National Standard for Identiteters Sikringsniveauer (NSIS)

NSIS står for National Standard for Identiteters Sikringsniveauer. Formålet med standarden er at skabe en fælles ramme for tillid til digitale identiteter og digitale identitetstjenester gennem en række tekniske og organisatoriske krav.

Formål med NSIS

Kravene i NSIS dækker den fulde livscyklus for identiteter fra oprettelse til den løbende anvendelse og endelig nedlæggelse. Standarden definerer tre sikringsniveauer (Lav, Betydelig og Høj) for digitale identiteter, hvilket bidrager til en større fleksibilitet til understøttelse af forskellige anvendelsesscenarier med forskellige behov.

NSIS har et nært slægtskab med eIDAS-forordningen, som definerer en tilsvarende ramme på tværs af EU.

Betydning og implementering af NSIS

NSIS har central betydning for identitetsløsninger som MitID, MitID Erhverv og NemLog-in samt en række decentrale løsninger som fx organisationer med en Lokal IdP.

Ibrugtagningen af NSIS vil medføre en række krav til de parter, der ønsker at blive tilkoblet den nationale digitale infrastruktur, herunder brugerorganisationer med Lokal IdP og brokere. Kravene i NSIS er rettet mod de betroede parter, som udtaler sig om identiteter over for andre, mens modtagere af identiteter (fx tjenesteudbydere eller 'relying parties') ikke er underlagt krav i NSIS, men alene skal forholde sig til det sikringsniveau, som brugeren må tilgå deres tjeneste med.

NSIS og tilhørende vejledninger 

Bemærk, at den seneste version 2.1 på nuværende tidsunkt ikke er oversat til engelsk, men udarbejdes snarest. I kan stadigvæk tilgå den sidste version 2.0.1a, der er oversat til engelsk, længere nede på siden under "Tidligere versioner af NSIS-dokumenter". 

Hent National Standard for Identiteters Sikringsniveauer (NSIS)

Hent Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Hent anmeldelses- og revisionsvejledning til NSIS

Anmeldelsesskabelonen er stadigvæk tilgængelig, men er ikke opdateret til seneste NSIS-version 2.1.

Hent gældende anmeldelsesskabelon til NSIS - version 2.0.7

Kontrolskemaet er stadigvæk tilgængeligt, men er ikke opdateret til seneste NSIS-version 2.1. 

Hent kontrolskema til udfyldelse i forbindelse med revision af løsning - version 2.0.2a

NSIS, vejledningen til NSIS samt anmeldelses- og revisionsvejledningen til NSIS er senest blevet opdateret i juni 2024.  

Tidligere versioner af NSIS-dokumenter

Hent National Standard for Identiteters Sikringsniveauer (NSIS) - version 2.0.2a

Hent NSIS version 2.0.1a (English)

Hent Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS) - version 2.4

Hent revisionsvejledning til NSIS - version 2.0.7

Ofte stillede spørgsmål

Få svar på de spørgsmål, der oftest bliver stillet i forbindelse med anmeldelser af NSIS ID-tjenester.

Gå til ofte stillede spørgsmål om NSIS

 

Hjælp og vejledninger

En tjenesteudbyder er en virksomhed eller myndighed, som modtager en autentificeret bruger fra en broker som fx NemLog-in til brug i egne selvbetjeningsløsninger.

Betydning for lokale systemer

Tjenesteudbydere skal fastlægge, hvilket sikringsniveau (Lav, Betydelig, Høj) deres tjeneste(r) vil kræve, før der gives adgang. Dette gøres på baggrund af en risikovurdering. Vurderingen kan fx. baseres på tjenestens omfang og følsomhed i data. Tjenester, som ikke er følsomme, eksempelvis tidsbestilling hos Borgerservice, kan tillade adgang med alle sikringsniveauer, mens meget følsomme eller samfundskritiske tjenester, som eksempelvis giver sundhedsfaglig medarbejdere adgang til følsomme oplysninger om et stort antal borgere, kan afvise autentifikationer, som ikke er på niveau Høj.

Konkret betyder det, at brugere som logger ind på en tjeneste, vil kunne være autentificeret på tre forskellige sikringsniveauer (Lav, Betydelig eller Høj) frem for blot ét fast niveau. Tjenesteudbydere skal derfor tage stilling til, hvilke niveauer, der må få adgang til deres tjeneste(r). 

Tjenesteudbydere skal dermed IKKE NSIS-anmeldes, men blot foretage en risikovurdering af deres tjeneste(r). Tjenesters sikringsniveau skal ikke meldes ind til Digitaliseringsstyrelsen.

Nedenfor findes en række vejledninger og værktøjer, som kan hjælpe i forbindelse med implementering af NSIS-sikringsniveauer.

Vejledning til tjenesteudbydere

Digitaliseringsstyrelsen har udarbejdet en vejledning til tjenesteudbydere, der kan downloades i linket 'Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.2'.

Vejledningen guider til valg mellem de 3 sikringsniveauer i NSIS.

Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.2

Vejledningen er ajourført til NSIS-version (2.0.1) og er endnu opdateret til seneste NSIS-version. Vejledningen indehoder desuden beskrivelse af, hvordan det tilhørende Excel-værktøj kan anvendes.

Digitaliseringsstyrelsen har derudover udgivet OIOSAML 3.0 profilen, som viser hvordan NSIS-sikringsniveauet for en bruger formidles til tjenesten.

Excel-værktøj til NSIS-vurdering

Til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau har Digitaliseringsstyrelsen i samarbejde med KOMBIT udarbejdet et Excel-værktøj. Værktøjet kan downloades via nedenstående link:

Hent NSIS vurderingsværktøj

Værktøjet er bevidst holdt simpelt og skal alene betragtes som en støtte til vurderingen, som guide gennem relevante overvejelser. Der vil som oftest være særlige forhold i en konkret tjeneste, som ikke kan dækkes af et generelt værktøj. Værktøjet skal derfor anvendes forsigtigt og med dette for øje. Valg af sikringsniveau er i sidste ende en forretningsmæssig og sikkerhedsmæssig samlet vurdering, som ikke kan dikteres af et regneark.

En brugerorganisation er en myndighed eller virksomhed, der har behov for at deres medarbejdere kan identificere sig mod eksterne løsninger som fx offentlige selvbetjeningsløsninger.

Brugerorganisationer har mulighed for at stå for identitetssikring af egne medarbejdere og udstedelse af tilhørende elektroniske identifikationsmidler. Herved kan medarbejdere anvende det samme elektroniske identifikationsmiddel både lokalt i egen organisation og mod eksterne tjenester - herunder offentlige og private tjenester, der er tilsluttet NemLog-in.

For at opnå denne funktionalitet, skal brugerorganisationen etablere en Lokal IdP, der kan NSIS-anmeldes i rollen som elektronisk identifikationsordning samt identitetsbroker. 

Læs mere om Lokal IdP på MitID-Erhverv.dk

Det er kun brugerorganisationer, der anvender eller ønsker at anvende deres egen Lokal IdP og tilslutte den til MitID Erhverv, der skal gennemføre en NSIS-anmeldelse.

Betydning for lokale systemer

Før en lokal IdP kan anmeldes på NSIS-niveau Betydelig og Høj, skal brugerorganisationen dokumentere processer og kontroller for overholdelse af kravene i NSIS gennem en revisionserklæring.

Lever den lokale IdP ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau. Her kan brugerorganisationen i stedet benytte centrale erhvervsidentiteter udstedt i NemLog-in (baseret på MitID identifikationsmidler) til tjenester, der kræver dette (eller højere niveauer).

Det anbefales, at brugerorganisationer, der ønsker at etablere en lokal IdP, orienterer sig mod NSIS-sikkerhedskrav og anmeldelses- og revisionsvejledning til NSIS.

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS-anmeldelse. 

Implementering af Lokal IdP

På NemLog-in portalen kan I læse mere om etablering og implementeringen af en lokal IdP. På siden findes en guide som hjælper de organisationer, der overvejer eller planlægger at etablere en Lokal IdP.

En broker er en betroet organisation, der videreformidler autentificerese brugeridentiteter til tredjeparter (fx tjenesteudbydere). Brokere kan tilslutte et it-system til NemLog-in og derigennem videreformidle NemLog-in-autentifikationer samt erhvervsidentiteter til egne, bagvedliggende tjenesteudbydere. På den måde bliver brokeren en såkaldt ’subbroker’. NemLog-in er selv broker for MitID-autentifikationer – en såkaldt MitID-broker. Tilslutning af en subbroker til NemLog-in forudsætter bl.a. en NSIS-anmeldelse af brokeren samt indgåelse af en brokeraftale med Digitaliseringsstyrelsen.

Betydning for lokale systemer

Brokere, som ønsker tilslutning til NemLog-in, eller ønsker at formidle identiteter til offentlige tjenesteudbydere, skal NSIS-anmeldelse. Dette medfører, at der skal afgives en revisionserklæring på overholdelse af NSIS-kravene i rollen som identitetsbroker, før identiteter på niveau Betydelig og Høj kan formidles. Lever brokeren ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau (eller højere).

Det anbefales, at brokere, der ønsker tilslutning til NemLog-in, orienterer sig mod NSIS-sikkerhedskrav og anmeldelses- og revisionsvejledningen.

Bemærk at brokere, der ønsker at videreformidle autentifikationer og erhvervsidentiteter fra NemLog-in skal indgå en aftale med Digitaliseringsstyrelsen. 

Læs mere på vores brokerside på broker.nemlog-in.dk

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS-anmeldelse.

Der er udarbejdet en anmeldelsesskabelon til NSIS, som strukturerer og letter anmeldelser.

Vær opmærksom på følgende i forhold til sprog ved en NSIS-anmeldelse

Følgende dokumenter/bilag skal skrives/udfyldes på dansk:

  • Anmeldelsesskabelonen og Revisionserklæring (Bilag 5)

Følgende dokumenter/bilag skal skrives/udfyldes på enten dansk eller engelsk:

  • Detaljeret beskrivelse af ID-tjenesten og Ledelseserklæring (Bilag 2 og 4)

Følgende dokumenter/bilag skal skrives/udfyldes på dansk eller engelsk eller en kombination:

  • Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning (Bilag 3)

Hvis der anvendes engelsk i nogle af de ovenstående bilag skal der vedlægges et separat bilag med anmelders eventuelle engelske oversættelse af centrale NSIS begreber.

Hvem skal modtage jeres anmeldelse?

Når I har udarbejdet NSIS-anmeldelsen til NSIS-tilsynet:

Jf. NSIS revisionsvejledningen kan myndigheder og virksomheder forvente svar på deres NSIS-anmeldelse indenfor 60 kalenderdage. Dog kan der opstå spidsbelastede perioder. Tilsynet vil give besked til anmelderen, hvis der er længere svartid. Det anbefales altid at påbegynde arbejdet med NSIS-anmeldelsen i god tid.