”Vi forstår godt, at kommunerne har oplevet NSIS-revision som omfattende, fordi det er første gang, at de er blevet revideret efter denne standard. Men vi har gjort os umage og lyttet til kommunernes kritik og kommet den i møde på en række væsentlige punkter,” siger Kontorchef Charlotte Jacoby, Digitaliseringsstyrelsen. Hun har ansvaret for NSIS version 2 – National standard for Identiteters Sikringsniveauer og MitID Erhverv. Hun har tillid til, at kommuner og revisorer kommer lettere gennem den næste revision.
I foråret 2023 lød der skarp kritik fra de Kommunale IT-chefer mod NSIS-revisionen. Både mod Digitaliseringsstyrelsen, som er ansvarlig for standarden og udformningen af vejledninger om, at de ikke var tydelige nok i deres krav til kommunerne. Kritikken fra kommunerne rettede sig også mod revisorerne, da kommunerne sad tilbage med en oplevelse af, at revisionsfirmaerne fortolkede reglerne forskelligt. Det har ført til adskillige skift af revisionsfirma inden for NSIS i kommunerne. Revisorer blev beskyldt for at ”overimplementere reglerne”. Kritikken har omvendt også gået på, at enkelte IT-chefer har kritiseret revisor for at tage for let på opgaven.
”Vi gennemfører naturligvis ikke NSIS-revision for at genere nogen. Det er utroligt vigtigt, at medarbejdere som med deres medarbejderidentitet får adgang til data via den fællesoffentlige infrastruktur, også er den rigtige person. Derfor er identitetssikringsprocessen helt afgørende. Det er det NSIS-revisionen reelt set handler om, og det er en væsentlig opgave, da det har med tilliden til det offentlige og det offentliges data at gøre. Efter de nye ændringer mener vi, at der stilles mere præcise krav, og vi har ligeledes guidet revisorerne, så vi har en forventning om, at der kommer en mere ensartet revisionsproces, for det har også været en del af kritikken fra kommunerne. Vi har tillid til, at revisionsprocessen med de tilpassede vejledninger i NSIS version 2 bliver bedre og mere tilgængelig for alle parter,” siger Charlotte Jacoby.
IT- og digitaliseringschef Kaj Erik Ildved Olsen, Vejen Kommune: ”Som repræsentant for kommunale IT-chefer er jeg utrolig glad for, at Digitaliseringsstyrelsen har lyttet til vores kritik og at det vil lette arbejdet ude i de enkelte kommuner. Der er ingen tvivl om, at antallet af revisioner bliver øget de kommende år grundet kravene til sikkerheden. Når kravene øges, er det vigtigt, at vi ser på den samlede revisionsbyrde for kommunerne og ikke kun på revisionen af det enkelte system. Det vil sige, at vi kan genbruge dokumentation fra de forskellige revisioner, hvis der er et sammenfald af dokumentation.”
Udvidet tidsfrist
Et andet punkt, som også er ændret, er en udvidelse af tidsfristen fra 60 til 90 dage for aflevering af revisionserklæringen til Digitaliseringsstyrelsen. Det giver både kommune og revisionsfirma ekstra tid ved levering af erklæringen.
Der har været en passus om ”lovmedholdelighed” som en del af revisionspligten ved NSIS. Den er nu blevet fjernet, da både kommune og revisor skal overholde lovgivningen.
KL kritiserede også NSIS-revisionen og foreslog, at revisionen blev ændret til at skulle ske hvert andet år i stedet for årligt. Ønske om revision hvert andet år er blevet nøje vurderet, men har ikke kunnet imødekommes, dels da en længere revisionsperiode ikke harmonerer med generelle internationale krav til øget sikkerhed, dels da det bl.a. kan medføre, at anmelderen ikke har tilstrækkeligt og egnet revisionsbevis for perioden. Ved en periode på længere end et år vil risikoen for modificerede påtegninger fra revisorerne desuden være større, hvilket vil gøre processen tungere for kommunerne.
Vedrørende ikke væsentlige anmærkninger fra Digitaliseringsstyrelsens tilsyn til revisionserklæringer vil man fremover ikke skulle aflevere en handlingsplan, men kan som anmelder vente med at tage det med i den næstkommende revisionserklæring.