eIDAS 2.0 och EU:s digitala plånbok 2026

eIDAS 2.0 och EU:s digitala plånbok: vad svenska företag behöver veta

eIDAS 2.0 gör EU:s digitala identitetsplånbok obligatorisk. Här är tidslinjen, juridiken och vad det betyder för inloggning och identifiering i svenska företag.

Vad du lär dig

1eIDAS 2.0 (förordning (EU) 2024/1183) inrättar en EU-gemensam ram för digital identitet och en obligatorisk identitetsplånbok (EUDI Wallet).

2Senast i slutet av 2026 ska varje medlemsstat erbjuda minst en EUDI Wallet; senast i slutet av 2027 måste delar av privata sektorn acceptera den.

3Sverige tar fram den statliga e-legitimationen Sverige-ID, planerad lansering 1 december 2026, utvecklad av Polismyndigheten och Digg och knuten till nationellt id-kort.

4Företag som kräver stark autentisering kan behöva acceptera plånboken och registrera sig som relying party i etableringslandet.

5Selektivt utlämnande och dataminimering byggs in i tekniken, vilket kopplar eIDAS 2.0 tätt till GDPR.

6Förbered genom att kartlägga autentiseringsflöden och bygga leverantörsoberoende inloggning nu.

Under många år har svensk digital identifiering varit nästan synonymt med BankID. Med eIDAS 2.0 ritas spelplanen om på EU-nivå. Förordningen etablerar en gemensam europeisk ram för digital identitet och en EU Digital Identity Wallet (EUDI Wallet) som varje medlemsstat måste erbjuda. För svenska företag som bygger inloggning, e-signering, ålderskontroll eller onboarding är detta en av de mest konkreta regelförändringarna på flera år.

Vad är eIDAS 2.0?

eIDAS 2.0 är vardagsnamnet på Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024, som ändrar den ursprungliga eIDAS-förordningen (EU) nr 910/2014 och inrättar en ram för europeisk digital identitet. Den publicerades i EU:s officiella tidning den 30 april 2024 och trädde i kraft 20 dagar efter publiceringen, i maj 2024.

Den ursprungliga eIDAS-förordningen från 2014 reglerade elektronisk identifiering och betrodda tjänster (e-signaturer, e-stämplar, tidsstämpling med mera) över gränserna. Den fungerade men användes i praktiken mest mellan myndigheter. eIDAS 2.0 tar tre stora steg framåt:

En personlig plånbok för alla. Varje medborgare och invånare ska ha rätt till en digital identitetsplånbok som de själva kontrollerar.
Privata sektorn dras in. Inte bara myndigheter, utan även banker, plattformar och andra tjänster omfattas av krav på att acceptera plånboken.
Användaren styr sina data. Principen om dataminimering och selektivt utlämnande byggs in: du delar bara det attribut som behövs, till exempel att du är över 18, utan att avslöja födelsedatum eller personnummer.

Vad är EUDI Wallet rent praktiskt?

EUDI Wallet är en app i mobilen där du samlar verifierbara uppgifter om dig själv: din identitet, men också så kallade elektroniska attesteringar av attribut (electronic attestation of attributes) som körkort, examensbevis, yrkesbehörighet eller åldersbevis. När en tjänst behöver veta något om dig presenterar du exakt det attributet, kryptografiskt verifierat och med ditt samtycke.

Tekniskt vilar plånboken på ett omfattande ramverk av genomförandeakter (implementing acts) och en gemensam arkitektur- och referensram (ARF) som specificerar dataformat, säkerhetskrav och interoperabilitet. De första genomförandeakterna publicerades i december 2024, och fler tekniska standarder har tillkommit löpande under 2025 och 2026 i takt med att ramverket mognar.

Tidslinjen du behöver hålla koll på

Det går att navigera eIDAS 2.0 med några hållpunkter i kalendern:

April–maj 2024: Förordning (EU) 2024/1183 antas och träder i kraft.
December 2024: Första uppsättningen genomförandeakter med tekniska specifikationer publiceras.
Slutet av 2026: Senast cirka 24 månader efter att de centrala genomförandeakterna trätt i kraft ska varje medlemsstat erbjuda minst en EUDI Wallet till sina medborgare och invånare. Ett land kan tillhandahålla plånboken själv, låta en utsedd part bygga den eller erkänna en privat lösning.
Slutet av 2027: Cirka 36 månader efter genomförandeakterna inträder kravet på obligatoriskt accepterande i delar av privata sektorn. Relying parties som enligt lag eller avtal kräver stark autentisering, till exempel banker, betaltjänstleverantörer och vissa sektorer som energi, hälsa, utbildning och telekom, samt mycket stora onlineplattformar, ska acceptera plånboken på användarens begäran.
2030: EU:s mål inom ramen för Digital Decade är att 80 procent av invånarna ska använda en digital identitetslösning.

