Ofte stillede spørgsmål om NSIS

Spørgsmål og svar

• Hvornår gælder NSIS?

  NSIS gælder, når man indgår i en tillidskæde (andre stoler på én), og man over for disse parter udtaler sig om et sikringsniveau (typisk ved at signere et token/billet hvor et NSIS-sikringsniveau indgår). Her sikrer overholdelse af NSIS, at modtageren kan stole på det sikringsniveau, der bliver kommunikeret. En lokal IdP, broker eller andet it-system, der ikke kommunikerer et NSIS-sikringsniveau, er således ikke som udgangspunkt omfattet af NSIS.

• Hvem skal have anmeldelsen?

  Anmeldelsen skal sendes til Digitaliseringsstyrelsens NSIS Tilsyn.

  Kontakt NSIS-Tilsynet

• Hvad skal anmeldelsen indeholde?

  Anmeldelsen skal udfyldes ud fra anmeldelsesskabelon og indeholde de bilag, som beskrives i skabelonen.

• Kan vi anmelde ID-tjenester for flere CVR-numre på én gang?

  Ja, man kan godt foretage en ’fælles’ NSIS-anmeldelse for flere CVR-numre. Dette forudsætter dog, at både anmeldelsen (forsiden) og revisionserklæringen (omfangsbeskrivelsen) indeholder beskrivelser af det samlede system (inkl. de pågældende CVR-numre). Der må således ikke forekomme lokale varianter i processer eller systemer, som ikke er dækket af anmeldelsen og den tilhørende revisionserklæring.

  Ved ’fællesanmeldelser’ skal én af organisationerne fremgå som kontaktperson for den samlede anmeldelse.

• Skal kontrolskema udfyldes?

  Kontrolskemaet skal altid udfyldes uanset hvilket sikringsniveau, der anmeldes på. Det er tilladt at overføre indholdet af kontrolskemaet til andre dokumenttyper, hvis dette vurderes mere praktisk, så længe indholdet bevares for de krav, der er relevante.

  Jævnfør anmeldelses- og revisionsvejledningen til NSIS, Kapitel 2 Skema til anmeldelse.

• Findes vejledninger og skabeloner på andre sprog end dansk?

  Der findes ikke vejledninger og skabeloner på andre sprog end dansk med undtagelse af selve standarden, hvor version 2.0.1 er blevet oversat til engelsk. Version 2.1 er endnu ikke oversat til engelsk. Bemærk dog, at det er tilladt at anvende engelsk ved udfyldelsen af visse dokumenter:

  • Bilag 2: Detaljeret beskrivelse af ID-tjenesten
  • Bilag 3: Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning og
  • Bilag 4: Ledelseserklæring
  • Eventuelle yderligere bilag

• Skal der udføres intern revision for ID-tjenester med sikringsniveau Betydelig eller Høj?

  Det er ikke længere et krav, at der skal udføres intern revision, såfremt der anmeldes med sikringsniveau Betydelig eller Høj, og der er gennemført ekstern revision ved en godkendt revisor eller et overensstemmelsesorgan.

  Jævnfør National Standard for Identiteters Sikringsniveauer, afsnit 4.1.7, pkt. 3. 

• Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau Lav?

  Der skal vedlægges dokumentation for den gennemførte, interne revision som beskrevet i afsnit 4.1.7 om anmeldelse og revision i Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

• Hvilken dokumentation for revision skal vedlægges for ID-tjenester med sikringsniveau Betydelig eller Høj?

  Der skal vedlægges en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan som beskrevet i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

• Hvad opfattes som betroede medarbejdere og betroede opgaver i NSIS 4.1.5 punkt 5?

  Med betroede opgaver skal man tænke i NSIS-relevante kontroller. Eksempler kunne være “RA-medarbejdere” som kontrollerer pas etc. for at verificere identiteten af personer/medarbejdere, sikkerhedsadministratorer/AD-administratorer eller andre, som i kraft af deres arbejde har udvidede adgange til brugerkatalog/systemopsætning og ville kunne omgå de almindelige sikker-hedskontroller i relation til identiteter og identifikationsmidler. Det er således personer, der udfører manuel identitetssikring samt superbrugere/privilegerede brugere, der i kraft af deres adgange ville kunne begå svindel med identiteter og identifikationsmidler, som kravet er rettet imod – eksempelvis ved at kunne oprette falske brugere, impersonere legitime brugere, overtage deres brugerkonto eller tilsvarende.

  Eksempelvis vil en personaleleder, som opretter en medarbejder i organisationens HR- eller lønsystemer, og som ikke selv udfører identitetssikring men alene opretter forbindelsen (se afsnit 5.2) eller inviterer brugere til et digitalt oprettelsesforløb, ikke være at betragte som en betroet medarbejder i NSIS-regi. Hvis personalelederen eller HR-medarbejderen ikke udfører identitetssikring, forudsættes naturligvis at andre personer eller processer håndterer dette (fx login med privat MitID), således at der ikke sker automatisk brugeroprettelse med tilhørende NSIS-niveau uden at kravene i afsnit 3.1.2 er opfyldt. En person, der administrerer rettigheder, vil heller ikke skulle opfattes som ’betroet’ i regi af NSIS, idet rettigheder slet ikke er en del af rammeværket, og adgang til at nedlægge en bruger vil heller ikke i sig selv skulle anses som en betroet opgave.

• Hvordan skal anmelder kontrollere, at ledere og medarbejdere, der udfører betroede opgaver, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv?

  Anmelder kan indhente straffeattester, der dokumenterer ledere og medarbejderes strafforhold. Hvis dette ikke er muligt, må anmelder på anden vis sikre sig og dokumentere, at kravet er opfyldt. Det vil være op til en vurdering hos ledelsen hos anmelderen, om eventuelle straffeforhold gør ledere og medarbejdere uegnede til at bestride deres hverv. Dette er anført i afsnit 4.1.5 om faciliteter og personale i NSIS.

• Hvilken dokumentation skal indsendes for underleverandører, som er på NSIS-positivlisten?

  Underleverandørers NSIS-efterlevelse skal ikke dokumenteres, hvis de er optaget på NSIS-positivlisten på samme eller højere sikringsniveau som den aktuelle anmeldelse.

  I disse tilfælde er det tilstrækkelige at henvise til den relevante ID-tjeneste på NSIS-positivlisten.

  Jævnfør anmeldelses- og revisionsvejledning NSIS, afsnit 3.4.2. 

• Skal der indsendes en anmeldelse per ID-tjeneste?

  Hvis en tjeneste understøtter flere funktionaliteter, fx hvis den både kan agere elektronisk identifikationsordning og identitetsbroker, kan der indsendes én samlet anmeldelse.

  Hvis en tjeneste (som fx Lokal IdP) dækker flere områder af samme organisation (fx flere organisatoriske enheder), kan der indsendes én samlet anmeldelse, hvis det blot er klart beskrevet, hvor NSIS-kravene håndteres ens, og hvor håndteringen varierer.

  Jævnfør NSIS-anmeldelsesskabelon, bilag 1.

• Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau Lav?

  Anmelder med ID-tjenester på sikringsniveau Lav skal årligt indsende en ledelseserklæring på, at anmeldelsen fortsat er retvisende og løsningen er aktiv. Dette er anført i afsnit 4.1.7 om anmeldelse og revision i NSIS.

• Hvordan skal der følges op på en NSIS-anmeldelse på sikringsniveau betydelig eller høj?

  Anmelder med ID-tjenester på sikringsniveau betydelig eller høj skal årligt indsende en type 2-revisionserklæring udarbejdet af en uafhængig, godkendt revisor eller et overensstemmelsesvurderingsorgan, som bekræfter, at kravene til stadighed opfyldes.

  Efter indsendelse af en type 1- eller type 2-erklæring, skal anmelder én gang årligt indsende en ISAE 3000 type 2-erklæring for en 12 måneders periode, hvor erklæringsperioden ligger i umiddelbar forlængelse af perioden for seneste erklæring. Erklæringen skal være Digitaliseringsstyrelsens NSIS Tilsyn i hænde senest 90 kalenderdage regnet fra den dag, hvor 12-måneders perioden udløber.

