Hybridsignering og genintroduktion af OCES-signering - den 14. april 2026

Senest opdateret med links til nye revisionskrav for lokale IdP'er samt opdateret signeringsdokumentation den 15. april 2026

Følgende ændringer i signeringsløsningen er trådt i kraft den 14. april 2026 for at efterleve eIDAS2-forordningen.

• OCES-signering genintroduceres.
• En hybrid signeringsløsning tilbydes.

Ændringerne påvirker it-systemudbydere, der i deres it-system anvender NemLog-ins:

• signeringsløsning
• valideringstjeneste.

Om hybridsignering

Digitaliseringsstyrelsen begyndte at tilbyde hybridsignering fra 14. april 2026, hvor både OCES og kvalificeret signering stilles til rådighed. Hybridsignering består af:

• OCES-signering med:
  • Lokal IdP på NSIS-niveau Betydelig.
• Kvalificeret signering med:
  •  MitID på eIDAS-niveau Betydelig.
  • Lokal IdP for brugere, der har valideret sin identitet med privat MitID.
  • Lokal IdP for organisationer, der er overensstemmelsesvurderet efter ETSI TS 119 461.

Lokal IdP-brugere, der signerer via NemLog-ins signeringsløsning, får fra d.14 april 2026 en avanceret signatur baseret på et OCES-korttidscertifikat. OCES-signering vil kun være aktuelt for signering med Lokal IdP, mens signering med MitID fortsat giver en kvalificeret signatur.

Lokal IdP brugere kan validere sig med privat MitID i MitID Erhverv, og dermed få adgang til kvalificeret signering. Brugerorganisationer med egen Lokal IdP og FullService Lokal IdP udbydere kan opnå adgang til kvalificeret signering via en ny proces.

Læs mere om, hvordan Lokal IdP brugere hæver deres signatur fra OCES til kvalificeret ved at validere deres identitet med privat MitID:

MitID Erhverv: Lokal IdP: "Få jeres brugere til at validere deres identitet i MitID Erhverv med privat MitID"

Bemærk, at:

• krav om kvalificeret signering typisk kun vil være relevant i sammenhænge, hvor der stilles specifikke EU-retslige krav, dvs. signaturen skal have samme retsvirkning i hele EU.
• OCES-certifikater har fuldt ud samme retsvirkning i Danmark som kvalificerede certifikater og blev senest anvendt til signering i forbindelse med NemID-løsningen.

Opdaterede dokumenter i forbindelse med introduktion af hybridsignering

• Nye revisionskrav for Lokal IdP

  Læs mere om nye revisionskrav for lokale IdP'er i forbindelse med introduktion af hybridsignering her:

  MitID-Erhverv.dk: Lokal IdP

• Signeringsdokumentation

  Disse implementeringsretningslinjer er opdateret:

  • Retningslinjer for implementering af signeringsløsningen for it-systemudbydere
  • Retningslinjer for implementering af signeringsløsningen for brokere

  Hent dem her:

  SignSDK: Dokumentation

• Vilkår for OCES- og kvalificerede certifikater

  De opdaterede vilkår findes her:

  Brugercertifikater

  Organisationscertifikater

  Segl

   

Tidsplan

• 6. marts 2026: Hybridsignering implementeres i DevTest4-miljøet (pre produktionsmiljøet).
• 6. marts 2026 – 14. april 2026: Hybridsignering kan testes i jeres it-systemer som integrerer med NemLog-ins signeringsløsning i DevTest4 (pre produktionsmiljøet).
• 14.april 2026: Hybridsignering implementeres i produktion- og integrationstestmiljøet.

Implementér hybridsignering

Inden I tester, om jeres it-system kan håndtere hybridsignering, har I brug for at foretage ændringer i jeres it-system.

• Justér jeres it-system, når I anvender signeringsløsningen

  Hvis I som it-systemudbyder har it-systemer, som integrerer med NemLog-ins signeringsløsning, skal I opdatere jeres it-systemer, så de er konfigureret til at kunne modtage dokumenter signeret med

  • OCES-certifikater
  • kvalificerede certifikater.

  Bemærk, at brugere, som logger ind via Lokal IdP på jeres it-system oplever fejl ved signering, hvis:

  • brugerne signerer med en OCES-signatur
  • jeres it-system alene accepterer kvalificerede signaturer.

  Derfor skal I som it-systemudbyder sikre, at I både kan håndtere modtagelsen af dokumenter signeret med

  • OCES-certifikater
  • kvalificerede certifikater.

  Der foretages ingen ændringer i SignSDK, men signeringsdokumentationen (implementeringsretningslinjerne) er opdateret.