En realistisk reservation: utrullningen är ojämn mellan länderna. Flera medlemsstater och oberoende experter har under 2025 och 2026 signalerat att fullt fungerande plånböcker i alla 27 länder vid årsskiftet 2026 är osäkert. Den rättsliga deadlinen står dock fast, och kraven på företagen kommer.

Vad händer i Sverige?

Sverige har historiskt anmält BankID och Freja+ som svenska e-legitimationer enligt eIDAS. Inget av dessa når i dagsläget den högsta tillitsnivån som EUDI-ramverket bygger på. Därför tar staten nu fram en egen lösning.

Sverige-ID är den statliga e-legitimationen som enligt planen lanseras den 1 december 2026. Den utvecklas av Polismyndigheten i samarbete med Myndigheten för digital förvaltning (Digg), under Finansdepartementet, och knyts till det nya nationella id-kortet, vilket innebär att den som vill ha den statliga e-legitimationen ansöker om Sverige-ID och nationellt id-kort samtidigt. Digg ansvarar för den del av eIDAS-regelverket som rör elektronisk identifiering. Sverige-ID är tänkt att nå den högsta tillitsnivån och därmed uppfylla EUDI-kraven, som ett komplement till de marknadsledande lösningarna.

Vad betyder det för ditt företag?

Om din verksamhet hanterar inloggning, identifiering, e-signering eller onboarding berör eIDAS 2.0 dig på flera plan.

1. Du kan behöva acceptera plånboken

Kräver din tjänst stark autentisering enligt lag eller avtal? Då kan du omfattas av kravet att acceptera EUDI Wallet senast i slutet av 2027. Det gäller särskilt reglerade sektorer som finans, hälsa, energi, utbildning och telekom, samt mycket stora plattformar. Mikro- och småföretag som redan använder stark autentisering har visst undantag, men ingen bör utgå från att man inte berörs utan att ha gjort analysen.

2. Du måste registrera dig som relying party

Den som vill använda plånboken för att begära uppgifter om användare måste registreras som relying party i den medlemsstat där företaget är etablerat. I registreringen anger man bland annat juridisk identitet, vilka attribut man avser att begära och i vilket syfte. En central princip är att du bara får begära det som verkligen behövs, och att stödja pseudonymer där identifiering inte krävs enligt lag.

3. Dina flöden behöver kartläggas

Det praktiska arbetet börjar med en inventering: var i era flöden krävs stark autentisering, vilka personuppgifter samlas in vid varje steg, och vilka av dem är faktiskt nödvändiga? Här möts eIDAS 2.0 och dataskyddsreglerna. Dataminimering blir inte längre bara en GDPR-princip på pappret utan något tekniken aktivt understödjer genom selektivt utlämnande.

4. Inloggning blir mer mångfaldig

För svenska användare innebär det troligen att inloggningssidan på sikt rymmer fler alternativ: dagens marknadslösningar, den statliga Sverige-ID och utländska plånböcker från andra EU-länder. Tjänster som bygger autentisering smart, abstraherat och leverantörsoberoende slipper bygga om varje gång ett nytt alternativ tillkommer.

Hur du förbereder dig nu

Kartlägg autentiseringsflöden. Dokumentera var stark autentisering krävs och vilka attribut ni begär.
Bygg leverantörsoberoende. Lägg ett abstraktionslager mellan er applikation och identitetsleverantörerna så att nya plånböcker kan kopplas in utan att koden skrivs om.
Förbered relying party-registrering. Säkerställ att ni har juridisk entitet, syftesbeskrivning och teknisk kontaktinformation redo.
Knyt ihop med GDPR. Använd övergången till att rensa bort onödig datainsamling och dokumentera laglig grund.
Bevaka genomförandeakterna. De tekniska detaljerna fortsätter preciseras. Bygg så att ni kan följa med när standarderna stabiliseras.

Sammanfattning

eIDAS 2.0 är inte bara en uppdaterad förordning, det är ett skifte i hur identitet fungerar digitalt i Europa. För svenska företag handlar det inte om ifall man berörs, utan om när och hur. De som börjar kartlägga sina flöden och bygger inloggning leverantörsoberoende redan nu står starkast när plånboken och kraven blir verklighet 2026 och 2027.

På ZORC bygger vi inloggning, identifiering och onboarding som håller för regelverk i förändring, med arkitektur som tar höjd för både dagens e-legitimationer och morgondagens EUDI Wallet. Vill du veta vad ett sådant projekt skulle innebära för er? Beskriv ert behov i offertkalkylatorn eller hör av dig via kontakt så tittar vi på det tillsammans.