.

Nedan beskrivs de krav som är specifika för respektive skyddsklass.

Skyddsklass 1

Brevlådeoperatören får ge en Brevlådeanvändare tillgång till och möjlighet att ta bort Meddelanden av skyddsklass 1 i Brevlådan endast om denne är behörig och först efter att denne har identifierats med e-legitimation som är granskad och godkänd enligt Tillitsramverket för Svensk e-legitimation på som lägst tillitsnivå 3 (en svensk e-legitimation) eller en e-legitimation som är anmäld enligt eIDAS-förordningen på som lägst nivå väsentlig.

Om kontaktuppgifter för automatisk vidarebefordran av Meddelanden av skyddsklass 1 finns för mottagande Brevlåda, och Brevlådeinnehavaren har valt att få Meddelanden av skyddsklass 1 vidarebefordrade, ska Brevlådeoperatören vidarebefordra Meddelandet till dessa kontaktuppgifter.

Skyddsklass 2

Meddelanden av skyddsklass 2 ska vara signerade av Avsändare/förmedlare. Brevlådeoperatören ska vid mottagandet kontrollera att försändelsen är signerad och att signaturerna är korrekta.

Brevlådeoperatören får ge en Brevlådeanvändare tillgång till och möjlighet att ta bort Meddelanden av skyddsklass 2 endast om denne är behörig och först efter att denne har identifierats med e-legitimation som är granskad och godkänd enligt Tillitsramverket för Svensk e-legitimation på som lägst tillitsnivå 3 (en svensk e-legitimation) eller en e-legitimation som är anmäld enligt eIDAS-förordningen på som lägst nivå väsentlig.

Om kontaktuppgifter för avisering finns för mottagande Brevlåda ska Brevlådeoperatören skicka avisering till kontaktuppgifterna om att nytt Meddelande finns i Brevlådan.

Brevlådans funktionalitet ska vara begränsad så att Meddelanden av skyddsklass 2 inte kan vidarebefordras automatiskt annat än till annan Brevlåda inom Infrastrukturen.

Skyddsklass 3

Meddelanden av skyddsklass 3 ska vara signerade av Avsändare/förmedlare. Brevlådeoperatören ska vid mottagandet kontrollera att försändelsen är signerad och att signaturerna är korrekta.

Brevlådeoperatören får ge en Brevlådeanvändare tillgång till och möjlighet att ta bort Meddelanden av skyddsklass 3 endast om denne är behörig och först efter att denne har identifierats med e-legitimation som är granskad och godkänd enligt Tillitsramverket för Svensk e-legitimation på som lägst tillitsnivå 3 (en svensk e-legitimation) eller en e-legitimation som är anmäld enligt eIDAS-förordningen på som lägst nivå väsentlig.

För skyddsklass 3 gäller att nyckelmaterial som Brevlådeoperatören hanterar för Brevlådeinnehavares räkning ska skyddas när det inte är under användning, direkt eller indirekt, via kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som skyddar mot både fysiska och logiska försök att röja nyckelmaterialet.

Säkerhetsmekanismerna för skydd av nyckelmaterial enligt ovan ska vara genomlysta och baserade på erkända och väletablerade standarder.

Om kontaktuppgifter för avisering finns för mottagande Brevlåda ska Brevlådeoperatören skicka avisering till kontaktuppgifterna om att nytt Meddelande finns i Brevlådan.

Brevlådans funktionalitet ska vara begränsad så att Meddelanden av skyddsklass 3 inte kan vidarebefordras automatiskt annat än till annan Brevlåda inom Infrastrukturen.

EU-flagga text: Finansieras av Europeiska Unionen nextgenerationeu.

Etableringen av den förvaltningsgemensamma digitala infrastrukturen är en del av Sveriges återhämtningsplan för att mildra effekterna av Covid-19 och stärka den digitala omställningen. Satsningen finansieras av Europeiska unionens stimulanspaket Next Generation EU.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: