I medfør af § 5, stk. 1, og § 10, § 15, stk. 2, § 16 og § 18, stk. 2, i lov nr. 783 af 4. maj 2021 om MitID og NemLog-in fastsættes:
Bekendtgørelsen finder anvendelse på Digitaliseringsstyrelsens tilrådighedsstillelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer, der anvender MitID-løsningen og NemLog-in i rollen som tjenesteudbyder eller brugerorganisation.
Stk. 2. Digitaliseringsstyrelsen har ved konkurrenceudsatte aftaler udpeget private juridiske enheder til, på vegne af Digitaliseringsstyrelsen, at varetage visse opgaver i medfør af § 5, stk. 1 og § 10, i lov om MitID og NemLog-in, i relation til deres rolle som leverandører af MitID-løsningen og NemLog-in.
Digitaliseringsstyrelsen skal, efter henvendelse fra offentlige myndigheder eller offentligretlige organer om anvendelse af MitID-løsningen, foretage de nødvendige skridt for at stille MitID-løsningen til rådighed.
Stk. 2. Digitaliseringsstyrelsen skal stille MitID-løsningen til rådighed gennem NemLog-in som MitID Broker.
Stk. 3. Digitaliseringsstyrelsen skal sikre, at MitID-løsningen indeholder de i § 4 anførte funktioner.
Digitaliseringsstyrelsen skal, efter henvendelse fra offentlige myndigheder eller offentligretlige organer om anvendelse af serviceområderne Login og autentifikation, Digital repræsentation eller Digital signering, foretage de nødvendige skridt for at stille serviceområderne til rådighed.
Stk. 2. Digitaliseringsstyrelsen skal vejlede offentlige myndigheder og offentligretlige organer om de tekniske forhold, der er nødvendige for tilslutning som tjenesteudbyder til serviceområderne, jf. stk. 1.
Stk. 3. Digitaliseringsstyrelsen skal sikre, at serviceområderne indeholder de i §§ 5 – 8 anførte funktioner.
Stk. 4. Digitaliseringsstyrelsen skal, efter henvendelse fra offentlige myndigheder eller offentligretlige organer om anvendelse af serviceområdet Erhvervsadministration, foretage de nødvendige skridt for at gennemføre oprettelsen som brugerorganisation.
Stk. 5. Digitaliseringsstyrelsen skal vejlede offentlige myndigheder og offentligretlige organer om de nødvendige tekniske forhold vedrørende tilslutning til serviceområdet Erhvervsadministration og oprettelse som brugerorganisation. Tilslutning til serviceområdet Erhvervsadministration forudsætter overholdelse af regler, som fastsættes i medfør § 9, stk. 4, i lov om MitID og NemLog-in.
Offentlige myndigheder og offentligretlige organer skal anvende NemLog-in som MitID Broker, når der fra deres digitale selvbetjeningsløsning udføres en myndighedsopgave, og der kræves sikker autentifikation for adgang til den pågældende digitale selvbetjeningsløsning.
Stk. 2. Digitaliseringsstyrelsen skal muliggøre offentlige myndigheders og offentligretlige organers tilslutning til NemLog-in, jf. stk. 1. Tilslutningen kan ske gennem en eller flere leverandører af NSIS-anmeldte brokere, såfremt disse leverandører har indgået en tilslutningsaftale, eller en aftale afledt heraf, med Digitaliseringsstyrelsen. Offentlige myndigheders og offentligretlige organers aftaler med andre NSIS-anmeldte brokere end NemLog-in skal indgås under iagttagelse af gældende regler, herunder udbudsloven.
Stk. 3. MitID-løsningen skal muliggøre adgang til offentlige myndigheders eller offentligretlige organers digitale selvbetjeningsløsninger ved autentifikation på de sikringsniveauer som anført i NSIS.
Serviceområdet Login og autentifikation skal indeholde en logintjeneste, der autentificerer privatpersoner og erhvervsbrugere med digitale identiteter fra nationale digitale identitetsgaranter, og digitale identiteter leveret af NSIS-anmeldte lokale identitetsgaranter. Anvendelse af logintjenesten vil være nærmere specificeret i de tekniske standarder og politikker, som udstedes i medfør af § 12.
