Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen.

Leverandører til udbydere (f.eks. identitetsprovidere – IdP) er ligeledes en del af den compliance-fødekæde, som er en del af ansøgningen og formalia i forhold til Digitaliseringsstyrelsen.

Tilladelsen opnås i kraft af en række formelle procedurer og politikker, tekniske og organisatoriske krav, som der løbende føres bevis for i virksomheden. Alt dette munder ud i, at en ekstern revisor gennemgår processerne mhp. at afgive erklæring herom.

Særligt kommuner, stat, finansielle virksomheder samt øvrige, der leverer til disse typer af organisationer, er i betragtning til at skulle være i overensstemmelse med dele af NSIS.

I kraft af, at vi som revisorer auditerer mange af disse organisationer, har vi også kendskab til formkrav og indhold til hvad der skal til for at blive godkendt.

 

Processen helt overordnet for NSIS godkendelser

En identifikationsløsning (IdP), eller en broker-løsning på niveauerne Betydelig og Høj, kan først benyttes, når Digitaliseringsstyrelsen har godkendt løsningen. Dette gør de som nævnt på baggrund af en revisorerklæring, der bekræfter en lang række implementerede politikker, procedurer, arbejdsrutiner og tekniske forhold.

Uanset om organisationen implementerer en teknisk løsning hos sig selv eller remote/hostet, skal arbejdsprocesserne beskrives i en række politikker og procedurer. Det er klart, at hvis en løsning drives hostet hos en underleverandør, vil den tekniske beskrivelse ikke være en umiddelbar del af organisationens egen beskrivelse, men formodes være indeholdt i den pågældende underleverandørs selvstændige revisorerklæring.

Vi ser de bedste resultater med arbejdet generelt, når hele NSIS-projektet deles op i tre faser:

  • Foranalyse og afdækning af mangler set i forhold til krav (NSIS, Digitaliseringsstyrelsens vejledninger og bekendtgørelser, revisionskrav mv.)
  • Udarbejdelse af politikker, procedurer og implementering af tekniske løsninger
  • Revision og afgivelse af erklæring mhp. godkendelse hos Digitaliseringsstyrelsen.

Bemærk, at det er relevant at inddrage revisor eller anden rådgiver meget tidligt i processen for at sikre, at kravene, herunder specielt revisionskravene, tolkes korrekt i den konkrete situation, så ubehagelige overraskelser ikke først konstateres og afdækkes i ovennævnte fase 3.