NSIS (National Standard for Identiteters Sikringsniveauer)

Vi afventer en central udmelding og en proces for overgangen. / Vi forventer at kunne finde oplysningerne i DIO og MitID Erhvervs hjemmeside.

Generelle tidsplaner og vejledninger kan findes på https://migrering.nemlog-in.dk/mitid-erhverv/avanceret-setup/. Der forventes ikke at blive udmeldt egentlige opgaver via DIO.

Der mangler stadigvæk lidt udmelding fra Digitaliseringsstyrelsen om status, og hvad de støder på af udfordringer. / Der mangler en tidsplan fra nu til 30. juni 2023. Det vil lette vores implementering at vide dette.

Digitaliseringsstyrelsen er i gang med en pilotafprøvning af NemLog-in med bl.a. fem kommuner. Migrering af store brugerorganisationer, herunder kommuner, kommunikeres og påbegyndes ultimo februar 2023. Kommunikationen sker ved at Digitaliseringsstyrelsen sender et igangsætningsnotat med opgaver ift. næste skridt. Dette notat sendes til kommunen med digital post samt til NemID-administratoren.     

Se desuden tidsplaner på https://migrering.nemlog-in.dk/mitid-erhverv/avanceret-setup/tidsplan/.

Vi ved ikke, hvilke systemer der kommer på MitID hvornår. Vi mangler et overblik over de forskellige systemer. / Vi er fortsat i tvivl om konkret hvilke systemer/TU-løsninger som omfattes af NSIS Betydelig, og hvor vi dermed skal forvente step-up. / Det er meget uklart, hvilke tjenester, der kommer til at benytte NemLog-in.

Kommunen kan bede sine leverandører om tidsplaner for overgang til NemLog-in. For et overblik over systemer, der tilsluttes NemLog-in og dermed kræver NSIS-sikringsniveauer, kan kommunen tage udgangspunkt i eksisterende systemer, hvortil kommunen har udstedt medarbejdersignaturer.

Det er uklart, hvornår ændringer for adgang til løsninger, som ikke kræver NemID-medarbejdersignatur, bliver påvirket af NSIS. Altså, hvornår kræver øvrige tjenester et NSIS-niveau.

Tjenester, der ikke er pålagt at stille krav om brug NSIS-sikringsniveauer, kan frivilligt vælge at gøre det. Det omfatter digitale selvbetjeningsløsninger, der ikke understøtter myndighedsopgaver eller ikke – ud fra en risikovurdering – kræver ”sikker autentifikation” (tilsvarende NSIS-sikringsniveau Betydelig) samt kommunernes interne systemer og private tjenesteudbyderløsninger.

Kommunernes interne systemer omfatter f.eks. mange af de tjenester, der er tilsluttet den Fælleskommunale Adgangsstyring (Context Handler) og Unilogin Broker.

Hvordan bliver den reelle arbejdsgang for tildeling af erhvervsidentitet og adgang til konkrete løsninger? / Hvad skal man gøre i MitID Erhverv og hvad skal man gøre i Lokal IdP?

MitID Erhverv og lokal IdP er to løsninger, der begge løser det samme behov for at oprette brugere, der kan tilgå tjenester på et defineret sikringsniveau. MitID Erhverv er den centrale løsning og erstatter i grove træk NemID medarbejdersignatur. Med en lokal IdP bliver I en såkaldt lokal identitetsgarant. Det vil sige, at I lokalt kan udstede loginmidler til jeres brugere og anvende disse til login mod tjenester tilsluttet NemLog-in.

Læs mere om lokal IdP på https://migrering.nemlog-in.dk/mitid-erhverv/avanceret-setup/lokal-idp/. 

Hvad indebærer det dobbelte frivillighedsprincip?

Det dobbelt frivillighedsprincip indebærer, at private loginmidler (fx en MitID app til privatbrug) kun må benyttes til login i erhvervsmæssig sammenhæng, hvis både medarbejder og arbejdsgiver samtykker.

Hvad er forskellen på at være tjenesteudbyder og have en lokal IdP?

Tjenesteudbydere, det vil sige offentlige myndigheder mv., der stiller digital selvbetjening til rådighed for borgere og/eller virksomheder, herunder andre myndigheder, skal risikovurdere tjenesten og fastsætte et krav om brug af NSIS-sikringsniveauer ved login mod tjenesten.

Lokale IdP’er, som kommuner implementerer for at oprette brugere, der kan tilgå tjenester med brug af NSIS-sikringsniveauer, skal revideres og anmeldes til NSIS Tilsynet for at kunne lukke brugere ind på (ofte fællesoffentlige) tjenester, der er tilsluttet den fællesoffentlige identitetsbroker NemLog-in.