Stk. 2. I autentifikationssvaret fra NemLog-in oplyses om det sikringsniveau, der er opnået for den gennemførte autentifikation af privatpersonen eller erhvervsbrugeren. Krav til sikringsniveau fastsættes i tekniske standarder, som udstedes i medfør af § 12, stk. 4.
Stk. 3. Ved login skal serviceområdet sikre, at den anvendte identitet og det anvendte identifikationsmiddel ikke er suspenderet eller spærret.
Stk. 4. Det skal i serviceområdet være muligt for offentlige myndigheder og offentligretlige organer, når de udfører en myndighedsopgave, at anvende funktionen Single Sign On. Funktionen Single Sign On muliggør, at privatpersoner og erhvervsbrugere, på baggrund af én autentifikation i NemLog-in, kan navigere fra en privat digital selvbetjeningsløsning til en offentlig digital selvbetjeningsløsning og mellem offentlige digitale selvbetjeningsløsninger uden fornyet autentifikation, såfremt de efterfølgende selvbetjeningsløsninger ikke efterspørger et højere sikringsniveau, end det allerede anvendte. De nærmere betingelser for anvendelse af funktionen Single Sign On vil fremgå af de tekniske standarder og politikker, som udstedes i medfør af § 12.
Stk. 5. Serviceområdet Login og autentifikation indeholder en tjeneste for systembrugere, hvorved forstås et it-system, når det skal autentificere sig sikkert over for et andet it-system. Offentlige myndigheder og offentligretlige organer kan anvende serviceområdet Login og autentifikation til deres systembrugere. Anvendelse af serviceområdet Login og autentifikation i forhold til systembrugere vil fremgå af de tekniske standarder og politikker, som udstedes i medfør af § 12.
Serviceområdet Digital repræsentation skal indeholde en repræsentationstjeneste, som kan anvendes af offentlige myndigheder eller offentligretlige organer i deres digitale selvbetjeningsløsninger. Serviceområdet Digital repræsentation muliggør, at privatpersoner og erhvervsbrugere kan oprette et digitalt repræsentationsforhold til anvendelse i offentlige myndigheders eller offentligretlige organers tilsluttede digitale selvbetjeningsløsninger, som nærmere anført i § 8, stk. 2, nr. 2, i lov om MitID og NemLog-in.
Stk. 2. Det er en forudsætning for anvendelse af serviceområdet Digital repræsentation, at offentlige myndigheder og offentligretlige organer udfører en myndighedsopgave fra deres digitale selvbetjeningsløsning, hvortil der kan oprettes partsrepræsentation, jf. forvaltningsloven, eller hvor værger kan repræsentere en privatperson under et værgemål, såfremt værgemålet ikke er begrænset, jf. § 5, stk. 3, i værgemålsloven.
Stk. 3. Offentlige myndigheder og offentligretlige organer som er tilsluttet serviceområderne vurderer gyldigheden og omfanget af fuldmagtsanmodninger og et oprettet digitalt repræsentationsforhold inden for deres myndighedsområder.
Stk. 4. Digitaliseringsstyrelsen varetager den tekniske tilknytning af digitale repræsentationsforhold i følgende situationer:
Stk. 5. Digitaliseringsstyrelsen kan suspendere den tekniske adgang til et repræsentationsforhold, når der sås tvivl om repræsentationsforholdets gyldighed, fx ved indsigelser mod et oprettet repræsentationsforhold. Suspensionen er en midlertidig faktisk forvaltningsakt og ophæves, når den offentlige myndighed eller det offentligretlige organ, inden for hvis område repræsentationsforholdet gælder, har afgjort gyldigheden af repræsentationsforholdet.
Stk. 6. Digitaliseringsstyrelsen og den af Digitaliseringsstyrelsen udpegede supportorganisation træffer ikke afgørelse om gyldigheden af et repræsentationsforhold. Digitaliseringsstyrelsen og den af Digitaliseringsstyrelsen udpegede supportorganisation oversender fuldmagtsanmodninger, der giver anledning til tvivl om gyldigheden af repræsentationsforhold og indsigelser over for oprettede fuldmagtsforhold, til sagsbehandling hos de tilsluttede offentlige myndigheder og offentligretlige organer, som det konkrete fuldmagtsforhold vedrører, jf. stk. 3.
