It-chef Jan Jansen, Dragør Kommune, efterlyser mere klare krav fra Digitaliseringsstyrelsen om, hvad det er for en opgave, som de eksterne revisorer skal løse i kommunerne med den lokale NSIS-implementering.
Når det nye NemLog-in3 i november 2022 åbner for tilkobling af lokale IdP-løsninger, skal alle kommuner have en revisorerklæring, som bekræfter at den opfylder de tekniske og organisatoriske krav i NSIS (National Standard for Identiteters sikringsniveau) standarden.
It-chef Jan Jansen Dragør har i mange måneder været pilotkommune i Den Storkøbenhavnske Digitaliseringsforening i forbindelse med den lokale NSIS-implementering. It-afdelingen har allerede nu brugt op mod 500 timer inden pre-audit, som kommer før den endelige revisionserklæring. At opnå godkendelse af NSIS standarden, er reelt en proces, der også omfatter ISO 27001 compliance – den internationale standard for informationssikkerhed. Det er ikke nok, at kommunen kun har egne nedskrevne regler. Revisionserklæringen omfatter også, at kommunen skal dokumentere, at den overholder principperne i ISO27001. Det er i virkeligheden her det store skifte er.
Digitaliseringsstyrelsen kræver, at der er en godkendt opkobling mellem det lokale IdP (tidligere medarbejdersignatur red.), der overholder NSIS-standarden, som via NemLog-In3 sikrer opkoblingen til de fællesoffentlige systemer. Det skal være på plads for at få en revisionserklæring.
”Jeg efterlyser mere klare krav fra Digitaliseringsstyrelsen om, hvad det er for en opgave revisorerne skal løse i kommunerne. Jeg synes, det er for meget op til det eksterne revisionsfirma om at definere, hvad vi skal aflevere, før vi kan få den nødvendige revisionserklæring. Det havde været nemmere og mere konkret for os, hvis Digitaliseringsstyrelsen havde stillet klare krav til os, hvad der skal til for, at vi har opfyldt kravet,” siger Jan Jansen.
Han understreger, at kritikken ikke retter sig mod revisionsfirmaerne, da de løser en bunden opgave, men snarere mod de ”vage formuleringer” i grundlaget for NSIS, som skaber rum for fortolkninger. Og som er en væsentlig årsag til, at opgaven med NSIS-implementeringen trækker tænder ud i it-afdelingen.
Risikobaseret tilgang
Det er den risikobaserede tilgang til NSIS, der levner plads til fortolkningerne. Det betyder, at den enkelte kommune, som implementerer NSIS-løsningen skal finde sin egen risikobaserede tilgang. F. eks. er det et krav, at kommunen skal have en ”høj tilgængelighed” til løsningens selvbetjeningsportal.
Jan Jansen: ”Det er op til den enkelte myndighed at definere, hvad ”høj tilgængelighed” betyder. Det har vi i Dragør Kommune valgt at
fortolke på den måde, at der er adgang fra internettet og at det er tilgængeligt 24 timer i døgnet. Men det kan godt være anderledes i en anden kommune. Så høj tilgængelighed betyder ikke nødvendigvis, at der skal være åbent 24 timer i døgnet, men om kommunen har været igennem de overvejelser og kommet frem til, hvordan de vil løse det. Det er op til kommunen selv at finde svarene”.
I DSD har foreningen et grundlag om at medlemskommunerne skal lære af hinanden. Det gælder således også for de to medlemskommuner Dragør og Albertslund, der har lagt ryg til NSIS som pilotprojekter med at dele deres viden med de ni øvrige kommuner i DSD. Dragør har valgt it-løsningen fra Signaturgruppen, mens Albertslund har valgt Open Source løsningen fra OS2/Digital Identity.
Flemming Engstrøm: ”De to projekter, jeg har gennemført med Albertslund og Dragør, er på vegne af DSD om at støtte de to kommuner med implementeringen af NSIS og lave en implementeringsvejledning, som deles med de øvrige kommuner i samarbejdet.”
Jan Jansen: ”Det er stadig revisionen, der trækker stregen i sandet. Det er de vage formuleringer i NSIS-standarden, der gør det svært for os som kommuner. Nu har vi forholdt os til de formuleringer og fundet frem til vores løsning i Dragør. Vi har testet vores it-løsning for at dokumentere processer og arbejdsgange, men det er stadig op til det eksterne revisionsfirma, om de vil give os revisorerklæringen på det foreliggende grundlag,” siger Jan Jansen.
It-revision
Kommunerne får en gang årligt gennemført en finansiel revision af deres it-systemer. Jan Jansen havde gerne set, at NSIS-revisionen var blevet en del af den finansielle revision. Det er ikke tilfældet. Med NSIS kommer der en ny selvstændig årsberetning, som skal påtegnes af et eksternt revisionsfirma for at kunne beholde driften af it-løsningen for oprettelse og vedligeholdelse af medarbejdernes digitale identiteter, som kobler sig på de fællesoffentlige it-systemer.
”Det havde været en fordel, hvis NSIS revisorerklæringen var blevet sat ind i den finansielle revision. Nu skal vi i stedet for have en selvstændig NSIS-revisionserklæring, der holder et år ad gangen. Det ville have været nemmere, hvis det var sat sammen med den finansielle revision som godkender procedurerne og de økonomiske beregninger i it-systemerne,” siger Jan Jansen.
Fakta DSD:
Der er fem kommuner der benytter signaturgruppens løsning:
Høje Taastrup, Hvidovre, Dragør, Ishøj og Brøndby.
Digital Identity, som er med i OS2 fællesskabet, benyttes af Albertslund, Vallensbæk, Herlev, Solrød og Glostrup.