Tilsyn med National Standard for Identiteters Sikringsniveauer (NSIS)

Digitaliseringsstyrelsens NSIS Tilsyn fører tilsyn med efterlevelsen af National Standard for Identiteters Sikringsniveauer. Standarden skal følges af virksomheder og organisationer, der ønsker at etablere sig som udbydere af elektroniske identifikationsordninger og/eller som identitetsbrokere, herunder lokale IdP’er

Formålet med Digitaliseringsstyrelsen tilsyn er at sikre, at udbydere af elektroniske identifikationsordninger og identitetsbrokere (samlet ID-tjenester) følger den nationale standard for identiteters sikringsniveauer.

Udbydere af ID-tjenester, der lever op til NSIS, bliver optaget på Digitaliseringsstyrelsen NSIS-positivliste og kan dermed blive tilkoblet den nationale digitale infrastruktur for ID-tjenester (MitID og MitID Erhverv/NemLog-in).

Lovgrundlaget for NSIS er givet i Lov om MitID og NemLog-in, i Bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer samt i Bekendtgørelse om MitID Erhverv og MitID Privat til Erhverv.

Ansvaret for tilsynet med udbydere af ID-tjenester er placeret i Digitaliseringsstyrelsens NSIS Tilsyn, som behandler anmeldelser og foretager årlig opfølgning samt vejleder udbydere af ID-tjenester i forbindelse med anmeldelse og opfølgning.

Processer for NSIS anmeldelse, revision, tilsyn og opfølgning

Detaljerede beskrivelser af processer for NSIS anmeldelse, revision, tilsyn og opfølgning kan findes i Anmeldelses- og revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS).

Processen for NSIS anmeldelse, revision og tilsyn kan kort beskrives således:

  1. Udbyderen af ID-tjenesten/-erne sikrer, at alle relevante NSIS-krav er overholdt
  2. Udbyderen sikrer, at der gennemføres den relevante interne eller eksterne revision af, at alle NSIS-krav er overholdt
  3. Udbyderen foretager anmeldelse af ID-tjenesten til NSIS Tilsynet
  4. NSIS Tilsynet kontrollerer, at alle formalia vedrørende anmeldelse er efterlevet, og at revisor konkluderer, at alle relevante NSIS-krav er efterlevet
  5. Såfremt dette er tilfældet tilføjer NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten
  6. Såfremt revisor har fundet forhold af mindre væsentlig karakter, tilføjer NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten under forudsætning af, at udbyder udbedrer de fundne forhold
  7. Såfremt revisor har fundet forhold af alvorlig karakter vil NSIS Tilsynet afvise anmeldelsen, og udbyderen skal udbedre forholdene, sikre fornyet revision samt foretage fornyet anmeldelse

Processen for den årlige NSIS opfølgning kan kort beskrives således:

  1. Udbyderen af ID-tjenesten/-erne skal afhængigt af NSIS sikringsniveau årligt fremsende enten en ledelseserklæring eller en fornyet revisionserklæring til NSIS Tilsynet
  2. NSIS Tilsynet kontrollerer, at alle formalia vedrørende erklæringen er efterlevet, og for revisionserklæringer at revisor konkluderer, at alle relevante NSIS-krav er efterlevet
  3. Såfremt dette er tilfældet opretholder NSIS Tilsynet udbyder og ID-tjenesten/-erne på NSIS-positivlisten
  4. Såfremt revisor har fundet forhold af mindre væsentlig karakter, opretholder NSIS Tilsynet udbyder og ID-tjenesten/-erne til NSIS-positivlisten under forudsætning af, at udbyderen udbedrer de fundne forhold
  5. Såfremt revisor har fundet forhold af alvorlig karakter vil NSIS Tilsynet fjerne udbyder og ID-tjenesten/-erne fra NSIS-positivlisten. Udbyderen vil herefter skulle udbedre forholdene, sikre fornyet revision og foretage fornyet anmeldelse

Afnotering fra NSIS-positivlisten

Ophør med udbud af ID-tjeneste

Jævnfør NSIS-krav 7.2 er organisationer, som udbyder ID-tjenester forpligtet til af egen drift straks at meddele Digitaliseringsstyrelsen, hvis en ID-tjeneste planlægges at ophøre..

NSIS Tilsynet skal derfor underrettes om datoen for ophøret af ID-tjenesterne, og ID-tjenesten vil pr. den opgivne dato blive afnoteret fra NSIS-positivlisten.

NSIS-udbyderen ansvarlig for, at den udbudte ID-tjeneste til stadighed efterlever samtlige relevante NSIS-krav. Dette gælder også i perioden fra seneste revision og indtil ophørstidspunktet for ID-tjenesten.

Udbyder skal derfor senest 30 dage efter ID-tjenestens ophør til NSIS Tilsynet indsende en ledelseserklæring, som på tro og love redegør for, at ID-tjenesten i ophørsperioden har efterlevet alle relevante NSIS-krav. Redegørelsen skal udarbejdes ved hjælp af denne skabelon:
NSIS Skabelon - Ledelseserklæring ved ophør.

Manglende efterlevelse af NSIS-krav

NSIS Tilsynet kan jævnfør NSIS, afsnit 7.2, afnotere anmeldte ID-tjenester fra NSIS-positivlisten, hvis de ikke efterlever kravene i NSIS.

Dette kan blandt andet ske under nedenstående omstændigheder:

Manglende årlig revisions- eller ledelseserklæring

Anmeldere skal alt efter sikringsniveau årligt enten indsende en ledelseserklæring eller en revisionserklæring.

Modtager NSIS Tilsynet ikke denne erklæring inden for fristen, vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.

Gentagne revisionsbemærkninger

Indeholder ID-tjenestens revionserklæring gentagne forhold (revisionsbemærkninger) i to på hinanden følgende, årlige erklæringer grundet manglende udbedring af et eller flere givne forhold, giver NSIS Tilsynet ID-tjenesten en frist på 6 måneder til at udbedre forholdene. NSIS tilsynet skal inden for disse 6 måneder modtage dokumentation for udbedring af forholdene indeholdende en detaljeret redegørelse for, hvorledes forholdene er udbedret, samt en revisionserklæring med høj grad af sikkerhed, der bekræfter dette.

Modtager NSIS Tilsynet ikke rettidigt dokumentation for udbedring af forholdene vil dette som udgangspunkt medføre afnotering fra NSIS-positivlisten.