2016

Der er udarbejdet en række forskellige rapporter, analyser og andre materialer i forbindelse med næste generation NemID.

December

Læs mere om partnerskabet mellem Digitaliseringsstyrelsen og de danske pengeinstitutter.

Notat: Beskrivelse af partnerskabet mellem Digitaliseringsstyrelsen og danske pengeinstitutter om tilvejebringelse og drift af næste generation NemID.

Digitaliseringsstyrelsen, på vegne af den offentlige sektor i Danmark, og FR1, som repræsentant for pengeinstitutterne i Danmark, har med virkning fra den 1. juli 2016 indgået et partnerskab, der skal føre frem til udvikling og drift af en afløser for det eksisterende NemID.

Partnerskabet har aftalt at være fælles om anskaffelse og drift af kernen i den kommende løsning, hvilket omfatter identifikation og autentifikation af enkeltindivider – i offentlig sammenhæng forstået som borgere og i bank-sammenhæng typisk forstået som privat-kunder.

For såvel pengeinstitutterne som den offentlige sektor er det imidlertid vigtigt, at den samlede løsning for næste generation NemID kan håndtere flere behov end identifikation og autentifikation alene. Parallelt med anskaffelsen af kernen skal der derfor etableres en række tillægskomponenter både offentligt og privat, og anvendelsen af NemID i erhvervsmæssige sammenhænge skal håndteres. Digitaliseringsstyrelsen og FR1 har aftalt, at kernefunktionaliteten skal udbydes sammen med den offentlige sektors tillægskomponenter for signering og en slutbrugerrettet klient.

Summen af kerne og tillægskomponenter benævnes ”borgerløsning” eller NDIS, som står for National Digital Identitets- og Signaturløsning.

Delaftaler og kontraktholdere

Kerne og tillægskomponenter udbydes i hver sin delaftale, men i samme udbud. Delaftale I, kernen, udbydes af pengeinstitutterne og Digitaliseringsstyrelsen i fællesskab, mens delaftale II, tillægskomponenter, udbydes af Digitaliseringsstyrelsen alene. Der vil dermed på kundesiden være to kontraktholdere til kernen (FR1 og Digitaliseringsstyrelsen) og kun én til tillægskomponenterne (Digitaliseringsstyrelsen). Pengeinstitutternes tillægskomponenter til Kernen indgår ikke i den samlede udbudsforretning.

1. Kernen

Kernen forventes pt. at indeholde tre centrale elementer:

  • Udvikling og drift af en fælles autentifikationstjeneste (den tekniske løsning)
  • Regelsæt (scheme og kodeks)
  • Certificeringstjeneste

Signering og transaktionsgodkendelse indgår ikke i kernen.

1.1 Autentifikationstjeneste:

Den tekniske løsning består af elementer, der gør autentifikation mulig, samt en såkaldt RA-portal til brug for registrering og indrullering af slutbrugere og en slutbrugerportal, hvor slutbrugere kan administrere deres digitale identitet.

1.2 Regelsæt (scheme og kodeks):

Partnerskabet vil fastsætte et regelsæt, der består af henholdsvis et scheme og et kodeks. Scheme regulerer det ”grafiske” udtryk for løsningen. Elementer i det grafiske udtryk kan være logo, farver, fontstørrelse m.m. Kodeks beskriver retningslinjer for afgivelse af de forskellige faktorer i relation til forskellige transaktionstyper, eksempelvis faktorer som de kendes fra den eksisterende NemID-løsning, dvs. brugerID, kodeord og kode fra nøglekort eller nøgleviser. Det kan også være meget andet, herunder biometriske data.

Scheme og kodeks kommer ikke kun til at regulere autentifikation, men kommer også til at regulere dele af de elementer, der ligger uden for Kernen.
Alle klienter skal således overholde scheme og kodeks – ikke kun i relation til autentifikation – men også i relation til signering.

1.3 Certificeringstjeneste:

Klienter udvikles ikke kun af den offentlige sektor i Danmark og pengeinstitutterne, men der vil også være mulighed for, at 3. parter, der måtte ønske det, evt. kan udvikle egne klienter. Som en del af kernen, skal der etableres en certificeringsordning, så det sikres, at alle klienter overholder scheme og kodeks.

2. Tillægskomponenter – Signeringskomponent og slutbrugerrettet klient

I tillæg til kernen anskaffer Digitaliseringsstyrelsen signeringskomponent og en slutbrugerrettet klient, der kan understøtte, at borgere dels kan autentificere sig over for offentlige myndigheder, og dels kan signere digitale dokumenter og data i offentlige tjenester, der benytter NDIS-løsningen.

