Criipto er nå Idura. Les hvorfor her →

eIDAS-sikkerhetsnivåer i ulike nasjonale eID-ordninger

Av Natalia Moskaleva den 6. desember 2024

3 min lesetid

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >eIDAS-sikkerhetsnivåer i ulike nasjonale eID-ordninger</span>

Tillit er kjernen i alle former for elektronisk identifikasjon (eID), fra innlogging til digital signering av dokumenter og gjennomføring av e-handelstransaksjoner.

eIDAS-rammeverket (Electronic Identification, Authentication, and Trust Services) regulerer eID-systemer i Europa og baserer seg på konseptet med sikkerhetsnivåer (LoA) for å måle tillit.

Nedenfor ser vi nærmere på eIDAS' tillitsnivåer, hvordan de er forskjellige, og hvordan de er implementert i ulike europeiske eID-ordninger.

Hva er tillitsnivåer?

Et "tillitsnivå" måler graden av tillit en tjenesteleverandør har til den påståtte identiteten til en person som bruker en eID. Det gjenspeiler hvor godt den digitale identiteten har blitt verifisert, autentisert og sikret.

Det er et forsøk på å kvantifisere tilliten til den digitale identiteten og vurdere risikoen for identitetssvindel. Jo høyere LoA er, desto høyere er tilliten og desto lavere er risikoen for svindel.

Hvilke faktorer bestemmer tillitsnivået?

Det er flere elementer som påvirker tillitsnivået i et eID-system:

  • Registrering: Hvordan kan en person skaffe seg den aktuelle eID-en? Gjennomføres prosessen personlig eller på nettet? Kreves det et biometrisk pass eller et identitetsdokument på papir?

  • Design og administrasjon av eID: Hvor mange faktorer kreves det for eksempel for autentisering? Er det tilstrekkelig med bare passord, eller er det en flerfaktorautentisering på plass?

  • Selve autentiseringen: Hvordan utføres den? Hvilke krav stilles for å bekrefte en identitet overfor en avhengig part? Hvilke sikkerhetsprotokoller brukes under eID-verifiseringen?

Det laveste nivået i noen av de ovennevnte elementene bestemmer det generelle sikkerhetsnivået i eID-ordningen.

De tre sikkerhetsnivåene

eIDAS-forordningen definerer tre nivåer av sikkerhet.

Lav

Dette er det laveste sikkerhetsnivået. Det innebærer minimal identitetsverifisering og brukes vanligvis til applikasjoner med lav risiko.

Et eksempel: Tilgang til et offentlig nettsted med brukernavn og passord.

Betydelig

Dette gjenspeiler et høyere sikkerhetsnivå sammenlignet med LoA Low. Det innebærer vanligvis sterkere metoder for identitetsverifisering, for eksempel et ID-kort eller en engangskode. Sikringsnivået Substantial er egnet for applikasjoner som innebærer moderat risiko, for eksempel tilgang til offentlige tjenester på nettet.

Eksempel: Brukerne oppgir identitetsinformasjon som verifiseres under registreringen. Autentiseringen skjer ved hjelp av en kombinasjon av brukernavn, passord og en engangskode som sendes til en mobiltelefon.

Høy

Dette er det høyeste sikkerhetsnivået som er definert av eIDAS. Det krever de mest robuste metodene for identitetsverifisering, som ofte baserer seg på personlig identitetsbekreftelse og bruk av maskinvaretokener eller smartkort. LoA High er vanligvis forbeholdt høyrisikotransaksjoner, som signering av juridisk bindende kontrakter eller tilgang til svært sensitiv informasjon.

Et eksempel: Ansikt-til-ansikt-registrering og autentisering med et smartkort.

Ulike nasjonale eID-systemer

eIDAS-forordningen definerer ikke spesifikke teknologier som kreves for å oppfylle ulike LoA-krav. Derfor utvikler EUs medlemsstater sine egne eID-systemer som følger eIDAS-prinsippene, men som er utformet på en måte som gjenspeiler det juridiske, sosiale og teknologiske landskapet i hvert enkelt land.

Hvis en nasjonal eID-ordning tilbyr flere nivåer av sikkerhet, kan organisasjoner og tjenesteleverandører velge det LoA-nivået som best samsvarer med risikoen som er involvert i deres virksomhet.

