Ofte stillede spørgsmål om NSIS

Få svar på de spørgsmål, der oftest bliver stillet i forbindelse med anmeldelser af NSIS ID-tjenester.

Information om formålet med NSIS, ibrugtagning af standarden, skabeloner, værktøjer og vejledninger findes på siden om NSIS.

Spørgsmål og svar

NSIS gælder, når man indgår i en tillidskæde (andre stoler på én), og man over for disse parter udtaler sig om et sikringsniveau (typisk ved at signere et token/billet hvor et NSIS sikringsniveau indgår). Her sikrer overholdelse af NSIS, at modtageren kan stole på det sikringsniveau, der bliver kommunikeret. En lokal IdP, broker eller andet it-system, der ikke kommunikerer et NSIS sikringsniveau, er således ikke omfattet af NSIS.

Anmeldelsen skal sendes til Digitaliseringsstyrelsens NSIS Tilsyn.

Anmeldelsen skal udfyldes ud fra Anmeldelsesskabelon og indeholde de bilag, som beskrives i skabelonen.

Ja, man kan godt foretage en ’fælles’ NSIS-anmeldelse for en flerhed af CVR-numre. Dette forudsætter dog, at både anmeldelsen (forsiden) og revisionserklæringen (omfangsbeskrivelsen) indeholder beskrivelser af det samlede system (inkl. de pågældende CVR-numre). Der må således ikke forekomme lokale varianter i processer eller systemer, som ikke er dækket af anmeldelsen og den tilhørende revisionserklæring.

Ved ’fællesanmeldelser’ skal én af organisationerne fremgå som kontaktperson for den samlede anmeldelse.

Kontrolskemaet skal altid udfyldes uanset hvilket sikringsniveau, der anmeldes på. Det er tilladt at overføre indholdet af kontrolskemaet til andre dokumenttyper, hvis dette vurderes mere praktisk, så længe indholdet bevares for de krav, der er relevante.

Jævnfør NSIS revision vejledningen, afsnit 1.2 Skema til anmeldelse.

Der findes ikke vejledninger og skabeloner på andre sprog end dansk med undtagelse af selve standarden, der er oversat til engelsk. Bemærk dog, at det er tilladt at anvende engelsk ved udfyldelsen af visse dokumenter:

  • Bilag 2: Detaljeret beskrivelse af ID-tjenesten
  • Bilag 3: Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning og
  • Bilag 4: Ledelseserklæring
  • Eventuelle yderligere bilag

Det er ikke længere et krav, at der skal udføres intern revision, såfremt der anmeldes med sikringsniveau Betydelig eller Høj, og der er gennemført ekstern revision ved en statsautoriseret revisor eller et overensstemmelsesorgan.

Jævnfør National Standard for Identiteters Sikringsniveauer, afsnit 4.1.4, pkt. 3. 

Der skal vedlægges dokumentation for den gennemførte, interne revision som beskrevet i afsnit 4.1.7 om anmeldelse og revision i Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Der skal vedlægges en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan som beskrevet i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Anmelder kan indhente straffeattester, der dokumenter ledere og medarbejderes strafforhold. Hvis dette ikke er muligt, må anmelder på anden vis sikre sig og dokumentere, at kravet er opfyldt. Det vil være op til en vurdering hos ledelsen hos anmelderen, om eventuelle straffeforhold gør ledere og medarbejdere uegnede til at bestride deres hverv. Dette er anført i afsnit 4.1.5 om faciliteter og personale i National Standard for Identiteters Sikringsniveauer (NSIS).

Underleverandørers NSIS-efterlevelse skal ikke dokumenteres, hvis de er optaget på NSIS-positivlisten på samme eller højere sikringsniveau som den aktuelle anmeldelse.

I disse tilfælde er det tilstrækkelige at henvise til den relevante ID-tjeneste på NSIS-positivlisten.

Jævnfør Vejledning til NSIS, afsnit 4.1.1, pkt. 3. 

Hvis en tjeneste understøtter flere funktionaliteter, fx hvis den både kan agere elektronisk identifikationsordning og identitetsbroker, kan der indsendes én samlet anmeldelse.

Hvis en tjeneste (som fx lokal IdP) dækker flere områder af samme organisation (fx flere organisatoriske enheder), kan der indsendes én samlet anmeldelse, hvis det blot er klart beskrevet, hvor NSIS kravene håndteres ens, og hvor håndteringen varierer.

Jævnfør NSIS anmeldelsesskabelon, Bilag 1

Anmelder med ID-tjenester på sikringsniveau Lav skal årligt indsende en ledelseserklæring på, at anmeldelsen fortsat er retvisende og løsningen er aktiv. Dette er anført i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Anmelder med ID-tjenester på sikringsniveau betydelig eller høj skal årligt indsende en Type 2 revisionserklæring udarbejdet af en uafhængig, statsautoriseret revisor eller et overensstemmelsesvurderingsorgan, som bekræfter, at kravene til stadighed opfyldes.

Afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS) beskriver dette nærmere.

Du kan finde yderligere information i afsnit 1.2.1 om typer, frister og perioder for erklæringer i Revisionsvejledning for National Standard for Identiteters Sikringsniveauer (NSIS).

Hvis der efter partielmetoden anvendes revisionserklæringer fra serviceleverandører, underleverandører eller tilsvarende må disse erklæringer være op til et år gamle. Dette er anført i afsnit 1.2.3 om håndtering af serviceleverandører i Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

En lokal IdP skal opfylde kravene til både a) NSIS Identifikationsordning (da anmelderens organisation typisk udsteder lokale identifikationsmidler) og b) NSIS Identitetsbroker (da en lokal IdP udstiller en autentifikationsservice som videreformidler identiteter til tredjeparter). En lokal IdP er altså omfattet af kravene i NSIS kapitel 3, 4, 5 og 6 (evt. fraregnet kapitel 3.1.3).

Tjenesteudbydere (herunder digitale selvbetjeningsløsninger og Apps), der alene modtager identiteter, er ikke underlagt krav i NSIS. De skal alene forholde sig til hvilke sikringsniveauer, de vil modtage, og afvise brugere der er autentificeret på et for lavt niveau.