Da Digitaliseringsstyrelsen i april måned forlængede udfasningen af bl.a. NemID medarbejdersignatur, som er den nuværende løsning, når kommunalt ansatte logger sig på fællesoffentlige it-systemer, gav det kommunerne fire måneder ekstra til at gennemføre den svære tekniske og organisatoriske implementering af MitID Erhverv, der er afløseren til NemID til erhverv, og sikkerhedsstandarden NSIS. Implementeringen af MitID Erhverv og NSIS skal nu være afsluttet senest den 31. oktober 2023.
På Digitaliseringsstyrelsens hjemmeside hedder det “Alle virksomheder, myndigheder og foreninger, der anvender NemID til erhverv (NemID medarbejdersignatur) skal skifte til MitID Erhverv, inden NemID til erhverv lukker”. Derfor var der udsigt til, at alle kommuner skulle skifte fra NemID til erhverv til MitID Erhverv senest den 30. juni. Men tæt på denne deadline besluttede Digitaliseringsstyrelsen at udskyde denne frist med fire måneder.
Konsulent Jette Larsson, KL, fortæller, at de fire måneders ekstra tid, som kommunerne har fået, var nødvendige og den eneste rigtige beslutning, da implementeringen af MitID Erhverv og især den underliggende standard for identiteters sikringsniveauer, NSIS, har vist sig at være meget omfattende med krav til både teknik, organisering og ledelse.
Revisionsfirmaerne har været i gang med NSIS godkendelser de seneste to år. På nuværende tidspunkt har 73 kommuner fået en godkendelse fra Digitaliseringsstyrelsen, otte venter på svar fra NSIS Tilsynet, og ni er stadig i gang med at udarbejde en revisionserklæring.
Formålet med standarden er at skabe en fælles ramme for tillid til digitale identiteter og identitetstjenester gennem en række tekniske og organisatoriske krav. Så når en kommunal medarbejder logger sig på en fællesoffentlig løsning, skal der blandt meget andet være sikkerhed for, at medarbejderen er den person, han eller hun udgiver sig for at være. Sådan var det også med NemID medarbejdersignatur, men med skiftet fra NemID til MitID bliver sikkerheden omkring udstedelse af erhvervsidentiteter skærpet.
90 kommuner med Lokal IdP
Ifølge Jette Larsson har 90 ud af 98 kommuner valgt at bruge en såkaldt lokal IdP (Identity Provider). Det betyder, at kommunen som myndighed selv kan kontrollere medarbejdernes identitet, og at medarbejderne får en bedre brugeroplevelse, når de skal logge på både kommunens egne og fællesoffentlige it-systemer.
Når kommunen vælger den lokale IdP-løsning, er det kommunen, der har ansvaret for sikkerheden omkring udstedelse og de konkrete loginmidler fx adgangskoder, apps og hardwarenøgler. Det kræver, at kommunen får udarbejdet en revisionserklæring på, at de opfylder kravene i NSIS. Derefter skal den lokale IDP godkendes af Digitaliseringsstyrelsens NSIS Tilsyn, og kommunen skal årligt gennemføre ekstern revision af den fortsatte overholdelse af NSIS.
De otte kommuner, som ikke har valgt en lokal IdP, bruger MitID Erhverv, der er den erhvervsrettede del af MitID-løsningen, som de fleste af os bruger, når vi logger på borger.dk, banken og vores digitale postkasse.
Jette Larsson: “Når fristudskydelsen på fire måneder kom belejligt for kommunerne, skyldes det, at den periode kan bruges til at komme sikkert i mål med den tekniske og organisatoriske implementering. Det har vist sig, at der var flaskehalse undervejs, ikke mindst hos revisorerne på grund af, at mange kommuner har valgt den lokale IdP.”
“Det er første gang – både for kommuner og revisorer – at der skal udarbejdes revisionserklæringer, og det er så at sige år et med NSIS. Fordi kravene i standarden til at begynde med ikke var særligt detaljerede fra Digitaliseringsstyrelsens side, skabte det et rum for fortolkning, som revisionsfirmaerne har måtte udfylde. Når der er så megen plads til fortolkningen og begrænset vejledning, bliver der brugt mange ressourcer på at diskutere med revisor, hvordan det skal være, og hvad der er rigtigt og forkert?”
Det er revisorerne, der løbende har fortolket standarden og sat barren endog meget højt. Man har lagt skinnerne, mens man har kørt. Både Digitaliseringsstyrelsen, revisorerne og kommunerne er blevet klogere hen ad vejen, men det har kostet mange timer i kommunerne at komme frem til nogle rimelige fortolkninger.
Det hører også med til historien, at revisorerne har måttet rekruttere og uddanne personale for at forsøge at følge med efterspørgslens fra blandt andre kommuner og regioner, og travlheden har medvirket til at forsinke processen med at forberede og udarbejde en revisionserklæring.
Revisionsfirmaerne har været i gang med NSIS godkendelser de seneste to år. På nuværende tidspunkt har 56 kommuner fået en godkendelse fra Digitaliseringsstyrelsen, 14 venter på svar fra NSIS Tilsynet, og 20 er stadig i gang med at udarbejde en revisionserklæring.
Hvis man som de otte kommuner vælger MitID Erhverv til sine medarbejdere, er det Digitaliseringsstyrelsens ansvar at leve op til NSIS, men kommunen skal stadig rulle de nye identiteter ud i organisationen, og der er både fordele og ulemper i forhold til lokal IdP.
Det koster mange ressourcer at implementere nye loginmidler og regler for sikkerhed for mange tusinde medarbejdere, så kommunerne bliver nødt til at vente med udrulningen, indtil Digitaliseringsstyrelsen har godkendt deres revisionserklæring, og derfor har de stadig travlt, hvis de skal nå i mål inden den 31. oktober.
Hvis kommunerne ikke når i mål til tiden, mister medarbejderne adgang til centrale fagsystemer og kan ikke udføre deres arbejde og yde service over for borgere og virksomheder.
“Først kommer den tekniske implementering og derefter følger den organisatoriske implementering, som måske er endnu sværere. Den viser sig også at være meget omfattende, specielt på sundheds- og ældreområdet, fordi der er rigtigt mange medarbejdere, og de har meget forskellige forudsætninger og daglige arbejdsopgaver.”
“De bruger forskellige redskaber. Nogle har en pc, nogle en mobiltelefon og andre en tablet. Ikke alle er lige vante til at bruge digitale enheder og apps som en integreret del af deres opgaver som fx mere administrative medarbejdergrupper, så udsættelse af deadline gør også, at man kan vælge den rigtige løsning fra start, så man ikke skulle ud og lave nogle midlertidige løsninger. Det kan vise sig at blive en stor fordel for alle kommuner,” siger Jette Larsson.