Ofte stillede spørgsmål om NSIS

Få svar på de spørgsmål, der oftest bliver stillet i forbindelse med anmeldelser af NSIS ID-tjenester.

Information om formålet med NSIS, ibrugtagning af standarden, skabeloner, værktøjer og vejledninger findes på siden om NSIS.

Spørgsmål og svar

Hvornår gælder NSIS?

NSIS gælder, når man indgår i en tillidskæde (andre stoler på én), og man over for disse parter udtaler sig om et sikringsniveau (typisk ved at signere et token/billet hvor et NSIS sikringsniveau indgår). Her sikrer overholdelse af NSIS, at modtageren kan stole på det sikringsniveau, der bliver kommunikeret. En lokal IdP, broker eller andet it-system, der ikke kommunikerer et NSIS sikringsniveau, er således ikke omfattet af NSIS.

Hvem skal have anmeldelsen?

Anmeldelsen skal sendes til Digitaliseringsstyrelsens NSIS Tilsyn.

Hvad skal anmeldelsen indeholde?

Anmeldelsen skal udfyldes ud fra Anmeldelsesskabelon og indeholde de bilag, som beskrives i skabelonen.

Kan vi anmelde ID-tjenester for flere CVR-numre på én gang?

Ja, man kan godt foretage en ’fælles’ NSIS-anmeldelse for en flerhed af CVR-numre. Dette forudsætter dog, at både anmeldelsen (forsiden) og revisionserklæringen (omfangsbeskrivelsen) indeholder beskrivelser af det samlede system (inkl. de pågældende CVR-numre). Der må således ikke forekomme lokale varianter i processer eller systemer, som ikke er dækket af anmeldelsen og den tilhørende revisionserklæring.

Ved ’fællesanmeldelser’ skal én af organisationerne fremgå som kontaktperson for den samlede anmeldelse.

Skal Kontrolskema udfyldes?

Kontrolskemaet skal altid udfyldes uanset hvilket sikringsniveau, der anmeldes på. Det er tilladt at overføre indholdet af kontrolskemaet til andre dokumenttyper, hvis dette vurderes mere praktisk, så længe indholdet bevares for de krav, der er relevante.

Jævnfør NSIS revision vejledningen, afsnit 1.2 Skema til anmeldelse.

Findes vejledninger og skabeloner på andre sprog end dansk?

Der findes ikke vejledninger og skabeloner på andre sprog end dansk med undtagelse af selve standarden, der er oversat til engelsk. Bemærk dog, at det er tilladt at anvende engelsk ved udfyldelsen af visse dokumenter:

Bilag 2: Detaljeret beskrivelse af ID-tjenesten
Bilag 3: Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning og
Bilag 4: Ledelseserklæring
Eventuelle yderligere bilag

Skal der udføres intern revision for ID-tjenester med sikringsniveau Betydelig eller Høj?

Det er ikke længere et krav, at der skal udføres intern revision, såfremt der anmeldes med sikringsniveau Betydelig eller Høj, og der er gennemført ekstern revision ved en statsautoriseret revisor eller et overensstemmelsesorgan.

Jævnfør National Standard for Identiteters Sikringsniveauer, afsnit 4.1.4, pkt. 3.

Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau Lav?

Der skal vedlægges dokumentation for den gennemførte, interne revision som beskrevet i afsnit 4.1.7 om anmeldelse og revision i Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau Betydelig eller Høj?

Der skal vedlægges en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan som beskrevet i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Skal man under krav 4.1.1 punkt 2) bevise, at man overholder lovgivningen og i givet fald hvordan?

Der er ikke krav om at bevise, man overholder loven, og det er normalt tilstrækkeligt at foretage en self-assessment baseret på en lov-screening (fx årligt).

Hvad opfattes som betroede medarbejdere og -opgaver i NSIS 4.1.5 punkt 5?

Med betroede opgaver skal man tænke i NSIS-relevante kontroller. Eksempler kunne være “RA-medarbejdere” som kontrollerer pas etc. for at verificere identiteten af medarbejderen, sikkerhedsadministratorer / AD-administratorer eller andre, som i kraft af deres arbejde har udvidede adgange til brugerkatalog / systemopsætning og ville kunne omgå de almindelige sikkerhedskontroller. Derimod vil en personaleleder, som opretter en medarbejder i organisationens HR- eller lønsystemer, og som ikke udfører identitetssikring, ikke være at betragte som en betroet medarbejder i NSIS-regi. Bemærk endvidere at NSIS ikke specificerer, hvornår man er egnet / uegnet til at varetage en opgave – dette er således en lokal vurdering.

Hvordan skal anmelder kontrollere, at ledere og medarbejdere, der udfører betroede opgaver, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv?

Anmelder kan indhente straffeattester, der dokumenter ledere og medarbejderes strafforhold. Hvis dette ikke er muligt, må anmelder på anden vis sikre sig og dokumentere, at kravet er opfyldt. Det vil være op til en vurdering hos ledelsen hos anmelderen, om eventuelle straffeforhold gør ledere og medarbejdere uegnede til at bestride deres hverv. Dette er anført i afsnit 4.1.5 om faciliteter og personale i National Standard for Identiteters Sikringsniveauer (NSIS).