Skal kommunen udstede MitID Erhverv til kommunens eksterne it-brugere fx plejeleverandører og privatejede institutioner, eller skal leverandørerne udstede MitID Erhverv til deres medarbejdere, som de kan benytte til login på kommunens it-systemer og fællesoffentlige tjenester som fx FMK i forbindelse med udførelse af deres arbejde for kommunen.

Eksterne bør som udgangspunkt tilgå tjenester med deres eget MitID (Erhverv eller Privat til Erhverv) og desuden anvende tilgængelig funktionalitet til at handle på vegne af kommunen.

Såfremt det ikke kan lade sig gøre, kan eksterne enten få udstedt lokale loginmidler eller MitID Erhverv i kommunens organisation ud fra den anmeldte proces for indrullering af medarbejdere.

Mangler overordnet udmelding omkring krav til bilag A og udmelding omkring kapitel 6 i forhold til lokal IdP.

En lokal IdP er en identitetsbroker og derfor omfattet af kapitel 6 Krav til identitetsbrokere i NSIS.

Vi mangler en metode til 2-faktor-verifikation for leverandører, der ikke har et CPR-nummer.

Eksterne, som kommunen har brug for at udstede loginmidler til, kan verificeres med deres private MitID, som de kan erhverve med deres pas eller id-kort med chip ved digital selvbetjening eller i borgerservice.

Vi mangler fortsat endelig afklaring af, hvordan det bliver for de enkelte IdP-løsninger, rent praktisk, at tildele erhvervsidentiteterne.

En lokal IdP understøtter en række processer, herunder brugeroprettelse og login.

Ved brugeroprettelse tildeles lokale ”erhvervsidentiteter”, det vil som regel sige brugernavn, samt tilhørende loginmidler, det vil sige kombinationer af loginfaktorer, fx en adgangskode og en autentifikations-app eller en af flere typer hardware-tokens (eksempelvis kodevisere). Dette setup foregår hovedsageligt lokalt og indebærer både organisatoriske og tekniske processer. En kopi af lokale brugere skal migreres til NemLog-in, der agerer som broker for en række fællesoffentlige tjenester.

Ved login benytter brugeren sin erhvervsidentitet med tilhørende loginmidler til at opnå adgang til en tjeneste. Tjenesten forespørger (evt. gennem en brokertjeneste) den lokale IdP om et login, og den lokale IdP svarer ved korrekt login tilbage med en teknisk adgangsbillet, der fremsætter påstande om brugerens identitet og evt. rettigheder. Såfremt der er etableret tillid mellem tjeneste, evt. broker og IdP, opnår brugeren derpå adgang til tjenesten på de fremsatte påstande. Dette setup foregår i et samspil mellem den lokale IdP og NemLog-in, der agerer som broker for en række fællesoffentlige tjenester, og den tekniske integration kan derfor først etableres og testes, når Digitaliseringsstyrelsen melder dette ud.

Er der lovhjemmel til indhentning af straffeattester på betroede medarbejdere hvert år?

KL er i dialog med Digitaliseringsstyrelsen om dette.

Vi har startet proces etablering af lokal NSIS-IdP for vores pædagogiske personale på skoler og dagtilbud som konsekvens af STILs udfasning af Unilogin for medarbejdere. Dette udfordrer os ift. deadline, da denne brugergrupper oprindeligt ikke var en del af kommunens scope for NSIS-implementering.

STIL udfaser Unilogin IdP for medarbejdere. Det betyder, at der ikke længere udstedes et Unilogin-brugernavn til medarbejdere i kommunerne, og kommunen skal derfor anvende MitID Erhverv eller selv udstede loginmidler med deres lokale IdP.

Kommunen skal være opmærksom på, at det fortsat er gennem Unilogin Broker, at kommunens medarbejdere logger sig på Aula, læringsplatforme, fagportaler mv. Hvis kommunen anvender lokal, der er tilsluttet Unilogin Broker, stiller STIL krav om, at den er anmeldt til NSIS Tilsynet på minimum NSIS-sikringsniveau Lav for at forblive tilsluttet. Men det er de enkelte tjenester og ikke Unilogin, der stiller krav om brug af NSIS-sikringsniveauer ved login, og det skal kommunen afklare med deres leverandør.