Serviceområdet Digital signering skal indeholde en signeringstjeneste, hvor privatpersoner og erhvervsbrugere kan afgive elektroniske signaturer og elektroniske segl baseret på certifikater.
Stk. 2. Offentlige myndigheder og offentligretlige organer har mulighed for at integrere til to forskellige signeringstjenester i serviceområdet Digital signering i NemLog-in:
En signeringstjeneste baseret på offentlige certifikater til elektroniske services (OCES-certifikat).
En signeringstjeneste, hvor privatpersoner og erhvervsbrugere på baggrund af kvalificerede certifikater udstedt af den danske stat, Digitaliseringsstyrelsens certificeringscenter, kan afgive kvalificerede elektroniske signaturer, kvalificerede tidsstempler og kvalificerede elektroniske segl i de offentlige myndigheders eller de offentligretlige organers digitale selvbetjeningsløsninger.
Stk. 3. Signeringstjenesten omfattet af stk. 2, nr. 2, skal registrere og opbevare oplysninger om det præcise tidspunkt for afgivelse af elektronisk signatur eller elektronisk segl og skal indeholde en kvalificeret valideringstjeneste, som privatpersoner og erhvervsbrugere kan benytte til validering af signaturer og segl. Signeringstjenestens signaturer og segl skal være kvalificerede som fastlagt i eIDAS-forordningen, og skal således overholde de til enhver tid gældende regler om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked.
Serviceområdet Erhvervsadministration skal indeholde funktionalitet til oprettelse af erhvervsidentiteter og tilhørende elektroniske identifikationsmidler, som offentlige myndigheder og offentligretlige organer efter oprettelse som brugerorganisation kan anvende, jf.§ 8, stk. 3, i lov om MitID og NemLog-in.
Stk. 2. Offentlige myndigheder og offentligretlige organer skal som brugerorganisation have mulighed for at anvende lokale erhvervsidentiteter og lokale elektroniske identifikationsmidler gennem en NSIS-anmeldt lokal identitetsløsning, forudsat at regler, som fastsættes i medfør § 9, stk. 4 af lov om MitID og NemLog-in, overholdes.
Stk. 3. Det skal i serviceområdet være muligt for offentlige myndigheder og offentligretlige organer at få udstedt OCES-certifikater til afgivelse af avancerede elektroniske signaturer og udstedt kvalificerede certifikater til afgivelse af kvalificerede elektroniske signaturer og kvalificerede elektroniske segl. Anvendelsesmuligheder for avancerede elektroniske signaturer er nærmere beskrevet i tekniske vilkår og politiker, som udstedes i medfør af § 12.
Stk. 4. Det skal være muligt for offentlige myndigheder og offentligretlige organer som brugerorganisationer at tildele rettigheder til erhvervsbrugere, til brug for anvendelse i digitale selvbetjeningsløsninger hos offentlige myndigheder og offentligretlige organer.
Digitaliseringsstyrelsen skal sikre en effektiv drift af MitID-løsningen og serviceområderne i NemLog-in med en høj grad af tilgængelighed og korte svartider, der afspejler, at MitID-løsningen og NemLog-in udgør samfundskritisk infrastruktur, jf. § 1 i lov om MitID og NemLog-in.
Stk. 2. Når Digitaliseringsstyrelsen har kendskab til tekniske forhold, som kan forstyrre den stabile drift, skal Digitaliseringsstyrelsen meddele offentlige myndigheder og offentligretlige organer herom, jf. de tekniske vilkår og politikker som udstedes i medfør af § 12.
Digitaliseringsstyrelsen skal yde teknisk support til offentlige myndigheder og offentligretlige organer, der anvender serviceområderne i NemLog-in som tjenesteudbydere.
Stk. 2. Supporten, jf. stk. 1, skal ydes inden for almindelig kontortid, og henvendelser skal besvares inden for rimelig tid.
