Ofte stillede spørgsmål om NSIS

NSIS gælder, når man indgår i en tillidskæde (andre stoler på én), og man over for disse parter udtaler sig om et sikringsniveau (typisk ved at signere et token/billet hvor et NSIS sikringsniveau indgår). Her sikrer overholdelse af NSIS, at modtageren kan stole på det sikringsniveau, der bliver kommunikeret. En lokal IdP, broker eller andet it-system, der ikke kommunikerer et NSIS sikringsniveau, er således ikke omfattet af NSIS.

Anmeldelsen skal sendes til Digitaliseringsstyrelsens NSIS Tilsyn.

Anmeldelsen skal udfyldes ud fra Anmeldelsesskabelon og indeholde de bilag, som beskrives i skabelonen.

Ja, man kan godt foretage en ’fælles’ NSIS-anmeldelse for en flerhed af CVR-numre. Dette forudsætter dog, at både anmeldelsen (forsiden) og revisionserklæringen (omfangsbeskrivelsen) indeholder beskrivelser af det samlede system (inkl. de pågældende CVR-numre). Der må således ikke forekomme lokale varianter i processer eller systemer, som ikke er dækket af anmeldelsen og den tilhørende revisionserklæring.

Ved ’fællesanmeldelser’ skal én af organisationerne fremgå som kontaktperson for den samlede anmeldelse.

Kontrolskemaet skal altid udfyldes uanset hvilket sikringsniveau, der anmeldes på. Det er tilladt at overføre indholdet af kontrolskemaet til andre dokumenttyper, hvis dette vurderes mere praktisk, så længe indholdet bevares for de krav, der er relevante.

Jævnfør NSIS revision vejledningen, afsnit 1.2 Skema til anmeldelse.

Der findes ikke vejledninger og skabeloner på andre sprog end dansk med undtagelse af selve standarden, der er oversat til engelsk. Bemærk dog, at det er tilladt at anvende engelsk ved udfyldelsen af visse dokumenter:

• Bilag 2: Detaljeret beskrivelse af ID-tjenesten
• Bilag 3: Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning og
• Bilag 4: Ledelseserklæring
• Eventuelle yderligere bilag

Det er ikke længere et krav, at der skal udføres intern revision, såfremt der anmeldes med sikringsniveau Betydelig eller Høj, og der er gennemført ekstern revision ved en statsautoriseret revisor eller et overensstemmelsesorgan.

Jævnfør National Standard for Identiteters Sikringsniveauer, afsnit 4.1.4, pkt. 3. 

Der skal vedlægges dokumentation for den gennemførte, interne revision som beskrevet i afsnit 4.1.7 om anmeldelse og revision i Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Der skal vedlægges en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan som beskrevet i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Der er ikke krav om at bevise, man overholder loven, og det er normalt tilstrækkeligt at foretage en self-assessment baseret på en lov-screening (fx årligt).

Med betroede opgaver skal man tænke i NSIS-relevante kontroller. Eksempler kunne være “RA-medarbejdere” som kontrollerer pas etc. for at verificere identiteten af medarbejderen, sikkerhedsadministratorer / AD-administratorer eller andre, som i kraft af deres arbejde har udvidede adgange til brugerkatalog / systemopsætning og ville kunne omgå de almindelige sikkerhedskontroller. Derimod vil en personaleleder, som opretter en medarbejder i organisationens HR- eller lønsystemer, og som ikke udfører identitetssikring, ikke være at betragte som en betroet medarbejder i NSIS-regi. Bemærk endvidere at NSIS ikke specificerer, hvornår man er egnet / uegnet til at varetage en opgave – dette er således en lokal vurdering.

Anmelder kan indhente straffeattester, der dokumenter ledere og medarbejderes strafforhold. Hvis dette ikke er muligt, må anmelder på anden vis sikre sig og dokumentere, at kravet er opfyldt. Det vil være op til en vurdering hos ledelsen hos anmelderen, om eventuelle straffeforhold gør ledere og medarbejdere uegnede til at bestride deres hverv. Dette er anført i afsnit 4.1.5 om faciliteter og personale i National Standard for Identiteters Sikringsniveauer (NSIS).

