Ofte stillede spørgsmål om NSIS

Få svar på de spørgsmål, der oftest bliver stillet i forbindelse med anmeldelser af NSIS ID-tjenester.

Information om formålet med NSIS, ibrugtagning af standarden, skabeloner, værktøjer og vejledninger findes på siden om NSIS.

Spørgsmål og svar

Hvornår gælder NSIS?

NSIS gælder, når man indgår i en tillidskæde (andre stoler på én), og man over for disse parter udtaler sig om et sikringsniveau (typisk ved at signere et token/billet hvor et NSIS sikringsniveau indgår). Her sikrer overholdelse af NSIS, at modtageren kan stole på det sikringsniveau, der bliver kommunikeret. En lokal IdP, broker eller andet it-system, der ikke kommunikerer et NSIS sikringsniveau, er således ikke omfattet af NSIS.

Hvem skal have anmeldelsen?

Anmeldelsen skal sendes til Digitaliseringsstyrelsens NSIS Tilsyn.

Hent revisionsvejledning til NSIS

Hvad skal anmeldelsen indeholde?

Anmeldelsen skal udfyldes ud fra Anmeldelsesskabelon og indeholde de bilag, som beskrives i skabelonen.

Hent den gældende anmeldelsesskabelon til NSIS

Skal Kontrolskema udfyldes?

Det anbefales at anvende NSIS kontrolskema ved alle anmeldelser, men det er kun obligatorisk ved anmeldelser af ID-tjenester med sikringsniveau betydelig eller høj. Hvis kontrolskemaet ikke anvendes ved ID-tjenester med sikringsniveau lav, skal efterlevelsen af alle relevante NSIS-krav og den gennemførte interne revision dokumenteres på anden vis. Det skal bemærkes, at det vil kunne forsinke behandlingen af anmeldelsen, hvis kontrolskemaet ikke anvendes.

Hent kontrolskema til udfyldelse i forbindelse med revision af løsning (Bilag A)

Skal der udføres intern revision for ID-tjenester med sikringsniveau betydelig eller høj?

Alle krav på lavere sikringsniveauer skal være opfyldt for at opnå et givet sikringsniveau som beskrevet i afsnit 1.6 om kravopfyldelse i National Standard for Identiteters Sikringsniveauer (NSIS). Så for tjenester med sikringsniveau betydelig eller høj, skal der udføres såvel intern som ekstern revision.

Hent National Standard for Identiteters Sikringsniveauer (NSIS)

Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau lav?

Der skal vedlægges dokumentation for den gennemførte, interne revision som beskrevet i afsnit 4.1.7 om anmeldelse og revision i Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Hent Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau betydelig eller høj?

Der skal vedlægges dokumentation for såvel den gennemførte, interne revision som en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan som beskrevet i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Hent National Standard for Identiteters Sikringsniveauer (NSIS)

Findes vejledninger og skabeloner på andre sprog end dansk?

Der findes ikke vejledninger og skabeloner på andre sprog end dansk med undtagelse af selve standarden, der er oversat til engelsk. Bemærk dog, at det er tilladt at anvende engelsk ved udfyldelsen af visse dokumenter:

Bilag 2: Detaljeret beskrivelse af ID-tjenesten
Bilag 3: Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning og
Bilag 4: Ledelseserklæring
Eventuelle yderligere bilag

Hent kontrolskema til udfyldelse i forbindelse med revision af løsning (Bilag A)

Hvordan skal anmelder kontrollere, at ledere og medarbejdere, der udfører betroede opgaver, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv?

Anmelder kan indhente straffeattester, der dokumenter ledere og medarbejderes strafforhold. Hvis dette ikke er muligt, må anmelder på anden vis sikre sig og dokumentere, at kravet er opfyldt. Det vil være op til en vurdering hos ledelsen hos anmelderen, om eventuelle straffeforhold gør ledere og medarbejdere uegnede til at bestride deres hverv. Dette er anført i afsnit 4.1.5 om faciliteter og personale i National Standard for Identiteters Sikringsniveauer (NSIS).

Hent National Standard for Identiteters Sikringsniveauer (NSIS)

Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau Lav?

Anmelder med ID-tjenester på sikringsniveau Lav skal årligt indsende en ledelseserklæring på, at anmeldelsen fortsat er retvisende og løsningen er aktiv. Dette er anført i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Hent National Standard for Identiteters Sikringsniveauer (NSIS)

Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau betydelig eller høj?

Anmelder med ID-tjenester på sikringsniveau betydelig eller høj skal årligt indsende en Type 2 revisionserklæring udarbejdet af en uafhængig, statsautoriseret revisor eller et overensstemmelsesvurderingsorgan, som bekræfter, at kravene til stadighed opfyldes.

Afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS) beskriver dette nærmere.

Hent National Standard for Identiteters Sikringsniveauer (NSIS)

Du kan finde yderligere information i afsnit 1.2.1 om typer, frister og perioder for erklæringer i Revisionsvejledning for National Standard for Identiteters Sikringsniveauer (NSIS).

Hent Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Hvor gamle må revisionserklæringer fra (under-)leverandører være?

Hvis der efter partielmetoden anvendes revisionserklæringer fra serviceleverandører, underleverandører eller tilsvarende må disse erklæringer være op til et år gamle. Dette er anført i afsnit 1.2.3 om håndtering af serviceleverandører i Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Hent Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Hvilke krav i NSIS skal en lokal IdP opfylde?

En lokal IdP skal sædvanligvis opfylde kravene til både a) NSIS Identifikationsordning (da anmelderens organisation typisk udsteder lokale identifikationsmidler) og b) NSIS Identitetsbroker (da en lokal IdP udstiller en autentifikationsservice som videreformidler identiteter til tredjeparter). En lokal IdP er altså omfattet af kravene i NSIS kapitel 3, 4, 5 og 6 (evt. fraregnet kapitel 3.1.3).

Er tjenesteudbydere omfattet af NSIS?

Tjenesteudbydere (herunder digitale selvbetjeningsløsninger og Apps), der alene modtager identiteter, er ikke underlagt krav i NSIS. De skal alene forholde sig til hvilke sikringsniveauer, de vil modtage, og afvise brugere der er autentificeret på et for lavt niveau.

Ofte stillede spørgsmål om NSIS

Spørgsmål og svar

Hvornår gælder NSIS?

Hvem skal have anmeldelsen?

Hvad skal anmeldelsen indeholde?

Skal Kontrolskema udfyldes?

Skal der udføres intern revision for ID-tjenester med sikringsniveau betydelig eller høj?

Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau lav?

Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau betydelig eller høj?

Findes vejledninger og skabeloner på andre sprog end dansk?

Hvordan skal anmelder kontrollere, at ledere og medarbejdere, der udfører betroede opgaver, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv?

Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau Lav?

Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau betydelig eller høj?

Hvor gamle må revisionserklæringer fra (under-)leverandører være?

Hvilke krav i NSIS skal en lokal IdP opfylde?

Er tjenesteudbydere omfattet af NSIS?

Digitaliseringsstyrelsen

Genveje

Ofte besøgte sider

Finansministeriet