NSIS

NSIS står for National Standard for Identiteters Sikringsniveauer. Formålet med standarden er at skabe en fælles ramme for tillid til digitale identiteter og digitale identitetstjenester gennem en række tekniske og organisatoriske krav.

Formål med NSIS

Kravene i NSIS dækker den fulde livscyklus for identiteter fra oprettelse til den løbende anvendelse og endelig nedlæggelse. Standarden definerer tre sikringsniveauer (Lav, Betydelig og Høj) for identitetssikring og autentifikation, hvilket bidrager til en større fleksibilitet til understøttelse af forskellige anvendelsesscenarier med forskellige behov.

NSIS-standarden ligger i forlængelse af eIDAS-forordningen, som definerer en tilsvarende ramme på tværs af EU.

NSIS har derfor central betydning for Identitetsløsninger såsom MitID og MitID Erhverv/NemLog-in.

Betydning og implementering af NSIS

NSIS-Standarden har central betydning for identitetsløsninger som MitID og MitID Erhverv/NemLog-in samt en række decentrale løsninger som fx organisationer med en Lokal IdP.

Ibrugtagningen af NSIS-standarden vil medføre en række krav til de parter, der ønsker at blive tilkoblet den nationale digitale infrastruktur herunder tjenesteudbydere, brugerorganisationer og brokere. Kravene i NSIS er rettet mod de betroede parter, som udtaler sig om identiteter over for andre, mens modtagere af identiteter (fx tjenesteudbydere eller 'relying parties') ikke er underlagt krav i NSIS men alene skal forholde sig til det sikringsniveau, som brugeren tilgår deres tjeneste med.

Under "Den gældende NSIS" på denne side kan du læse mere om NSIS' betydning for parterne i infrastrukturen samt konkrete implementeringsopgaver relateret specifikt hertil.

Den gældende NSIS

Find den gældende NSIS-standard samt tilhørende vejledninger:

Hent den gældende NSIS version 2.0.1a

Hent NSIS version 2.0.1a (English)

Hent den nye gældende NSIS vejledning version 2.2

I den gældende NSIS version 2.0.1a er der rettet links og henvisninger fra Digitaliser.dk til Digitaliseringsstyrelsens hjemmeside. 

Den nye NSIS vejledning version 2.2 vejleder om alternative registreringsprocesser for personer, der ikke er i besiddelse af identifikationsdokumenter som pas eller kørekort.

Desuden er vejledningen opdateret med, at løsninger anmeldt på sikringsniveau Lav årligt skal genbekræfte deres løsning over for tilsynet.

På migrering-nemlog-in.dk kan du se en kort infovideo om NSIS samt et webinar afholdt i april 2020

Hjælp og vejledninger

En tjenesteudbyder er en virksomhed eller myndighed, som modtager en autentificeret bruger fra en betroet tjeneste som fx NemLog-in til brug i egne selvbetjeningsløsninger.

Betydning for lokale systemer

Tjenesteudbydere skal fastlægge, hvilket sikringsniveau (Lav, Betydelig, Høj) deres tjeneste(r) vil modtage. Dette gøres på baggrund af en risikovurdering. Vurderingen kan fx. baseres på tjenestens omfang og følsomhed i data. Tjenester, som ikke er følsomme, eksempelvis tidsbestilling hos Borgerservice, kan tillade adgang med alle sikringsniveauer, mens meget følsomme eller samfundskritiske tjenester, som eksempelvis giver sundhedsfaglig medarbejdere adgang til følsomme oplysninger om et stort antal borgere, kan afvise autentifikationer, som ikke er på niveau Høj.

Konkret betyder det, at brugere som logger ind på en tjeneste, vil kunne være autentificeret på tre forskellige sikringsniveauer (Lav, Betydelig eller Høj) frem for blot ét fast niveau, som det kendes fra NemID. Tjenesteudbydere skal derfor som noget nyt, tage stilling til, hvilke niveauer, der må få adgang til deres tjeneste(r). 

Tjenesteudbydere skal dermed IKKE NSIS-anmeldes, men blot foretage en risikovurdering af deres tjeneste(r). Tjenesters sikringsniveau skal ikke meldes ind til Digitaliseringsstyrelsen.

Nedenfor findes en række vejledninger og værktøjer, som kan hjælpe i forbindelse med implementering af NSIS sikringsniveauer.

Vejledning til tjenesteudbydere

Digitaliseringsstyrelsen har opdateret vejledningen til tjenesteudbydere, som nu findes i version 2.0.2 og kan downloades i linket 'Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.2'.

Vejledningen guider til valg mellem de tre sikringsniveauer i NSIS.

Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.2

Vejledningen er ajourført til seneste NSIS version (2.0.1) og indeholder endvidere beskrivelse af, hvordan det tilhørende Excel-værktøj kan anvendes.

Digitaliseringsstyrelsen har derudover udgivet OIOSAML 3.0 profilen, som viser hvordan NSIS sikringsniveauet for en bruger formidles til tjenesten.

Excel-værktøj til NSIS vurdering

Til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau har Digitaliseringsstyrelsen i samarbejde med KOMBIT udarbejdet et Excel-værktøj. Værktøjet kan downloades via nedenstående link:

Hent NSIS vurderingsværktøj

Værktøjet er bevidst holdt simpelt og skal alene betragtes som en støtte til vurderingen, som guide gennem relevante overvejelser. Der vil som oftest være særlige forhold i en konkret tjeneste, som ikke kan dækkes af et generelt værktøj. Værktøjet skal derfor anvendes forsigtigt og med dette for øje. Valg af sikringsniveau er i sidste ende en forretningsmæssig og sikkerhedsmæssig samlet vurdering, som ikke kan dikteres af et regneark.

