-
Nyhed Grant Thornton modtager InterForce-skjoldetGrant Thornton fik 22. april InterForce-skjoldet, som blev overrakt til Bestyrelsesformand i Grant Thornton, Michael Winther Rasmussen.
-
Artikel Hvad er en whistleblowerordning?Vi gennemgår, hvad en whisteblowerordning er, hvad ordningens formål er, og hvem der er omfattet af whistleblowerloven.
-
Nyhed Grant Thornton udgiver årsrapport for 2023Grant Thorntons årsrapport for 2023 er udkommet. Læs mere om årets begivenheder, som i høj grad vidner om stor vækst.
-
Nyhed Sådan forbereder du din virksomhed på NIS2-direktivetNIS2-direktivet skal være implementeret i oktober 2024. Vi ser nærmere på, hvilken betydning det har for din virksomhed, og hvordan du bedst forbereder du dig.
Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen.
Leverandører til udbydere (f.eks. identitetsprovidere – IdP) er ligeledes en del af den compliance-fødekæde, som er en del af ansøgningen og formalia i forhold til Digitaliseringsstyrelsen.
Tilladelsen opnås i kraft af en række formelle procedurer og politikker, tekniske og organisatoriske krav, som der løbende føres bevis for i virksomheden. Alt dette munder ud i, at en ekstern revisor gennemgår processerne mhp. at afgive erklæring herom.
Særligt kommuner, stat, finansielle virksomheder samt øvrige, der leverer til disse typer af organisationer, er i betragtning til at skulle være i overensstemmelse med dele af NSIS.
I kraft af, at vi som revisorer auditerer mange af disse organisationer, har vi også kendskab til formkrav og indhold til hvad der skal til for at blive godkendt.
Processen helt overordnet for NSIS godkendelser
En identifikationsløsning (IdP), eller en broker-løsning på niveauerne Betydelig og Høj, kan først benyttes, når Digitaliseringsstyrelsen har godkendt løsningen. Dette gør de som nævnt på baggrund af en revisorerklæring, der bekræfter en lang række implementerede politikker, procedurer, arbejdsrutiner og tekniske forhold.
Uanset om organisationen implementerer en teknisk løsning hos sig selv eller remote/hostet, skal arbejdsprocesserne beskrives i en række politikker og procedurer. Det er klart, at hvis en løsning drives hostet hos en underleverandør, vil den tekniske beskrivelse ikke være en umiddelbar del af organisationens egen beskrivelse, men formodes være indeholdt i den pågældende underleverandørs selvstændige revisorerklæring.
Vi ser de bedste resultater med arbejdet generelt, når hele NSIS-projektet deles op i tre faser:
- Foranalyse og afdækning af mangler set i forhold til krav (NSIS, Digitaliseringsstyrelsens vejledninger og bekendtgørelser, revisionskrav mv.)
- Udarbejdelse af politikker, procedurer og implementering af tekniske løsninger
- Revision og afgivelse af erklæring mhp. godkendelse hos Digitaliseringsstyrelsen.
Bemærk, at det er relevant at inddrage revisor eller anden rådgiver meget tidligt i processen for at sikre, at kravene, herunder specielt revisionskravene, tolkes korrekt i den konkrete situation, så ubehagelige overraskelser ikke først konstateres og afdækkes i ovennævnte fase 3.