National Standard for Identiteters Sikringsniveauer (NSIS)

NSIS står for National Standard for Identiteters Sikringsniveauer. Formålet med standarden er at skabe en fælles ramme for tillid til digitale identiteter og digitale identitetstjenester gennem en række tekniske og organisatoriske krav.

Formål med NSIS

Kravene i NSIS dækker den fulde livscyklus for identiteter fra oprettelse til den løbende anvendelse og endelig nedlæggelse. Standarden definerer tre sikringsniveauer (Lav, Betydelig og Høj) for identitetssikring og autentifikation, hvilket bidrager til en større fleksibilitet til understøttelse af forskellige anvendelsesscenarier med forskellige behov.

NSIS ligger i forlængelse af eIDAS-forordningen, som definerer en tilsvarende ramme på tværs af EU.

NSIS har derfor central betydning for identitetsløsninger såsom MitID og MitID Erhverv/NemLog-in.

Betydning og implementering af NSIS

NSIS har central betydning for identitetsløsninger som MitID og MitID Erhverv/NemLog-in samt en række decentrale løsninger som fx organisationer med en Lokal IdP.

Ibrugtagningen af NSIS vil medføre en række krav til de parter, der ønsker at blive tilkoblet den nationale digitale infrastruktur herunder tjenesteudbydere, brugerorganisationer og brokere. Kravene i NSIS er rettet mod de betroede parter, som udtaler sig om identiteter over for andre, mens modtagere af identiteter (fx tjenesteudbydere eller 'relying parties') ikke er underlagt krav i NSIS, men alene skal forholde sig til det sikringsniveau, som brugeren tilgår deres tjeneste med.

NSIS og tilhørende vejledninger 

Hent National Standard for Identiteters Sikringsniveauer (NSIS) version 2.0.2a

Hent NSIS version 2.0.1a (English) - Bemærk version 2.0.2 ikke på nuværende tidspunkt er oversat til engelsk. 

Hent Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS) version 2.4

Hent NSIS revisionsvejledning version 2.0.7

Hent gældende anmeldelsesskabelon til NSIS - version 2.0.7

Hent kontrolskema til udfyldelse i forbindelse med revision af løsning - version 2.0.2a

NSIS er senest blevet opdateret i februar 2023, og vejledning til NSIS er senest blevet opdateret i juni 2023.  

Ofte stillede spørgsmål

Få svar på de spørgsmål, der oftest bliver stillet i forbindelse med anmeldelser af NSIS ID-tjenester.

Gå til spørgsmål og svar om NSIS

 

Hjælp og vejledninger

En tjenesteudbyder er en virksomhed eller myndighed, som modtager en autentificeret bruger fra en betroet tjeneste som fx NemLog-in til brug i egne selvbetjeningsløsninger.

Betydning for lokale systemer

Tjenesteudbydere skal fastlægge, hvilket sikringsniveau (Lav, Betydelig, Høj) deres tjeneste(r) vil modtage. Dette gøres på baggrund af en risikovurdering. Vurderingen kan fx. baseres på tjenestens omfang og følsomhed i data. Tjenester, som ikke er følsomme, eksempelvis tidsbestilling hos Borgerservice, kan tillade adgang med alle sikringsniveauer, mens meget følsomme eller samfundskritiske tjenester, som eksempelvis giver sundhedsfaglig medarbejdere adgang til følsomme oplysninger om et stort antal borgere, kan afvise autentifikationer, som ikke er på niveau Høj.

Konkret betyder det, at brugere som logger ind på en tjeneste, vil kunne være autentificeret på tre forskellige sikringsniveauer (Lav, Betydelig eller Høj) frem for blot ét fast niveau, som det kendes fra NemID. Tjenesteudbydere skal derfor som noget nyt, tage stilling til, hvilke niveauer, der må få adgang til deres tjeneste(r). 

Tjenesteudbydere skal dermed IKKE NSIS-anmeldes, men blot foretage en risikovurdering af deres tjeneste(r). Tjenesters sikringsniveau skal ikke meldes ind til Digitaliseringsstyrelsen.

Nedenfor findes en række vejledninger og værktøjer, som kan hjælpe i forbindelse med implementering af NSIS sikringsniveauer.

Vejledning til tjenesteudbydere

Digitaliseringsstyrelsen har opdateret vejledningen til tjenesteudbydere, som nu findes i version 2.0.2 og kan downloades i linket 'Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.2'.

Vejledningen guider til valg mellem de tre sikringsniveauer i NSIS.

Hent vejledning til valg af sikringsniveau for tjenesteudbydere 2.0.2

Vejledningen er ajourført til seneste NSIS version (2.0.1) og indeholder endvidere beskrivelse af, hvordan det tilhørende Excel-værktøj kan anvendes.

Digitaliseringsstyrelsen har derudover udgivet OIOSAML 3.0 profilen, som viser hvordan NSIS sikringsniveauet for en bruger formidles til tjenesten.

Excel-værktøj til NSIS vurdering

Til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau har Digitaliseringsstyrelsen i samarbejde med KOMBIT udarbejdet et Excel-værktøj. Værktøjet kan downloades via nedenstående link:

Hent NSIS vurderingsværktøj

Værktøjet er bevidst holdt simpelt og skal alene betragtes som en støtte til vurderingen, som guide gennem relevante overvejelser. Der vil som oftest være særlige forhold i en konkret tjeneste, som ikke kan dækkes af et generelt værktøj. Værktøjet skal derfor anvendes forsigtigt og med dette for øje. Valg af sikringsniveau er i sidste ende en forretningsmæssig og sikkerhedsmæssig samlet vurdering, som ikke kan dikteres af et regneark.

