Hur elektronisk signering fungerar 2026

Introduktion

Elektronisk signering är idag hjärtat i företagens digitala transformation: 2025 har över 70 % av stora europeiska organisationer integrerat den i minst en avtalsprocess (källa: Gartner, Digital Process Automation Survey 2025). Ändå är det få beslutsfattare som förstår exakt de mekanismer som gör den juridiskt giltig och tekniskt förfalskningssäker. Att förstå hur elektronisk signering fungerar tekniskt — kryptering, PKI, certifikat — gör det möjligt att välja rätt lösning, minska juridiska risker och accelerera intern adoption. Den här artikeln guidar dig, steg för steg, genom den tekniska arkitekturen och standarderna som reglerar elektronisk signering 2026.

---

De kryptografiska grunderna för elektronisk signering

Elektronisk signering bygger på beprövade kryptografiska primitiver. Att förstå mekanismerna är att förstå varför den är mer tillförlitlig än en skannad handskriven signatur.

Asymmetrisk kryptering: publik nyckel och privat nyckel

Den grundläggande principen är asymmetrisk kryptering, som uppfanns på 1970-talet och standardiserades genom algoritmer som RSA (Rivest–Shamir–Adleman) eller elliptiska kurvor (ECDSA). Varje undertecknare har två matematiskt relaterade nycklar:

• Den privata nyckeln: sparad hemligt av undertecknaren, på en säker enhet (smartkort, HSM-token eller skyddad programvarumodul). Den används för att skapa signaturen.
• Den publika nyckeln: distribuerad fritt, inkluderad i ett digitalt certifikat. Den används för att verifiera signaturen.

Säkerhetsprincipen bygger på en beräkningsmässig asymmetri: det är matematiskt trivialt att verifiera en signatur med den publika nyckeln, men praktiskt omöjligt att återskapa den privata nyckeln från den publika nyckeln (problem med diskret logaritm eller faktorisering av stora heltal).

Hash-funktioner: dokumentets digitala fingeravtryck

Innan signering beräknar systemet ett kryptografiskt fingeravtryck av dokumentet med hjälp av en hash-funktion (SHA-256 eller SHA-3 2026). Detta fingeravtryck, kallat hash eller kondensat, är en textsträng med fast längd (256 bitar för SHA-256) som unikt representerar dokumentets innehål.

Väsentlig egenskap: att ändra ett enda tecken i dokumentet producerar ett helt annorlunda hash. Det är detta som garanterar integriteten för det signerade dokumentet: all efterföljande ändringar är omedelbar upptäckbar.

Den elektroniska signeringen i sig är därför krypteringen av detta hash med underteckarens privata nyckel. Vid verifiering:

1. Dekrypterar mottagaren signaturen med den publika nyckeln för att återfinna det ursprungliga hashet;
2. Beräknar själv hashet för det mottagna dokumentet;
3. Jämför de två: om identiska, är signaturen giltig.

---

Public Key Infrastructure (PKI): förtroendekedjan

Kryptering ensamt räcker inte: man måste också bevisa att den publika nyckeln faktiskt tillhör den person som påstår att den är hennes. Det är rollen för PKI (Public Key Infrastructure) — eller Infrastruktur för Publika Nycklar.

Certifieringsmyndigheter (CA)

En Certifieringsmyndighet (CA) är en ackrediterad part av förtroende som utfärdar digitala certifikat. Ett digitalt certifikat är en standardiserad fil (X.509-format) innehållande:

• Certifikatinnehavarens identitet (namn, organisation, e-post);
• Deras publika nyckel;
• Giltighetsperioden;
• Certifieringsmyndighetens egen digitala signatur.

I Europa är ackrediterade CA:er listade i Trusted Lists publicerade av varje EU-medlemsstat i enlighet med eIDAS-förordningen. I Frankrike publicerar ANSSI och underhåller denna lista. Kvalificerade leverantörer av förtroendetjänster (QTSP) — såsom CertSign, Certigna eller Universign — är föremål för regelbundna revisioner enligt standard ETSI EN 319 401.

