Tilsyn med National Standard for Identiteters Sikringsniveauer (NSIS)

Digitaliseringsstyrelsens NSIS Tilsyn fører tilsyn med efterlevelsen af National Standard for Identiteters Sikringsniveauer. Standarden skal følges af virksomheder og organisationer, der ønsker at etablere sig som udbydere af elektroniske identifikationsordninger og/eller som identitetsbrokere, herunder lokale IdP’er

Formålet med Digitaliseringsstyrelsen tilsyn er at sikre, at udbydere af elektro-niske identifikationsordninger og identitetsbrokere (samlet ID-tjenester) følger den nationale standard for identiteters sikringsniveauer.

Udbydere af ID-tjenester, der lever op til NSIS, bliver optaget på Digitalise-ringsstyrelsen NSIS-positivliste og kan dermed blive tilkoblet den nationale digi-tale infrastruktur for ID-tjenester (MitID og MitID Erhverv/NemLog-in).

Lovgrundlaget for NSIS er givet i Lov om MitID og NemLog-in, i Bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer samt i Bekendtgørelse om MitID Erhverv og MitID Privat til Erhverv.

Ansvaret for tilsynet med udbydere af ID-tjenester er placeret i Digitaliseringsstyrelsens NSIS Tilsyn, som behandler anmeldelser og foretager årlig opfølgning samt vejleder udbydere af ID-tjenester i forbindelse med anmeldelse og opfølgning.

Processer for NSIS anmeldelse, revision, tilsyn og opfølgning

Detaljerede beskrivelser af processer for NSIS anmeldelse, revision, tilsyn og opfølgning kan findes i Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Processen for NSIS anmeldelse, revision og tilsyn kan kort beskrives således:

  1. Udbyderen af ID-tjenesten/-erne sikrer, at alle relevante NSIS-krav er overholdt
  2. Udbyderen sikrer, at der gennemføres den relevante interne eller eksterne revision af, at alle NSIS-krav er overholdt
  3. Udbyderen foretager anmeldelse af ID-tjenesten til NSIS Tilsynet
  4. NSIS Tilsynet kontrollerer, at alle formalia vedrørende anmeldelse er efter-levet, og at revisor konkluderer, at alle relevante NSIS-krav er efterlevet
  5. Såfremt dette er tilfældet tilføjer NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten
  6. Såfremt revisor har fundet forhold af mindre væsentlig karakter, tilføjer NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten under forudsætning af, at udbyderen senest 60 dage efter NSIS Tilsynets afgø-relse fremsender en skriftlig redegørelse for forholdene samt en detaljeret handlings- og tidsplan for udbedring af forholdene til NSIS Tilsynet
  7. Såfremt revisor har fundet forhold af alvorlig karakter vil NSIS Tilsynet afvise anmeldelsen, og udbyderen skal udbedre forholdene, sikre fornyet revision samt foretage fornyet anmeldelse

Processen for den årlige NSIS opfølgning kan kort beskrives således:

  1. Udbyderen af ID-tjenesten/-erne skal afhængigt af NSIS sikringsniveau årligt fremsende enten en ledelseserklæring eller en fornyet revisionserklæring til NSIS Tilsynet
  2. NSIS Tilsynet kontrollerer, at alle formalia vedrørende erklæringen er efterlevet, og for revisionserklæringer at revisor konkluderer, at alle relevante NSIS-krav er efterlevet
  3. Såfremt dette er tilfældet opretholder NSIS Tilsynet udbyder og ID-tjenesten/-erne på NSIS-positivlisten
  4. Såfremt revisor har fundet forhold af mindre væsentlig karakter, opretholder NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten under forudsætning af, at udbyderen senest 60 dage efter NSIS Tilsynets afgø-relse fremsender en skriftlig redegørelse for forholdene samt en detaljeret handlings- og tidsplan for udbedring af forholdene til NSIS Tilsynet
  5. Såfremt revisor har fundet forhold af alvorlig karakter vil NSIS Tilsynet fjerne udbyder og ID-tjenesten/-erne fra NSIS-positivlisten. Udbyderen vil herefter skulle udbedre forholdene, sikre fornyet revision og foretage fornyet anmeldelse

Afnotering fra NSIS-positivlisten

Jævnfør NSIS-krav 4.1.1 5) skal private organisationer, som leverer ID-tjenester, underrette relevante myndigheder, hvis de påtænker at ophøre med at levere ID-tjenesterne.

NSIS Tilsynet skal derfor underrettes om datoen for ophøret af ID-tjenesterne, og ID-tjenesten vil pr. den opgivne dato blive afnoteret fra NSIS-positivlisten.

Herudover kan NSIS Tilsynet jævnfør NSIS, afsnit 7.2, afnotere anmeldte ID-tjenester fra NSIS-positivlisten, hvis de ikke efterlever kravene i NSIS.

Dette kan blandt andet ske under følgende omstændigheder:

Manglende årlig revisions- eller ledelseserklæring

Anmeldere skal alt efter sikringsniveau årligt enten indsende en ledelseserklæring eller en revisionserklæring.

Modtager NSIS Tilsynet ikke denne erklæring inden for fristen, vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.

Manglende redegørelse for revionsbemærkninger

Hvis der fremgår bemærkninger af revisionserklæringen, skal udbyderen af ID-tjenesten indsende en detaljeret tidsplan og redegørelse for udbedring af forholdene, inden for 60 dage efter modtagelsen af NSIS Tilsynets afgørelse. Denne udbedring skal sikre, at forholdene ikke er gældende i næste revisionserklæring, således at udbedringen er dokumenteret i denne.

Modtager NSIS Tilsynet ikke ovenstående tidsplan og redegørelse inden for fristen, vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.

Gentagne revisionsbemærkninger

Indeholder ID-tjenestens revionserklæring gentagne forhold (revisionsbemærkninger) i to på hinanden følgende, årlige erklæringer grundet manglende udbedring af et eller flere givne forhold, giver NSIS Tilsynet ID-tjenesten en frist på 6 måneder til at udbedre forholdene. NSIS tilsynet skal inden for disse 6 måneder modtage dokumentation for udbedring af forholdene indeholdende en detaljeret redegørelse for, hvorledes forholdene er udbedret, samt en revisionserklæring med høj grad af sikkerhed, der bekræfter dette.

Modtager NSIS Tilsynet ikke rettidigt dokumentation for udbedring af forholdene vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.