Hvilken dokumentation skal indsendes for underleverandører, som er på NSIS-positivlisten?

Underleverandørers NSIS-efterlevelse skal ikke dokumenteres, hvis de er optaget på NSIS-positivlisten på samme eller højere sikringsniveau som den aktuelle anmeldelse.

I disse tilfælde er det tilstrækkelige at henvise til den relevante ID-tjeneste på NSIS-positivlisten.

Jævnfør Vejledning til NSIS, afsnit 4.1.1, pkt. 3.

Skal der indsendes en anmeldelse per ID-tjeneste?

Hvis en tjeneste understøtter flere funktionaliteter, fx hvis den både kan agere elektronisk identifikationsordning og identitetsbroker, kan der indsendes én samlet anmeldelse.

Hvis en tjeneste (som fx lokal IdP) dækker flere områder af samme organisation (fx flere organisatoriske enheder), kan der indsendes én samlet anmeldelse, hvis det blot er klart beskrevet, hvor NSIS kravene håndteres ens, og hvor håndteringen varierer.

Jævnfør NSIS anmeldelsesskabelon, Bilag 1

Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau Lav?

Anmelder med ID-tjenester på sikringsniveau Lav skal årligt indsende en ledelseserklæring på, at anmeldelsen fortsat er retvisende og løsningen er aktiv. Dette er anført i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau betydelig eller høj?

Anmelder med ID-tjenester på sikringsniveau betydelig eller høj skal årligt indsende en Type 2 revisionserklæring udarbejdet af en uafhængig, statsautoriseret revisor eller et overensstemmelsesvurderingsorgan, som bekræfter, at kravene til stadighed opfyldes.

Efter indsendelse af en type 1 eller type 2 erklæring, skal anmelder én gang årligt indsende en ISAE 3000 type 2 erklæring for en 12 måneders periode, hvor erklæringsperioden ligger i umiddelbar forlængelse af perioden for seneste erklæring. Erklæringen skal være Digitaliseringsstyrelsens NSIS Tilsyn i hænde senest 60 kalenderdage regnet fra den dag, hvor 12-måneders perioden udløber.

Afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS) beskriver dette nærmere.

Du kan finde yderligere information i afsnit 1.3.1 om typer, frister og perioder for erklæringer i NSIS revisionsvejledning version 2.0.7.

Hvor gamle må revisionserklæringer fra (under-)leverandører være?

Hvis der efter partielmetoden anvendes revisionserklæringer fra serviceleverandører, underleverandører eller tilsvarende må disse erklæringer være op til et år gamle. Dette er anført i afsnit 1.3.2 om håndtering af serviceleverandører i Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Hvilke krav i NSIS skal en lokal IdP opfylde?

En lokal IdP skal opfylde kravene til både a) NSIS Identifikationsordning (da anmelderens organisation typisk udsteder lokale identifikationsmidler) og b) NSIS Identitetsbroker (da en lokal IdP udstiller en autentifikationsservice som videreformidler identiteter til tredjeparter). En lokal IdP er altså omfattet af kravene i NSIS kapitel 3, 4, 5 og 6 (evt. fraregnet kapitel 3.1.3).

Er tjenesteudbydere omfattet af NSIS?

Tjenesteudbydere (herunder digitale selvbetjeningsløsninger og Apps), der alene modtager identiteter, er ikke underlagt krav i NSIS. De skal alene forholde sig til hvilke sikringsniveauer, de vil modtage, og afvise brugere der er autentificeret på et for lavt niveau.

Må man bruge en type 1 erklæring til første anmeldelse, selvom systemet er i drift?

Ja, første gang et system anmeldes, må man gerne benytte en type 1 erklæring – også selvom systemet er i drift.

Dette skyldes, at selvom it-systemet har været i brug tidligere andre formål (fx autentifikationer uden NSIS sikringsniveau), så kan NSIS niveauer først ibrugtages efter optagelse på positivlisten. Type 1 erklæringen og den efterfølgende optagelse på positivlisten markerer dermed en skillelinje for overgangen til ibrugtagning af NSIS, og der er ikke behov for, at revisor udtaler sig om perioden, før systemet blev anvendt i NSIS sammenhæng.

Hvilke krav stiller NSIS-standarden til private organisationer ved nedlukning eller overtagelse af tredjepart?

Private organisationer, som leverer ID-tjenester skal, jf. NSIS-krav 4.1.1 5), have beskrevet en termineringsplan som sikrer en hensigtsmæssig nedlukning eller overtagelse af tredjepart, samt underretning af myndigheder og brugere. Planen skal indeholde detaljer om, hvordan data opbevares, beskyttes og destrueres.

Hvordan skal anmeldere forholde sig, hvis et eller flere krav i NSIS ikke længere opfyldes?

Hvis et eller flere krav i NSIS ikke længere opfyldes, er organisationen, jf. NSIS-krav 7.2, forpligtet til af egen drift straks at meddele Digitaliseringsstyrelsen dette. Digitaliseringsstyrelsen kan til enhver tid fjerne en ID-tjeneste fra listen over anmeldte løsninger, såfremt tjenesten eller anmelderen ikke efterlever kravene i standarden.