Tilsyn med National Standard for Identiteters Sikringsniveauer (NSIS)
Digitaliseringsstyrelsens NSIS Tilsyn fører tilsyn med efterlevelsen af National Standard for Identiteters Sikringsniveauer. Standarden skal følges af virksomheder og organisationer, der ønsker at etablere sig som udbydere af elektroniske identifikationsordninger og/eller som identitetsbrokere, herunder lokale IdP’er
Formålet med Digitaliseringsstyrelsen tilsyn er at sikre, at udbydere af elektroniske identifikationsordninger og identitetsbrokere (samlet ID-tjenester) følger den nationale standard for identiteters sikringsniveauer.
Udbydere af ID-tjenester, der lever op til NSIS, bliver optaget på Digitaliseringsstyrelsen NSIS-positivliste og kan dermed blive tilkoblet den nationale digitale infrastruktur for ID-tjenester (MitID og MitID Erhverv/NemLog-in).
Lovgrundlaget for NSIS er givet i Lov om MitID og NemLog-in, i Bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer samt i Bekendtgørelse om MitID Erhverv og MitID Privat til Erhverv.
Ansvaret for tilsynet med udbydere af ID-tjenester er placeret i Digitaliseringsstyrelsens NSIS Tilsyn, som behandler anmeldelser og foretager årlig opfølgning samt vejleder udbydere af ID-tjenester i forbindelse med anmeldelse og opfølgning.
Processer for NSIS anmeldelse, revision, tilsyn og opfølgning
Detaljerede beskrivelser af processer for NSIS anmeldelse, revision, tilsyn og opfølgning kan findes i Anmeldelses- og revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).
Processen for NSIS anmeldelse, revision og tilsyn kan kort beskrives således:
- Udbyderen af ID-tjenesten/-erne sikrer, at alle relevante NSIS-krav er overholdt
- Udbyderen sikrer, at der gennemføres den relevante interne eller eksterne revision af, at alle NSIS-krav er overholdt
- Udbyderen foretager anmeldelse af ID-tjenesten til NSIS Tilsynet
- NSIS Tilsynet kontrollerer, at alle formalia vedrørende anmeldelse er efterlevet, og at revisor konkluderer, at alle relevante NSIS-krav er efterlevet
- Såfremt dette er tilfældet tilføjer NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten
- Såfremt revisor har fundet forhold af mindre væsentlig karakter, tilføjer NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten under forudsætning af, at udbyder udbedrer de fundne forhold
- Såfremt revisor har fundet forhold af alvorlig karakter vil NSIS Tilsynet afvise anmeldelsen, og udbyderen skal udbedre forholdene, sikre fornyet revision samt foretage fornyet anmeldelse
Processen for den årlige NSIS opfølgning kan kort beskrives således:
- Udbyderen af ID-tjenesten/-erne skal afhængigt af NSIS sikringsniveau årligt fremsende enten en ledelseserklæring eller en fornyet revisionserklæring til NSIS Tilsynet
- NSIS Tilsynet kontrollerer, at alle formalia vedrørende erklæringen er efterlevet, og for revisionserklæringer at revisor konkluderer, at alle relevante NSIS-krav er efterlevet
- Såfremt dette er tilfældet opretholder NSIS Tilsynet udbyder og ID-tjenesten/-erne på NSIS-positivlisten
- Såfremt revisor har fundet forhold af mindre væsentlig karakter, opretholder NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten under forudsætning af, at udbyderen udbedrer de fundne forhold
- Såfremt revisor har fundet forhold af alvorlig karakter vil NSIS Tilsynet fjerne udbyder og ID-tjenesten/-erne fra NSIS-positivlisten. Udbyderen vil herefter skulle udbedre forholdene, sikre fornyet revision og foretage fornyet anmeldelse
Afnotering fra NSIS-positivlisten
Jævnfør NSIS-krav 4.1.1 5) skal private organisationer, som leverer ID-tjenester, underrette relevante myndigheder, hvis de påtænker at ophøre med at levere ID-tjenesterne.
NSIS Tilsynet skal derfor underrettes om datoen for ophøret af ID-tjenesterne, og ID-tjenesten vil pr. den opgivne dato blive afnoteret fra NSIS-positivlisten.
Såfremt ophøret sker mindre end 6 måneder efter seneste revision, skal udbyderen til NSIS Tilsynet indesende en ledelseserklæring, som redegør for, at ID-tjenesten i ophørsperioden har efterlevet alle relevante NSIS-krav.
Såfremt ophøret sker merer end 6 måneder efter seneste revision, skal udbyderen iværksætte en afsluttende revision frem til ophørstidspunktet og til NSIS Tilsynet indesende revisionserklæring, som dokumenterer, at ID-tjenesten i ophørsperioden har efterlevet alle relevante NSIS-krav.
Herudover kan NSIS Tilsynet jævnfør NSIS, afsnit 7.2, afnotere anmeldte ID-tjenester fra NSIS-positivlisten, hvis de ikke efterlever kravene i NSIS.
Dette kan blandt andet ske under følgende omstændigheder:
Manglende årlig revisions- eller ledelseserklæring
Anmeldere skal alt efter sikringsniveau årligt enten indsende en ledelseserklæring eller en revisionserklæring.
Modtager NSIS Tilsynet ikke denne erklæring inden for fristen, vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.
Gentagne revisionsbemærkninger
Indeholder ID-tjenestens revionserklæring gentagne forhold (revisionsbemærkninger) i to på hinanden følgende, årlige erklæringer grundet manglende udbedring af et eller flere givne forhold, giver NSIS Tilsynet ID-tjenesten en frist på 6 måneder til at udbedre forholdene. NSIS tilsynet skal inden for disse 6 måneder modtage dokumentation for udbedring af forholdene indeholdende en detaljeret redegørelse for, hvorledes forholdene er udbedret, samt en revisionserklæring med høj grad af sikkerhed, der bekræfter dette.
Modtager NSIS Tilsynet ikke rettidigt dokumentation for udbedring af forholdene vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.