Beskrivelse av sikkerhetsnivåer
Hvert sikkerhetsnivå har ulike krav som stilles til identitetskontrollen og til utlevering av eID-ene, og til hvilke autentiseringsfaktorer som benyttes i bruksfasen.
Kommunal- og distriksdepartementet har sammen med Digitaliseringsdirektoratet utarbeidet en egen veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor. Les mer i «Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor» og overskriften «Definisjon av sikkerhetsnivåer for identifikasjon».
I korthet er det tre ulike sikkerhetsnivåer som er kategorisert som hhv. «lavt», «betydelig» og «høyt». Forskjellen på disse nivåene ligger i hvilke tekniske og regulatoriske krav som må være oppfylt for at eID-en skal ansees å ha «oppnådd» et bestemt sikkerhetsnivå.
BankID, Buypass og Commfides leverer eID-ordninger på sikkerhetsnivå «høyt». Disse aktørene er også omtalt som «eID-leverandører» eller «markedsløsningene».
eID-leverandørene må bestemme hvilket sikkerhetsnivå de ønsker å oppfylle. Deretter kan de bruke kravsettet til det aktuelle sikkerhetsnivået og sørge for at deres løsning er i overenstemmelse med alle relevante krav. Dersom eID-leverandøren mener at alle krav er oppfylt, kan de selvdeklarere eID-ordningen på det aktuelle sikkerhetsnivået. Dette følger av Forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften).
At en eID-ordning er selvdeklarert innebærer at de publiseres på en liste over selvdeklarerte ordninger administrert av og ført tilsyn med av Nasjonal kommunikasjonsmyndighet (Nkom). Listen gir en henvisning til det selvdeklarerte sikkerhetsnivået. Dette gjør at utenforstående kan ha tillit til eID-ene.
Tjenesteeiere må velge hvilket sikkerhetsnivå de mener er nødvendig for å bruke deres tjeneste og eventuelt stille krav om bruk av eID, herunder hvilke eID-er som aksepteres. Dette følger av eForvaltningsforskriften § 4. Tjenesteeier må gjøre en vurdering av risikoen for sikkerhetsbrudd og konsekvenser av dette, og på den bakgrunn velge et passende sikkerhetsnivå. Som veiledning kan en se til beskrivelsen av sikkerhetsnivåene i «Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor», særlig punktet om «Veiledning for valg av sikkerhetsnivå for identifikasjon» og underpunktet «Praktiske eksempler på tjenester som kan benytte de forskjellige sikkerhetsnivåene».