  Afsnit 4.1.7 om anmeldelse og revision i NSIS beskriver dette nærmere.

  Du kan finde yderligere information i afsnit 1.3.1 om typer, frister og perioder for erklæringer i anmeldelses- og revisionsvejledningen til NSIS.

• Hvor gamle må revisionserklæringer fra (under-)leverandører være?

  Hvis der efter partielmetoden anvendes revisionserklæringer fra serviceleverandører, underleverandører eller tilsvarende må disse erklæringer være op til et år gamle. Dette er anført i afsnit 3.4.2 om håndtering af serviceleverandører i anmeldelses- og revisionsvejledningen til NSIS.

• Hvilke krav i NSIS skal en lokal IdP opfylde?

  En Lokal IdP skal opfylde kravene til både a) NSIS-identifikationsordning (da anmelderens organisation typisk udsteder lokale identifikationsmidler) og b) NSIS Identitetsbroker (da en lokal IdP udstiller en autentifikationsservice som videreformidler identiteter til tredjeparter). En lokal IdP er altså omfattet af kravene i NSIS kapitel 3, 4, 5 og 6 (evt. fraregnet kapitel 3.1.3).

• Hvilke revisionskrav vedr. kvalificeret signering for full-service lokal IdP skal henholdsvis brugerorganisation og full-service-leverandør opfylde?

  For at opfylde kravene vedr. kvalificeret signering ved brug af full-service lokal IdP skal Bilag A og B i Vilkår for anvendelse af lokal IdP (bilag 7) fordeles således mellem brugerorganisation og full-service-leverandør:

  • Bilag A (ledelseserklæring om anvendelse af Full-service lokal IdP) skal altid udfyldes af brugerorganisationen selv
  • Bilag B (krav til revisionserklæring for lokale registreringsprocesser)
    • Kontrolmål 1 udfyldes af full-service-leverandøren
    • Kontrolmål 2 udfyldes altid af brugerorganisationen selv

  MitID-Erhverv.dk: Vilkår for anvendelse af lokal IdP (bilag 7) (pdf)

• Er tjenesteudbydere omfattet af NSIS?

  Tjenesteudbydere (herunder digitale selvbetjeningsløsninger og apps), der alene modtager identiteter, er ikke underlagt krav i NSIS. De skal alene forholde sig til hvilke sikringsniveauer, de vil modtage, og afvise brugere der er autentificeret på et for lavt niveau.

• Må man bruge en type 1-erklæring til første anmeldelse, selvom systemet er i drift?

  Ja, første gang et system anmeldes, må man gerne benytte en type 1-erklæring – også selvom systemet er i drift.

  Dette skyldes, at selvom it-systemet har været i brug tidligere til andre formål (fx autentifikationer uden NSIS-sikringsniveau), så kan NSIS-niveauer først ibrugtages efter optagelse på positivlisten. Type 1-erklæringen og den efterfølgende optagelse på positivlisten markerer dermed en skillelinje for overgangen til ibrugtagning af NSIS, og der er ikke behov for, at revisor udtaler sig om perioden, før systemet blev anvendt i NSIS-sammenhæng. 

• Hvilke krav stiller NSIS til private organisationer ved nedlukning eller overtagelse af tredjepart?

  Private organisationer, som leverer ID-tjenester skal, jf. NSIS-krav 4.1.1 5), have beskrevet en termineringsplan som sikrer en hensigtsmæssig nedlukning eller overtagelse af tredjepart, samt underretning af myndigheder og brugere. Planen skal indeholde detaljer om, hvordan data opbevares, beskyttes og destrueres.

• Hvordan skal anmeldere forholde sig, hvis et eller flere krav i NSIS ikke længere opfyldes?

  Hvis et eller flere krav i NSIS ikke længere opfyldes, er organisationen, jf. NSIS-krav 7.2, forpligtet til af egen drift straks at meddele Digitaliseringsstyrelsen dette. Digitaliseringsstyrelsen kan til enhver tid fjerne en ID-tjeneste fra listen over anmeldte løsninger, såfremt tjenesten eller anmelderen ikke efterlever kravene i standarden.