Til høringsparterne Se vedlagte liste

Relaterede dokumenter
Til høringsparterne Se vedlagte liste

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Brokere i Identitetsinfrastrukturen

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Behandling af indkomne høringssvar i forbindelse med den officielle høring af National Standard for Identiteters Sikringsniveau (NSIS) version 2.

NSIS I KOMMUNERNE OG I FÆLLES LØSNINGER. Arkitekturrådsmødet 27. august 2019 /v Lars Vraa

Europaudvalget (2. samling) EUU Alm.del Bilag 4 Offentligt

National Standard for Identiteters Sikringsniveauer (NSIS)

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

eidas artikel 6 Informationsmøde for offentlige tjenesteudbydere 21. november 2017

Udgivet: National Standard for Identiteters Sikringsniveauer (NSIS) Version 2.0

MitID. 23. april 2018 Mogens Rom Andersen Digitaliseringsstyrelsen

National Standard for Identiteters Sikringsniveauer (NSIS)

Fremtidens infrastruktur for digitale identiteter i Danmark

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Interessentforum for næste generation NemID

Fællesoffentlig strategi for brugerstyring. April 2017

Behandling af indkomne høringssvar i forbindelse med den officielle høring af National Standard for Identiteters Sikringsniveau (NSIS) version 0.

Certifikatpolitik for NemLog-in

Informationsmøde for brokere. 21. maj 2019

Behandling af indkomne høringssvar i forbindelse med den officielle høring af OIOSAML version 3.0

Nyt om de kommende infrastrukturløsninger: MitID, NemLog-in og Næste generation Digital Post

Sikker adgang til personfølsomme data i Aula

Fællesoffentlig referencearkitektur for brugerstyring. April 2017

AFGØRELSER. (EØS-relevant tekst)

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Reviewrapport for: Brugerstyring i Danmarks Miljøportal

OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE

Hvad er en NSIS to-faktor løsning?

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Sikkerhedsmodeller på sundhedsområdet. esundhesobservatoriet 3. oktober 2018

Interessentforum for næste generation NemID. Møde den 21. marts 2018

SPOR 1: ADGANGSSTYRING

National Standard for Identiteters Sikringsniveauer (NSIS) Udkast

Opfølgende informationsmøde for

Guide til NemLog-in Security Token Service

Guide til integration med NemLog-in / Signering

Digital Sundhed. Brugerstyringsattributter - Introduktion. - Specificering af nye og ændrede attributter i id-kortet

Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Referat: Møde i Interessentforum

Vejledning til brug af Bank RA Revisionsinstruks

Kommenteret høringsnotat

Hvad er en NSIS to-faktor løsning?

Informationsmøde for kommuner om det nye NemLog-in og afløseren til NemID til erhverv. Juni 2019

Understøttelse af LSS til NemID i organisationen

Q&A til NemID nøgleapp

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Digital Post 2020 Arkitektur i infrastrukturen

Næste generation NemID Foranalyse: Oplæg til beslutninger

Fra NemID til MitID og NemLog-in3. Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede

Udover Privatlivspolitikken gælder vores Cookiepolitik, som du kan finde på vores hjemmeside:

Drift- og supportpolitik

INSTRUKS FOR OFFENTLIG RA

Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Vejledning om Digitaliseringsklar Lovgivning

E-udbud - Hvad og hvorfor? Carina Risvig Hamer Ph.d. Lektor, Juridisk Institut, Syddansk Universitet

Høring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27.

9.2.b. Videreudvikling af NemLog-in

Afholdt 20. januar 2017 kl hos Digitaliseringsstyrelsen

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november Mulighed for fritagelse

Vejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Administration af brugere vha. sammenhængende log-in

Interessentforum for næste generation NemID. Møde den 2. maj 2019

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation)

SIKKERHEDSPROJEKT PÅ TVÆRS AF BPI

LAKESIDE. Sårjournalen. Ændring af sikkerhedsarkitekturen. Version marts 2015

Vilkår for tjenesteudbyderes tilslutning til DK eidas Connector

FÆRDSELSAREALER FOR ALLE HÅNDBOG I TILGÆNGELIGHED

Forslag til Europa-Parlaments og Rådets forordning om personlige værnemidler, KOM (2014) 186

Forslag til lov om udstedelse af NemID med offentlig digital signatur til fysiske personer

Vejledning til brug af Offentlig RA Revisionsinstruks

Overblik over egne sager og ydelser

Tekniske krav til spiludbydere i forbindelse med opnåelse af tilladelse til at udbyde online spil i Danmark

Fælles Digital Arkitektur

(Ikke-lovgivningsmæssige retsakter) FORORDNINGER

Informationsmøde om NemLog-in3 udvikling og forvaltningsudbud

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Præcisering af transportbaseret sikkerhed i Den Gode Webservice

