Hvis du arbejder med IT-infrastrukturen for en offentlig institution eller en organisation, der anvender autentifikation mod offentlige IT-systemer, er NSIS aktuelt for dig. Formålet med NSIS er at skabe en fælles ramme for tillid til digitale identiteter gennem en række tekniske og organisatoriske krav.
Hvad er NSIS?
NSIS står for National Standard for Identiteters Sikringsniveauer. NSIS er den danske implementering af den europæiske eIDAS-forordning, der er designet til at sikre, at borgere i EU kan tilgå offentlige systemer på tværs af landene.
NSIS spiller en væsentlig rolle for identitetsløsninger som MitID, MitID Erhverv og NemLog-in samt for en række decentrale løsninger – fx organisationer med en lokal IdP. Implementeringen af NSIS medfører en række krav til de aktører, der ønsker at blive tilkoblet den nationale infrastruktur.
En del af kravene vedrører brugerstyring, herunder brugerkonti og -rettigheder, og derudover stiller NSIS krav om, at der er etableret et effektivt ledelsesinformationssystem for ISMS, der er i overensstemmelse med ISO 27001.
LÆS OGSÅ: ISO 27001: Best practices til at sikre informationssikkerheden
NSIS definerer forskellige sikringsniveauer for identitetssikring og autentifikation, nemlig Lav, Betydelig og Høj. Niveauerne repræsenterer forskellige grader af sikkerhed og styrer, hvordan digitale identiteter skal håndteres.
I forhold til MitID og NemLog-in vil der typisk være tale om Høj sikringsniveau, da det er designet til at give adgang til en bred vifte af tjenester, som ofte håndterer følsomme oplysninger.
Hvordan sikrer man, at NSIS overholdes?
At sikre overholdelse af NSIS kræver både forståelse for standarden og en strategisk tilgang til implementering og overvågning.
Først og fremmest handler det om at identificere de digitale tjenester, organisationen tilbyder, og vurdere, hvilke sikringsniveauer der er relevante for den enkelte tjeneste. Husk at overveje både de data, der håndteres, og risikoen forbundet med potentielt misbrug.
Dernæst er det et spørgsmål om at implementere de tekniske og organisatoriske tiltag, der er angivet i NSIS for de relevante sikringsniveauer. Men det er ikke nok, at de er implementeret – overholdelse af NSIS kræver konstant overvågning, da standarden løbende udvikler sig for at imødekomme skiftende teknologiske landskaber og nye trusler.
Overvågning kan blandt andet bestå af fastlagte politikker og procedurer, fx interne audits, hvor du gennemgår dine digitale tjenester med fast interval. Der findes desuden digitale redskaber, som kan hjælpe med at overvåge og administrere digitale identiteter, og hvis organisationens størrelse og kompleksitet kræver det, kan det yderligere være gavnligt at involvere en ekstern tredjepart til at gennemføre en audit.