Virksomheder og organisationer, der vil kobles på den offentlige digitale infrastruktur, skal forholde sig til kravene i National Standard for Identiteters Sikringsniveauer (NSIS).
NSIS er den danske implementering af en EU-forordning, der ved hjælp af en række tekniske og organisatoriske krav skal skabe en fælles ramme for tillid til digitale identiteter og digitale identitetstjenester på tværs af EU.
I praksis betyder implementeringen af NSIS fx, at man med et dansk MitID kan bruge offentlige systemer i andre EU-lande og viceversa.
Det giver også kommuner, regioner og andre organisationer mulighed for at give medarbejdere med borger- og brugerkontakt et single-logon, så de ikke skal logge på hver eneste gang, de har behov for adgang til persondata.
NSIS-standarden definerer tre sikringsniveauer for identitetssikring og autentifikation: Lav, Betydelig og Høj. Det giver større fleksibilitet i forbindelse med identifikation i forskellige selvbetjeningsløsninger.
NSIS har altså stor indflydelse på identitetsløsninger som MitID og MitID Erhverv/NemLog-in og på decentrale løsninger, fx Lokal IdP.
De virksomheder og organisationer, der bruger autentifikation mod offentlige it-systemer, skal sikre, at deres løsninger lever op til kravene i NSIS-standarden, hvis de vil tilkobles den nationale digitale infrastruktur.
Hvis din virksomhed eller organisation vil være en del af den nationale digitale infrastruktur, skal I sende en anmeldelse til Digitaliseringsstyrelsens NSIS Tilsyn, hvor I dokumenterer, at jeres ID-tjeneste lever op til NSIS-standarden.
Reglerne siger, at anmeldelsen bl.a. skal indeholde en revisionserklæring fra en uafhængig statsautoriseret revisor eller et såkaldt overensstemmelsesvurderingsorgan.
ISAE 3000 er en typisk erklæring
Revisionserklæringen bliver typisk udarbejdet efter ISAE 3000-standarden, og formålet med den er at konkludere, om organisationen samlet set har etableret alle de procedurer og kontroller, der er relevante i forhold til det sikringsniveau, den har valgt. Alle krav skal være opfyldt, før løsningen kan siges at leve op til NSIS-standarden.
Derefter skal virksomheder og organisationer på sikringsniveauerne Betydelig eller Høj hvert år indsende en såkaldt Type 2 revisionserklæring, som bekræfter, at de fortsat opfylder kravene.
Læs mere
> Revisionserklæringer efter ISAE 3000-standarden
> ISO 27001 / intern audit
inforevision udfører intern audit og erklæringsopgaver for en lang række virksomheder og organisationer.
Kontakt os for en uforpligtende samtale om, hvad I har brug for, og hvad vi kan hjælpe med.
Vi er altid parate til at mødes. Lad os tage en uforpligtende samtale om, hvad du og din virksomhed har brug for, og hvad vi kan tilbyde. Udfyld blot felterne i formularen – så kontakter vi dig snarest.
Du er også velkommen til at ringe eller maile: +45 39 53 50 00 / info@inforevision.dk