Sårjournal. Fødereret sikkerhedsløsning Møde i koordinationsgruppen for MedCom 10

Datatilsynet skal bemærke følgende:

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

AuthorizationCodeService

Guide til integration med NemLog-in / Brugeradministration

Koncept for systemforvaltning af den fælles open source kode, herunder procedure for opfølgning på software-versioner af OpenTele

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Administration af brugere vha. sammenhængende log-in

Resumé af udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI)

Sikker udstilling af data

FÆLLESOFFENTLIG DIGITALISERINGSSTRATEGI

Digital Signatur OCES en fælles offentlig certifikat-standard

Workshop om næste generation NemID

Transkript:

Til høringsparterne Se vedlagte liste

Side 2 af 5 26. juni 2018 Høring i forbindelse med opdatering af National Standard for Identiteters Sikringsniveau til version 2.0. Digitaliseringsstyrelsen har revideret vedlagte Nationale Standard for Identiteters Sikringsniveauer til version 2.0, herefter kaldet NSIS, sammen med den tilhørende vejledning på baggrund af de første erfaringer med arbejdet med standarden. Høringen er sendt til de myndigheder og organisationer m.v., der fremgår af vedlagte høringsliste. Høringsbrev, høringsliste og NSIS standard og tilhørende vejledning er også tilgængeligt på høringsportalen. Baggrund Der anvendes i dag en lang række forskellige digitale identitetsløsninger og akkreditiver i forskellige sammenhænge, til forskellige behov - og med tilsvarende forskellige sikringsniveauer. I en digital fremtid, hvor der er behov for at skabe sammenhængende tjenester og forretningsprocesser på tværs af organisationer, domæner, teknologier og på tværs af private og offentlige grænser, er der i stigende grad brug for en fælles ramme for tillid til digitale identiteter. Korrekte digitale identiteter er en forudsætning for, at borgere og virksomhedernes medarbejdere sikkert kan agere digitalt med myndigheder, virksomheder og med hinanden. I forbindelse med arbejdet med valide identiteter i den offentlige sektor og arbejdet med at anskaffe MitID og NemLog-in3 er der identificeret et behov for at indføre mulighed for større fleksibilitet i forbindelse med identifikation over for forskellige selvbetjeningsløsninger (flere sikringsniveauer) og samspil mellem løsninger på tværs af den offentlige sektor. Samtidig har EU- Kommissionen i medfør af eidas forordningen vedtaget en gennemførelsesretsakt vedr. sikringsniveauer (Levels of Assurance, LoA) (EU) 2015/1502 (EU) 910/2014. Digitaliseringsstyrelsen udarbejdede på den baggrund i 2016 en dansk pendant som en National Standard for Identiteters Sikringsniveauer, hvis formål er at skabe rammer for tillid til digitale identiteter samt digitale identitetstjenester, og som definerer fire sikringsniveauer for identitetssikring og autentifikation. Den danske standard er baseret på den nævnte gennemførelsesretsakt om sikringsniveauer, således at der bliver en konsistent vurdering af, hvilket sikringsniveau en løsning har, når den anvendes internt i Danmark henholdsvis i et andet EU-land. I relevante sammenhænge er kravene i NSIS dog præciseret i

Side 3 af 5 forhold til eidas-forordningen for at sikre et sikringsniveau tilpasset danske forhold og tillid mellem danske tjenester og eid-løsninger. Inden Digitaliseringsstyrelsen offentligjorde standarden i 2016, blev den sendt i bred offentlig høring hos en række organisationer og myndigheder. Anmeldelsesblanket, revisionserklæringer og vejledning til standarden blev herefter udgivet i juni 2017. Behov for opdatering Siden første udgave af NSIS fra 2016 er der sket en række udviklinger inden for identitetsområdet, som har nødvendiggjort en opdatering af standarden: Første udgave af NSIS blev skrevet parallelt med, at de implementerende retsakter og vejledning for eidas sikringsniveauer blev udarbejdet, hvilket har ført til en række forskelle. Siden publiceringen af NSIS har Digitaliseringsstyrelsen udarbejdet en fællesoffentlig referencearkitektur for brugerstyring. Dette har affødt et behov for at klarlægge og ensrette terminologien i NSIS, så den er i overensstemmelse med referencearkitekturen. Digitaliseringsstyrelsen har modtaget en række spørgsmål og tilbagemeldinger fra interessenter og dels gjort sig en række erfaringer i arbejdet med MitID og NemLog-in3 projekterne, herunder i forhandlingsforløbet med leverandørerne. I forhold til den nuværende infrastruktur vil NemLog-in3 eksempelvis introducere føderation med lokale IdP er og overtage erhvervsløsningen fra NemID, hvorfor der er behov for at håndtere sikringsniveauer for juridiske personer i NSIS. Der er et arbejde i gang i Digitaliseringsstyrelsen med at revidere de nuværende certifikatpolitikker for OCES certifikater, hvilket også indebærer en koordinering og tilretning i NSIS. I forbindelse med Digitaliseringsstyrelsens deltagelse i internationale arbejdsgrupper under eidas forordningen samt i processen med notificering af elektroniske identifikationsordninger fra andre EU-lande, er fortolkningen af lovgivningen blevet tydeligere, hvilket der kan være et behov for at afspejle i NSIS. De vigtigste ændringer i NSIS 2.0 Nedenfor er oplistet de vigtigste ændringer i NSIS 2.0 der er dog mange detailændringer, så høringsparterne opfordres til at gennemgå den nye version i detaljer:

