Det har været kronede dage for revisorfirmaerne, efter at Digitaliseringsstyrelsen i 2021 stillede krav om revisorerklæringer for NSIS i alle 98 kommuner. I slutningen af 2022 kom den seneste version af NSIS standarden fra Digitaliseringsstyrelsen.
National Standard for Identiteters Sikringsniveauer (NSIS) er et rammeværk, der fastlægger retningslinjer for oprettelse, forvaltning og brug af digitale identiteter i Danmark. Formålet er at skabe tillid til digitale identiteter og identitetstjenester gennem en række tekniske og organisatoriske krav.
Da kravene fra Digitaliseringsstyrelsen ikke er styret centralt, har det været en lukrativ opgave for revisionsfirmaerne. Kommunerne har i flere tilfælde kritiseret og beskyldt revisorfirmaer for at “overimplementere”, mens andre roser revisorerne for et godt forløb.
Partner i BDO Brian Bomholdt: “Selvom mange kommuner ser identiske ud på overfladen og skal implementere den samme standard, er der tale om anselige indbyrdes forskelle, når man kommer inden for murene og skal implementere et vidtgående rammeværk som NSIS, og som vi skal underskrive en revisorerklæring om.”
“Udover at det handler om teknik, går det også rigtig meget på organisatoriske forhold som procedurer og processer. Det vi i daglig tale kalder for governance. Det varierer meget fra kommune til kommune. Så når kommuner kritiserer revisorerne for at udlægge teksten forskelligt, er det ikke vores oplevelse, når vi først har dialogen.”
“Der er områder, der er til fortolkning, men vi har løbende været i dialog med Digitaliseringsstyrelsen, som er opdragsgiver til NSIS-rammeværket, og vi har som revisionsfirma afstemt kravene,” siger Brian Bomholdt.
NSIS standarden har den dobbelte funktion at beskytte borgernes data og at sikre de kommunale medarbejdere digital adgang til data i fællesoffentlige systemer. Når kommunerne har fået deres revisorerklæring og overholder NSIS, vil medarbejderne kunne bruge MitID og Nemlogin-3 fuldt ud.
Brian Bomholdt: “Vi har ikke nogen interesse i at gå over eller under den barre, som vi har fået til opgave at løse. Vi vil naturligvis gerne hjælpe vores kunder igennem på den nemmeste og mest elegante måde. Men omvendt skal vi underskrive en revisionserklæring, og derfor er vi nødt til at forholde os til de krav, som er stillet af Digitaliseringsstyrelsen”.
Brian Bomholdt fortæller, at BDO har et pænt antal revisorer, der er specialiseret inden for NSIS. Han forstår godt, hvis kommunerne synes, det er en drøj omgang at komme igennem.
“Det er en anselig opgave for langt de fleste kommuner. Men de har også forskellige afsæt og tager udgangspunkt i det. De har forskellige forudsætninger, forskellige ressourcer og et forskelligt modenhedsniveau. Derfor vurderer de også opgaven forskelligt”.
Som revisionsfirma har vi tilbudt kommunerne en proces, som rigtig mange har valgt at sige ja til. Vi har hjulpet dem via eksempelvis workshops og preaudit af NSIS. Hvis man ikke er klar til at tage imod preaudit, så vil nogle opfatte det som om, at der bliver stillet nye krav. Det er ikke min oplevelse, at vi har stillet nye krav. Min vurdering er, at organisationerne ikke er helt identiske og at de også håndterer informationerne lidt forskelligt. Fra dag et er NSIS store mængder af information. Der er for nogle rigtig meget nyt i NSIS og for andre er det semi-nyt. Så alt afhængigt af udgangspunktet vurderes forløbet forskelligt,” siger Brian Bomholdt.
I slutningen af oktober 2023 skal alle 98 kommuner have en godkendt revisorerklæring.
Brian Bomholdt: “Jeg vil helt generelt sige, at de kommuner og organisationer, som er ramt af det her, også vil opleve, at de er et bedre sted nu, fordi deres sikkerhedsniveau er hævet. Det er godt for kommuner, regioner, centraladministration, finansielle organisationer m.fl. Krav om NSIS har været en god anledning til at få hævet sikkerhedsniveauet. Kravene er kommet udefra, og nu skal man altså gøre nogle ting, som man ikke tidligere nødvendigvis har fokuseret på.”