BankID kan miste godkjenning på høyeste sikkerhetsnivå

For at BankID skal være godkjent på det høyeste sikkerhetsnivået kreves det at kodebrikkene utleveres ved fysisk oppmøte og kontroll av legitimasjon.  

– BankID har hatt avvik knyttet til utsendelse av kodebrikken over flere år, og det er deres ansvar å passe på at de følger regelverket. Nkom har over lang tid informert og veiledet aktørene slik at de forstår hva de må utbedre for å være i tråd med lovverket. Likevel ser vi at avviket fortsatt ikke er lukket, og da varsler vi at de kan miste godkjenningen sin for det høyeste sikkerhetsnivået, sier sikkerhetsdirektør i Nkom, Svein Sundfør Scheie. 

For å beholde godkjenningen på nivå høyt må BankID dokumentere hvordan de skal oppfylle regelverket for elektronisk identifikasjon (eID). eID i Norge deles inn i nivåene lavt, betydelig og høyt. De fleste tjenester bruker nivå «betydelig». Likevel krever noen offentlige tjenester sikkerhetsnivå “høyt”, som for eksempel deler av helsetjenesten. 

– BankID er en trygg løsning for mange formål, men hvis tjenesten skal brukes på det høyeste sikkerhetsnivået må kravene i regelverket følges, sier Scheie. 

Fire uker til å dokumentere løsninger 

Bankene har nå fire uker på seg til å dokumentere at de tilfredsstiller kravet til sikkerhetsnivå “høyt”. Dersom det ikke skjer, vil BankID tas av listen over godkjente eID for det høyeste sikkerhetsnivået. Et eventuelt vedtak kan påklages til Digitaliserings- og forvaltningsdepartementet. 

– Dersom BankID mister godkjenningen på nivå «høyt», må virksomheter som krever dette nivået enten bruke eID på nivå «betydelig» eller velge andre godkjente løsninger for det høyeste sikkerhetsnivået, sier Scheie. 

Tilsyn med Stø 

Nkom varsler nå også et tilsyn med selskapet Stø, som drifter dagens BankID-løsning. Kunder av dagens BankID skal etter planen flyttes over til Støs nye løsning. Stø har fått tillatelse til å bruke biometri for digital ID-sjekk via telefon på deler av sin nye løsning, men kun for kunder som tidligere er identifisert fysisk. For eksisterende BankID-brukere må Stø dokumentere at id-kontrollen ble gjennomført ved fysisk oppmøte etter 2020. 

 – Det er aktøren selv, i dette tilfellet Stø, som er ansvarlig for å passe på at regelverket følges. Stø står fritt til å overta kundene fra banksammenslutningen, men det må skje på de vilkårene Nkom har gitt. 

Dette er saken: 

• Dagens BankID har et avvik som har vært kjent for dem siden 2022. Avviket handler om at kodebrikker er sendt ut uten fysisk identitetskontroll, noe regelverket krever på høyeste sikkerhetsnivå.
• Nkom ber dagens BankID, som eies av norske banker, om å dokumentere at de oppfyller kravene til sikkerhetsnivå «høyt».
• Dersom avviket ikke lukkes, vil BankID bli fjernet fra listen over de som har sikkerhetsnivå “høyt”. BankID må selv søke om å bli godkjent for nivå “betydelig”.
• Nkom har i lang tid veiledet bankene og Stø om nødvendige tiltak.
• Nå varsler Nkom tilsyn med Stø. 

Les mer på nkom.no