Underleverandørers NSIS-efterlevelse skal ikke dokumenteres, hvis de er optaget på NSIS-positivlisten på samme eller højere sikringsniveau som den aktuelle anmeldelse.

I disse tilfælde er det tilstrækkelige at henvise til den relevante ID-tjeneste på NSIS-positivlisten.

Jævnfør Vejledning til NSIS, afsnit 4.1.1, pkt. 3. 

Hvis en tjeneste understøtter flere funktionaliteter, fx hvis den både kan agere elektronisk identifikationsordning og identitetsbroker, kan der indsendes én samlet anmeldelse.

Hvis en tjeneste (som fx lokal IdP) dækker flere områder af samme organisation (fx flere organisatoriske enheder), kan der indsendes én samlet anmeldelse, hvis det blot er klart beskrevet, hvor NSIS kravene håndteres ens, og hvor håndteringen varierer.

Jævnfør NSIS anmeldelsesskabelon, Bilag 1

Anmelder med ID-tjenester på sikringsniveau Lav skal årligt indsende en ledelseserklæring på, at anmeldelsen fortsat er retvisende og løsningen er aktiv. Dette er anført i afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS).

Anmelder med ID-tjenester på sikringsniveau betydelig eller høj skal årligt indsende en Type 2 revisionserklæring udarbejdet af en uafhængig, statsautoriseret revisor eller et overensstemmelsesvurderingsorgan, som bekræfter, at kravene til stadighed opfyldes.

Efter indsendelse af en type 1 eller type 2 erklæring, skal anmelder én gang årligt indsende en ISAE 3000 type 2 erklæring for en 12 måneders periode, hvor erklæringsperioden ligger i umiddelbar forlængelse af perioden for seneste erklæring. Erklæringen skal være Digitaliseringsstyrelsens NSIS Tilsyn i hænde senest 60 kalenderdage regnet fra den dag, hvor 12-måneders perioden udløber.

Afsnit 4.1.7 om anmeldelse og revision i National Standard for Identiteters Sikringsniveauer (NSIS) beskriver dette nærmere.

Du kan finde yderligere information i afsnit 1.3.1 om typer, frister og perioder for erklæringer i NSIS revisionsvejledning version 2.0.7.

Hvis der efter partielmetoden anvendes revisionserklæringer fra serviceleverandører, underleverandører eller tilsvarende må disse erklæringer være op til et år gamle. Dette er anført i afsnit 1.3.2 om håndtering af serviceleverandører i Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

En lokal IdP skal opfylde kravene til både a) NSIS Identifikationsordning (da anmelderens organisation typisk udsteder lokale identifikationsmidler) og b) NSIS Identitetsbroker (da en lokal IdP udstiller en autentifikationsservice som videreformidler identiteter til tredjeparter). En lokal IdP er altså omfattet af kravene i NSIS kapitel 3, 4, 5 og 6 (evt. fraregnet kapitel 3.1.3).

Tjenesteudbydere (herunder digitale selvbetjeningsløsninger og Apps), der alene modtager identiteter, er ikke underlagt krav i NSIS. De skal alene forholde sig til hvilke sikringsniveauer, de vil modtage, og afvise brugere der er autentificeret på et for lavt niveau.

Ja, første gang et system anmeldes, må man gerne benytte en type 1 erklæring – også selvom systemet er i drift.

Dette skyldes, at selvom it-systemet har været i brug tidligere andre formål (fx autentifikationer uden NSIS sikringsniveau), så kan NSIS niveauer først ibrugtages efter optagelse på positivlisten.  Type 1 erklæringen og den efterfølgende optagelse på positivlisten markerer dermed en skillelinje for overgangen til ibrugtagning af NSIS, og der er ikke behov for, at revisor udtaler sig om perioden, før systemet blev anvendt i NSIS sammenhæng.