Ofte stillede spørgsmål om NSIS

NSIS gælder, når man indgår i en tillidskæde (andre stoler på én), og man over for disse parter udtaler sig om et sikringsniveau (typisk ved at signere et token/billet hvor et NSIS-sikringsniveau indgår). Her sikrer overholdelse af NSIS, at modtageren kan stole på det sikringsniveau, der bliver kommunikeret. En lokal IdP, broker eller andet it-system, der ikke kommunikerer et NSIS-sikringsniveau, er således ikke som udgangspunkt omfattet af NSIS.

Anmeldelsen skal sendes til Digitaliseringsstyrelsens NSIS Tilsyn.

Anmeldelsen skal udfyldes ud fra anmeldelsesskabelon og indeholde de bilag, som beskrives i skabelonen.

Ja, man kan godt foretage en ’fælles’ NSIS-anmeldelse for flere CVR-numre. Dette forudsætter dog, at både anmeldelsen (forsiden) og revisionserklæringen (omfangsbeskrivelsen) indeholder beskrivelser af det samlede system (inkl. de pågældende CVR-numre). Der må således ikke forekomme lokale varianter i processer eller systemer, som ikke er dækket af anmeldelsen og den tilhørende revisionserklæring.

Ved ’fællesanmeldelser’ skal én af organisationerne fremgå som kontaktperson for den samlede anmeldelse.

Kontrolskemaet skal altid udfyldes uanset hvilket sikringsniveau, der anmeldes på. Det er tilladt at overføre indholdet af kontrolskemaet til andre dokumenttyper, hvis dette vurderes mere praktisk, så længe indholdet bevares for de krav, der er relevante.

Jævnfør anmeldelses- og revisionsvejledningen til NSIS, Kapitel 2 Skema til anmeldelse.

Der findes ikke vejledninger og skabeloner på andre sprog end dansk med undtagelse af selve standarden, hvor version 2.0.1 er blevet oversat til engelsk. Version 2.1 er endnu ikke oversat til engelsk. Bemærk dog, at det er tilladt at anvende engelsk ved udfyldelsen af visse dokumenter:

• Bilag 2: Detaljeret beskrivelse af ID-tjenesten
• Bilag 3: Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning og
• Bilag 4: Ledelseserklæring
• Eventuelle yderligere bilag

Det er ikke længere et krav, at der skal udføres intern revision, såfremt der anmeldes med sikringsniveau Betydelig eller Høj, og der er gennemført ekstern revision ved en godkendt revisor eller et overensstemmelsesorgan.

Jævnfør National Standard for Identiteters Sikringsniveauer, afsnit 4.1.7, pkt. 3. 

Der skal vedlægges dokumentation for den gennemførte, interne revision som beskrevet i afsnit 4.1.7 om anmeldelse og revision i Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Der skal vedlægges en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan som beskrevet i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Med betroede opgaver skal man tænke i NSIS-relevante kontroller. Eksempler kunne være “RA-medarbejdere” som kontrollerer pas etc. for at verificere identiteten af personer/medarbejdere, sikkerhedsadministratorer/AD-administratorer eller andre, som i kraft af deres arbejde har udvidede adgange til brugerkatalog/systemopsætning og ville kunne omgå de almindelige sikker-hedskontroller i relation til identiteter og identifikationsmidler. Det er således personer, der udfører manuel identitetssikring samt superbrugere/privilegerede brugere, der i kraft af deres adgange ville kunne begå svindel med identiteter og identifikationsmidler, som kravet er rettet imod – eksempelvis ved at kunne oprette falske brugere, impersonere legitime brugere, overtage deres brugerkonto eller tilsvarende.

Eksempelvis vil en personaleleder, som opretter en medarbejder i organisationens HR- eller lønsystemer, og som ikke selv udfører identitetssikring men alene opretter forbindelsen (se afsnit 5.2) eller inviterer brugere til et digitalt oprettelsesforløb, ikke være at betragte som en betroet medarbejder i NSIS-regi. Hvis personalelederen eller HR-medarbejderen ikke udfører identitetssikring, forudsættes naturligvis at andre personer eller processer håndterer dette (fx login med privat MitID), således at der ikke sker automatisk brugeroprettelse med tilhørende NSIS-niveau uden at kravene i afsnit 3.1.2 er opfyldt. En person, der administrerer rettigheder, vil heller ikke skulle opfattes som ’betroet’ i regi af NSIS, idet rettigheder slet ikke er en del af rammeværket, og adgang til at nedlægge en bruger vil heller ikke i sig selv skulle anses som en betroet opgave.

%MCEPASTEBIN%

Anmelder kan indhente straffeattester, der dokumenterer ledere og medarbejderes strafforhold. Hvis dette ikke er muligt, må anmelder på anden vis sikre sig og dokumentere, at kravet er opfyldt. Det vil være op til en vurdering hos ledelsen hos anmelderen, om eventuelle straffeforhold gør ledere og medarbejdere uegnede til at bestride deres hverv. Dette er anført i afsnit 4.1.5 om faciliteter og personale i NSIS.