Ifølge en studie fra september 2022 av 40 europeiske eID-ordninger:

  • 25 støtter LoA High.
  • 20 støtter LoA Betydelig.
  • 12 støtter LoA Lav.

La oss nå se nærmere på flere nasjonale eID-ordninger og sikkerhetsnivåene de tilbyr.

Danske MitID

MitID tilbyr alle tre nivåer av sikkerhet:

  • Lav: For noen digitale tjenester er det tilstrekkelig med en kombinasjon av MitID-bruker-ID-en og én annen autentiseringsfaktor (f.eks. passord).

  • Betydelig: Dette krever to forskjellige autentiseringsfaktorer. For eksempel
  • Høy: Dette sikkerhetsnivået er tilgjengelig i utvalgte kommuner. Det krever personlig registrering og minst to autentiseringsmetoder (f.eks. MitID-appen og en kodevisning) for å oppnås.

MitID lar tjenesteleverandører bestemme hvilket sikkerhetsnivå som passer for deres spesifikke behov. LoA Substantial er det vanligste. Det brukes vanligvis til offentlige selvbetjeningsplattformer som skat.dk og sundhed.dk, samt til nettbank og forsikring.

Svensk BankID

I Sverige er det tolv store banker som tilbyr elektronisk identifikasjon for innbyggerne. Det krever at brukerne installerer BankID-appen (tilgjengelig på PC, mobil og nettbrett).

BankID oppfyller kravene til tillitsnivå 3 i det svenske eID-kvalitetsmerket, noe som tilsvarer LoA "Substantial" i eIDAS-klassifiseringen.

Norsk BankID

Den nye BankID Biometric gjør det mulig for sluttbrukere å identifisere seg med biometri og opererer på tillitsnivået "Substantial".

Organisasjoner og tjenesteleverandører som krever LoA "Høy" (f.eks. for store pengeoverføringer), kan fortsatt bruke en av de eldre versjonene av BankID: vanlig BankID eller BankID på mobil.

Det finske tillitsnettverket

Det finske tillitsnettverket (FTN) regulerer autentiseringsmekanismer som brukes av innbyggerne for å få tilgang til nasjonale offentlige og private tjenester på nettet.

Alle eID-er som leveres av FTN - inkludert finsk Bank-ID og Mobiilivarmenne - opererer på eIDAS' sikkerhetsnivå "Substantial".

Belgiske itsme®

itsme® fungerer via en mobilapp som kan brukes av over 800 organisasjoner i Belgia, Nederland og Luxembourg.

Den opererer på "høyt" sikkerhetsnivå i eIDAS-klassifiseringen.

Nederlandsk iDIN

iDIN tilbys av nederlandske banker og gjør det mulig for enkeltpersoner å samhandle på nettet med et bredt utvalg av offentlige og private tjenester og plattformer.

eIDAS-sikkerhetsnivået for nederlandske iDIN er "Betydelig".

Er du interessert i å implementere eID-baserte kundeautentiseringsløsninger?

Idura hjelper bedrifter med å effektivisere sine digitale onboarding-prosesser ved å integrere en rekke europeiske eID-er, inkludert danske MitID, norske og svenske BankID, finske Trust Network, belgiske itsme® og mange flere.

Ta gjerne kontakt med våre eksperter for mer informasjon om våre digitale identitetsløsninger.
Table of contents

Se alle
10 bruksområder for verifiserbare legitimasjonsopplysninger
Verifiserbar legitimasjon: Brukstilfeller og eksempler fra den virkelige verden
Autentisering

10 bruksområder for verifiserbare legitimasjonsopplysninger

10. mars 2026 4 min lesetid
6 forretningsfordeler med verifiserbare legitimasjonsopplysninger
Verifiserbar legitimasjon: Hva er de forretningsmessige fordelene?
Autentisering

6 forretningsfordeler med verifiserbare legitimasjonsopplysninger

10. mars 2026 5 min lesetid
Digital identitet i Europa avhenger av mer enn lommebøker
Digital identitet i Europa avhenger av mer enn lommebøker
Autentisering

Digital identitet i Europa avhenger av mer enn lommebøker

10. mars 2026 2 min lesetid