NSIS - ibrugtagning af standarden

Når MitID og NemLog-in3 løsningerne går i luften, vil National Standard for Identiteters Sikringsniveauer (NSIS) samtidig blive taget i fuld anvendelse.

Når MitID og NemLog-in3 løsningerne går i luften, vil National Standard for Identiteters Sikringsniveauer (NSIS) samtidig blive taget i fuld anvendelse. Dette medfører en række krav til de parter, der ønsker at blive tilkoblet den nationale, digitale identitetsinfrastruktur, herunder tjenesteudbydere, brokere og brugerorganisationer.

Formålet med dette værktøj er at sikre, at øvrige parter igangsætter, planlægger og gennemfører implementeringsarbejde vedrørende NSIS-standarden i god tid, så de kan koble sig på infrastrukturen umiddelbart efter go-live. Det er med andre ord en del af forberedelsen til implementering og overgang til de nye løsninger, at man kigger på egen implementering af NSIS-kravene, hvis man har en løsning, hvor det er nødvendigt.

Baggrund

NSIS er et tillidsrammeværk, som gennem tekniske og organisatoriske krav samt governance etablerer et grundlag for tillid til digitale identiteter i national kontekst. Standarden ligger i forlængelse af eIDAS-forordningen, som definerer en tilsvarende ramme på tværs af EU. NSIS gør det muligt for parter i infrastrukturen at stole på eksterne identiteter og genbruge lokale løsninger. Standarden stiller krav til registreringsprocessen, egenskaber ved elektroniske identifikationsmidler, udleveringsmekanismer, sikkerhed i løsninger, governance, sikkerhedsledelse og revision mv.

Det kræver dermed både teknisk og organisatorisk implementering, at kunne leve op til kravene i standarden. 

Betydning og implementering af standard

NSIS bliver implementeret i de kommende MitID- og NemLog-in3-løsninger. Forud for at disse løsninger går live, forudsættes det, at øvrige parter i infrastrukturen implementerer NSIS kravene i egne løsninger, således at de kan tilslutte sig kort efter go-live.

Tidsforløbet for implementering af NSIS-standarden samt go-live for MitID og NemLog-in er illustreret i bilag 1.

Nedenfor listes NSIS-standardens betydning for de øvrige parter i infrastrukturen, samt konkrete implementeringsopgaver relateret specifikt hertil.

 

Tjenesteudbydere

FunktionalitetBetydning for lokale systemerImplementeringsopgave
Tjenesteudbydere udstiller og giver adgang til løsninger og data med varierende følsomhed. NSIS danner grundlag for, at en tjeneste kan stille krav om et bestemt sikringsniveau ved adgang ud fra en konkret risikovurdering.
Forstår tjenesten ikke de modtagne sikringsniveauer fra infrastrukturen, kan tjenesten ikke træffe en oplyst beslutning om, hvilken adgang brugeren skal have. Dette kan føre til sikkerhedsbrud og kompromittering af følsomme data.

Tjenesteudbydere skal på baggrund af en risikovurdering beslutte, hvilket sikringsniveau der skal kræves ved adgang til tjenesten (herunder tjenestens udstillede data), og denne beslutning skal håndhæves af tjenestens adgangskontrol. Vurderingen kan fx baseres på omfang og følsomhed i data samt konsekvens ved fejl i identiteter og autentifikation.

Digitaliseringsstyrelsen har udgivet en vejledning til tjenesteudbydere, som giver et eksempel på gennemførsel af risikovurdering. Det anbefales at tjenesteudbydere allerede nu påbegynder det forberedende arbejde vedr. risikovurdering.

Digitaliseringsstyrelsen har derudover udgivet OIOSAML 3.0 profilen, som viser hvordan NSIS sikringsniveauet for en bruger formidles til tjenesten.

 

Brokere

FunktionalitetBetydning for lokale systemerImplementeringsopgave
Brokere videreformidler digitale identiteter fra NemLog-in og MitID til tjenesteudbydere. Brokere, som ønsker tilslutning NemLog-in3, eller ønsker at formidle identiteter til offentlige tjenesteudbydere skal overholde NSIS . Dette medfører, at der skal afgives en revisionserklæring på overholdelse af NSIS-kravene, før identiteter niveau Betydelig og Høj kan formidles.

Lever brokeren ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau (eller højere).
Det anbefales, at brokere der ønsker tilslutning til NemLog-in3, orienterer sig mod NSIS-sikkerhedskrav og revisionsvejledning.
Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

 

Brugerorganisationer

FunktionalitetBetydning for lokale systemerImplementeringsopgave

Brugerorganisationer har mulighed at stå for identitetssikring af egne medarbejdere og udstedelse af tilhørende elektroniske identifikationsmidler.
Herved kan medarbejderne anvende det samme elektroniske identifikationsmiddel lokalt i egen organisation og mod offentlige og private tjenester, der er tilsluttet NemLog-in3.


Funktionaliteten opnås ved at tilslutte en lokal IdP til NemLog-in3.

Brugerorganisationer med lokal IdP skal dokumentere processer og kontroller for overholdelse af NSIS-krav gennem revisionserklæring, før den lokale IdP kan tilsluttes infrastrukturen på NSIS-niveau Betydelig og Høj.

Lever den lokale IdP ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau. Her må brugerorganisationen i stedet benytte centrale erhvervsidentiteter udstedt i NemLog-in3 (baseret på MitID identifikationsmidler) til tjenester, der kræver dette (eller højere niveauer).

Det anbefales at brugerorganisationer, der ønsker at etablere en lokal IdP, orienterer sig mod NSIS-sikkerhedskrav og revisionsvejledning.

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.


Opsummering

Samlet anbefaler Digitaliseringsstyrelsen, at alle øvrige parter i infrastrukturen for digitale identiteter indretter procedurer, produktplaner, målarkitektur, udbud osv. på anvendelse og implementering af NSIS rammeværk i egne løsninger, således at der kan ske tilslutning til den nationale digitale identitetsinfrastruktur kort tid efter, den er gået i drift.

siderne om NemLog-in er det muligt at læse mere om NSIS standarden samt at finde links til revisionserklæring og vejledning til risikovurdering for tjenesteudbydere.

Tidslinje over ibrugtagning af NSIS-standarden

Tidslinje fra 2019 til 2022