Side 4 af 5 Terminologien er blevet ensrettet med den fællesoffentlige referencearkitektur for brugerstyring, bl.a. anvendes begrebet akkreditiv nu konsekvent i stedet for forkortelsen eid. Endvidere er dele af begrebsmodellen fra referencearkitekturen indsat som støttende forklaring. Det laveste sikringsniveau Begrænset er udgået, da det ikke havde nogen reel anvendelse, og da eidas forordningen endvidere kun opererer med tre sikringsniveauer. De tre tilbageværende niveauer (Lav, Betydelig, Høj) bibeholdes. Beskrivelsen af begrebet sikringsniveau (LoA) er blevet suppleret med de underliggende dele, herunder IAL (Identity Assurance Level) som beskriver styrken af Identitetssikringen, og AAL (Authentication Assurance Level) som beskriver Autentifikationsprocessens styrke, og FAL (Federation Assurance Level), som beskriver sikringsniveau et for en Identitets-broker. Kravene til binding (associering) mellem Akkreditiver for fysiske og juridiske personer er blevet tydeliggjort. Det er indført som nyt krav, at der skal gives en kvittering for spærring. Der er som et nyt område i NSIS indført krav til identitetssikring af juridiske personer. Krav til identitetssikring af fysiske personer er justeret, bl.a. er kravene til kontrolspørgsmål blevet erstattet af mere generelle krav til at håndtere risikoen for at fremlagte beviser kan være blevet tabt, stjålet, suspenderet, tilbagekaldt eller være udløbet. Der fremgår nye krav i medfør af GDPR. Kravene om ISO 27001 certificering på niveau Høj er omformuleret, således at organisationen på andre, tilsvarende måder kan dokumentere efterlevelsen af krav til informationssikkerhedsledelse. Krav til end-to-end kryptering af security tokens for identitetsbrokere er omformuleret, således at dette kun er påkrævet, når der kommunikeres via brugerens browser eller tokenet indeholder følsomme personoplysninger. Krav om, at medarbejdere og ledelse skal sikkerhedsgodkendes i henhold til statens sikkerhedscirkulære udgår. I stedet fremgår, at det generelt skal kontrolleres, at ledere og medarbejdere, der udfører betroede opgaver, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv, samt at medarbejdere og ledere har tilstrækkelig uddannelse og erfaring. Sikkerhedskrav til identitetsbrokeres håndtering af private nøgler er skærpet. Bemærk, at ovenstående ikke er en udtømmende liste over ændringer og således blot kan opfattes som udvalgte eksempler.

Side 5 af 5 Videre proces NSIS version 2.0 forventes publiceret ultimo oktober 2018, og den følgende proces er illustreret i nedenstående figur 1. Officiel høring af opdatering af NSIS Behandling af høringssvar Tilretning af opdateringen af NSIS Publicering af høringsnotat Publikation af opdateret NSIS Figur 1 illustration af den følgende proces indtil publicering af opdateringen af standarden. Interessenter og høringsparter opfordres til at afgive kommentarer og supplerende oplysninger, som findes relevante for NSIS. Det skal understreges, at kravene i NSIS 2.0 og den tilhørende vejledning er foreløbige og kan blive ændret som følge af høringssvarene. Digitaliseringsstyrelsen vil efter modtagelse af høringssvar udarbejde høringsnotat, eventuelle tilretninger til NSIS samt den tilhørende vejledning, der publiceres sammen med standarden. Efter den opdaterede standard er endelig, opdateres den tilhørende anmeldelsesformular og revisionserklæring. Digitaliseringsstyrelsen anmoder om, at bemærkninger til den vedlagte offentlige standard for identiteters sikringsniveau NSIS 2.0 sendes til saslh@digst.dk. Høringssvar skal være Digitaliseringsstyrelsen i hænde senest mandag den 3. september 2018 kl. 12:00. Eventuelle spørgsmål vedrørende standarden sendes til Sandra Schöne Leth Hansen saslh@digst.dk.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback