NSIS er en standard som er gældende i danmark, og som læner sig op ad EU’s eIdeas forordning. Den stiller krav til Tjenester der udstiller elektroniske identiteter, og udmønter sig i at der medsendes det såkaldte LOA. For Unilogin vil det enten være et LOA *lav* eller ”betydelig”.
Læs mere om NSIS his digitaliseringsstyrelsen LINK.
Lokale IdP’er for voksne skal være NSIS godkendt.
For at højne sikkerheden i Unilogin føderationen skal lokale IdP’er NSIS anmeldes. Det betyder, at de lokale IdP’er som har brugere, der har forladt grundskolen skal være NSIS anmeldt til Digitaliseringssytrelsen.
Det er ejerne af de lokale IdP'er som vurderer, hvilket NSIS sikkerhedsniveau der er behov for. Den lokale vurdering skal dog tage udgangspunkt i kravene til NSIS sikringsniveauerne. Anmeldere af IdP’er har ansvaret for hele livscyklus for Id-midlet og vurderer i den forbindelse, hvad der giver et tilstrækkeligt sikkerhedsniveau. Kravene i NSIS dækker den fulde livscyklus for identiteter fra oprettelse til den løbende anvendelse og endelig nedlæggelse. Id-midlets livscyklus er nærmere defineret i NSIS (læs mere på https://digst.dk/it-loesninger/standarder/nsis/), og NSIS indeholder en række krav til IdP’er, som kan inspirere anmelderen af en IdP til, hvad der kan give et tilstrækkeligt sikkerhedsniveau.
At kunne logge på med NISIS niveau betydelig kan opnås på to måder:
- enten ved en anmeldelse på lav, og et såkaldt step-up LINK med anvendelse af nemlogin og erhvervsidentiteter
- eller ved at IdP’en anmeldes på niveau betydelig.
Hvornår skal IdP’erne være anmeldt?
Den officielle tidsfrist var den 1. januar 2023, men da godkendelsesprocessenen er mere krævende administrativt, sker overgangen lidt langsommere.
Det vil rent praktisk være tjenesterne der skal kræve et NISI sikringsniveau. Når de begynder at implementere dette, skal IdP’en være anmeldt.
Bruger bliver ikke slettet
De IdP'er som ikke vælger at blive NSIS godkendt, vil blive fjernet fra Unilogin Brokeren. Der ændres ikke i brugere og der slettes ingen brugere, det er kun IdP'en som fjernes fra Unilogin Brokeren.
Alle brugere kan stadigvæk benytte aftalte tjenester som hidtil via Unilogin IdP.
Anbefaling til NSIS sikringsniveau
Frem mod implementeringen af NSIS sikringsniveauerne skal autentificering med lokale IdP'er være korrekt, men med en lokal vurdering af, hvad dette indebærer. Det er ejerne af de lokale IdP'er som vurderer, hvilket NSIS sikkerhedsniveau der er behov for. Den lokale vurdering skal dog tage udgangspunkt i kravene til NSIS sikringsniveauerne. Anmeldere af IdP’er har ansvaret for hele livscyklus for Id-midlet og vurderer i den forbindelse, hvad der giver et tilstrækkeligt sikkerhedsniveau. Kravene i NSIS dækker den fulde livscyklus for identiteter fra oprettelse til den løbende anvendelse og endelig nedlæggelse. Id-midlets livscyklus er nærmere defineret i NSIS (læs mere på https://digst.dk/it-loesninger/standarder/nsis/), og NSIS indeholder en række krav til IdP’er, som kan inspirere anmelderen af en IdP til, hvad der kan give et tilstrækkeligt sikkerhedsniveau.
Den enkelte Lokal IdP skal selv afgøre, hvilket NSIS sikringsniveau den skal anmeldes på ift. hvilken loginfaktor der er påkrævet. For de fleste tjenester er der kun behov for NSIS Lav (1-faktorlogin).