Vejledningen er ajourført til seneste NSIS version (2.0.1) og indeholder endvidere beskrivelse af, hvordan det tilhørende Excel-værktøj kan anvendes.

En brugerorganisation er en myndighed eller virksomhed, der har behov for at deres medarbejdere kan identificere sig mod eksterne løsninger som fx offentlige selvbetjeningsløsninger.

Brugerorganisationer har mulighed for at stå for identitetssikring af egne medarbejdere og udstedelse af tilhørende elektroniske identifikationsmidler. Herved kan medarbejdere anvende det samme elektroniske identifikationsmiddel både lokalt i egen organisation og mod eksterne tjenester - herunder offentlige og private tjenester, der er tilsluttet NemLog-in3.

For at opnå denne funktionalitet, skal brugerorganisationen etablere en Lokal IdP, der anmeldes under NSIS i rollen som elektronisk identifikationsordning samt identitetsbroker. 

Læs mere om lokal IdP på migrering.nemlog-in.dk

Det er kun brugerorganisationer, der anvender eller ønsker at anvende lokal IdP, der skal gennemføre en NSIS anmeldelse.

Betydning for lokale systemer

Før en lokal IdP kan anmeldes på NSIS-niveau Betydelig og Høj, skal brugerorganisationen dokumentere processer og kontroller for overholdelse af kravene i NSIS gennem en revisionserklæring.

Lever den lokale IdP ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau. Her kan brugerorganisationen i stedet benytte centrale erhvervsidentiteter udstedt i NemLog-in3 (baseret på MitID identifikationsmidler) til tjenester, der kræver dette (eller højere niveauer).

På migrering.nemlog-in.dk kan I se en kort infovideo om Lokal IdP

Det anbefales, at brugerorganisationer, der ønsker at etablere en lokal IdP, orienterer sig mod NSIS-sikkerhedskrav og revisionsvejledning, som du kan hente her (Version 2.0.6, opdateret d. 13. februar 2022)

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS anmeldelse. 

Implementering af Lokal IdP

På NemLog-in portalen kan I læse mere om etablering og implementeringen af en lokal IdP. På siden findes en guide som hjælper de organisationer, der overvejer eller planlægger at etablere en Lokal IdP.

Guiden foreligger i en version 1.1. Der er dele, der endnu ikke er fuldt ud beskrevet. Enkelte tekniske detaljer udestår. Guiden vil derfor blive udbygget i takt med, at afklaringer og specifikationer falder på plads.

Læs mere om implementering af Lokal IdP på migrering.nemlog-in.dk

En broker er en betroet organisation, der videreformidler brugerautentifikation til tredjeparter (fx tjenesteudbydere). brokere kan tilslutte et it-system til NemLog-in og derigennem videreformidle NemLog-in autentifikationer samt erhvervsidentiteter til egne, bagvedliggende tjenesteudbydere. På den måde bliver brokeren en såkaldt ’subbroker’. NemLog-in er selv broker for MitID autentifikationer – en såkaldt MitID-broker. Tilslutning af en subbroker til NemLog-in forudsætter bl.a. en NSIS-anmeldelse af brokeren samt indgåelse af en brokeraftale med Digitaliseringsstyrelsen.

Betydning for lokale systemer

Brokere, som ønsker tilslutning NemLog-in, eller ønsker at formidle identiteter til offentlige tjenesteudbydere, skal overholde NSIS. Dette medfører, at der skal afgives en revisionserklæring på overholdelse af NSIS-kravene i rollen som Identitetsbroker, før identiteter på niveau Betydelig og Høj kan formidles. Lever brokeren ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau (eller højere).

Det anbefales, at brokere, der ønsker tilslutning til NemLog-in, orienterer sig mod NSIS-sikkerhedskrav og revisionsvejledning.

Hent NSIS revisionsvejledning (Version 2.0.6, senest opdateret den 13. februar 2022)

Bemærk at brokere, der ønsker at videreformidle autentifikationer og erhvervsidentiteter fra NemLog-in skal indgå en aftale med Digitaliseringsstyrelsen. 

Læs mere på vores brokerside på broker.nemlog-in.dk

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS anmeldelse.

Der er udarbejdet en anmeldelsesskabelon til NSIS, som strukturerer og letter anmeldelser.

Hent den nye og gældende anmeldelsesskabelon til NSIS

Vær opmærksom på følgende i forhold til sprog ved en NSIS anmeldelse

Følgende dokumenter/bilag skal skrives/udfyldes på dansk:

  • Anmeldelsesskabelonen og Revisionserklæring (Bilag 5)

Følgende dokumenter/bilag skal skrives/udfyldes på enten dansk eller engelsk:

  • Detaljeret beskrivelse af ID-tjenesten og Ledelseserklæring (Bilag 2 og 4)

Følgende dokumenter/bilag skal skrives/udfyldes på dansk eller engelsk eller en kombination:

  • Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning (Bilag 3)

Hvis der anvendes engelsk i nogle af de ovenstående bilag skal der vedlægges et separat bilag med anmelders eventuelle engelske oversættelse af centrale NSIS begreber.

Hent kontrolskema til udfyldelse i forbindelse med revision af løsning 

Hvem skal modtage jeres anmeldelse?

Når I har udarbejdet NSIS-anmeldelsen til NSIS-tilsynet:

Jf. NSIS revisionsvejledningen kan myndigheder og virksomheder forvente svar på deres NSIS-anmeldelse indenfor 30 kalenderdage. Dog kan der opstå spidsbelastede perioder. Tilsynet vil give besked til anmelderen, hvis der er længere svartid. Det anbefales altid at påbegynde arbejdet med NSIS-anmeldelsen i god tid.