Stk. 3. Digitaliseringsstyrelsen skal sikre, at offentlige myndigheder og offentligretlige organer har adgang til support i serviceområdet Erhvervsadministration i NemLog-in som brugerorganisationer.
Stk. 4. Supporten, jf. stk. 3, skal ydes inden for de servicemål, der følger af den konkurrenceudsatte aftale, jf. § 1, stk. 2. Digitaliseringsstyrelsen skal offentliggøre de til enhver tid gældende servicemål på www.nemlog-in.dk.
Vederlag for tilslutning til og anvendelse af serviceområdet Login og autentifikation i NemLog-in, jf. § 5, herunder vederlaget for anvendelse af MitID-løsningen, jf. § 2, stk. 2, samt support for anvendelse af serviceområdet, er finansieret af fællesoffentlig finansiering, som omfatter offentlige myndigheder og offentligretlige organer, når de udfører en myndighedsopgave fra deres digitale selvbetjeningsløsning eller fra deres interne it-system, såfremt det interne it-system anvendes understøttende i forhold til en myndighedsopgave.
Stk. 2. Tilslutning til og anvendelse af serviceområdet Digital repræsentation, jf. § 6, samt support for anvendelse af serviceområdet, er finansieret af fællesoffentlig finansiering, som omfatter offentlige myndigheder og offentligretlige organer, når de udfører en myndighedsopgave fra deres digitale selvbetjeningsløsning.
Stk. 3. Tilslutning til og anvendelse af serviceområdet Digital signering, jf. § 7, samt support for anvendelse af serviceområdet, er finansieret af fællesoffentlig finansiering, som omfatter offentligretlige myndigheder og offentligretlige organer, når de udfører en myndighedsopgave fra deres digitale selvbetjeningsløsning.
Stk. 4. Offentlige myndigheder og offentligretlige organer, der ikke er omfattet af stk. 1 - 3, skal betale de priser, som leverandørerne af MitID-løsningen og serviceområderne i NemLog-in er berettiget til at opkræve i henhold til de konkurrenceudsatte aftaler mellem Digitaliseringsstyrelsen og leverandøren, tillagt et driftsbidrag på 0,01 kr. pr. login-transaktion, samt et driftsbidrag på 0,32 kr. pr. signeringstransaktion til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen skal på www.NemLog-in.dk offentliggøre de til enhver tid gældende priser, som leverandørerne af MitID-løsningen og serviceområderne i NemLog-in er berettiget til at opkræve.
Stk. 5. Offentligretlige organer, der ikke er omfattet af stk. 1 - 3, skal betale et udviklingsbidrag til dækning af udviklingsomkostningerne for MitID-løsningen og NemLog-in. Udviklingsbidraget fastsættes til:
For autentifikationsanmodninger udgør udviklingsbidraget pr. anmodning 0,10 kr., som opkræves fra 1. juli 2022 og maksimum 4 år herefter.
For logintransaktioner udgør udviklingsbidraget pr. transaktion 0,01 kr., som opkræves i maksimum 4 år.
Digitaliseringsstyrelsen skal udstede tekniske standarder og politikker for anvendelse af MitID-løsningen og serviceområderne i NemLog-in, der sikrer, at anvendelsen sker i henhold til den til enhver tid gældende EU-retlige regulering og i overensstemmelse med de konkurrenceudsatte aftaler om MitID-løsningen og serviceområderne i NemLog-in. Tekniske standarder og politikker findes på www.NemLog-in.dk.
Stk. 2. Offentlige myndigheder og offentligretlige organer skal ved tilslutning af digitale selvbetjeningsløsninger til serviceområderne i NemLog-in og efterfølgende anvendelse heraf overholde de til enhver tid gældende betingelser for anvendelse af MitID-løsningen og serviceområderne i NemLog-in, som fastsættes i tekniske standarder og politikker udstedt af Digitaliseringsstyrelsen, jf. stk. 1.
Stk. 3. Offentlige myndigheder og offentligretlige organer må som tjenesteudbydere alene benytte modtagne autentifikationer fra NemLog-in til autentifikation af privatpersoner og erhvervsbrugere i egne selvbetjeningsløsninger.