Certifieringskedja och återkallelse

PKI fungerar enligt en hierarkisk modell:

• En rotcertifieringsmyndighet (Root CA) självsignerad, lagring offline under maximala fysiska säkerhetsbetingelser;
• Mellanliggande CA:er som utfärdar slutanvändarcertifikat.

Återkallelse av certifikat är en kritisk mekanism: om en privat nyckel är kompromisserad, publicerar CA:n dess ogiltighet via en CRL (Certificate Revocation List) eller via OCSP (Online Certificate Status Protocol), möjliggörande realtidsverifiering.

För kvalificerad elektronisk signering enligt eIDAS måste den privata nyckeln genereras och lagras i en QSCD (Qualified Signature Creation Device) — certifierad hårdvara CC EAL4+ eller högre, såsom ett smartkort eller en HSM (Hardware Security Module).

---

De tre signaturniväerna enligt eIDAS

Den europeiska förordningen eIDAS nr 910/2014 (och dess utveckling eIDAS 2.0 under implementering) definierar tre signaturniväer, var och en baserad på ökande tekniska garantier. För att fördjupa denna regelwerk, se vår kompletta guide om eIDAS-förordningen.

Enkel elektronisk signatur (SES)

Enkel signatur är den minst begränsande formen tekniskt. Den kan vara så grundläggande som en kryssruta, en engångskod (OTP) skickad via SMS, eller en bild av en handskriven signatur. Den kräver inte nödvändigtvis ett kvalificerat certifikat.

Typisk användning: validering av offerter, marknadsföringssamtycke, kontrakt med låga risker.

Risk: begränsad bevisvärde vid juridiska tvister. Bevisbördan faller på den som åberopar signaturen.

Avancerad elektronisk signatur (AdES)

Avancerad signatur uppfyller fyra exakta tekniska krav (artikel 26 eIDAS):

1. Den är unikt kopplad till undertecknaren;
2. Den möjliggör identifiering av undertecknaren;
3. Den skapas från data under underteckarens exklusiva kontroll;
4. Den möjliggör detektion av alla senare ändringar i dokumentet.

I praktiken innebär detta användning av ett personligt digitalt certifikat och en robust autentiseringsmekanism. Standardformaten definieras av ETSI: PAdES (för PDF), XAdES (XML), CAdES (binär data) och JAdES (JSON), alla standardiserade i ETSI EN 319 100-serien.

Kvalificerad elektronisk signatur (QES)

Kvalificerad signatur är den högsta nivån. Den kräver:

• Ett kvalificerat certifikat utfärdat av en ackrediterad QTSP enligt eIDAS;
• En QSCD för signaturskapandet.

Det åtnjuter en juridisk presumtion om tillförlitlighet och juridisk ekvivalens med handskriven signatur i hela Europeiska unionen (artikel 25 eIDAS). Det är nivån som krävs för elektroniska offentliga handlingar, vissa notariella handlingar eller känsliga offentliga upphandlingar.

Vår jämförelse av elektroniska signeringslösningar analyserar de praktiska skillnaderna mellan dessa nivåer för att hjälpa dig att välja.

---

Den fullständiga processen för elektronisk signatur steg för steg

Här är hur en elektronisk signatursektion faktiskt löper av på en SaaS-plattform som Certyneo:

Steg 1: förberedelse och dokumentöverföring

Initieraren av signaturen laddar upp dokumentet (kontrakt, ändringsavtal, inköpsorder) på plattformen. Systemet genererar omedelbar en SHA-256 hash av den ursprungliga filen, tidsstämplad och lagrat på ett oförändrat sätt. Detta fingeravtryck fungerar som referens för framtida verifiering.

Steg 2: autentisering av undertecknaren

Beroende på vald signatursnivå varierar autentiseringen:

• SES: e-post + signaturlänk;
• AdES: stark autentisering (OTP-SMS, FIDO2-mobilapp);
• QES: identitetsverifiering i förväg (ansikte mot ansikte eller videoverifiering IDV), utfärdande av kvalificerat certifikat för engångsvandring eller beständig användning.

