Når NemID bliver til MitID, vil det være muligt for private tjenesteudbydere at vælge, hvornår brugeren skal logge ind med hhv. én eller to autentifikationsfaktorer.*
Tre sikringsniveauer i MitID
Det er et grundlæggende designkrav til udviklingen af MitID-løsningen, at den understøtter differentierede sikringsniveauer. I MitID vil der således være tre sikringsniveauer: Lav, Betydelig og Høj. De tre niveauer er defineret af Digitaliseringsstyrelsen i National Standard for Identiteters Sikringsniveauer (NSIS), som er en dansk standard, MitID skal efterleve. En hensigt med de differentierede sikringsniveauer er at give tjenesteudbydere større fleksibilitet med hensyn til, hvordan brugerne kan logge ind på de services, som tjenesteudbyderne tilbyder.
Vælg selv sikringsniveau for dine services
Som tjenesteudbyder vælger du selv, hvilke informationer og services dine brugere må tilgå inden for hver af de tre sikringsniveauer.
NSIS-standarden siger ikke noget om, hvilke services der kræver et givent sikringsniveau. Du har som tjenesteudbyder selv ansvar for at vurdere og vælge det rette sikringsniveau i forhold til gældende lovgivning. Den gældende lovgivning kan være fx GDPR (Persondataforordningen) og eventuelt PSD2 (Betalingstjenestedirektivet), hvis din service inkluderer transaktioner, der er omfattet af PSD2.
Eksempler på brug af de tre sikringsniveauer
Vi har samlet nogle eksempler på situationer og services, hvor du kunne bede dine brugere om at foretage login på forskellige sikringsniveauer.
Sikringsniveau Lav
På dette sikringsniveau kan brugeren nøjes med at anvende én autentifikationsfaktor for at tilgå den pågældende service. Brugeren kan logge ind med sit bruger-id og en kode eller med sit bruger-id og en fysisk enhed fx en MitID nøgleviser.
Eksempler på anvendelse:
- Login på abonnementsordninger (bogklubber, dagblade, medlemsklubber etc.)
- Login for at se saldo i netbank
- Login for at se saldo på Rejsekortet.
Sikringsniveau Betydelig
På dette sikringsniveau skal brugeren anvende mindst to autentifikationsfaktorer, der tilhører to forskellige kategorier ud af følgende:
- noget brugeren ved, fx en kode
- noget brugeren har, fx en nøgleapp eller en nøgleviser
- noget brugeren er, fx fingeraftryk.
Eksempler på anvendelse:
- Login til personhenførbare data, såsom cpr-nummer
- Initiering af forpligtende transaktioner, fx pengeoverførsler
- Køb af varer eller services, der koster mere end 30 EUR jf. PSD2-regulativet.
Sikringsniveau Høj
På dette sikringsniveau skal brugeren også anvende mindst to autentifikationsfaktorer, der tilhører to forskellige kategorier som beskrevet under sikringsniveau Betydelig. Der er desuden yderligere sikkerhedskrav til den fysiske enhed, fx nøgleapp, som udgør den identifikationsfaktor, brugeren er i besiddelse af.
Eksempler på anvendelse:
- Login til sundhedsdata i sygehussektoren
- Login til institutioner i andre EU-lande, som kræver dette sikringsniveau.
Tag stilling til dine services allerede nu
Vi anbefaler, at du allerede nu tager stilling til, hvordan du som tjenesteudbyder vil anvende de forskellige sikringsniveauer. Til hvilke services vil det give mening at benytte sikringsniveau Lav? Og hvilke datatilgange og handlinger kræver et højere sikringsniveau?
Når MitID bliver sat i produktion, er det dig selv som tjenesteudbyder, der skal foretage den vurdering i din løsning.
*En endelig MitID-løsning ligger først fast, når der er valgt leverandør af MitID. Det forventes at ske i marts 2019.