Stk. 4. Offentlige myndigheder og offentligretlige organer skal fastsætte krav til sikringsniveauet for autentifikation på baggrund af en vurdering af egne selvbetjeningsløsninger. Forslag til procedure fremgår af de tekniske standarder og politikker, jf. stk. 1.
Stk. 5. Offentlige myndigheder og offentligretlige organer skal i forbindelse med tilslutning til MitID-løsningen og serviceområderne i NemLog-in selv vurdere, om deres anvendelse af MitID-løsningen og serviceområderne i NemLog-in er til brug for udførelse af myndighedsopgaver for at sikre korrekt betaling, jf. § 11.
Digitaliseringsstyrelsen kan som en del af sin tilsynsopgave udføre stikprøvevis kontrol af, om der foretages korrekt tilslutning til MitID-løsningen og serviceområderne i NemLog-in, herunder om der foretages korrekt betaling, jf. § 12, stk. 5. Offentlige myndigheder og offentligretlige organer skal imødekomme Digitaliseringsstyrelsens eventuelle anmodninger om supplerende oplysninger i forbindelse med tilsynet.
Kendetegnene MitID og NemLog-in, herunder den visuelle identitet navn, logo, domænenavne og de designkomponenter, der stilles til rådighed for offentlige myndigheder og offentligretlige organer må alene anvendes i forbindelse med autentifikation af MitID og anvendelsen af serviceområderne i NemLog-in.
Stk. 2. Offentlige myndigheder og offentligretlige organer har en brugsret til MitID’s kendetegn og er forpligtet til at anvende det til enhver tid gældende MitID’s kendetegn ved autentifikation via MitID-løsningen og markedsføring heraf.
Offentlige myndigheder og offentligretlige organer skal straks underrette relevante privatpersoner og erhvervsbrugere samt underrette henholdsvis Digitaliseringsstyrelsen og Center for Cybersikkerhed ved mistanke om it-sikkerhedsbrud, jf. stk. 2.
Stk. 2. Et it-sikkerhedsbrud er en hændelse, som negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester, og derved udgør en sikkerhedsmæssig brist eller risiko for brist med konsekvenser for driften af NemLog-in og MitID-løsningen.
Stk. 3. I forbindelse med generelle trusler eller angreb mod NemLog-in og tilknyttede sikkerhedsinfrastrukturer er offentlige myndigheder og offentligretlige organer forpligtet til i rimeligt omfang at bidrage til fejlsøgning og håndtering, også selvom den offentlige myndighed eller det offentligretlige organ ikke er omfattet af den pågældende trussel eller et konkret angreb.
Stk. 4. Offentlige myndigheder og offentligretlige organer skal varsle Digitaliseringsstyrelsen ved tilslutning af en digital selvbetjeningsløsning med stort kapacitetsforbrug eller ved væsentlig tilvækst i en tilsluttet selvbetjeningsløsnings kapacitetsforbrug, som nærmere beskrevet i de tekniske standarder og politikker, der udstedes i medfør af § 12.
Stk. 5. Digitaliseringsstyrelsen kan teknisk begrænse offentlige myndigheders og offentligretlige organers ressourcetræk på NemLog-in, såfremt ressourcetrækket negativt påvirker den samlede kapacitet i NemLog-in og den offentlige myndighed eller offentligretlige organ ikke inden rimelig tid varsler Digitaliseringsstyrelsen herom, jf. stk. 4.
Stk. 6. Teknisk begrænsning af offentlige myndigheders og offentligretlige organers ressourcetræk kan uden varsel foretages af Digitaliseringsstyrelsen af hensyn til opretholdelse af stabil drift af NemLog-in.
Offentlige myndigheder og offentligretlige organer, som ophører med at have en digital selvbetjeningsløsning, skal frakoble selvbetjeningsløsningen fra serviceområderne i NemLog-in. Digitaliseringsstyrelsen skal vejlede om, hvordan frakoblingen foretages.
Stk. 2. Offentlige myndigheder og offentligretlige organer kan af Digitaliseringsstyrelsen suspenderes eller frakobles fra MitID-løsningen og serviceområderne i NemLog-in, hvis der er risiko for, at deres digitale selvbetjeningsløsning eller deres anvendelse af MitID-løsningen eller serviceområderne i NemLog-in udgør et sikkerhedsbrud eller en sikkerhedsrisiko for privatpersoner, erhvervsbrugere eller for MitID-løsningen eller NemLog-in som helhed.
