National Standard for Identiteters Sikringsniveauer (NSIS) er revideret på baggrund af offentlig høring. Kravene er trådt i kraft den 30. juni 2024.
I bestemmer selv, hvilke lokale identifikationsmidler I vil udstede. En typisk løsning er at kombinere et brugernavn og kodeord med ekstra faktorer på særlige hardwareenheder. Det kan fx være apps på mobile enheder.
Jeres brugere kan så anvende det lokale identifikationsmiddel i stedet for MitID, når de logger ind på vegne af jeres organisation.
En organisation, der er etableret som Lokal IdP, kan selv registrere brugere i MitID Erhverv på det NSIS sikringsniveau, som Lokal IdPen er anmeldt til. Brugerne kan med det samme logge ind med deres lokale identifikationsmiddel uden at gå igennem et MitID Erhverv aktiveringsforløb. Brugerne har dog ikke muligheden for at signere.
NemLog-in tilbyder en kvalificeret signeringstjeneste, hvor brugere kan underskrive med et MitID identifikationsmiddel, fx en MitID app (privat eller erhverv). Signeringstjenesten i NemLog-in forudsætter, at den bagvedliggende identitet er registreret i overensstemmelse med eIDAS-forordningen. For kvalificerede signaturer er der således i eIDAS artikel 24.1 nogle ekstra krav, som er uafhængige af brugerens sikringsniveau.
Dette betyder, at brugere, der er oprettet af en NSIS-anmeldt organisation med Lokal IdP, som udgangspunktet alene kan logge ind, men ikke signere i NemLog-ins kvalificerede signeringstjeneste på vegne af jeres organisation.
Hvis brugerne har behov for at signere på vegne af jeres organisation, findes der 3 forskellige muligheder for at aktivere muligheden for signering:
Der er mulighed for at opgradere en brugers identitet, så brugeren, udover at logge ind, også kan signere med Lokal IdP.
Hvis brugeradministrator skal bistå:
Det kan gøres ved, at brugeren validerer sig i MitID Erhverv med sit private MitID. Brugeradministrator kan:
Så modtager den pågældende bruger en e-mail, hvor brugeren skal validere sin identitet med sit private MitID.
Brugeren kan selv generere e-mail til validering:
Den enkelte bruger har også mulighed for selv at generere en e-mail til validering med privat MitID.
Her skal brugeren:
Så modtager den pågældende bruger en e-mail, hvor brugeren skal validere sin identitet med sit private MitID.
Indsend en supplerende revisionserklæring om anvendte registreringsprocesser relateret til jeres Lokal IdP. Den supplerende revisionserklæring skal ikke sendes til NSIS tilsynet, men blot til MitID Erhverv.
De nærmere krav til revision fremgår af afsnit 5.4.3.1 Afgivelse af en revisionserklæring i Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP.
Læs Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)
Efter I har indsendt den supplerende revisionserklæring, modtager I en e-mail fra MitID Erhverv om, at I nu kan foretage kvalificeret signering med jeres lokale identifikationsmiddel.
Indsend en overensstemmelsesvurderingsrapport som bekræfter, at de lokale registreringsprocesser overholder kravene fastsat i artikel 24.1 i eIDAS forordningen. Overensstemmelsesvurderingsrapporten skal fremsendes til eIDAS tilsynet med kopi til MitID Erhverv.
De nærmere krav til overensstemmelsesvurderingsrapporten fremgår af afsnit 5.4.3.2 Afgivelse af overensstemmelsesvurderingsrapport i Bilag 7 MitID Erhverv Vilkår for anvendelse af Lokal IdP.
Læs Bilag 7, MitID Erhverv Vilkår for anvendelse af Lokal IdP (pdf)
Send e-mail til eIDAS Tilsynet
Efter I har sendt jeres overensstemmelsesvurderingsrapport, modtager I en e-mail fra MitID Erhverv om, at I nu kan foretage kvalificereret signering med jeres lokale identifikationsmiddel.
