Før påske varslet Nkom at BankID kunne miste godkjenningen på det høyeste sikkerhetsnivået. Bakgrunnen er at BankID over lengre tid har hatt avvik knyttet til utsendelse av kodebrikken. 

Bankene har fått fire uker på seg til å dokumentere at de tilfredsstiller kravet til sikkerhetsnivå “høyt”, og 22.april gikk fristen ut for aktørene. Et gjenstående sikkerhetsavvik knyttet til identitetskontroll må være på plass for at BankID skal oppfylle kravene til høyeste sikkerhetsnivå. Avviket har vært kjent over tid, og Nkom har fulgt det opp gjennom informasjon og veiledning over tid. Nå skal Nkom gjennomgå dokumentasjonen nøye før det fattes vedtak.  

– Vi skal gå grundig gjennom og bruke den tiden som er nødvendig for at saken skal være tilstrekkelig opplyst. Dersom bankene ikke kan dokumentere at de kan lukke avvikene, må vi sanksjonere mot det, og da er et mulig utfall at de ikke kan være på det sikkerhetsnivået de er. Men det skal ikke skje over natten, sier Velure. 

 Han sier videre:  

–Vi forstår at denne saken skaper debatt, men diskusjonen bør ikke handle om hvorfor tilsynet reagerer nå, men om hvorfor et kjent sikkerhetsavvik fortsatt ikke er lukket. Det ansvaret ligger hos bankene og Stø, ikke hos tilsynsmyndighetene. 

Les nyhetssaken i Altinget her

Nkom understreker at BankIDs utbredelse gjør det enda viktigere å stille høye krav til sikkerhet og at tillit til digitale tjenester forutsetter at kravene faktisk er oppfylt. 

– At BankID brukes av nesten alle, gjør ikke kravene mindre viktige – det gjør dem viktigere. Jo mer samfunnskritisk en løsning er, desto større er behovet for reell og dokumentert sikkerhet, sier Velure. 

Les debattinnlegget: «Det er ikke «kaos» når tilsyn gjør jobben sin»

 


Dette er saken: 

  • Dagens BankID har et avvik som har vært kjent for dem siden 2022. Avviket handler om at kodebrikker er sendt ut uten fysisk identitetskontroll, noe regelverket krever på høyeste sikkerhetsnivå.  

  • Nkom har bedt dagens BankID, som eies av norske banker, om å dokumentere at de oppfyller kravene til sikkerhetsnivå «høyt».  

  • Dersom avviket ikke lukkes, vil BankID bli fjernet fra listen over de som har sikkerhetsnivå “høyt”. BankID må selv søke om å bli godkjent for nivå “betydelig”.  

  • Nkom har i lang tid veiledet bankene og Stø om nødvendige tiltak. 
     

  • Nkom har varslet tilsyn med Stø, som nå overtar BankID fra bankene, for å sikre at det ikke er avvik i den nye løsningen.