Underleverandørers NSIS-efterlevelse skal ikke dokumenteres, hvis de er optaget på NSIS-positivlisten på samme eller højere sikringsniveau som den aktuelle anmeldelse.

I disse tilfælde er det tilstrækkelige at henvise til den relevante ID-tjeneste på NSIS-positivlisten.

Jævnfør anmeldelses- og revisionsvejledning NSIS, afsnit 3.4.2. 

Hvis en tjeneste understøtter flere funktionaliteter, fx hvis den både kan agere elektronisk identifikationsordning og identitetsbroker, kan der indsendes én samlet anmeldelse.

Hvis en tjeneste (som fx Lokal IdP) dækker flere områder af samme organisation (fx flere organisatoriske enheder), kan der indsendes én samlet anmeldelse, hvis det blot er klart beskrevet, hvor NSIS-kravene håndteres ens, og hvor håndteringen varierer.

Jævnfør NSIS-anmeldelsesskabelon, bilag 1.

Anmelder med ID-tjenester på sikringsniveau Lav skal årligt indsende en ledelseserklæring på, at anmeldelsen fortsat er retvisende og løsningen er aktiv. Dette er anført i afsnit 4.1.7 om anmeldelse og revision i NSIS.

Anmelder med ID-tjenester på sikringsniveau betydelig eller høj skal årligt indsende en type 2-revisionserklæring udarbejdet af en uafhængig, godkendt revisor eller et overensstemmelsesvurderingsorgan, som bekræfter, at kravene til stadighed opfyldes.

Efter indsendelse af en type 1- eller type 2-erklæring, skal anmelder én gang årligt indsende en ISAE 3000 type 2-erklæring for en 12 måneders periode, hvor erklæringsperioden ligger i umiddelbar forlængelse af perioden for seneste erklæring. Erklæringen skal være Digitaliseringsstyrelsens NSIS Tilsyn i hænde senest 90 kalenderdage regnet fra den dag, hvor 12-måneders perioden udløber.

Afsnit 4.1.7 om anmeldelse og revision i NSIS beskriver dette nærmere.

Du kan finde yderligere information i afsnit 1.3.1 om typer, frister og perioder for erklæringer i anmeldelses- og revisionsvejledningen til NSIS.

Hvis der efter partielmetoden anvendes revisionserklæringer fra serviceleverandører, underleverandører eller tilsvarende må disse erklæringer være op til et år gamle. Dette er anført i afsnit 3.4.2 om håndtering af serviceleverandører i anmeldelses- og revisionsvejledningen til NSIS.

En Lokal IdP skal opfylde kravene til både a) NSIS-identifikationsordning (da anmelderens organisation typisk udsteder lokale identifikationsmidler) og b) NSIS Identitetsbroker (da en lokal IdP udstiller en autentifikationsservice som videreformidler identiteter til tredjeparter). En lokal IdP er altså omfattet af kravene i NSIS kapitel 3, 4, 5 og 6 (evt. fraregnet kapitel 3.1.3).

Tjenesteudbydere (herunder digitale selvbetjeningsløsninger og apps), der alene modtager identiteter, er ikke underlagt krav i NSIS. De skal alene forholde sig til hvilke sikringsniveauer, de vil modtage, og afvise brugere der er autentificeret på et for lavt niveau.

Ja, første gang et system anmeldes, må man gerne benytte en type 1-erklæring – også selvom systemet er i drift.

Dette skyldes, at selvom it-systemet har været i brug tidligere til andre formål (fx autentifikationer uden NSIS-sikringsniveau), så kan NSIS-niveauer først ibrugtages efter optagelse på positivlisten. Type 1-erklæringen og den efterfølgende optagelse på positivlisten markerer dermed en skillelinje for overgangen til ibrugtagning af NSIS, og der er ikke behov for, at revisor udtaler sig om perioden, før systemet blev anvendt i NSIS-sammenhæng. 

Private organisationer, som leverer ID-tjenester skal, jf. NSIS-krav 4.1.1 5), have beskrevet en termineringsplan som sikrer en hensigtsmæssig nedlukning eller overtagelse af tredjepart, samt underretning af myndigheder og brugere. Planen skal indeholde detaljer om, hvordan data opbevares, beskyttes og destrueres.

Hvis et eller flere krav i NSIS ikke længere opfyldes, er organisationen, jf. NSIS-krav 7.2, forpligtet til af egen drift straks at meddele Digitaliseringsstyrelsen dette. Digitaliseringsstyrelsen kan til enhver tid fjerne en ID-tjeneste fra listen over anmeldte løsninger, såfremt tjenesten eller anmelderen ikke efterlever kravene i standarden.