Choose language
← Vad är vad?

Vad är AES och QES?

AES och QES

AES (Avancerad elektronisk signatur) och QES (Kvalificerad elektronisk signatur) är två juridiska nivåer för elektroniska signaturer enligt eIDAS-förordningen. Ni når nivån AES när en e-signeringstjänst kombineras med stark identifiering — där e-legitimationer som BankID, MitID och FTN står för den säkra identifieringen av undertecknaren. QES lägger till krav på kvalificerade certifikat och godkänd signaturframställningsanordning, och är juridiskt likställd med en handskriven underskrift i hela EU. För de flesta avtal i Sverige räcker AES; QES behövs bara för avtal med strikta formkrav eller när maximalt bevisvärde är avgörande för verksamheten.

I upphandlingar och avtalsprojekt återkommer frågan ofta: vad är egentligen skillnaden, och vilken nivå behöver ni? Här går vi igenom kraven för respektive nivå, den juridiska skillnaden och hur ni avgör vilken som passar er bäst.


eIDAS-förordningens tre signaturnivåer

eIDAS (EU 910/2014) delar in elektroniska signaturer i tre nivåer:

  • Enkel elektronisk signatur (SES) — den lägsta nivån, omfattar metoder som klick-signering, ritad underskrift och engångskoder via SMS. Den är giltig som bevis men har det lägsta bevisvärdet.
  • Avancerad elektronisk signatur (AES) — kräver säker identifiering av undertecknaren och manipulationsskydd för innehållet. Ni uppnår den här nivån när ni kombinerar en e-signeringstjänst med starka nordiska e-legitimationer som BankID, MitID eller FTN.
  • Kvalificerad elektronisk signatur (QES) — uppfyller alla AES-krav plus särskilda tekniska och organisatoriska krav. Den högsta nivån, juridiskt likställd med en handskriven underskrift.

"AES" och "AdES" är båda förkortningar för Advanced Electronic Signature. ETSI använder "AdES" i sina tekniska standarder (PAdES, CAdES, XAdES) för att skilja det från krypteringsstandarden AES (Advanced Encryption Standard). I den här artikeln använder vi "AES" eftersom det har blivit en vanlig svensk förkortning på signeringsmarknaden.

Den här artikeln går djupare på AES och QES. För en grundläggande introduktion till alla tre nivåerna,
se Vad är Elektronisk signatur?.

 

Vad är en Avancerad elektronisk signatur (AES)?

eIDAS Artikel 26 ställer fyra konkreta krav för att en signatur ska vara Avancerad:

  1. Unikt knuten till undertecknaren — ni kan binda signaturen till en bestämd person
  2. Identifierar undertecknaren — undertecknarens identitet kan fastställas på ett säkert sätt
  3. Skapad under undertecknarens egen kontroll — signeringsverktyget används av personen själv (inte av en utomstående part)
  4. Knuten till innehållet så att ni kan upptäcka förändringar — om någon ändrar dokumentet efter signering syns det direkt. Det innebär att ni kan lita på att avtalet är oförändrat sedan undertecknandet.

I praktiken når ni AES när en e-signeringstjänst uppfyller kraven i Artikel 26 tillsammans med en stark nordisk e-legitimation. Det gäller exempelvis svenskt och norskt BankID, danska MitID och finska FTN. För de allra flesta avtal mellan företag eller med konsumenter räcker det utmärkt med AES. 


Vad är en Kvalificerad elektronisk signatur (QES)?

QES bygger ovanpå AES och lägger till tre ytterligare krav:

  1. Undertecknaren skapar signaturen på en kvalificerad signaturframställningsanordning (Qualified Signature Creation Device, QSCD) — en hårdvaru- eller molnbaserad säkerhetsmodul som är certifierad enligt EU:s krav
  2. Signaturen bygger på ett kvalificerat certifikat för elektroniska underskrifter, utfärdat i undertecknarens namn
  3. En kvalificerad tjänsteleverantör (Qualified Trust Service Provider, QTSP) har utfärdat certifikatet, och leverantören finns på EU:s lista över betrodda tjänster

Det ger en signatur som ni kan validera helt oberoende av oss som leverantör, och som alla EU-länder enligt lag måste erkänna. QES kan verifieras automatiskt i EU-kommissionens offentliga valideringsverktyg EU DSS-valideraren.


Vad är den juridiska skillnaden?

Den centrala juridiska skillnaden står i Artikel 25(2): en QES har samma rättsverkan som en handskriven underskrift och ska erkännas i hela EU. En AES har stark juridisk ställning men inte automatisk likställning med papper.

Skillnaden märks vid en eventuell tvist. En QES har en lagstadgad presumtion för giltighet. Det innebär i praktiken en omvänd bevisbörda, vilket gör det mycket svårt för en motpart att bestrida underskriftens äkthet. En AES är också bindande, men ni kan behöva visa kompletterande bevis — till exempel från händelseloggen (så kallad audit trail) eller övriga omständigheter kring signeringen.

Inom svensk avtalsrätt är de flesta avtal formfria – det betyder att det inte finns några lagkrav på hur de måste utformas. Därför räcker AES gott och väl i praktiken. QES blir aktuell när antingen lagen eller avtalstypen ställer specifika formkrav, eller när det är helt avgörande för verksamheten att ha maximalt bevisvärde. Vi återkommer till de specifika formkraven i en kommande artikel om formkrav för signaturer


När behöver ni AES, och när QES?

AES räcker typiskt för anställningsavtal, ramavtal, leveransavtal, intyg, konsumentavtal och kommunala beslut där tjänstemannen signerar i tjänsten. För de allra flesta avtalstyper i Sverige uppfyller AES både lagens krav och rimliga bevisförväntningar.

QES rekommenderas för avtal med strikta formkrav (vissa fastighetsavtal i andra EU-länder, vissa finansiella produkter), gränsöverskridande avtal där lokal lagstiftning kan kräva högsta nivå, samt avtal där det är helt avgörande för verksamheten att ha maximalt bevisvärde vid eventuell tvist.

Generellt sett behövs QES mer sällan än vad många tror. Vår erfarenhet visar att upphandlingar ibland kräver QES av gammal vana, även när avtalstypen inte kräver det. Det skapar bara onödig komplexitet och högre kostnader.


Hur eAvtal levererar nivåerna

  • AES via det egna landets BankID, MitID eller FTN — ingår i alla paket
  • Multi eID — låter er signera med BankID (Sverige och Norge), MitID (Danmark) och FTN (Finland) från ett och samma konto — Premium-funktion
  • QES via Swisscom Trust Services (QTSP) — tilläggstjänst, prissatt per signatur
  • SES via Klick, Rit och SMS — för enklare användningsfall där lägre bevisvärde är acceptabelt

Vill ni dessutom automatisera stegen innan signaturen? Med eBlanketter samlar ni in rätt data på webben innan eAvtal automatiskt skapar avtalet för signering.

Vill ni veta hur förseglingen på en signerad eAvtal-PDF säkerställer långsiktig giltighet, oavsett vilken signeringsnivå som använts? Läs mer i Vad är försegling? (PAdES-LTA).

Vill ni veta mer?

Är ni osäkra på vilken signeringsnivå er upphandling eller avtalstyp egentligen kräver? Hör av er till oss så hjälper vi gärna till att vrida bort onödig komplexitet — eller att stärka rätt nivå där det faktiskt behövs.

Kontakta oss Läs mer om eAvtal