Vejledningen er ajourført til seneste NSIS version (2.0.1) og indeholder endvidere beskrivelse af, hvordan det tilhørende Excel-værktøj kan anvendes.

En brugerorganisation er en myndighed eller virksomhed, der har behov for at deres medarbejdere kan identificere sig mod eksterne løsninger som fx offentlige selvbetjeningsløsninger.

Brugerorganisationer har mulighed for at stå for identitetssikring af egne medarbejdere og udstedelse af tilhørende elektroniske identifikationsmidler. Herved kan medarbejdere anvende det samme elektroniske identifikationsmiddel både lokalt i egen organisation og mod eksterne tjenester - herunder offentlige og private tjenester, der er tilsluttet NemLog-in3.

For at opnå denne funktionalitet, skal brugerorganisationen etablere en Lokal IdP, der anmeldes under NSIS i rollen som elektronisk identifikationsordning samt identitetsbroker. 

Læs mere om lokal IdP på MitID-Erhverv.dk

Det er kun brugerorganisationer, der anvender eller ønsker at anvende lokal IdP, der skal gennemføre en NSIS anmeldelse.

Betydning for lokale systemer

Før en lokal IdP kan anmeldes på NSIS-niveau Betydelig og Høj, skal brugerorganisationen dokumentere processer og kontroller for overholdelse af kravene i NSIS gennem en revisionserklæring.

Lever den lokale IdP ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau. Her kan brugerorganisationen i stedet benytte centrale erhvervsidentiteter udstedt i NemLog-in3 (baseret på MitID identifikationsmidler) til tjenester, der kræver dette (eller højere niveauer).

På migrering.nemlog-in.dk kan I se en kort infovideo om Lokal IdP

Det anbefales, at brugerorganisationer, der ønsker at etablere en lokal IdP, orienterer sig mod NSIS-sikkerhedskrav og revisionsvejledning.

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS anmeldelse. 

Implementering af Lokal IdP

På NemLog-in portalen kan I læse mere om etablering og implementeringen af en lokal IdP. På siden findes en guide som hjælper de organisationer, der overvejer eller planlægger at etablere en Lokal IdP.

Læs mere om implementering af Lokal IdP på migrering.nemlog-in.dk

En broker er en betroet organisation, der videreformidler brugerautentifikation til tredjeparter (fx tjenesteudbydere). brokere kan tilslutte et it-system til NemLog-in og derigennem videreformidle NemLog-in autentifikationer samt erhvervsidentiteter til egne, bagvedliggende tjenesteudbydere. På den måde bliver brokeren en såkaldt ’subbroker’. NemLog-in er selv broker for MitID autentifikationer – en såkaldt MitID-broker. Tilslutning af en subbroker til NemLog-in forudsætter bl.a. en NSIS-anmeldelse af brokeren samt indgåelse af en brokeraftale med Digitaliseringsstyrelsen.

Betydning for lokale systemer

Brokere, som ønsker tilslutning NemLog-in, eller ønsker at formidle identiteter til offentlige tjenesteudbydere, skal overholde NSIS. Dette medfører, at der skal afgives en revisionserklæring på overholdelse af NSIS-kravene i rollen som Identitetsbroker, før identiteter på niveau Betydelig og Høj kan formidles. Lever brokeren ikke op til kravene i NSIS på et givet sikringsniveau, vil den ikke kunne betjene de tjenesteudbydere, som kræver dette sikringsniveau (eller højere).

Det anbefales, at brokere, der ønsker tilslutning til NemLog-in, orienterer sig mod NSIS-sikkerhedskrav og revisionsvejledning.

Bemærk at brokere, der ønsker at videreformidle autentifikationer og erhvervsidentiteter fra NemLog-in skal indgå en aftale med Digitaliseringsstyrelsen. 

Læs mere på vores brokerside på broker.nemlog-in.dk

Det anbefales endvidere at tage tidlig dialog med revisor i forhold til at sikre en tilstrækkelig dokumentation og sporbarhed for overholdelse af såvel tekniske som organisatoriske krav.

Under 'Anmeldelsesskabelon' kan I finde vejledninger og værktøjer, som skal hjælpe med gennemførelsen af en NSIS-anmeldelse.

Der er udarbejdet en anmeldelsesskabelon til NSIS, som strukturerer og letter anmeldelser.

Vær opmærksom på følgende i forhold til sprog ved en NSIS anmeldelse

Følgende dokumenter/bilag skal skrives/udfyldes på dansk:

  • Anmeldelsesskabelonen og Revisionserklæring (Bilag 5)

Følgende dokumenter/bilag skal skrives/udfyldes på enten dansk eller engelsk:

  • Detaljeret beskrivelse af ID-tjenesten og Ledelseserklæring (Bilag 2 og 4)

Følgende dokumenter/bilag skal skrives/udfyldes på dansk eller engelsk eller en kombination:

  • Redegørelse for ID-tjenestens tekniske og sikkerhedsmæssige udformning (Bilag 3)

Hvis der anvendes engelsk i nogle af de ovenstående bilag skal der vedlægges et separat bilag med anmelders eventuelle engelske oversættelse af centrale NSIS begreber.

Hvem skal modtage jeres anmeldelse?

Når I har udarbejdet NSIS-anmeldelsen til NSIS-tilsynet:

Jf. NSIS revisionsvejledningen kan myndigheder og virksomheder forvente svar på deres NSIS-anmeldelse indenfor 30 kalenderdage. Dog kan der opstå spidsbelastede perioder. Tilsynet vil give besked til anmelderen, hvis der er længere svartid. Det anbefales altid at påbegynde arbejdet med NSIS-anmeldelsen i god tid.