Vad är e-bevisförordningen?

EU:s e-bevisförordning (på engelska e-Evidence Regulation) ger brottsbekämpande myndigheter en snabb, gränsöverskridande väg att inhämta användardata: en myndighet i ett EU-land kan begära uppgifter direkt från ett företag i ett annat EU-land, inom en fast tidsfrist, utan att gå via domstolarna i tjänsteleverantörens land. Den börjar tillämpas den 18 augusti 2026, och varje tjänsteleverantör som lagrar användares kommunikation eller data behöver kunna ta emot dessa order, bedöma dem och svara i tid.
Vad är e-bevisförordningen?
E-bevisförordningen består av två rättsakter. Förordning (EU) 2023/1543 fastställer de materiella reglerna: vad en order är, vem som får utfärda en, vilka leverantörer som omfattas och vilka uppgifter som kan begäras. Direktiv (EU) 2023/1544 kräver att varje leverantör som omfattas har ett utsett verksamhetsställe eller rättsligt ombud i EU som kan ta emot och hantera order. Samlingsnamnet för båda är e-bevisförordningen, på samma sätt som hela paketet på engelska kallas the e-Evidence Regulation.
Förordningen är direkt tillämplig och börjar gälla i varje medlemsstat den 18 augusti 2026. Direktivet skulle vara genomfört i nationell rätt senast den 18 februari 2026.
Förordningen syftar till att göra gränsöverskridande tillgång till digitala bevis snabbare för brottsbekämpande myndigheter. Tidigare fick en myndighet som behövde uppgifter hos en leverantör i ett annat EU-land förlita sig på ömsesidig rättslig hjälp (MLAT) eller en europeisk utredningsorder (EIO). En europeisk utredningsorder kan ta upp till 120 dagar, och ömsesidig rättslig hjälp i genomsnitt omkring tio månader. Med e-bevisförordningen utfärdar myndigheten i stället en standardiserad order direkt till leverantören, som måste svara inom en fast tidsfrist.
Vad är en order?
En order är ett bindande krav från en brottsbekämpande eller rättslig myndighet på att lämna ut angivna uppgifter. Det är den typ av myndighetsförfrågan som kommunikations- och internetföretag redan tar emot i dag, fast utfärdad i ett standardiserat, gränsöverskridande format.
Förordningen innehåller två slags order.
En europeisk utlämnandeorder kräver att leverantören lämnar ut angivna uppgifter som den redan innehar: abonnentuppgifter (subscriber data), trafikuppgifter (traffic data) eller innehållsdata (content data).
En europeisk bevarandeorder kräver att leverantören bevarar angivna uppgifter så att de inte raderas, medan myndigheten förbereder en framställan om utlämnande. Uppgifterna ska bevaras i 60 dagar, med möjlighet till förlängning en gång med ytterligare 30 dagar. Den innebär inte att uppgifterna lämnas ut.
Båda utfärdas på ett standardiserat intyg och översänds via ett säkert it-system inom EU.
Hur snabbt måste leverantörer svara?
En europeisk utlämnandeorder måste besvaras inom 10 dagar. I brådskande fall är tidsfristen 8 timmar. En europeisk bevarandeorder måste hanteras utan dröjsmål, för att hindra att uppgifterna raderas innan en framställan om utlämnande görs.
Att klara dessa tidsfrister kräver att uppgifterna lokaliseras, att ordern kontrolleras och att uppgifterna översänds säkert inom den tid som står till buds.
Vilka omfattas av e-bevisförordningen?
Ett företag omfattas om två villkor är uppfyllda: det tillhandahåller en tjänst som omfattas, och det erbjuder den tjänsten i EU.
Förordningen täcker tre kategorier:
- Kommunikationstjänster, såsom teleoperatörer, meddelandeappar, e-posttjänster och internettelefoni.
- Tjänster för internetinfrastruktur, såsom domännamnsregister, tilldelning av IP-adresser och relaterade integritets- och proxytjänster.
- Andra av informationssamhällets tjänster som gör det möjligt för användare att kommunicera eller som lagrar eller behandlar deras uppgifter, såsom moln- och värdtjänster, sociala nätverk, marknadsplatser online och liknande plattformar.
