Tre nivåer av e-underskrift — varför fel nivå kan kassera ditt anbud

Klockan är 09:15. Anbudstiden löper ut 10:00. Du loggar in i TendSign, letar upp signeringssteget och ser meddelandet: Väntar på underskrift från behörig firmatecknare.

Firmatecknaren är på tåget till Göteborg. Utan BankID på telefonen.

Det är inte ett logistikproblem. Det är ett systemdesignproblem — och det uppstår varje gång signaturkravet i ett förfrågningsunderlag behandlas som en formalitet snarare än ett tekniskt och juridiskt krav som måste planeras veckor i förväg.

Tre nivåer, ett regelverk och ett förfrågningsunderlag som sällan förklarar vilket

eIDAS-förordningen (EU 910/2014) definierar tre nivåer av elektronisk underskrift.

Enkel elektronisk underskrift (SES) är en skanning, ett inskrivet namn, en ruta som bockas i. Den bevisar ingenting om vem som faktiskt agerade.

Avancerad elektronisk underskrift (AdES) måste vara unikt kopplad till signatären, kunna identifiera signatären, skapas med data som signatären ensam kontrollerar och vara skapad på ett sätt som gör det möjligt att identifiera om det signerade innehållet ändrats. BankID i en plattform som Visma Addo är ett vanligt exempel i Sverige.

Kvalificerad elektronisk underskrift (QES) är den högsta nivån. Den likställs rättsligt med en handunderskrift i hela EU och kräver ett kvalificerat certifikat utfärdat av ett tillitsorganisation som finns på EU:s tillitslista.

Enligt 12 kap. 7 § LOU får en upphandlande myndighet kräva att elektroniska anbud ska vara försedda med avancerad elektronisk underskrift. Inte kvalificerad. Inte enkel. Avancerad — men bara om det är nödvändigt i den enskilda upphandlingen.

Problemet är att förfrågningsunderlaget sällan specificerar detta tydligt.

Vad plattformarna faktiskt levererar

TendSign — sedan 2024 en del av Mercell — är den dominerande upphandlingsplattformen i Sverige. Visma Addo är integrerat för signering, med BankID som ett av de tillgängliga underskriftsalternativen.

Det innebär i praktiken att du som anbudsgivare kan slutföra signeringssteget i TendSign med ditt mobila BankID. Det räcker i de flesta fall. Men det är inte alltid klart om plattformens standardflöde uppfyller det som förfrågningsunderlaget faktiskt kräver — och skillnaden mellan nivåerna är inte synlig i gränssnittet.

ESPD:n — egenförsäkran enligt 15 kap. 1 § LOU — hanteras ofta separat. TendSign har stöd för ESPD-frågor direkt i systemet, men hur du signerar den beror på hur upphandlande organisation har konfigurerat sin upphandling. I vissa upphandlingar signeras ESPD tillsammans med anbudet. I andra är det ett separat steg, med en separat teknisk identitetsverifiering.

Proportionalitet är skyddet — men bara om du åberopar det

Upphandlingsrätten vilar tungt på proportionalitetsprincipen. Kammarrätten har slagit fast att ett krav på pappersunderskrift med efterföljande skanning stred mot proportionalitetsprincipen, eftersom det gick längre än vad som behövdes för att uppnå syftet — och eftersom en elektronisk underskrift faktiskt ger högre säkerhet.

Det skyddar dig som anbudsgivare från oproportionellt hårda formkrav. Men det skyddar inte mot att du lämnar en SES när myndigheten kräver AdES.

Det omvända gäller: om myndigheten angett att anbud ska vara försedda med avancerad elektronisk underskrift och du lämnar en enkel klick-signatur, är det ett avvisningsgrundande formfel. Proportionalitetsprincipen hjälper dig inte att rätta ett avvisningsfel i efterhand.

Den dolda tidsaxeln

Problemet med e-underskrifter i offentlig upphandling är inte tekniken. Det är tidsaxeln.

Du kan inte hämta in ett kvalificerat certifikat dagen innan anbudstiden löper ut. Du kan inte ta reda på om er gemensamma firmatecknares BankID är kopplat till rätt organisationsnummer fyra timmar före deadline. Du kan inte konfigurera Visma Addo-åtkomst för ett konsortiums underentreprenör under en fredagsmorgon.

Alla dessa saker tar dagar, ibland veckor.

Vad förfrågningsunderlaget kräver behöver du veta på dag ett — inte sista dagen. ESPD och anbudets signeringssteg behöver tilldelas rätt person med rätt behörighet och rätt teknisk tillgång veckor innan inlämning.

Gör det till en checklista som körs parallellt med det tekniska och kommersiella arbetet. Inte som ett avslutande steg.

Det bud som aldrig lämnades in

Det mest kostsamma misstaget är inte ett avvisat anbud. Det är ett anbud som aldrig lämnas in alls.

TendSign blockerar inlämning om signeringssteget inte är slutfört. Det är rätt designat — ett osignerat anbud ska inte kunna skickas in av misstag. Men det betyder att om signatären inte är tillgänglig, om BankID-sessionen inte fungerar, om organisationsnumret inte matchar certifikatet — ingenting händer. Systemet väntar. Klockan tickar.

Filen kallas kanske Anbud_Eriksson_Bygg_FINAL_v3.pdf. Den ligger klar. Den är komplett. Men den når aldrig upphandlaren, för signeringssteget hängde kvar i ett väntande tillstånd som ingen lade märke till.

En bra anbudsprocess hanterar signeringen som ett tekniskt moment med ledtid, inte som en underskrift på slutdokumentet. Steinlog bygger på den logiken — att signatur och inlämning är förutsättningarna du leder fram till, inte det sista du tänker på.

Konkret: vad du ska göra

Läs förfrågningsunderlaget. Specifikt: leta efter formuleringen om elektronisk underskrift. Om det refereras till 12 kap. 7 § LOU eller eIDAS artikel 3 — identifiera exakt vilken nivå som krävs.

Kontrollera att er firmatecknare har rätt behörighet i den plattform upphandlingen körs i. Testa signeringsflödet i förväg om möjligt.

Om du lämnar anbud i ett konsortium: varje deltagare som åberopar kapacitet lämnar sin egen ESPD. Varje ESPD ska vara signerad av rätt person hos rätt organisation.

Börja med signeringslogistiken dag ett.

Det finns ingen rättelse när klockan är 10:01.