Det er imidlertid alene offentlige myndigheder, der stiller tjenester til rådighed for borgere eller andre virksomheder, der er pålagt at stille krav om NSIS-sikringsniveauer ved login. Såfremt private leverandører eller kommunen selv (eller fælleskommunalt) stiller tjenester til rådighed for kommuner, er disse ikke pålagt at stille krav om NSIS-sikringsniveauer ved login.

STILs egne løsninger er alle flyttet over på NemLog-in og kan fremover tilgås af medarbejdere, der enten har MitID Erhverv eller lokale loginmidler udstedt ved hjælp af en lokal IdP.

Der har været mange forskellige udmeldinger, som har kompliceret processen. F.eks. at STIL tidligere krævede at skolerne var NSIS-compliant den 1. januar 2023.

STIL stiller på nuværende tidspunkt krav om, at lokale IdP’er, der er tilsluttet Unilogin Broker, skal være NSIS-anmeldt på minimum NSIS-sikringsniveau Lav senest 1. marts 2023, for at forblive tilsluttet. Kommunen kan søge dispensation fra fristen ved at indmelde en it-supportsag vedr. Unilogin på https://www.stil.dk/support/vejledninger-og-kontaktoplysninger.

Der stilles på nuværende ikke krav om brug af NSIS-sikringsniveauer ved kommunens login til nogen tjenester tilsluttet Unilogin Broker.

På skoleområdet mangler vi viden fra STIL om der skal benyttes MitID Erhverv eller blot en NSIS Betydelig identitet. / Vi har også behov for at vide, om STILs tjenester overgår til MitID Erhverv og i givet fald hvornår.

STIL stiller på nuværende tidspunkt krav om, at lokale IdP’er, der er tilsluttet Unilogin Broker, skal være NSIS-anmeldt på minimum NSIS-sikringsniveau Lav senest 1. marts 2023, for at forblive tilsluttet. Kommunen kan søge dispensation fra fristen ved at indmelde en it-supportsag vedr. Unilogin på https://www.stil.dk/support/vejledninger-og-kontaktoplysninger.

Der stilles på nuværende ikke krav om brug af NSIS-sikringsniveauer ved kommunens login til nogen tjenester tilsluttet Unilogin Broker.

STIL har flyttet en række af sine egne tjenester til NemLog-in, bl.a. Brugeradministration, Optagelse.dk og Karakterdatabasen, og disse tjenester vil som følge deraf senest 30. juni 2023 stille krav om brug af NSIS-sikringsniveauer (formentlig Lav eller Betydelig) ved login.

Vi mangler køreplan og viden for hvordan gamle medarbejdersignaturer overføres m.m. samt hvilke krav der stilles til os. / Venter på Digitaliseringsstyrelsens værktøj til migrering af nuværende signaturer.

Som offentlige myndigheder kan I flytte til MitID Erhverv i starten af 2023. I får tilbudt en særlig løsning, hvor I kan masseoprette jeres medarbejdersignaturer og evt. etablere en lokal IdP.

Når I har tilsluttet jer MitID Erhverv, kan I importere jeres brugere og andre data fra NemID-medarbejdersignatur. På den måde får I importeret både relevante administratorroller, faktureringsinformation, medarbejdersignaturer og tilknyttede brugerrettigheder til MitID Erhverv.

Alternativt kan I oprette brugerne direkte i MitID Erhverv på baggrund af jeres IdM-data. I skal dog være opmærksomme på, at I skal angive RID ved oprettelse af brugerne for at bevare de eksisterende tildelte rettigheder. Derudover skal I manuelt oprette oplysninger om administratorroller og fakturering, da det ikke ligger i jeres IdM-system.

Læse Digitaliseringsstyrelsen spørgsmål og svar om migrering af brugere og rettigheder på https://migrering.nemlog-in.dk/mitid-erhverv/sporgsmal-og-svar/import-af-brugere-og-rettigheder/.

Læs Guide: Etablering af integration med IdM på https://mitid-erhverv.dk/avanceret/lokal-idm/.

Virksomheds- og funktionscertifikater skal også udskiftes til hhv. organisations- og systemcertifikater. Læs mere om dette på https://migrering.nemlog-in.dk/mitid-erhverv/avanceret-setup/certifikater/.

De tekniske forberedelser afventer endelig dokumentation fra Digitaliseringsstyrelsen, som skal benyttes af leverandør til opsætning af IdM til API til MitID Erhverv. / Dokumentationen for de tekniske krav til IdM-system til understøttelse af API til MitID Erhverv udestår.

Hent dokumentation af IdM API på https://www.nemlog-in.dk/vejledningertiltestmiljo/.