Når det nye NemLog-in3 i november 2022 åbner for tilkobling af lokale IdP-løsninger, skal alle kommuner have en revisorerklæring, som bekræfter at den opfylder de tekniske og organisatoriske krav i NSIS (National Standard for Identiteters sikringsniveau) standarden.
Den nye sikkerhedsstandard NSIS er en del af et kommende MitID, der afløser NemID i efteråret 2022. Konsulent Flemming Engstrøm, Engstrøm Consulting, siger, til it- og digitaliseringscheferne i kommunerne, at de ikke vinder noget ved at vente med at få kommunen NSIS-godkendt, da opgaven med at få den lokale revisionsgodkendelse af NSIS kan være langt mere ”omfattende, kompleks og udfordrende” end man umiddelbart forudser. “Opgaven har det med at vokse efterhånden, som man får sig gravet ind i problemstillingerne,” siger Flemming Engstrøm.
Før sommerferien kom det frem, at NemLog-in3 blev forsinket med et år – til efteråret 2022. NemLog-in3 er den broker, der godkender, at den kommunale bruger, som vil logge sig på en fællesoffentlig løsning, også er den rigtige identitet.
DSD
Flemming Engstrøm har på vegne af DSD – Den Storkøbenhavnske Digitaliseringsforening, der består af 11 kommuner i den københavnske omegn - rådgivet Albertslund og Dragør kommuner, og har på den baggrund udarbejdet vejledningsmateriale til de øvrige kommuner i samarbejdet.
Kommunen skal have en it-løsning, som lever op til de tekniske krav NSIS-standarden beskriver. Albertslund Kommune har valgt OS2-løsningen fra Digital Identity, som er en Open Source løsning, og Dragør Kommune har valgt løsningen fra Signaturgruppen. De to kommuner er valgt, fordi de har valgt løsninger, som repræsenterer de fleste DSD-kommuner.
De tekniske løsninger er velfungerende og leverandørerne har gjort et stort arbejde for at sikre NSIS-compliance, og at stille den rette dokumentation for løsningens compliance til rådighed for kommunerne. Denne del er uproblematisk når man har indgået aftalen med leverandøren.
Det er den organisatoriske implementering af NSIS som er ”omfattende, udfordrende og kompleks”, ifølge Flemming Engstrøm.
Men når kommunerne har fået revisionserklæringen – altså godkendelsen – er der også store fordele forbundet med NSIS, idet den enkelte kommunale medarbejder kan bruge det samme password til alle fællesoffentlige løsninger.
Men udskydelsen af NemLog-in3 bør ikke føre til udskydelse af det lokale projekt, istedet bør man bruge tiden til at få lavet en ordentlig organisatorisk implementering.
”Den organisatoriske implementering af NSIS fylder mere end man tror. Hele compliancedelen i NSIS, hvor alt skal dokumenteres, vil komme bag på mange. Compliance kræver dokumentation af jeres praksis for hvert af NSIS-kravene i form af politikker, procedurer, dokumentation for hvad man har gjort, og ledelsessystemer som følger op på det. Det er et betydeligt større arbejde, end man umiddelbart tror, da det involverer flere afdelinger i kommunen. Derfor er mit budskab til kommunerne, at der ikke er noget vundet ved at vente med at få det fornødne overblik over NSIS-implementeringen. Tværtimod er det en god idé at få overblikket nu, fordi man så kender vejen til revisorerklæringen,” siger Flemming Engstrøm.
Lokal IdP:
De fleste kommuner har erkendt de fordele, der vil være ved, at kommunen selv kan udstede digital-ID til egne medarbejdere, som opfylder NSIS-standarden. Det vil i praksis betyde, at kommunens brugere kan logge sig ind på de fællesoffentlige løsninger med deres AD-brugernavn og password suppleret med f.eks. en kode via en app eller en tokenkey.
NemLog-in3:
NemLogin3 bliver den nye fælles broker for erhvervsidentiterne. En kommunal bruger logger sig ind I en fællesoffentlig løsning med NemLog-in3. Det er Nemlogin, som sikrer, at brugeren er den, vedkommende siger han eller hun er. Når kommunen anvender en lokal IdP, sender Nemlogin brugeren videre til den, og brugeren logger så ind der.
Compliance opgaven:
Der åbnes ikke for forbindelsen mellem NemLog-in3 og kommunens IdP, før kommunen har indsendt en ansøgning til Digitaliseringsstyrelsen, som er vedlagt en revisorerklæring, der viser, at man har implementeret NSIS tilfredsstillende. Kommunen skal altså bevise, at man er NSIS compliant.