  SignSDK

• Justér jeres it-system, når I anvender valideringstjenesten

  Valideringstjenesten kan validere:

  • OCES-signaturer
  • kvalificerede signaturer.

  Hvis I som it-systemudbyder har integration til valideringstjenesten i signeringsflowet, skal I kontrollere, om jeres validering alene er konfigureret til at godkende kvalificerede signaturer.

  Hvis det er tilfældet, vil OCES signaturer så blive afvist. Husk at tale med jeres leverandør.

  Hvis I vælger udelukkende at tillade kvalificerede signaturer, skal I tilpasse fejlmeddelelser til brugere, som forsøger at signere med OCES.

  Digitaliseringsstyrelsens bud på, hvad en fejlmeddelelse skal indeholde

  Nærmere information om integration til valideringstjenesten findes i signeringsdokumentationen her:

  SignSDK: Dokumentation

Hvis I vælger udelukkende at acceptere kvalificerede signaturer

It-systemudbydere skal i fejlmeddelelser vejlede eller henvise til vejledning om, hvordan brugere verificerer sig med privat MitID i MitID Erhverv, så brugerne kan signere med en kvalificeret signatur.

• Digitaliseringsstyrelsens bud på, hvad en fejlmeddelelse skal indeholde:

  Du forsøger at signere et dokument med en OCES-signatur. Signering af dette dokument kræver en kvalificeret signatur. For at kunne signere kvalificeret skal du verificere dig i MitID Erhverv med dit private MitID. Kontakt din brugeradministrator, hvis du er i tvivl om, hvordan du gør.

Test, om hybridsignering virker i jeres it-system

Følgende beskriver, hvordan I kan teste hybridsignering i DevTest4‑miljøet.

For at udføre testen skal I i DevTest4-miljøet oprette:

1. en testorganisation som it-systemudbyder
2. it-system i jeres testorganisation som it-systemudbyder.

• Hvis I endnu ikke har en testorganisation i DevTest4-miljøet

  I skal først oprette en testorganisation. I kan vælge at oprette en:

  • testorganisation med et fiktivt CVR-nummer
  • testorganisation med eget CVR-nummer.

  Det er oftest nemmest at oprette en testorganisation med et fiktivt CVR-nummer.

  Derefter skal I oprette it-systemet i NemLog-in Administration.

  Hvis I vælger at oprette en testorganisation med et fiktivt CVR-nummer, følg denne vejledning:

  Fiktivt CVR-nummer: Opret en it-systemudbyder til test (DevTest4)

  Hvis I vælger at oprette en testorganisation med eget CVR-nummer, er der 2 måder at oprette organisationen på. Følg en af de 2 vejledninger nedenfor:

  Selvvalgt navn og CVR-nummer: Sådan opretter I en it-systemudbyder eller brugerorganisation til test i DevTest4-miljøet (Swagger API'et)

  Selvvalgt navn og CVR-nummer: Sådan opretter I en it-systemudbyder eller brugerorganisation til test i DevTest4-miljøet (Cvr-simulator)

  Når I opretter it-systemet i NemLog-in Administration DevTest4-miljøet, følg denne vejledning:

  Nyt it-system: Oprettes i DevTest4 (pre-produktionsmiljøet)

  NemLog-in Administration i DevTest4-miljøet

• Jeres testorganisation findes i DevTest4-miljøet, men ikke it-systemet med signeringsløsningen

  I skal oprette it-systemet med signeringsløsningen i NemLog-in Administration i DevTest4-miljøet.

  NemLog-in Administration i DevTest4-miljøet

  Følg denne vejledning, hvis I har brug for en vejledning til at oprette it-systemet:

  NemLog-in.dk: Nyt it-system: Oprettes i DevTest4 (pre-produktionsmiljøet)

   

Testdata - testorganisationer og testbrugere

Digitaliseringsstyrelsen stiller nedenstående testdata til rådighed i Devtest4-miljøet (både INT og PROD-ben) . Testdata vil bestå af:

• En testorganisation med en Lokal IdP
• IdP testbrugere.

Dem kan I bruge til at teste, om IdP testbrugere kan signere korrekt med det korrekte certifikat i jeres it-system i DevTest4-miljøet. 

I kan bruge IdP testbrugere fra en af de 3 testorganisationer nedenfor.

INT-ben (Test-DevTest4)

• Testorganisation (CVR: 97631036)

  Navn på testorganisation: Testorganisation nr. 97631036

  CVR-nr: 97631036

  Entity ID for Lokal IdP: https://97631036_testlocalidp1-int.sp-devtest4-nemlog-in.dk

  Bruger 1: Lokal IdP bruger, som ikke har valideret med privat MitID

  • Brugernavn: Tudlik822
  • Signeringstype: OCES

  Bruger 2: Lokal IdP bruger, som har valideret med privat MitID

  • Brugernavn: Tolver111238
  • Signeringstype: Kvalificeret

PROD-ben (Devtest4)

• Testorganisation 1 (CVR: 92937106)

  Navn på testorganisation: Testorganisation nr. 92937106

  CVR-nr: 92937106

  Entity ID for Lokal IdP: https://92937106new1idp.testlocalidp1.sp-devtest4-nemlog-in.dk

  Bruger 1: Lokal IdP bruger, som ikke har valideret med privat MitID

  • Brugernavn: Timmy99248
  • Signeringstype: OCES

  Bruger 2: Lokal IdP bruger, som har valideret med privat MitID

  • Brugernavn: Teobald293818
  • Signeringstype: Kvalificeret
• Testorganisation 2 (CVR: 91658509)

  Navn på testorganisation: Testorganisation nr. 91658509

  CVR:91658509

  Entity ID for Lokal IdP: https://91658509new1idp.testlocalidp1.sp-devtest4-nemlog-in.dk

  Bruger 1: Lokal IdP bruger, som ikke har valideret med privat MitID

  • Brugernavn: Torgerd 937
  • Signeringstype: OCES

  Bruger 2: Lokal IdP bruger, som har valideret med privat MitID

  • Brugernavn: Thecla1022
  • Signeringstype: Kvalificeret

Testscenarie

• 1. Vælg, hvilken signeringstype der ønskes testet

  I skal beslutte, hvilken signaturtype der skal testes.

  • Kvalificeret signering
  • OCES signering
• 2. Find en testbruger, som kan foretage den valgte signeringstype

  Inden I vælger en testbruger, skal I finde ud af, hvilket ben af DevTest4-miljøet jeres it-system ligger i.

  • INT-ben (Test-Devtest4)
  • PROD-ben (DevTest4).

  Hvis I tester i INT-ben (Test-DevTest4):

  • vælg Tudlik822 for OCES-signering
  • vælg Tolver111238 for kvalificeret signering.

  Hvis I tester i PROD-ben (DevTest4), findes der 2 forskellige testorganisationer.

  Testorganisation1: CVR: 92937106 for PROD-ben

  • vælg Timmy99248 for testorganisation for OCES-signering
  • vælg Teobald293818 for testorganisation for kvalificeret signering

  Testorganisation2: CVR: 91658509 for PROD-ben

  • vælg Torgerd937 for testorganisationen for OCES-signering
  • vælg Thecla1022 for testorganisationen for kvalificeret signering

  Find  andre oplysninger om testbrugere her:

  Testorganisationer og testbrugere

   

• 3. Gå til jeres it-system med signeringsløsningen i DevTest4-miljøet

  Når du besøger den URL, som giver adgang til jeres it-system, kommer I til NemLog-ins loginside.

• 4. Tryk på fanen "Lokalt login"

  Under titlen "NemLog-in" findes der 3 faner:

  • MitID
  • Lokalt login
  • Test login

  Tryk på fanen "Lokalt login".

• 5. Indtast testorganisationens CVR-nummer

  I skal indtaste CVR-nummeret for den testorganisation, I har valgt.

  Når I har indtastet det, vil organisationens oplysninger, fx Testorganisationsnummer, CVR-nummer. I skal trykke på dem.

  Tryk "Næste".

  Siden "TestLocalIdentityProvider" åbnes.

• 6. Udfyld nødvendige oplysninger for at logge ind

  I skal udfylde felterne nedenfor:

  Issuer: Indtast EntityID for testorganisationen. Feltet er udfyldt på forhånd, men I skal overskrive med de korrekte testdata.

  • Issuer: EntityID. I skal overskrive det, der på forhånd står i feltet. Det er vigtigt at kopiere EntityID'en fra "https:
  • Subject NameID: Testbrugerens brugernavn
  • CVR nummer: CVR-nummer for testorganisationen
  • Organisation name: Testorganisationens navn
  • Level of Assurance: Vælg "Substantial"

  Når I har udfyldt dem, Tryk på " Send".

  I kan finde testdata her:

  Testdata - testorganisationer og testbrugere

• 7. Navigér til signeringen i jeres it-system med signeringsløsningen

  Når I er logget ind, skal I navigere frem til det sted, hvor I skal underskrive.

• 8. Gennemfør signering og download signerede dokument

  I skal signere, som it-systemet beder jer om.

  Under signeringen skal I logge ind med den samme testbruger. Følg trin 4-6.

  Når signeringen er gennemført, download det signerede dokument.

  Hvis jeres it-system udelukkende accepterer kvalificeret signering, og I bruger en testbruger, som kun kan signere med OCES-certifikat, skal signeringsforsøget fejle. It-systemet skal også en fejlbesked, der henviser til, hvordan brugeren verificerer sig med privat MitID i MitID Erhverv for at kunne signere med en kvalificeret signatur.

• 9. Gå til valideringstjeneste

  Valideringstjeneste

• 10. Tryk på "Tilføj dokument"

  Upload det signerede dokument fra trin 8 ved at:

  • trykke på "Tilføj dokument"
  • træk dokumentet ind i det anviste område.
• 11. Tryk på "Signaturdetaljer"

  Når dokumentet er uploadet, og valideringen er gennemført, vises resultat af signaturvalidering vises under "Dine Dokumenter".

  Tryk på pilen foran navnet på det dokument, som I har uploadet, for at folde dokumentets oplysninger ud.

  

  Nederst kan du finde linket "Signaturdetaljer".

  Tryk på "Signaturdetaljer".

  

• 12. Tjek, om signeringen har det niveau, som I har testet med

  Vinduet "Signaturdetaljer" åbner sig.

  Tjek, om dokumentet er underskrevet med det certifikat, som den pågældende bruger har i feltet "Udsted af".

  • "CN=Den Danske Stat kvalificeret" rod-CA betyder "Kvalificeret".
  • "CN=Den Danske Stat OCES rod-CA" betyder "OCES"

  Det viste niveau skal stemme overens med det niveau, som den valgte testbruger kan underskrive på

  

Digitaliseringsstyrelsen anbefaler

• Opret jeres organisation i DevTest4-miljøet snarest

  It-systemudbydere, der ikke allerede har et it-system med integration til NemLog-ins signeringsløsning, kan med fordel oprette denne så snart som muligt.

  Hvis jeres it-system ikke er oprettet i DevTest4-miljøet

• Sikr, at it-systemet kan modtage dokumenter signeret både med OCES-certifikater og kvalificerede certifikater

  It-systemudbydere skal teste om it-systemer, fx selvbetjeninger, hvor der anvendes signering, kan modtage dokumenter signeret både med OCES-certifikater og kvalificerede certifikater. Følg denne vejledning:

  Test, om hybridsignering virker i jeres it-system

• Sikr, at it-systemet, som er integrerer til valideringstjenesten, kan validere dokumenter signeret både med OCES- og kvalificerede certifikater

  It-systemudbydere, der integrerer til valideringstjenesten, skal teste om validering af dokumenter signeret både med OCES-certifikater og kvalificerede certifikater. Følg denne vejledning

  Test, om hybridsignering virker i jeres it-system

• Giv brugere sigende fejlbesked, når I udelukkende tillader kvalificerede signering

  It-systemudbydere, der har it-systemer som udelukkende tillader kvalificeret signering, skal tilpasse fejlmeddelelser til brugere, som forsøger at signere med OCES. Fejlmeddelelserne skal tydeligt vejlede i, hvad brugerne skal gøre, hvis jeres it-systemer alene tillader kvalificeret signering. Få inspiration til, hvordan I formulerer fejlmeddelelsen:

  Digitaliseringsstyrelsens bud på, hvad en fejlmeddelelse skal indeholde

• Udfør test inden 14. april 2026

  Test kan udføres i DevTest4-miljøet allerede nu. Vi anbefaler, at testen udføres i god tid inden den 14. april 2026. Følg denne vejledning:

  Test, om hybridsignering virker i jeres it-system

• Tænk på jeres egne supportmateriale, forretningsregler mv.

  Der kan være behov for at justere supportmateriale, forretningsregler mv. Det skal også gøres inden den 14. april 2026.

Baggrund

eIDAS2-forordningen indeholder ændringer til regler og krav for elektronisk identifikation og tillidstjenester. Med forordningens artikel 24 omhandlende verificering af fysiske personers identitet, er kravene til registreringsprocesser for kvalificerede signaturer skærpet. Disse krav til registreringsprocesser for kvalificerede certifikater træder officielt i kraft til maj 2026. De systemmæssige ændringer i signeringsløsningen gennemføres som nævnt den 14. april 2026.

Centralt for kravene til registreringsprocesserne er, at når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat, skal de verificere identiteten for den fysiske eller juridiske person som certifikatet udstedes til. Det betyder, at registreringsprocesser for kvalificerede certifikater skal have en sikkerhed svarende til fysisk fremmøde.

På baggrund af dette foretager Digitaliseringsstyrelsen tilpasninger i signeringsløsningen for at efterleve eIDAS2-forordningen.

Digitaliseringsstyrelsen har tidligere informeret om tilpasninger i signeringsløsningen via direkte kommunikation til interessenter og i webinar om ændringer i NemLog-ins signeringsløsning den 28. januar 2026.