Det andra villkoret, att erbjuda tjänster i EU, har två delar. Tjänsten måste vara faktiskt tillgänglig för användare i en medlemsstat; att den bara är åtkomlig från EU räcker inte. Och leverantören måste ha en väsentlig anknytning till unionen.
En sådan anknytning finns när leverantören har ett verksamhetsställe i EU. I annat fall finns den när leverantören har ett betydande antal användare i en eller flera medlemsstater, eller riktar sin verksamhet mot dem. Huruvida verksamheten riktas mot en medlemsstat bedöms utifrån faktorer som användning av ett lokalt språk eller en lokal valuta, möjligheten att beställa varor eller tjänster, eller tillgänglighet i en lokal appbutik.
Det innebär att en leverantör som är etablerad utanför EU ändå kan omfattas, om tjänsten är tillgänglig för användare i EU och leverantören har en väsentlig anknytning till unionen.
Gäller e-bevisförordningen för finansiella tjänster?
Nej. Finansiella tjänster är uttryckligen undantagna från definitionen av tjänsteleverantör. Undantaget omfattar banktjänster, krediter, försäkringar och återförsäkringar, tjänstepensioner och individuellt pensionssparande, värdepapper, investeringsfonder, betaltjänster och investeringsrådgivning.
Finansiella institut tar emot myndighetsförfrågningar, men deras skyldighet att svara följer av andra regelverk, bland annat penningtvättsregelverket, och inte av e-bevisförordningen. Förordningen gäller leverantörer av kommunikations- och lagringstjänster, inte institut på grund av att de hanterar känsliga finansiella uppgifter.
Leverantörer av kryptotillgångstjänster (CASP) nämns inte uttryckligen i undantaget, men resultatet blir detsamma. En renodlad växlings- eller förvaringstjänst är inte en kommunikations-, domän- eller datalagringstjänst och faller därför utanför tillämpningsområdet. En CASP:s skyldighet att svara på myndighetsförfrågningar följer i stället av penningtvättsregelverket och MiCA, där den behandlas som en finansiell aktör.
Gäller den nationella förfrågningar?
Nej. De två orderna gäller endast när en myndighet i en medlemsstat begär uppgifter från en leverantör som är etablerad i en annan medlemsstat. Mekanismen bygger på ömsesidigt erkännande mellan medlemsstater och fungerar därför över gränserna.
Nationella förfrågningar påverkas inte. En nationell myndighet som begär uppgifter från en leverantör som är etablerad i det egna landet använder fortsatt vanliga nationella straffrättsliga förfaranden. Förordningen anger också att en order endast får utfärdas om samma uppgifter hade kunnat inhämtas i ett jämförbart inhemskt ärende. E-bevisförordningen lägger till en gränsöverskridande väg vid sidan av det befintliga nationella systemet; den ersätter det inte.
Vilka uppgifter kan begäras, och av vem?
Förordningen ställer olika villkor beroende på hur känsliga uppgifterna är.
Abonnentuppgifter (subscriber data) och uppgifter som begärs enbart för att identifiera en användare är minst känsliga. De kan begäras av en åklagare och för alla brott.
Trafikuppgifter och innehållsdata är känsligare och omfattas av högre trösklar. En order som avser sådana uppgifter måste utfärdas eller godkännas av en domare eller domstol. Det underliggande brottet måste kunna ge fängelse i minst tre år, eller höra till en särskilt angiven uppsättning brott, däribland terrorism, sexuella övergrepp mot barn, bedrägeri som rör andra betalningsmedel än kontanter och vissa it-brott.
Vad måste tjänsteleverantörer göra före den 18 augusti 2026?
Utse ett verksamhetsställe eller rättsligt ombud. Varje leverantör som omfattas måste utse ett verksamhetsställe, eller utse ett rättsligt ombud, i EU för att ta emot och verkställa order. Leverantören och dess rättsliga ombud är solidariskt ansvariga för efterlevnaden.
Anmäl till myndigheterna. Leverantörer ska anmäla sina kontaktuppgifter och vilka språk de godtar till den behöriga nationella myndigheten, senast den 18 augusti 2026 eller inom sex månader från det att de börjar erbjuda tjänster i EU.
Inför interna rutiner. Leverantörer måste anpassa sina befintliga rutiner för att hantera brottsbekämpande förfrågningar till de nya orderna och tidsfristerna, och utbilda den personal som ska hantera dem.
Vilka sanktioner gäller vid bristande efterlevnad?
Medlemsstaterna ska kunna besluta om sanktionsavgifter på upp till 2 procent av leverantörens totala globala årsomsättning. Sanktioner kan tas ut vid sena eller ofullständiga svar. Leverantören och dess rättsliga ombud är solidariskt ansvariga.
Går genomförandet enligt plan?
Genomförandet är försenat. Vid direktivets genomförandefrist den 18 februari 2026 hade de flesta medlemsstater inte fullt ut genomfört det i nationell rätt, och Europeiska kommissionen inledde överträdelseförfaranden mot flera av dem. Det decentraliserade it-system som ska förmedla order mellan myndigheter och leverantörer är fortfarande under utveckling och är kanske inte fullt funktionellt den 18 augusti 2026.
Tillämpningsdatumet för förordningen är oförändrat. Skyldigheten för leverantörer gäller från och med den 18 augusti 2026, oavsett hur den omgivande infrastrukturen ser ut.
Vad gäller i Sverige?
I Sverige går genomförandet enligt plan. Riksdagen antog regeringens proposition den 3 juni 2026 (betänkande 2025/26:JuU33). Direktivet genomförs genom en ny lag om utsedda verksamhetsställen och rättsliga ombud för inhämtning av elektroniska bevis, som träder i kraft delvis den 1 juli 2026 och delvis den 19 augusti 2026.
Post- och telestyrelsen (PTS) blir centralmyndighet. Det är till PTS som tjänsteleverantörer ska anmäla sig, och PTS kontrollerar att de som omfattas anmäler sig och att de ger sina utsedda verksamhetsställen tillräckliga resurser. Anmälan ska göras från och med den 1 juli 2026, och e-bevis ska kunna lämnas ut från och med den 18 augusti 2026.
Åklagarmyndigheten blir verkställande myndighet och kontrollerar att tjänsteleverantörer lämnar ut eller bevarar e-bevis korrekt och inom tidsfristerna.
Så kan tjänsteleverantörer förbereda sig
- Avgör om företagets tjänster omfattas
- Identifiera vilken juridisk person som ska vara mottagare.
- Bestäm i vilken medlemsstat ni ska utse verksamhetsställe eller ombud.
- Förbered och lämna in anmälan.
- Inför en rutin för att ta emot, kontrollera och besvara utlämnande- och bevarandeorder inom tidsfristerna.
- Säkerställ förmågan att identifiera, bevara och säkert översända begärda uppgifter, med dokumentation av varje steg.
- Utbilda den personal som ska hantera inkommande order.
Att förbereda sig handlar om två saker. Den ena är den regulatoriska analysen: att fastställa om man omfattas, utse en mottagare och lämna in anmälan. Den andra är den praktiska hanteringen: att ta emot en order, kontrollera att den är giltig, ta fram rätt uppgifter inom tidsfristen och spara dokumentation av vad som gjorts. Tidsfristerna innebär att den praktiska rutinen måste finnas på plats innan den första ordern kommer.
---
Den här artikeln är en allmän genomgång av e-bevisförordningen i informationssyfte och utgör inte juridisk rådgivning. För hur reglerna tillämpas i ert specifika fall, rådgör med juridiskt ombud.

Reqport
Reqport är en plattform för att hantera förfrågningar från Polisen och andra myndigheter.
LinkedInRelaterade artiklar

Får polisen begära uppgifter från företag?
Polisen får begära uppgifter, men en förfrågan är inte ett krav. När företaget måste lämna ut, när det är frivilligt, och hur man håller koll på GDPR.

Beslag och förverkande: hur myndigheter säkrar tillgångar hos företag
Vad är beslag och förverkande, och vad får myndigheter göra? Sedan 2024 kan egendom förverkas även utan fällande dom. En guide för företag som förvarar tillgångar.

Vad innebär AMLR Artikel 75 för leverantörer av kryptotillgångstjänster (CASPs)?
Från den 10 juli 2027 faller leverantörer av kryptotillgångstjänster (CASPs) under AMLR. Vad Artikel 75 låter CASPs dela, vilka som får delta, och vad som ännu inte är fastställt.