Organisationer, der vil kobles på den offentlige digitale infrastruktur, skal forholde sig til National Standard for Identiteters Sikringsniveauer (NSIS).
NSIS og revisionserklæringer
Virksomheder og organisationer, der vil kobles på den offentlige digitale infrastruktur, skal forholde sig til kravene i National Standard for Identiteters Sikringsniveauer (NSIS).
NSIS er den danske implementering af en EU-forordning, der ved hjælp af en række tekniske og organisatoriske krav skal skabe en fælles ramme for tillid til digitale identiteter og digitale identitetstjenester på tværs af EU.
Hvad betyder NSIS i praksis?
I praksis betyder implementeringen af NSIS fx, at man med et dansk MitID kan bruge offentlige systemer i andre EU-lande og viceversa.
Det giver også kommuner, regioner og andre organisationer mulighed for at give medarbejdere med borger- og brugerkontakt et single-logon, så de ikke skal logge på hver eneste gang, de har behov for adgang til persondata.
NSIS-standarden definerer tre sikringsniveauer for identitetssikring og autentifikation: Lav, Betydelig og Høj. Det giver større fleksibilitet i forbindelse med identifikation i forskellige selvbetjeningsløsninger.
Hvilke virksomheder er NSIS relevant for?
NSIS har altså stor indflydelse på identitetsløsninger som MitID og MitID Erhverv/NemLog-in og på decentrale løsninger, fx Lokal IdP.
De virksomheder og organisationer, der bruger autentifikation mod offentlige it-systemer, skal sikre, at deres løsninger lever op til kravene i NSIS-standarden, hvis de vil tilkobles den nationale digitale infrastruktur.
NSIS omfatter også revisionserklæringer
Hvis din virksomhed eller organisation vil være en del af den nationale digitale infrastruktur, skal I sende en anmeldelse til Digitaliseringsstyrelsens NSIS Tilsyn, hvor I dokumenterer, at jeres ID-tjeneste lever op til NSIS-standarden.
Reglerne siger, at anmeldelsen bl.a. skal indeholde en revisionserklæring fra en uafhængig statsautoriseret revisor eller et såkaldt overensstemmelsesvurderingsorgan.
ISAE 3000 er en typisk erklæring
Revisionserklæringen bliver typisk udarbejdet efter ISAE 3000-standarden, og formålet med den er at konkludere, om organisationen samlet set har etableret alle de procedurer og kontroller, der er relevante i forhold til det sikringsniveau, den har valgt. Alle krav skal være opfyldt, før løsningen kan siges at leve op til NSIS-standarden.
Derefter skal virksomheder og organisationer på sikringsniveauerne Betydelig eller Høj hvert år indsende en såkaldt Type 2 revisionserklæring, som bekræfter, at de fortsat opfylder kravene.
Læs mere
> Revisionserklæringer efter ISAE 3000-standarden
> ISO 27001 / intern audit
Hjælp til intern audit og revisionserklæringer
inforevision udfører intern audit og erklæringsopgaver for en lang række virksomheder og organisationer.
Kontakt os for en uforpligtende samtale om, hvad I har brug for, og hvad vi kan hjælpe med.
Kontakt vores
produktspecialister
Har du spørgsmål, skal du ikke tøve med at kontakte en af vores specialister.