Steg 3: skapandet av kryptografisk signatur

Undertecknaren initierar signaturhandlingen. Plattformen (eller QSCD:n):

1. Beräknar dokumentets hash;
2. Krypterar denna hash med underteckarens privata nyckel;
3. Integrerar signaturen och certifikatet i dokumentet (PDF signerad i PAdES-LTV-format för långsiktig lagring).

Steg 4: kvalificerad tidsstämpel

En kvalificerad tidsstämpeltjänst (TSA) enligt RFC 3161 applicerar en kryptografisk tidsstämpel, bevisande att signaturen fanns vid en specifik tidpunkt. Detta skyddar mot datumförfalskning och garanterar bevisvärde över tid — även om underteckarens certifikat senare upphör att gälla.

Steg 5: reverensiell arkivering

Det signerade dokumentet arkiveras med sin kompletta revideringslogg: underteckarens identitet, IP-adress, tidsstämpel, dokumenthash, använda certifikat. Denna bevismapp (audit trail) är väsentlig vid juridiska tvister. eIDAS-kompatibla lösningar upprätthåller dessa bevis i PAdES-LTV-format (Long-Term Validation) som integrerar valideringsdata för att möjliggöra verifiering år efter signeringen.

För att förstå hur man integrerar denna process i dina HR-flöden, se vår lösning för elektronisk signering för HR och våra kontraktmallar som kan laddas ned.

Tillämpligt rättsligt ramverk för elektronisk signering

Elektronisk signering är del av ett flerlagers normativt ramverk, som artikulerar nationell civilrätt och harmoniserad europeisk rätt.

Fransk civillag

Artikel 1366 i den franska civilkodex fastställer den grundläggande principen: "Elektronisk handling har samma bevisvärde som handling på pappersstöd, förutsatt att den person från vilken den härrör kan identifieras på behörig väg och den är upprättad och lagring under sådana förhållanden att dess integritet kan garanteras." Artikel 1367 förtydligar att elektronisk signatur "består i användningen av en tillförlitlig identifieringsmetod som garanterar dess samband med handlingen som den är fogad till".

Dekret nr 2017-1416 från 28 september 2017 definierar presumtionen om tillförlitlighet för kvalificerade och avancerade signaturer som överensstämmer med eIDAS.

eIDAS-förordning nr 910/2014

Som hörnstenen i Europas rätt för digital förtroende fastställer eIDAS-förordningen (electronic IDentification, Authentication and trust Services) ett enhetligt juridiskt ramverk för elektroniska signaturer, elektroniska sigill, kvalificerad tidsstämpel, rekommenderade motsagande tjänster och certifikat för webbplatsautentisering. Dess artikel 25, stycke 2, ger kvalificerad signatur en juridisk presumtion om ekvivalens med handskriven signatur i hela EU:n.

eIDAS 2.0-förordningen (under överföring till första kvartalet 2026) stärker dessa bestämmelser med den europeiska digitala identitetsplånboken (EUDIW) och utökar skyldigheterna till finansiella tjänster och sjukvårdsmarknader.

ETSI-standarder

Signaturformat är standardiserade av ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definierar de tekniska profilerna för avancerade och kvalificerade signaturer;
• ETSI EN 319 421 reglerar policyerna för kvalificerade tidsstämpeltjänster.

GDPR och dataskydd

Behandlingen av identitetsdata inom ramen för elektronisk signering (namn, e-post, biometrik för identitetsverifiering) är föremål för GDPR nr 2016/679. Personuppgiftsansvariga måste: ha en rättslig grund (berättigat intresse eller avtalsutförande), tillämpa principen om dataminimering och garantera säkerhet genom lämpliga tekniska åtgärder (kryptering, pseudonymisering).

