Dragør Kommune har fået underskrevet sin revisionserklæring om NSIS (National Standard for Identitets Sikring) hos BDO Revision. Revisorgodkendelsen er sendt videre til Digitaliseringsstyrelsen, som giver den endelige godkendelse.
Dragør Kommune har ifølge it-chef Jan Jansen brugt 800 timer på at opnå revisorfirmaets underskrift af NSIS. Først fik Dragør Kommune en pre-audit den 21. september 2021 og siden kom så den rigtige audit den 23. august 2022. Både ved pre-audit og audit havde revisorfirmaet en række rettelsespunkter til kommunen. Så det har været en kæmpe opgave at implementere for it-afdelingen, da arbejdet med NSIS er kommet oveni de øvrige it-opgaver.
Dragør Kommune er sammen med Albertslund Kommune medlemmer af Den storkøbenhavnske Digitaliseringsforening (DSD) og de er udpeget som testkommuner. DSD består af 11 kommuner og Dragør har valgt løsningen fra Signaturgruppen, mens Albertslund har valgt en løsning fra OS2-fællesskabet.
“Vi har brugt mindst 800 timer i it-afdelingen for at opnå NSIS-godkendelse. Jeg klager ikke for opgaven skal løses. Men det havde været rart, om det, der bliver efterspurgt, havde ligget i et kravbilag. Langt det meste af tiden er gået med diskussioner om fortolkninger af de spørgsmål, der stilles i bilagene. Sådan har det været lige fra starten. Jeg skyder ikke på revisionsfirmaet, men snarere på Digitaliseringsstyrelsen som kunne have leveret et skema eller en skabelon med de krav, som kommunerne skal opfylde. Nu skal vi udfylde skemaer med egne fortolkninger, som revisorfirmaet skal godkende,” siger Jan Jansen.
Central betydning for identitetssikring
NSIS har central betydning for identitetsløsninger som MitID og MitID Erhverv/NemLog-in samt en række decentrale fagsystemer, som kommunale it-organisationer med en Lokal IdP benytter. Lokal IdP hed tidligere medarbejdersignatur i NemID.
Ibrugtagningen af NSIS vil derfor medføre en række krav til de parter, der ønsker at blive tilkoblet den nationale digitale infrastruktur, herunder tjenesteudbydere, brugerorganisationer og brokere. Kravene i NSIS er rettet mod de betroede kommunale medarbejdere, som bruger deres identiteter over for andre, mens modtagere af identiteter ikke er underlagt kravene i NSIS, men alene skal forholde sig til det sikringsniveau, som brugeren tilgår deres tjeneste med.
En stor del af NSIS omfatter ISO 27001 compliance – den internationale standard for informationssikkerhed. Det er ikke nok, at kommunen kun har sine egne nedskrevne regler. Revisionserklæringen omfatter også, at kommunen skal dokumentere, at den overholder “principperne i ISO27001”. Det er i virkeligheden her det store skifte er.
Digitaliseringsstyrelsen kræver, at der er en godkendt opkobling mellem det lokale IdP, der overholder NSIS-standarden, som via NemLog-In3 sikrer opkoblingen til de fællesoffentlige systemer. Det skal være på plads for at få en revisionserklæring.
Pre-audit tog 500 timer
Da Dragør Kommune fik sin pre-audit efter 500 timers indsats, tænkte it-chefen, at nu var kommunen omtrent i mål. Men nej. Der blev efterspurgt yderligere materialer i form af 17 overpunkter med tilknyttede underpunkter. Efter 300 timers yderligere arbejde frem mod den endelige audit, kom der så 45 rettelser ved selve audit. Det har været en lang og sej kamp for at nå frem til målet.
Digitaliseringskonsulent Jens Erik Rolighed Larsen, Dragør Kommune: “Som jeg husker det, havde jeg en meget god fornemmelse ved pre-audit efter de første 500 timer. Der var selvfølgelig nogle bump på vejen og faldgruber, men vi kom nogenlunde positivt ud af det. Vi var mere eller mindre klar til den endelige revisorerklæring. Det gik dog helt anderledes, for da vi kom til den endelige audit, var der 45 rettelser oveni. Da fandt jeg ud af at vi skulle lægge mange flere timer i det – omkring 300 timer”.
De revisorerklæringer som revisorfirmaet skal underskrive har en omfattende kvalitetskontrol. I dette NSIS paradigme – år 1- er der en ekstra konsulentindsats fra revisionsfirmaets side. I og med mange kommuner vælger at tage en pre-audit først, som en slags opvarmning til en audit. At tage en pre-audit betyder, at kommunen bliver sporet ind på det arbejde, der ligger i at kunne kontrollere og dokumentere arbejdet med identitetsgodkendelse af medarbejdere samt løbende risikovurderinger.
Jan Jansen: “Vi har selvfølgelig draget vores erfaringer i forløbet vedrørende de spørgsmål, som er stillet i kravbilagene. Og jeg vil da også sige,
at vi tror, at BDO også har fået erfaringer vedrørende de fortolkninger af spørgsmålene som er blevet stillet til os. Derfor er jeg godt tilfreds med, at vi valgte at være testkommune, fordi det har gjort, at vi er kommet på omgangshøjde med NSIS tidligere, end hvis vi havde været afventende. Men jeg vil også sige, at der i løbet af perioden er sket et skifte af de
fortolkninger i perioden både hos os og revisorfirmaet. Så jeg vil anbefale andre kommuner om at komme i gang, hvis de ikke allerede er det”.
En anden fordel ved at være testkommune er, ifølge Jan Jansen, at han er blevet kontaktet af kollegaer fra andre kommuner. På den måde har der være en række dialoger med kommuner, som har ført til at der blevet en mere fælles forståelse af de udfordringer ved at blive NSIS godkendt.
Ekstra rettelser
Et af de skifte i fortolkninger, som Dragør Kommune oplevede, var, at revisionsfirmaet langt inde i forløbet efterspurgte en hændelseslog. Altså en log over de hændelser, der havde været på systemer, som medarbejdere har brugt i forbindelse med opkobling på fællesoffentlige it-løsninger.
Jens Erik Rolighed Larsen: “Hændelsesloggen lå ikke i bilagene fra starten. Så det indgik slet ikke i pre-audit fasen. F.eks. at man skulle kunne se, om der var ting, der var blevet slettet i løbet af en sag. Det blev først efterspurgt af revisionsfirmaet allersidst i forløbet. Mange af de 45 rettelser, som kom ved audit gik på, hvordan Signaturgruppens løsning hang sammen med henblik på denne log. Og det var ikke nævnt tidligere. Her vil jeg gerne rose Signaturgruppen for, at de påtog sig denne arbejdsopgave og nu er endt med at komme med en løsning, der virker på tværs af alle kommuner. Det vil jo også betyde, at de kommuner, der bruger den løsning, vil aflevere efter de samme krav til årsberetningerne”.
Ifølge Jan Jansen har Nets rettet henvendelse til Dragør og spurgt om kommunen vil være pilotkommune for NSIS. Iøvrigt sammen med Viborg Kommune.
FAKTA
DSD:
Der er fem kommuner der benytter Signaturgruppens løsning: Høje Taastrup, Hvidovre, Dragør, Ishøj, og Brøndby.
Digital Identity, som er med i OS2-Fællesskabet: Albertslund, Vallensbæk, Herlev, Solrød, Glostrup, og Rødovre.