National Standard for Identiteters Sikringsniveauer (NSIS)

Hjælp og vejledninger

• Tjenesteudbyder

  En tjenesteudbyder er en virksomhed eller myndighed, som modtager en autentificeret bruger fra en broker som fx NemLog-in til brug i egne selvbetjeningsløsninger.

  Betydning for lokale systemer

  Tjenesteudbydere skal fastlægge, hvilket sikringsniveau (Lav, Betydelig, Høj) deres tjeneste(r) vil kræve, før der gives adgang. Dette gøres på baggrund af en risikovurdering. Vurderingen kan fx. baseres på tjenestens omfang og følsomhed i data. Tjenester, som ikke er følsomme, eksempelvis tidsbestilling hos Borgerservice, kan tillade adgang med alle sikringsniveauer, mens meget følsomme eller samfundskritiske tjenester, som eksempelvis giver sundhedsfaglig medarbejdere adgang til følsomme oplysninger om et stort antal borgere, kan afvise autentifikationer, som ikke er på niveau Høj.

  Konkret betyder det, at brugere som logger ind på en tjeneste, vil kunne være autentificeret på tre forskellige sikringsniveauer (Lav, Betydelig eller Høj) frem for blot ét fast niveau. Tjenesteudbydere skal derfor tage stilling til, hvilke niveauer, der må få adgang til deres tjeneste(r). 

  Tjenesteudbydere skal dermed IKKE NSIS-anmeldes, men blot foretage en risikovurdering af deres tjeneste(r). Tjenesters sikringsniveau skal ikke meldes ind til Digitaliseringsstyrelsen.

  Nedenfor findes en række vejledninger og værktøjer, som kan hjælpe i forbindelse med implementering af NSIS-sikringsniveauer.

  Vejledning til tjenesteudbydere

  Digitaliseringsstyrelsen har udarbejdet en vejledning til tjenesteudbydere, der kan downloades i linket 'Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.3'.

  Vejledningen guider til valg mellem de 3 sikringsniveauer i NSIS.

  Hent vejledning til valg af sikringsniveau for tjenesteudbydere version 2.0.3 (pdf)

  Vejledningen er ajourført til gældende version af NSIS. Vejledningen indeholder desuden beskrivelse af, hvordan det tilhørende Excel-værktøj kan anvendes.

  Digitaliseringsstyrelsen har derudover udgivet OIOSAML 3.0 profilen, som viser hvordan NSIS-sikringsniveauet for en bruger formidles til tjenesten.

  Excel-værktøj til NSIS-vurdering

  Til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau har Digitaliseringsstyrelsen i samarbejde med KOMBIT udarbejdet et Excel-værktøj. Værktøjet kan downloades via nedenstående link:

  Hent NSIS vurderingsværktøj (excel)

  Værktøjet er bevidst holdt simpelt og skal alene betragtes som en støtte til vurderingen, som guide gennem relevante overvejelser. Der vil som oftest være særlige forhold i en konkret tjeneste, som ikke kan dækkes af et generelt værktøj. Værktøjet skal derfor anvendes forsigtigt og med dette for øje. Valg af sikringsniveau er i sidste ende en forretningsmæssig og sikkerhedsmæssig samlet vurdering, som ikke kan dikteres af et regneark.

• Brugerorganisation

  En brugerorganisation er en myndighed eller virksomhed, der har behov for at deres medarbejdere kan identificere sig mod eksterne løsninger som fx offentlige selvbetjeningsløsninger.

  Brugerorganisationer har mulighed for at stå for identitetssikring af egne medarbejdere og udstedelse af tilhørende elektroniske identifikationsmidler. Herved kan medarbejdere anvende det samme elektroniske identifikationsmiddel både lokalt i egen organisation og mod eksterne tjenester - herunder offentlige og private tjenester, der er tilsluttet NemLog-in.

  For at opnå denne funktionalitet, skal brugerorganisationen etablere en Lokal IdP, der kan NSIS-anmeldes i rollen som elektronisk identifikationsordning samt identitetsbroker. 

  Læs mere om Lokal IdP på MitID-Erhverv.dk

  Det er kun brugerorganisationer, der anvender eller ønsker at anvende deres egen Lokal IdP og tilslutte den til MitID Erhverv, der skal gennemføre en NSIS-anmeldelse.

  Betydning for lokale systemer

  Før en lokal IdP kan anmeldes på NSIS-niveau Betydelig og Høj, skal brugerorganisationen dokumentere processer og kontroller for overholdelse af kravene i NSIS gennem en revisionserklæring.

  Lever den lokale IdP ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau. Her kan brugerorganisationen i stedet benytte centrale erhvervsidentiteter udstedt i NemLog-in (baseret på MitID identifikationsmidler) til tjenester, der kræver dette (eller højere niveauer).

  Det anbefales, at brugerorganisationer, der ønsker at etablere en lokal IdP, orienterer sig mod NSIS-sikkerhedskrav og anmeldelses- og revisionsvejledning til NSIS.

  Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

  Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS-anmeldelse. 

  Implementering af Lokal IdP

  På NemLog-in portalen kan I læse mere om etablering og implementeringen af en lokal IdP. På siden findes en guide som hjælper de organisationer, der overvejer eller planlægger at etablere en Lokal IdP.

• Identitetsbroker

  En broker er en betroet organisation, der videreformidler autentificerede brugeridentiteter til tredjeparter (fx tjenesteudbydere). Brokere kan tilslutte et it-system til NemLog-in og derigennem videreformidle NemLog-in-autentifikationer samt erhvervsidentiteter til egne, bagvedliggende tjenesteudbydere. På den måde bliver brokeren en såkaldt ’subbroker’. NemLog-in er selv broker for MitID-autentifikationer – en såkaldt MitID-broker. Tilslutning af en subbroker til NemLog-in forudsætter bl.a. en NSIS-anmeldelse af brokeren samt indgåelse af en brokeraftale med Digitaliseringsstyrelsen.

  Betydning for lokale systemer

  Brokere, som ønsker tilslutning til NemLog-in, eller ønsker at formidle identiteter til offentlige tjenesteudbydere, skal NSIS-anmeldelse. Dette medfører, at der skal afgives en revisionserklæring på overholdelse af NSIS-kravene i rollen som identitetsbroker, før identiteter på niveau Betydelig og Høj kan formidles. Lever brokeren ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau (eller højere).

  Det anbefales, at brokere, der ønsker tilslutning til NemLog-in, orienterer sig mod NSIS-sikkerhedskrav og anmeldelses- og revisionsvejledningen.

  Bemærk at brokere, der ønsker at videreformidle autentifikationer og erhvervsidentiteter fra NemLog-in skal indgå en aftale med Digitaliseringsstyrelsen. 

  Læs mere på vores brokerside på broker.nemlog-in.dk

  Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

  Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS-anmeldelse.

• Anmeldelse

  Der er udarbejdet en anmeldelsesskabelon til NSIS, som strukturerer og letter anmeldelser.

  Anmeldelsesskabelon - version 2.1 (zip)

  Hvem skal modtage jeres anmeldelse?

  Når I har udarbejdet NSIS-anmeldelsen sendes denne til NSIS Tilsynet via e-mail: tilsyn_nsis@digst.dk

  Jf. NSIS revisionsvejledningen kan myndigheder og virksomheder forvente svar på deres NSIS-anmeldelse indenfor 60 kalenderdage. Dog kan der opstå spidsbelastede perioder. Tilsynet vil give besked til anmelderen, hvis der er længere svartid. Det anbefales altid at påbegynde arbejdet med NSIS-anmeldelsen i god tid.