Der er 3 muligheder man kan vælge ift. NSIS anmeldelse af Lokal IdP:
| Beskrivelse | NSIS anmeldelse |
|---|---|
| Den lokale IdP udelukkende bruges af børn i grundskolen. | Ingen NSIS anmeldelse |
| NSIS Lav er et godt 1-faktorlogin, og vil i de fleste tilfælde skulle bruges til eksisterende tjenester som kræver 1-faktorlogin. | NSIS Lav |
| NSIS Betydelig er en god retningslinje for et godt 2-faktologin. Bruges oftest til tjenester, hvor der udstilles personfølsomme oplysninger. | NSIS Betydelig |
Hvilke IdP’er er ikke omfattet af NSIS?
IdP’er, der kun omfatter børn, vil ikke være omfattet af NSIS, men NSIS bør også i disse tilfælde anvendes som rettesnor for IdP’en i kombination med den tekniske løsning for Unilogin IdP’en, sådan at lokale IdP’er for børn på sigt lægger sig så tæt op af NSIS som muligt. En IdP for børn skal ikke anmeldes til Digitaliseringsstyrelsen, før der evt. er fundet tekniske løsninger, der gør, at kravene til NSIS også kan opfyldes for børn. Indtil da skal IdP’er for børn alene anmeldes til STIL.
Aftale med STIL ift. ny IdP på Unilogin Broker
Hvis I har en IdP som ikke er tilkoblet Unilogin Broker (og at den ønskes tilkoblet), skal den ansvarlige for en IdP, også indgå en aftale med Styrelsen for It og Læring om tilkoblingen. Denne aftale skal være underskrevet af en forvaltningsdirektør for kommunale IdP’er og institutionslederen for IdP’er for selvejende institutioner. I denne aftale skal kommunen eller institutionen forpligte sig til af egen drift straks at meddele Styrelsen for It og Læring, hvis sikringsniveauet ønskes ændret, eller hvis der er en sikkerhedshændelse i forhold til den lokale IdP. Kommunen eller institutionen skal ligeledes være til rådighed for en opfølgende dialog samt afklaring af evt. spørgsmål fra Styrelsen for It og Læring. I kan læse mere om anmeldelse af lokale IdP'er her: Anmeldelse af lokale IdP'er.
Ved sikkerhedshændelse
Hvis en sikkerhedshændelse påvirker brugere, er det kommunens eller institutionens ansvar at informere brugerne om dette, og relevante modforanstaltninger skal træffes som f.eks. spærring af IdP’en mv. I tilfælde af en sikkerhedshændelse i en lokal IdP, hvor Styrelsen for It og Læring vurderer, at det er nødvendigt at afkoble den lokale IdP fra Unilogin Broker for at dæmme op for sikkerhedshændelsen, kan Styrelsen for It og Læring gøre dette. Styrelsen for It og Læring kan desuden i den forbindelse sætte IdP’ens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at dette er mere retvisende. Styrelsen for It og Læring vil dog kun gøre dette, hvis dette er proportionalt med den risiko, der er forbundet med ikke at gøre det. Hvis en lokal IdP afkobles brokeren, vil brugerne kunne anvende Unilogin og NemLog-in, indtil den lokale IdP evt. kan kobles på brokeren igen.
IdP og erhvervsidentiteter
Der kan komme et krav om, at lokale IdP'er med erhvervsidentiteter skal være tilkoblet NemLog-in som lokal IdP. Dvs. at lokale IdP'er med erhvervsidentiteter ikke vil kunne være tilkoblet Unilogin Broker direkte, men skal tilgås via Unilogin Brokers tilkobling til NemLog-in. Indtil der stilles et sådant krav, vil det alene være en anbefaling, at lokale IdP'er tilkobles NemLog-in i stedet for Unilogin Broker.
Hvis ikke der NSIS anmeldes
Hvis der ikke NSIS anmeldes må kun brugere med aktørrollen elev anvende IdP'en. Dette meddelelse STIL ved oprettelse.