MitID projektet

Baggrund

Digitaliseringsstyrelsen og Finans Danmark har via datterselskabet FR1 indgået et partnerskab om fælles udvikling og drift af MitID, som er en ny, central identitetsgarant for digitale personidentiteter. Kontrakten for det kommende MitID blev underskrevet i marts 2019 og skal erstatte det nuværende NemID.
MitID vil bygge på én fælles identitetskerne. Denne kerne vil kunne benyttes af både offentlige aktører, banker og andre private tjenesteudbydere med behov for sikre, digitale personidentiteter. Et af hovedmålene er, at personidentiteter i kernen som udgangspunkt kan benyttes på tværs af sektorer og tjenesteudbydere, uanset hvilken aktør der har registreret og indrulleret den pågældende person.

Om MitID løsningen

MitID-projektet vil fokusere på de dele af den fremtidige digitale infrastruktur, hvor partnerskabet har fælles behov samt på elektronisk validering af en persons identitet. Øvrige elementer af den fremtidige digitale infrastruktur, fx inden for autorisation, fuldmagt, dokumentsignering og transaktionsgodkendelse, vil blive udviklet separat af de enkelte parter eller andre private aktører.

NemID, der er drevet af Nets DanID A/S, består af to forskellige dele: "bank- løsningen" og den offentlige, PKI-baserede ”OCES-løsning". Den opdeling forandres med MitID-løsningen. MitID-projektet udvikler en fælles identitets- og autentifikationsløsning med en identitetskerne, der understøtter autentifikation og livscyklushåndtering af digitale personidentiteter. Dette omfatter bl.a. registrering af personidentiteter samt indrullering, opdatering og spærring af elektroniske identifikationsmidler (tidligere kaldet akkreditiver).

Til brugerne skal der udvikles et sæt standard MitID elektroniske identifikationsmidler, som skal kunne udvides løbende i takt med den generelle teknologiske og forretningsmæssige udvikling. Der kommer et smartphonebaseret identifikationsmiddel, et passwordbaseret identifikationsmiddel, samt flere fysiske identifikationsmidler bl.a. til svagtseende, som erstatning af de nuværende NemID elektroniske identifikationsmidler.

Overgangen fra NemID til MitID vil betyde en række ændringer i infrastrukturen:

  • MitID-kernen skal udvikles, så eksterne parter, såkaldte ”identitetsbrokere” (brokere), kan lave deres egne løsninger med slutbruger-autentifikation via MitID-kernen.
  • Certifikat, signering og offentlig erhvervsfunktionalitet indeholdes i fremtiden i NemLog-in-løsningen.

Obligatorisk brug af identitetsbrokere

I MitID infrastrukturen vil det ikke længere være muligt for almindelige tjenesteudbydere at tilslutte sig kernen direkte. I stedet skal tjenesteudbydere gå igennem en certificeret identitetsbroker, der håndterer selve autentifikationsprocessen af slutbrugeren og den underliggende tekniske integration til kernen. Brokeren agerer som proxy identitetsgarant mellem tjenesteudbydere og MitID og kan udstede sin egen autentifikationsbillet til tjenesteudbydere i fx SAML-format. Alternativt kan tjenesteudbydere selv blive identitetsbroker ved at indgå en brokeraftale med MitID, hvilket dog vil indebære en certificering og væsentligt skærpede sikkerhedskrav sammenlignet med den eksisterende NemID-tjenesteudbyderaftale.

NemLog-in3s rolle som broker i den samlede MitID-løsning

Figur 1: Tilslutning af tjenesteudbydere (TU'ere)

I den eksisterende identitetsinfrastruktur er størstedelen af de offentlige tjenesteudbydere tilsluttet NemID-løsningen via den fællesoffentlige login-portal/identitetsbroker, NemLog-in, ligesom en række private tjenesteudbydere benytter tilsvarende kommercielle løsninger, i stedet for at implementere NemID-klienten i egne onlineløsninger via den såkaldte ”NemID TU-pakke".

En af de store fordele ved broker-modellen er, at den enkelte tjenesteudbydere slipper for at forholde sig til den tekniske integration til den bagvedliggende identitetsgarant. I stedet kan de koble op hos den valgte broker mod en ofte simplere snitflade, der typisk er baseret på internationale, åbne standarder. Dette betyder samtidig, at det kun er broker-aktører der har behov for, at forholde sig til ændringer i fx MitID- snitflader og sikkerhedsprocedurer.

Det forventes, at der vil blive tre forskellige kategorier af identitetsbrokere, der vil betjene tjenesteudbydere i forskellige sektorer. Dels brokere til den offentlige sektor (NemLog-in samt evt. andre), dels brokere til enkeltbanker eller bank-datacentraler, og endelig kommercielle brokere til tjenesteudbydere fra andre dele af den private sektor. Kernen stiller en klient (Klient skal forstås som den del af MitID, der præsenterer autentificering for slutbrugerne og håndterer kommunikationen med MitID-kernen) til rådighed for brokerne, men hver broker har mulighed for at implementere sin egen klient til autentifikation via kernen og kan dermed udvide eller tilpasse funktionaliteten efter behov.

EU-regulering

Et af de områder, der har udviklet sig væsentligt siden introduktionen af NemID, er den EU-lovgivning, der regulerer området.

eIDAS-forordningen

For den offentlige sektor er det især eIDAS-forordningen, der har betydning. Her defineres krav og standarder til de nationale, offentlige selvbetjeningsløsninger, der muliggør brug af digitale identiteter på tværs af EU's medlemslande. Fra 18. september 2018 er offentlige tjenesteudbydere i alle EU-lande forpligtet til at modtage og anerkende officielle, digitale identiteter fra andre EU-lande på linje med landets egne digitale identiteter.

Danmark vil anmelde MitID som national eID-løsning, så identiteter herfra skal anerkendes på tværs af EU. Digitaliseringsstyrelsen har udarbejdet en National Standard for Identiteters Sikringsniveau (NSIS), der definerer de krav, der skal gælde for danske eID-løsninger, for at leve op til eIDAS' tre sikringsniveauer (Niveau Høj, Betydelig eller Lav) (eller LoA - Level of Assurance) for digitale identiteter. Fremover skal alle offentlige tjenesteudbydere, brokere og identitetsløsninger, der skal benytte den nationale infrastruktur, forholde sig til denne standard, når de vurderer deres tjenester og de data, som kan tilgås via disse tjenester for at sikre, at de er beskyttet med autentifikation på et tilstrækkeligt højt sikringsniveau.

Betalingstjenesteloven

For den finansielle sektor indføres fra 2018 en række nye krav med det reviderede betalingstjenestedirektiv (også kaldet PSD2). Direktivet stiller bl.a. detaljerede krav til, hvordan autentifikation og transaktionsgodkendelse skal foretages i forbindelse med udbud af betalingstjenester, fx betalinger via netbank. Alle som foretager betalingsformidling vil skulle leve op til disse regler gennem den danske lovgivning i ”revideret lov om betalinger”, der trådte i kraft 1. januar 2018. MitID skal understøtte disse regulatoriske krav i det omfang de relaterer sig til MitID funktionalitet.

Databeskyttelsesforordningen

I 2018 trådte den nye persondataforordning (også kaldet GDPR) i kraft. Den har indvirkning på alle offentlige og private tjenester, der håndterer persondata. Dvs. at GDPR er relevant for den digitale infrastruktur, herunder også MitID og NemLog-in. Persondataforordningen er mere vidtgående i sine operationelle krav til aktørerne end den hidtidige regulering, og der er markant større sanktionsmuligheder.

Registreringsenheder

Personidentiteter vil blive registreret i MitID-kernen på nogenlunde samme måde som i dag. Mindre tilpasninger skal dog sikre, at registreringsprocesserne vil leve op til de krav, der er defineret i NSIS-standarden. Læs mere i Digitaliseringsstyrelsens NSIS-vejledning via digst.dk.

MitID skal understøtte registrering af personidentiteter op til det højeste NSIS-sikringsniveau (høj). Det forventes, at hovedparten af personidentiteterne fremover vil blive registreret på NSIS-sikringsniveau betydelig.

Ligesom i den eksisterende NemID-løsning vil der blive udpeget aktører, der vil agere som registreringsenheder (RA) med mulighed for at oprette nye personidentiteter i løsningen. Afhængigt af hvilket sikringsniveau de enkelte registreringsenheder ønsker at registrere personidentiteter på, skal aktørerne leve op til en række krav.

De offentlige myndigheder, der virker som kontaktpunkter for borgere, fx kommunernes borgerservice, og Kriminalforsorgen, vil også fremover fungere som RA. Pengeinstitutter kan også varetage rollen som RA.

I forhold til slutbrugere, der skal bruge MitID i erhvervsmæssig sammenhæng, vil NemLog-in3 tilbyde en registreringsportal som en del af den fremtidige erhvervsidentitetsløsning.

MitID vil desuden tilbyde online registrering, så slutbrugere selv kan registrere og indrullere sig på de lavere sikringsniveauer (op til NSIS-sikringsniveau betydelig) uden personligt fremmøde hos en RA, hvis slutbrugeren har et CPR nummer og relevante legitimationsdokumenter.

MitID i fællesoffentlig kontekst

Med introduktionen af MitID er strategien fra offentlig side at fortsætte udviklingen i retning af en mere fleksibel og modulær arkitektur i den fællesoffentlige infrastruktur for digitale identiteter, signering og brugerrettighedsstyring.

Set fra en tjenesteudbyder-vinkel kommer NemLog-in-løsningen til at spille en endnu mere central rolle i den fremtidige infrastruktur, end den gør i dag. Dette skyldes bl.a., at NemLog-in i rollen som MitID-broker i fremtiden vil være adgangspunkt til identitetsinfrastrukturen for alle offentlige tjenester.

Samtidig udvides NemLog-in-løsningen med en ny identitetsgarant og administrationsportal for erhvervsidentiteter. Herved samles alle dele af funktionaliteten omkring erhvervsidentiteter og administration fremover i NemLog-in.

Målet er at skabe en mere sammenhængende brugeroplevelse for erhvervsbrugere og administratorer i virksomheder, som i fremtiden kan varetage brugeradministration og rettighedsadministration ét sted. Den fleksible og modulære infrastruktur, der specificeres for både MitID og NemLog-in giver samtidig bedre mulighed for at udnytte funktionalitet på tværs af de to løsninger. Et af de konkrete mål er at give erhvervsbrugere mulighed for at benytte deres private MitID identifikationsmidler i en erhvervsmæssig kontekst.

Migrering af brugere fra NemID til MitID

Sammen med leverandøren af det kommende MitID skal der udarbejdes en plan for migrering af personidentiteter fra NemID til MitID. For at sikre en høj udbredelsesgrad af MitID og for at nedbringe mængden af besvær for den enkelte slutbruger, skal migreringsprocessen foregå så smidigt som muligt ved hjælp af brugernes eksisterende NemID. Læs mere nedenfor om migrering af erhvervsidentiteter.

Migrering af tjenesteudbydere til den kommende infrastruktur

Afhængig af, hvordan tjenesteudbydere i dag benytter den eksisterende NemID-løsning, vil migrering til den fremtidige infrastruktur blive en større eller mindre opgave. Dette afhænger af om tjenesteudbydere integrerer direkte med NemID-løsningen via dennes TU-pakke, eller om tjenesteudbydere benytter en mellemliggende identitetsbrokerløsning, som fx NemLog-in. I det sidste tilfælde vil opgaven for den enkelte tjenesteudbydere kunne minimeres, da migreringsrelaterede ændringer et langt stykke hen ad vejen kan begrænses til brokerniveauet, så tjenesteudbydere kan fortsætte med uændret (eller minimalt ændret) interface til infrastrukturen.

Da den fremtidige infrastruktur er en anden end den eksisterende NemID-løsning er det forventeligt, at alle private tjenesteudbydere skal indgå nye aftaler for at kunne benytte MitID. Afhængig af hvordan den enkelte identitetsbroker vælger at håndtere integrationen med MitID, kan der være afledte konsekvenser i form af fx snitfladeændringer for de tilknyttede tjenesteudbydere.

Udbuddene kort fortalt

NemLog-in3-projektet