I 2020 modtog Lakeside en henvendelse fra en større dansk leverandør af infrastrukturløsninger til de danske banker og myndigheder. De skulle have etableret et nyt revisionsregime for overholdelse af NSIS standarden på tværs af de danske infrastrukturløsninger. På det givne tidspunkt var der ikke mange, der havde erfaring med at arbejde med NSIS standarden.
Opgaven
Der var behov for at få kortlagt krav, igangsat de nødvendige compliance-processer og udarbejdet NSIS materiale for NemID, MitID, NemLog-ins Broker og MitID Erhverv. Samtidig var der et ønske om at få skabt et overblik over synergier til andre sikkerhedsrevisioner, såsom GDPR, ISO27001, MitID Broker- og MitID RA-revisioner. Lakeside fik således til opgave at bistå og rådgive kunden omkring NSIS anmeldelserne, med udgangspunkt i vores viden om NSIS standarden og erfaring med national infrastruktur.
Vores bidrag
Gennem næsten 2,5 år har Lakeside bistået kunden med flere compliance opgaver, både direkte og indirekte forbundet til NemID, MitID, NemLog-in Brokeren og MitID Erhverv’s overholdelse af NSIS standarden, udarbejdelse af NSIS materiale, samt NSIS anmeldelse og vedligehold af den status der er publiceret på Digitaliseringsstyrelsens positivliste. Desuden har vi bistået MitIDs eIDAS notifikation i EU-regi både ift. udarbejdelse af materiale og repræsentation af kunden ved peer-review processen.
Key take aways
Undervejs i projektet har vi observeret, at mængden af krav om it-revision er stigende for organisationer, som vælger at være identitetsbærende; f.eks. RA-organisationer (såsom banker og kommuner) og organisationer med lokal IdP mod den offentlige infrastruktur. Afhængig af organisationen kan listen af revisionsregimer være lang; f.eks. revision ift. GDPR, ISO27001, NIS2, NSIS, MitID-RA-krav og MitID Broker-krav, certifikatpolitikker etc. Det vil fortsætte med at være en stor opgave at løfte, da der ofte er krav om årlige revisioner ift. overholdelse af ovenstående.
1. Skab synergi
Der kan være et ret stort overlap mellem kravene, der stilles under de forskellige standarder. Derfor kan der med fordel høstes synergieffekter, hvis revisionerne planlægges optimeret i forhold til hinanden, samtidig med at afhængigheder til underleverandørernes erklæringer tænkes ind.
2. Fasthold viden
Hvis en organisation vælger at bruge konsulenter til revisionsopgaven, er der tre overordnede målsætninger for fastholdelse af viden:
Sikring af viden fra konsulent til organisation
Da det er en årlig tilbagevendende opgave, er det vigtigt at sikre, at viden ikke forsvinder med konsulenten efter den første revision. Opgaven kan derfor ikke overdrages til en konsulent, men udføres i samarbejde med en konsulent, som står for oplæring af egne medarbejdere.
Sikring af viden fra compliance team til forretningen
Da det typisk er forretningen, der kender til evt. ændringer i systemer og procedurer, er det vigtigt at forretningen er klædt på ift. overholdelse af forskellige standarder og krav. Opdatering af materiale bør forankres i forretningen, da dette sikrer korrekt materiale og et nemmere revisionsforløb.
Sikring af viden fra de forgangne revisioner til kommende revisioner
Det er vigtigt at sikre en fast projektledelse af revisionerne på tværs. For at understøtte organisationens revisioner, skal projektledelsen sikre en fast metodik for gennemførelse af revision, som samtidig sikrer fastholdelse af historik til understøttelse af fremtidige revisioner. Dette gør organisationen robust overfor udskiftning af medarbejdere og revisionsfirmaer.
Hvad er NSIS standarden?
NSIS står for National Standard for Identiteters Sikringsniveauer. Det er en dansk standard, som bygger på eIDAS forordningen, som sætter en europæisk standard for identitetssikring ved brug af digitale selvbetjeningsløsninger. Standarden har fokus på identitetssikring, autentifikationsmidler, sikkerhed, teknologi, ISO27001 og GDPR. NSIS er centralt, for at vi kan handle og agere sikkert elektronisk på nettet og eIDAS giver mulighed for grænseoverskridende aktiviteter via digitale gateways. Du kan læse mere om NSIS på Digitaliseringsstyrelsens hjemmeside.
Ordliste
- NSIS | National Standard for Identiteters Sikringsniveauer
- eIDAS | Europaparlamentets og rådets forordning Nr 910/2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked.
- RA | Registrerings Autoritet
- Positivlisten | En liste Digitaliseringsstyrelsen fører over løsninger som er anmeldt og vedligeholder status at overholdelse af NSIS standarden.
- Broker | Et login punkt – de fleste kender NemLog-in som en Broker, når de logger ind med MitID til offentlige sider