2.1 Signeringskomponent

Forventningen er, at signeringskomponenten indrettes, så den kan udstede elektroniske signaturer med tilhørende certifikater baseret på autentifikation af slutbrugere foretaget i kernen. Signeringsmodulet skal således fungere i tæt
samarbejde med kernen. Det forventes, at signeringer vil være baseret på nøgler og certifikater med kort løbetid.

2.2 Klient

Digitaliseringsstyrelsen anskaffer en slutbrugerrettet klient, der kan kommunikere med kernen og signeringskomponenten, hvorved der skabes en samlet autentifikations- og signeringsløsning i form af NDIS. Det er intentionen, at Digitaliseringsstyrelsen vil stille signeringskomponenten og klienten til rådighed for private tjenesteudbydere.

Juni

Digitaliseringsstyrelsen har afholdt et informationsmøde for potentielle leverandører om blandt andet næste generation NemID.

Præsentation skitserer den offentlige sektors forretningsbehov samt foreløbige skitser til den kommende arkitektur - både i forhold til næste generation NemID til borgere og til virksomheder samt næste generation NemLog-in. Informationsmødet er afholdt som led i forberedelsen af den tekniske dialog med markedet vedr. de kommende udbud.

Hent: Presentation - Information meeting - Next Generation of National Digital Identity and Signing

Præsentationens dagsorden er:

  1. Visions for Next Generation of National Digital Infrastructure
    By Head of Division Charlotte Jacoby
  2. Next Generation of National Digital Identity and Signing - Current infrastructure and future citizens’ solution
    Solution Architect Anders Højbjerg
  3. Next Generation of National Digital Identity and Signing
    - for Businesses By Solution Architect Rasmus Frederiksen
  4. Next Generation of NemLog-in – The Public Sector Log-in Solution
    By Solution Architect Rasmus Frederiksen
  5. Next step – The Upcoming Procurement Procedure
    By Senior Project Manager Per Faarup
  6. Questions

Deltagere ved informationsmødet 

NavnJobtitelOrganisation
Sanjeev K. Singh Vice President -Business Development Agc networks limited
Rasmus Vedel Business Development Manager Alexandra Instituttet
Magdalene Lun Manager, Solutions & Bidding Arjo Systems
Nils Inge Brurberg Product Manager BankID Norge AS
Terje Skog Jenssen   BankID Norge AS
Oliver N Oram CEO Chainvine
Oliver Hall Head of ICT Investments Copenhagen Capacity
Jan Kjærsgaard Senior Cryptograpgy Manager Cryptomathic A/S
Morten Landrock EVP EMEA Cryptomathic A/S
Torben Pryds Pedersen CTO Cryptomathic A/S
Søren Kiilerich Senior Infrastructure Manager Danske Bank
Nikolas Triantafyllidis Senior Enterprise Architect e-nettet A/S
Lucie Neoralova Trade Advisor Estonian Embassy
Jacques Trouman Commercial Assistant Flanders Invest & Trade
Franck Amard VP Core Solution Sales, Europe, Govt Programs Gemalto
Matti Kovalainen Vice President, Field Marketing Gemalto
Peter Nordstrand Director, Government Programs Gemalto Danmark A/S
Allan Bager Business development Manager IBM
Leo Moesgaard Manager of IBM crypto center IBM
Niels Pagh-Rasmussen executive architect IBM
Susanne Møller Client Executive IBM Danmark
Jaime Ferrándiz International Business Development - Nordics Indra
Jorge García Carnicero Manager Cyber Security Indra
Isabel Gonzalez Senior Manager Cybersecurity Indra Minsait
Dinesh Head of Banking, Financial Services, & Insurance – Nordics ITC Infotech , Denmark
Edgars IS Security Manager JSC Latvia State Radio and Television Center
Morten Rye Møller Senior Key Account Manager KMD A/S
Martin Mølgård Poulsen, Business Line Director KMD A/S
Ebbe Skak Larsen Security Lead KMD A/S
Bjarke Alling Adm. Direktør Liga ApS
John Christensen Head of NemID Business Development Nets
Niels Gotfredsen Senior Vice President Nets
Peter Fjelbye Business Architect Nets
Mikael Warborg Larsen Principal Architect NNIT A/S
Thomas Lund Erichsen Manager NNIT A/S
Martin Frost Sørensen Chief Lead NemID, Nordea Nordea Bank Denmark
Lars Lunding Andresen Chief Application Architect Nykredit
Jan Flora CTO Penneo
Janek Borgmann CEO Penneo
Wim Mintiens COO QuoVadis TrustLink
Diane Friberg Regional Sales Manager Safran Group Identity & Security (ex-Morpho)
Anders Lisby Madsen Salgschef Schultz
Uffe Seerup Software Architect Schultz
Søren E Petersen Consultancy Secunet
Walter von Weber Senior Key Account Executive Secunet Security Networks AG
Bjarne Schjølin Business Development Consultant Shipley Denmark ApS
Lars Møller Kristensen International Sales Signicat
Morten Storm Petersen Direktør Signaturgruppen A/S
Jack Kaare Ekman Lead Architect Systematic A/S
Steen Schaldemose Senior Manager Business Development Systematic A/S
Jeroen Leybaert Area Sales Manager VASCO Data Security
Philip Stanfield Client Director Verizon
Kim Hyldig Sales Manager Nordics Worldline

 

Spørgsmål og svar fra informationsmødet

Q1: Can there be multiple suppliers for the NemID citizens, NemID employee and the NemLog-in solutions?
A1: It is certainly an option. But it is too soon to say how it will turn out at this early stage.

Q2: What will be the main differences between the current and the new solutions?
A2: Too soon to say. We have shown a drawing of a conceptual architecture, but the final architecture will depend on the outcome of the dialogue with the market.

Q3: In the current solutions the keys are centrally stored, but will this be different in the new solution?
A3: Yes, we expect that this is going to be different. By separating signature functionality from authentication functionality we do no longer see any requirement to base the authentication solution on PKI identities. The aim is to make a simpler and more modular solution architecture. But again we need to see input from the market.

Q4: Will you demand a higher degree of IP rights in the next solutions?
A4: Too soon to say, but we see this solution as a critical national infrastructure and as a national eID.

Q5: Why the difference between a citizen and an employee ID?
A5: There are advantages and disadvantages of having separate citizen and employee solutions. For historical reasons there are two different solutions today, but we expect that the new solution will offer better possibilities to use the citizen ID in an employee context.

Q6: Medium sized and big companies have big management issues with identities. Have you made some thoughts about helping them in some ways/ migration from one solution to another?
A6: This is an area that has high focus both in the existing and coming solution. A key element in handling these issues will be to continue the strategy with an admin API available to businesses, so they will be able to integrate the management tasks related to the solution with their existing identity management systems, e.g. AD etc.

Q7: Have you made some thoughts about biometric solutions?
A7: This will be a topic for the market dialogue in September/October. We are certainly interested in new technologies that the market has to offer.

Q9: Who will ensure the balance between security and convenience – The Agency for Digitisation or the supplier?
A9: Too early to say. We will specify the security demands, and then we expect the coming supplier to create a solution that maximizes the level of convenience/usability to the end user, while not compromising security requirements.

Q10: Will the end-user-support be delivered by the same supplier?
A10: Not yet decided.

Q11: How will the legal framework be with different security levels? Who will be responsible for choosing the right level of security?
A11: It is not yet clear what the legal framework will look like, but it is expected that the service provider will be responsible for providing the right level of security and possibly what kind of credential is needed.

Q12: Do you have some dates for the new NemID solution?
A12: We have a contract with the current supplier about the current solutions until November 2018, but we will probably go beyond that in order to ensure a seamless transition.

Q13: Will there be various brokers in the solutions or just one?
A13: Too soon to say, but we aim for competition in the market.

Q14: Can the solution be delivered from another EU country – given that this is critical Danish infrastructure? Can it be a country outside the EU?
A14: We will look broader than Denmark, but we need to have a closer look at the implementation of the EU Data Protection Regulation.

Q15: Doesn’t the “war rule” regulate that the solutions have to be operated in Denmark?
A15: There is no “war rule” in the new Data Protection Regulation. But we will have to look into the implementation of EU Data Protection Regulation.

Q16: The Agency for Digitisation does not own the IPR for the current solution. What are your thoughts about the migration process?
A16: We have a contract, which describes the terms for the migration process.

Q17: Do the transaction numbers mentioned in the presentation include both for the public and the financial sector? And how will this be in the future?
A17: The numbers are totals for the public and financial sector as a whole. We will hopefully establish a partnership with the financial sector in the nearest future. [A partnership has now been established – see more on http://www.digst.dk/Servicemenu/English/Digitisation/Digital-Signature/Next-Generation-Digital-Signature/Partnership]

Q18: The current solution is provided by a single vendor. What thoughts do you have on opening the market to create competition?
A18: The new solution will be specified and built from new, so all vendors will have a possibility to come with their proposals for a solution.

April

Som led i forberedelserne til næste generation NemID er der udarbejdet en kort introduktion på engelsk til både den nuværende NemID-infrastruktur og de overordnede behov og forventninger til næste generation NemID.

Hent: Introduction – National Electronic Identity and Signing