Herefter kan I med fordel etablere et projekt og skabe opbakning hertil internt i egen organisation.
Det er en forudsætning, at alle brugere også er oprettet i MitID Erhverv, hvis I vil bruge lokale erhvervsidentiteter til at logge på jeres egne systemer eller offentlige selvbetjeningsløsninger.
Til det formål kan I tilslutte en Lokal IdM-løsning. En Lokal IdM-løsning kan kalde IdM API'et i MitID Erhverv og synkronisere lokal oprettelse og sletning af jeres brugere med MitID Erhverv.
På den måde behøver I kun at administrere jeres brugere ét sted - i jeres lokale administrationssystem. Det er dog også muligt for jer at administrere jeres brugere i MitID Erhverv, og disse ændringer vil blive implementeret i jeres lokale administrationssystem.
Det er en forudsætning, at jeres lokal IdP skal leve op til krav og spilleregler, som er defineret i den Nationale Standard for Identiteters Sikringsniveauer (NSIS), hvis I vælger Lokal IdP kombineret med Lokal IdM.
Dette skyldes, at I som organisation bliver en lokal identitetsgarant, hvis I vælger at kombinere jeres lokale IdP med Lokal IdM.
Implementering af NSIS-standarden involverer en række forskellige discipliner – både tekniske, organisatoriske og sikkerhedsmæssige. Det er derfor vigtigt ikke at betragte opgaven som et rent teknisk implementeringsprojekt:
Ved tilslutning af Lokal IdP i produktion vil Digitaliseringsstyrelsen kontrollere, at jeres lokale IdP fremgår af NSIS positivlisten over anmeldte løsninger.
Læs mere om ’OIOSAML Local IdP Profile’ på Digitaliseringsstyrelsens hjemmeside
I har mulighed for at sætte en testorganisation op. Det kan I gøre i MitID Erhverv integrationstestmiljøet.
Der kan I også fx afprøve:
I vil også kunne læse den tekniske integrationsvejledning.
Gå til MitID Erhverv testorganisation i integrationstestmiljøetDet er en forudsætning, at I indhenter nødvendige revisionserklæringer og ledelseserklæringer til brug for NSIS-anmeldelsen.
Vi anbefaler, at I har en tidlig dialog med revisor. Det må påregnes et vist arbejde med at indhente de krævede revisionserklæringer, herunder at sikre, at den relevante dokumentation for systemer og processer er fyldestgørende samt tilgængelige for revisor.
Når I har indhentet og udarbejdet relevant dokumentation, skal I indsende en samlet anmeldelsespakke (inklusiv revisionserklæringer) til NSIS Tilsynet i Digitaliseringsstyrelsen.
Send anmeldelsespakken til NSIS Tilsynet i Digitaliseringsstyrelsen
Herefter skal I afvente godkendelse eller supplerende spørgsmål fra NSIS Tilsynet, før I kan få en godkendelse.
NSIS Tilsynet håndterer NSIS-anmeldelserne så hurtigt som muligt, og som udgangspunkt indenfor 60 dage.
Det afhænger af
I vil få besked fra NSIS Tilsynet, hvis der er længere svartid.
Når I har fået godkendt NSIS-anmeldelsen og optræder på NSIS-positivlisten for anmeldte løsninger på Digitaliseringsstyrelsens hjemmeside, er næste trin at kontakte MitID Erhverv på mitiderhverv@digst.dk.
I skal sende en e-mail til MitID Erhverv i Digitaliseringsstyrelsen
E-mailen skal indeholde følgende oplysninger:
MitID Erhverv åbner herefter op for, at I kan sætte jeres Lokal IdP op i produktion i MitID Erhverv.
Når I har fået bekræftelse på e-mail, er I klar til at sætte den Lokal IdP op.
Nu er I klar til sidste trin i etableringsprocessen, som er at sætte den lokale IdP op i MitID Erhvervs produktionsmiljø.
Det er en organisationsadministrator i jeres organisation, som kan sætte den lokale IdP op.
