Registreringsenhedens (RA’ens) opgaver omfatter registrering og indrullering af brugere i MitID løsningen, herunder udstedelse af identifikationsmidler og tilhørende support.
Krav
Registreringsenheden skal etablere og dokumentere procedurer, der sikrer, at registreringsenhedens opgaver varetages i overensstemmelse med de til enhver tid gældende RA-arbejdsgangsbeskrivelser. Endvidere skal RA’en overholde en række organisatoriske og tekniske sikkerhedskrav, som indgår som del af RA-aftalen, der indgås mellem RA’en og Nets DanID A/S.
Overholder RA’en ikke kravene, kan det medføre, at RA’en kan få frataget sin mulighed for at være RA.
Krav til styring af informationssikkerheden
RA’en skal overholde en række krav til styring af informationssikkerheden, hvilket bl.a. omfatter følgende:
- RA’en skal implementere et rammeværk for styring af informationssikkerheden, der efterlever principperne i ISO 27001 eller tilsvarende standard for styring af informationssikkerheden.
- Ledelsessystemet for informationssikkerheden skal dække RA’ens udførelse af RA-opgaven. RA’en skal kunne dokumentere efterlevelse af ledelsessystemet for informationssikkerhed.
- RA’en skal sikre, at RA’en har implementeret risikostyring med henblik på at sikre, at der foretages løbende risikovurdering af egen organisation, eget it-miljø og egne fysiske lokationer, som dækker udførelsen af RA-opgaven. Derudover skal der være tilstrækkeligt dokumenteret risikohåndtering med henblik på at sikre, at sikkerhedsrisici er håndteret.
- RA’en skal løbende vedligeholde og tilpasse sit ledelsessystem for informationssikkerhed baseret på RA’ens løbende risikovurderinger og evaluering af kontroller.
- RA’en skal sikre, at RA’en har implementeret informationssikkerhedspolitik(ker), som foreskriver niveauet for disse sikkerhedsforanstaltninger i overensstemmelse med de angivne sikkerhedskrav. RA’en skal regelmæssigt foretage opfølgning på overholdelsen af informationssikkerhedspolitik(ker), bl.a. i form af it-revision, gennemførelse af sikkerhedstest af organisatoriske og tekniske kontroller og egne interne kontroller.
- Hvis RA’en anvender administrations-API’et til at udføre RA-opgaven, er der en række yderligere sikkerhedskrav, der skal opfyldes, herunder i forhold til behandling af data, dokumentation og information i egne it-systemer.
Disse sikkerhedskrav er specificeret yderligere i de underliggende juridiske aftaledokumenter.
Tekniske sikkerhedskrav, herunder systemkrav
RA’erne skal overholde en række tekniske sikkerhedskrav, herunder systemkrav, hvilket bl.a. omfatter føl-gende:
- RA’en anvender MitID løsningen på sit eget it-miljø til at udføre opgaver i henhold til denne RA-aftale. Dette stilles ikke til rådighed af Leverandøren. RA’ens eget it-miljø og den enkelte pc-arbejdsplads, som anvendes til udførelse af RA-opgaven, skal opdateres og konfigureres med nødvendigt sikkerhedssoftware, og RA’en er ansvarlig for løbende opdatering af software, herunder opdatering af sikkerhedssoftware.
- RA’en er ansvarlig for løbende at kontrollere, at RA’ens it-systemer og -miljø er tilstrækkeligt opdateret med seneste software- og hardware-opdateringer og beskyttet tilstrækkeligt mod angreb.
- Såfremt RA’en anvender egne it-systemer til at tilgå administrations-API’et, skal RA’en sikre, at it-systemerne er tilstrækkeligt beskyttet mod uautoriseret adgang og kompromittering.
- RA’en skal have implementeret de tekniske sikkerhedsforanstaltninger og procedurer med henblik på at lave sikker log-in, som er fastsat af Leverandøren, på RA-portalen med de PC’er/arbejdsstationer, der benyttes til at tilgå RA-portalen og RA’ens it-systemer, som anvendes i forbindelse med RA-opgaven. RA’en er ansvarlig for at sikre adgangsstyring og kontrol til RA-portalen og RA’ens egne it-systemer, som anvendes i forbindelse med RA-opgaven, således at kun RA’ens medarbejdere med et arbejdsmæssigt behov har adgang hertil.
- RA’en skal implementere tekniske sikkerhedsforanstaltninger og -procedurer, som er fastsat af Leverandøren, med henblik på at sikre, at der opretholdes et sikkerhedsniveau tilsvarende intern adgang ved anvendelse af fjernadgang i forbindelse med behandling af personoplysninger som vedrører RA-opgaven. Herunder skal RA’en benytte VPN i forbindelse med fjernadgang til RA-portalen og RA’ens egne it-systemer ved anvendelse af administrations-API’et, der sikrer en tilstrækkelig beskyttelse mod uautoriseret aflytning af data i form af stærk kryptering.
De nærmere tekniske sikkerhedskrav er specificeret yderligere i de underliggende juridiske aftaledokumenter.
Oprettelsesproces
Kontakt Nets DanID A/S på e-mailadressen MitID-RA-audit@nets.eu for at starte RA-oprettelsesprocessen.
Nets DanID A/S vil herefter inden for få dage tage kontakt til dig med henblik på at indgå en RA-aftale.
Efter aftalen er indgået og underskrevet af begge parter, vil du modtage en RA-startpakke.
Startpakken indeholder bl.a. en beskrivelse af oprettelsesprocessen for den første RA-administrator i organisationen. Medarbejderen, der tildeles RA-administratorrettigheder, har pligt til at gennemgå MitID RA-superbrugeruddannelsen samt følge øvrige instrukser og krav, hvilket er beskrevet nærmere i startpakken.
RA-administratoren kan nu oprette nye RA-superbrugere og RA-medarbejdere under hensyntagen til de enhver tid gældende juridiske aftalekrav.