Stk. 3. Digitaliseringsstyrelsen skal give et rimeligt og så vidt muligt 14 dages varsel til offentlige myndigheder eller offentligretlige organer med henblik på, at det i stk. 2 anførte forhold kan bringes til ophør. Hvis forholdet ikke bringes til ophør inden udløbet af Digitaliseringsstyrelsens varsel, skal Digitaliseringsstyrelsen sikre, at der sker en frakobling af den pågældende myndighed eller det offentligretlige organ fra MitID-løsningen og serviceområderne i NemLog-in.
Stk. 4. Offentlige myndigheder og offentligretlige organer skal ved frakobling fjerne enhver henvisning til kendetegnene MitID og NemLog-in og ophøre med brugen heraf.
Bekendtgørelsen træder i kraft den 28. juni 2022, jf. dog stk. 2.
Stk. 2. § 3, stk. 4-5, og §§ 7 og 8 træder i kraft den 15. september 2022.
/ Tanja Franck
For signeringstransaktioner udgør udviklingsbidraget pr. transaktion 0,54 kr., som opkræves fra idriftsættelse af Serviceområdet Digital signering, jf. § 7, og maksimum 4 år herefter.
Stk. 6. Offentligretlige organer skal ved tilslutning af deres digitale selvbetjeningsløsning til serviceområderne i NemLog-in oplyse, om der fra selvbetjeningsløsningen udføres opgaver, som ikke udgør myndighedsopgaver, således at der kan sikres korrekt opkrævning for tilslutning og anvendelse af serviceområderne i NemLog-in, jf. stk. 4-5.
Stk. 7. Offentlige myndigheder skal ved tilslutning af deres digitale selvbetjeningsløsning til serviceområderne i NemLog-in oplyse, om der fra selvbetjeningsløsningen udføres opgaver, som ikke udgør myndighedsopgaver, således at der kan sikres korrekt opkrævning for tilslutning og anvendelse af serviceområderne i NemLog-in, jf. stk. 4. Offentlige myndigheder opkræves ikke udviklingsbidrag, jf. stk. 5, men skal sikre, at anvendelsen af serviceområderne i NemLog-in sker i overensstemmelse med EU-statsstøttereglerne.
Stk. 8. Offentlige myndigheder og offentligretlige organers tilslutning som brugerorganisation, oprettelse af op til tre erhvervsbrugere og anvendelse af serviceområdet Erhvervsadministration, jf. § 8, er finansieret af fællesoffentlig finansiering. For følgende ydelser opkræves særskilt vederlag:
Tilslutning af mere end tre erhvervsbrugere udgør pr. erhvervsbruger 20 kr.
Anskaffelse af certifikater, jf. § 8, stk. 3 udgør pr. certifikat 20 kr.
Oprettelse af aftale om kvalificerede certifikater udgør pr. aftale 900 kr.
Stk. 9. Offentlige myndigheder og offentligretlige organer kan tilkøbe support til serviceområdet Erhvervsadministration til de priser, som leverandøren af serviceområdet er berettiget til at opkræve i henhold til den mellem Digitaliseringsstyrelsen og leverandøren konkurrenceudsatte aftale. Digitaliseringsstyrelsen skal på www.NemLog-in.dk offentliggøre de til enhver tid gældende priser for support.
Stk. 10. Offentlige myndigheder og offentligretlige organer kan i serviceområdet Erhvervsadministration tilkøbe identifikationsmidler til erhvervsbrugere til autentifikation med MitID til de priser, som leverandøren af MitID-løsningen er berettiget til at opkræve i henhold til den mellem Digitaliseringsstyrelsen og leverandøren konkurrenceudsatte aftale. Digitaliseringsstyrelsen skal på www.NemLog-in.dk offentliggøre de til enhver tid gældende priser for identifikationsmidler.
Stk. 11. Alle vederlag angivet i stk. 1-9, er eksklusive moms.