Læs vejledning til, hvordan I sætter jeres Lokale IdP op
Når I har sat jeres lokale IdP op, kan I udpege de brugeradministratorer i MitID Erhverv, som fremadrettet kan tildele lokale identifikationsmidler til jeres brugere. Ligeledes kan man udpege de administratorer, som kan oprette eller tildele brugere mulighed for at signere, såfremt organisationen er godkendt til dette.
Læs vejledning til angivelse af sikringsniveau til administrator
I har altid mulighed for at tildele jeres brugere et lokalt identifikationsmiddel i MitID Erhverv.
Derudover kan I, som har valgt at kombinere jeres Lokal IdP med IdM, tildele jeres brugere et lokalt identifikationsmiddel i jeres lokale administrationssystem og synkronisere brugerne over i MitID Erhverv.
Brugere tildeles rettigheder i MitID Erhverv på samme måde, uanset om I anvender MitID identifikationsmidler eller lokale identifikationsmidler fra en Lokal IdP.
Rettigheder kobles med andre ord på identiteten uafhængigt af identifikationsmidlet. Rettigheder kan tildeles via IdM APIet eller via MitID Erhverv.
For Lokal IdPer er der endvidere mulighed for at medsende information om grupper i det lokalt udstedte token, som kan ekspanderes til rettigheder i MitID Erhverv.
Nedenfor kan du overskue processen for, hvordan jeres organisation etablerer en Lokal IdP.
Hvis jeres organisation har etableret Lokal IdP i MitID Erhverv, har I mulighed for at stille jeres Lokal IdP til rådighed for andre organisationer. På den måde fungerer den som Full-service Lokal IdP.
En organisation, som har etableret en Lokal IdP, kan give mulighed for, at andre organisationer også kan gøre brug af denne.
Fordelen ved dette er, at organisationerne dermed ikke selv skal foretage en NSIS-anmeldelse i forbindelse med etablering af Lokal IdP.
Organisationen, som stiller en Full-service Lokale IdP til rådighed, varetager alle tekniske og processuelle forhold reguleret i NSIS, herunder registrering og identitetssikring af lokale brugere og udstedelse af lokale identifikationsmidler.
Full-service Lokal IdPen er underlagt revision, som er krævet efter NSIS-standarden. Derfor er det organisationen, som har etableret som full-service Lokal IdP, der fremgår af NSIS-positivlisten.
Læs mere om NSIS i trin 3-8 i ovenstående guide til etablering af Lokal IdP.
Hvis I ønsker at stille jeres Lokale IdP til rådighed for andre organisationer, skal I følge vejledningen til etablering af Lokal IdP.
Vær opmærksom på, at I som lokal identitetsgarant er ansvarlige for bl.a.:
Læs mere i vejledningen til etablering af Lokal IdP ovenfor.
Hvis I stiller en Full-service Lokal IdP til rådighed, fastlægger I selv jeres aftaler med de organisationer, der anvender jeres service.
Som udbyder af en Full-service Lokal IdP skal I underskrive en fælles ledelseserklæring med de organisationer, som ønsker at anvende jeres lokale IdP.
Det er den enkelte organisation, som anvender jeres Full-service Lokal IdP, der sender den fælles ledelseserklæring ind til MitID Erhverv. Derfor behøver I som udbyder af en Full-service Lokal IdP ikke at dokumentere aftaleforholdene overfor MitID Erhverv.
Hvis I ønsker at anvende en Full-service Lokal IdP, skal I lave en aftale med en udbyder af en Full-service Lokal IdP.
MitID Erhverv kan ikke oplyse, hvilke Full-service Lokal IdPer, der er til rådighed. I kan orientere jer i NSIS-positivlisten samt opsøge markedet for mulige IdPer i Danmark.
Gå til NSIS-positivlisten på Digitaliseringsstyrelsens hjemmeside
Når I har indgået aftalen med en Full-service Lokal IdP og skal tilkobles denne i MitID Erhverv, skal I sende en e-mail til MitID Erhverv-teamet.
E-mailen skal indeholde følgende informationer: