Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen.

Leverandører til udbydere (f.eks. identitetsprovidere – IdP) er ligeledes en del af den compliance-fødekæde, som er en del af ansøgningen og formalia i forhold til Digitaliseringsstyrelsen.

Tilladelsen opnås i kraft af en række formelle procedurer og politikker, tekniske og organisatoriske krav, som der løbende føres bevis for i virksomheden. Alt dette munder ud i, at en ekstern revisor gennemgår processerne mhp. at afgive erklæring herom.

Særligt kommuner, stat, finansielle virksomheder samt øvrige, der leverer til disse typer af organisationer, er i betragtning til at skulle være i overensstemmelse med dele af NSIS.

I kraft af, at vi som revisorer auditerer mange af disse organisationer, har vi også kendskab til formkrav og indhold til hvad der skal til for at blive godkendt.

 

Processen helt overordnet for NSIS godkendelser

En identifikationsløsning (IdP), eller en broker-løsning på niveauerne Betydelig og Høj, kan først benyttes, når Digitaliseringsstyrelsen har godkendt løsningen. Dette gør de som nævnt på baggrund af en revisorerklæring, der bekræfter en lang række implementerede politikker, procedurer, arbejdsrutiner og tekniske forhold.

Uanset om organisationen implementerer en teknisk løsning hos sig selv eller remote/hostet, skal arbejdsprocesserne beskrives i en række politikker og procedurer. Det er klart, at hvis en løsning drives hostet hos en underleverandør, vil den tekniske beskrivelse ikke være en umiddelbar del af organisationens egen beskrivelse, men formodes være indeholdt i den pågældende underleverandørs selvstændige revisorerklæring.

Vi ser de bedste resultater med arbejdet generelt, når hele NSIS-projektet deles op i tre faser:

  • Foranalyse og afdækning af mangler set i forhold til krav (NSIS, Digitaliseringsstyrelsens vejledninger og bekendtgørelser, revisionskrav mv.)
  • Udarbejdelse af politikker, procedurer og implementering af tekniske løsninger
  • Revision og afgivelse af erklæring mhp. godkendelse hos Digitaliseringsstyrelsen.

Bemærk, at det er relevant at inddrage revisor eller anden rådgiver meget tidligt i processen for at sikre, at kravene, herunder specielt revisionskravene, tolkes korrekt i den konkrete situation, så ubehagelige overraskelser ikke først konstateres og afdækkes i ovennævnte fase 3.

Kontakt vores eksperter i IT revision

Martin Brogaard Nielsen

Martin Brogaard Nielsen

Partner | Leder af IT-risikostyring,...
København
Vis profil
Andreas Moos

Andreas Moos

Partner | IT-risikostyring, revision &...
København
Vis profil

    Andre ydelser:

    NIS2 – rådgivning om implementering

    It due diligence

    Praktisk IT-sikkerhedsvurdering

    ISO 27001/2 og ISO 27701

    NIS2 – rådgivning om implementering

    Praktisk IT-sikkerhedsvurdering

    It due diligence

    ISO 27001/2 og ISO 27701

    Relaterede artikler:

    View more

    Et klik kan koste dyrt: Derfor skal du og Jytte trænes bedre

    IT-risikostyring, revision & rådgivning

    Et enkelt klik kan føre til alvorlige databrud. Læs, hvordan adgangsstyring, awareness-træning og overvågning styrker virksomhedens cybersikkerhed.

    4 min read | 17 dec. 2025
      View more