NIS2-direktivet

NIS2-direktivet (2022/2555/EU), överförande till fransk rätt sedan oktober 2024, ålägger operatörer av väsentliga tjänster och leverantörer av digitala tjänster (inklusive leverantörer av elektronisk signering) fördjupade skyldigheter angående cybersäkerhet, riskhantering och incidentrapportering inom 24 timmar. Brott mot detta kan avsluta i påföljder upp till 10 miljoner euro eller 2 % av den globala omsättningen.

Konkreta användningsscenarios för elektronisk signering

Scenario 1: ett affärsrättsligt kansli automatiserar signeringen av mandat

Ett affärsrättsligt kansli med ett dussin medarbetare behandlade i genomsnitt 120 representationsmandat per månad. Pappersförfarandet innebar utskrift, postöverföring eller personlig överlämnande, sedan scanningi av returnerade dokument — vilket resulterade i en genomsnittlig fördröjning på 4,5 arbetsdagar per dossier och en dokumentförlusthastighet på uppskattningsvis 8 %.

Genom att implementera avancerad elektronisk signering (AdES) med OTP-autentisering reducerade kanslit signeringsfördröjningen till mindre än 4 timmar i genomsnitt, reducerade dokumentfelfrekvensen till mindre än 1 % och sparade cirka 2 200 € årligen i postale och tryckkostnader. Revisionsspåret som genererats automatiskt förenklade också två tvistiga mandatförfaranden, genom att leverera ett otvetydig horodaterat bevis. Upptäck vår lösning speciellt för juridiska kansli.

Scenario 2: en SMB-industri digitaliserar sina leverantörskontrakt

En SMB-industri som hanterar cirka 200 leverantörskontrakt per år (allmänna köpvillkor, prisändringsavtal, sekretessavtal) led av signeringsfördröjningar på över tre veckor för gränsöverskridande avtal med tyska och spanska partners. Skillnaderna i juridiska system och avsaknaden av ömsesidig erkännande försenade förhandlingarna.

Genom att anta kvalificerad signering (QES) utfärdad av en ackrediterad QTSP enligt eIDAS, erkänd i alla tre länder, gynnades SMB:n av automatisk juridisk erkännande i de tre länderna utan ytterligare legalisering. Den genomsnittliga gränsöverskridande signeringsfördröjningen minskade från 18 dagar till 2,5 dagar. Elektronisk signering i företag detaljerar dessa fördelar för inköpsgrupper.

Scenario 3: en sjukhusgrupp säkrar patienters informerat samtycke

En sjukhusgrupp med cirka 800 sängar var tvungna att inhämta informerat samtycke från patienter för kliniska forskningsprotokoll. Pappershantering skapade GDPR-efterlevnadsrisker (dåligt arkiverade dokument, ej spårbara datum) och mobiliserade medicinsk personal för administrativa uppgifter.

Genom att integrera enkel elektronisk signering med identifiering via SMS-kod — tillräcklig för handlingar som inte är föremål för kvalificerat krav — automatiserade sjukhusgruppen insamlingen, arkiveringen och spårbarheten för samtycken. Den administrativa tiden per patient minskade från 12 minuter till mindre än 2 minuter, vilket befrijade cirka 800 sjukskötersketimmar per år. Alla dokument arkiveras med kvalificerad tidsstämpel, vilket fullt tillfredsställer CNIL-kraven. Utforska vår signeringslösning för sjukvård.

Slutsats

Att förstå hur elektronisk signering fungerar tekniskt — från asymmetrisk kryptering till PKI, från kvalificerade certifikat till bevisbar tidsstämpel — är oumbärligt för att fatta upplysta val angående efterlevnad och operativ effektivitet. De tre eIDAS-nivåerna (enkel, avancerad, kvalificerad) svarar på olika behov, och valet bör alltid styras av en analys av juridisk risk och förväntad bevisvärde.

Certyneo följer dig genom denna övergång med en eIDAS-kompatibel SaaS-plattform, ackrediterade QTSP:er och förenklad integration i dina befintliga processer. Uppskattas potentiella vinster för din organisation med vår ROI-räknare för elektronisk signering, eller börja direkt genom att konsultera våra erbjudanden och priser. Efterlevnad och prestanda är inte längre kompromisser.