Vi har som borgere vænnet os til at gå rundt med det lille papkort. Eller at bruge app’en. Altså sådan så vi kan logge på diverse offentlige og private hjemmesider. Vi kan underskrive en hushandel, blive skilt og bestille tid hos lægen.
Som medarbejder i en organisation (offentlig eller privat), kan vi få udstedt en medarbejdersignatur, som fungerer næsten på samme vis. Ved at bruge en app, et nøglekort eller en nøglefil.
Teknisk set er løsningen enten som borger eller medarbejder i en organisation forskellig, men løsningen opleves på næsten samme vis: Vi kan identificere og autentificere os, og vi kan gennemføre en transaktion på en webside. Smart.
EU stiller skrappe sikkerhedskrav for integrering af MitID og NemLog-in3
Via en EU forordning (eIDAS) er vi på vej væk fra NemID til hhv. MitID og NemLog-in3. NSIS (National Standard for Identiteters Sikringsniveauer) sætter rammerne som pt. er i version 2.0.1. Digitaliseringsstyrelsen, som håndterer og godkender de kommende løsninger, har begået en række vejledninger til dem der ønsker at integrere op mod disse løsninger, og der er tale om nogle ikke ubetydelige krav afhængig af både niveau og rolle.
Når NemID og medarbejdersignaturer udgår, og det sker snart jf. Digitaliseringsstyrelsens tidsplan, vil tjenesteudbydere (TU), Brokere og andre roller have skulle gennemgået et omfattende arbejde med at leve op til de krav, der er behov for. Som tjenesteudbyder (TU) er der tre niveauer (Lav, Betydelig, Høj) inden for NSIS, man kan vælge at leve op til, og det hele afhænger af hvad løsningen går ud på.
Driver man som privat virksomhed et website, hvor man giver kunder adgang til at logge på via NemID, vil det fremtidigt være MitID (hvis der er tale om borgere) eller NemLog-in3 (hvis der er tale om personer på vegne af en virksomhed), og kravene er andre og højere end hvad den pågældende virksomhed er vant til i dag. Bemærk herudover, at hvis man som virksomhed ønsker at anmelde sig i niveau Betydelig eller Høj, er der behov for en revisorerklæring (ISAE 3000) som specifikt for integrationen adresserer hvorvidt de nødvendige krav er mødt.
Overordnet set er kravene, at man lever op til væsentlige elementer i ISO 27001, at persondata beskyttes tilstrækkeligt, og så er der oveni en række specifikationer ift. log, adgang, identificering af personer, dataarkitektur, som også skal afdækkes i den årlige revisorerklæring. Er det nødvendigt med niveau Høj (og det kan bl.a. afgøres ved, om ydelsen inde ”bag” login’et er særligt sensitivt og følsomt persondata) vil der være behov for en ISO 27001 certificering eller ISAE 3402 erklæring.
Hvornår skal jeg forberede skiftet fra NemID til MitID?
Kommuner og stat bør allerede nu være i gang med forberedelserne. Altså forberedelser for løsninger dels til at medarbejdere kan logge på diverse løsninger, men i højere grad så borgere kan logge på når tiden er inde til at NemID og medarbejdersignatur udfases forventeligt i 2021. Men også private virksomheder bør overveje deres stilling, for det er helt naturligt, at mange virksomheder stiller services til rådighed på internettet, hvor deres kunders medarbejdere eller borgere i almindelighed, har mulighed for at logge på. Vi ser mange virksomheder, som i deres løsning også stiller mulighed for at logge på en løsning via NemID eller medarbejdersignatur, og det er her at NSIS og dermed MitID og NemLog-in3 kommer i stedet.
Det er derfor vores opfattelse, at der hos mange bør tages skridt til nogle indledende overvejelser. Det er herudover vores opfattelse, at de virksomheder som netop udbyder webløsninger med nuværende login via NemID eller medarbejdersignatur, kommuner, stat, banker, forsikringsselskaber, men traditionelle it-hostingvirksomheder bør være dem der tager skridtet først.
Se mere på revisionskravene her for den omtalte ISAE 3000 erklæring for NSIS, samt et excel-dokument hvor kravene til NSIS er mere operationelle. Er man som organisation i dag i overensstemmelse med ISO 27001-kontroller, er det vores opfattelse, at man er godt på vej. Ligesom med persondataforordningen, men ikke mindst ISO 27001, starter det hele med en risikovurdering, og det er her organisationen vurderer niveau og dermed kravene sat til den løsning man vil udbyde.
Hvordan kommer jeg i gang?
Kontakt os for en uforpligtende dialog om NSIS fra a-z.