Arbeidsliv
Stat & StyringIngen garanti for at BankID beholder sikkerhetsnivået mens klagen behandles
Digitaliserings- og forvaltningsminister Karianne Tung har signalisert at Stø og bankene skal få god tid til å rette avviket som kan føre til at BankID mister godkjenningen på sikkerhetsnivå høyt.
Men når Altinget ber Nkom bekrefte at et eventuelt vedtak vil få utsatt ikrafttredelse mens en klage fra Stø blir behandlet, vil de ikke forskuttere beslutningen.
Det er med andre ord fortsatt risiko for at BankID mister sikkerhetsnivå høyt før klagen blir behandlet.
Samtidig har Nkom og Stø svært ulike fortellinger om både når avviket ble oppdaget og hvor alvorlig det er.
Store konsekvenser
Før påske varslet Nkom at BankID kunne miste godkjenningen på det høyeste sikkerhetsnivået.
BankID er med god margin den mest brukte eID-en for pålogging til offentlige løsninger i dag.
Avvikene ble identifisert allerede i 2021. Det siste avviket handler om mangelfull identitetskontroll for hundretusener.
John-Eivind Velure
Nkom-sjef
I alt er det 1700 virksomheter som bruker BankID, og samlet forvalter de i overkant av 5000 tjenester som er avhengige av løsningen. Det er 2145 tjenester fra 840 virksomheter som krever sikkerhetsnivå høyt i dag, viser en kartlegging Digitaliseringsdirektoratet (Digdir) har gjort. Alle disse har blitt bedt om å gjøre nye risikovurderinger, med mål om å finne ut om flere av tjenestene kan klare seg med sikkerhetsnivå betydelig.
«Det vil få svært store samfunnsmessige konsekvenser for Nav og Navs brukere dersom det ikke kan tilbys eID-tjenester på sikkerhetsnivå høyt for ID-Porten.» Det skriver Nav i sitt svar til Digdir om deres risikovurdering av tjenestene som har sikkerhetsnivå høyt.
Nav har rundt hundre tjenester på det høyeste sikkerhetsnivået, og det er ikke mulig å gjøre en grundig risikovurdering av alle disse på så kort tid som Digdir har gitt virksomhetene, mener etaten.
Nav går så langt som å foreslå en dispensasjon for BankID, siden det vil være «hensiktsmessig med en midlertidig løsning som gir partene tid til å finne en varig løsning».
Fakta i saken er at funnene i fagfellevurderingen ikke omhandlet utlevering av kodebrikker, og at regelverket ikke stiller eksplisitte krav om fysisk oppmøte ved utlevering.
Jan Bjerved
Stø
Både finansnæringen og flere politikere har ytret bekymringer om konsekvensene. Men digitaliserings- og forvaltningsminister Karianne Tung har forsikret om at Stø vil få god tid til å rette avviket, også mens en eventuell klage blir behandlet.
Det vil imidlertid ikke Nkom bekrefte til Altinget.
Ingen garanti
Nkom har fått dokumentasjon fra bankene og Stø om hvordan de mener de oppfyller kravene.
– Denne gjennomgås nå grundig før vi fatter vedtak i saken. Samtidig har vi varslet tilsyn med Stø og bedt om å få til et oppstartsmøte. Vi vil etter oppstartsmøtet legge en plan for den videre prosessen med tilsynet, skriver seksjonssjef i Nkom, Sander Norrøne, i en e-post til Altinget.
– Kan dere bekrefte eller avkrefte at et eventuelt vedtak som endrer BankIDs formelle sikkerhetsnivå, vil få oppsettende virkning (utsatt iverksetting) mens en eventuell klage behandles?
– Det vil ikke være riktig av oss å spekulere i utfallet av saksbehandling før vedtak er fattet, svarer Norrøne.
Det er med andre ord ingen garanti for at Stø får så god tid som tidligere signalisert.
– Svært uforutsigbare
Det har selskapet bak BankID heller ikke tatt for gitt.
«Vi kan imidlertid ikke være sikre på å få innvilget oppsettende virkning, da vi opplever Nkom som svært uforutsigbare», skrev Anders Lande, leder for politikk og samfunn i Stø, i en e-post til Finanstilsynet den 16. april.
Han mente det å nekte dispensasjon for en periode, var «unødvendig formalistisk og uforholdsmessig, gitt de potensielt store samfunnsmessige konsekvensene».
«Digitaliserings- og forvaltningsdepartementet er klageinstans, og vi har tillit til at departementet vil ha en mer helhetlig tilnærming, både til de rettslige vurderingene, dispensasjonsadgangen og de samfunnsmessige konsekvensene som det her er fullt mulig å unngå», skrev Lande videre.
Selskapet står fast ved at deres løsning oppfyller alle krav til sikkerhetsnivå høyt, og har allerede varslet at de vil klage om saken ikke ender slik de ønsker.
– Vi vurderer at BankID oppfyller kravene til sikkerhetsnivå høyt, og har levert dokumentasjon til Nkom som underbygger dette. Dersom Nkom konkluderer med noe annet, vil vi klage og be om at BankID forblir godkjent på høyeste sikkerhetsnivå mens klagen behandles, sier Jan Bjerved, leder for ID i Stø til Altinget nå.
– Vi merker oss at digitaliserings- og forvaltningsminister Karianne Tung har bekreftet at det pågår grundige vurderinger i Nkom, og at eventuelle klager vil bli behandlet grundig i departementet. Dette er viktig for å sikre forutsigbarhet og tillit hos brukere, virksomheter og offentlige myndigheter.
Selskapet mener kravene Nkom stiller er «nye» og ikke kan spores tilbake til den mye omtalte rapporten fra 2022, som både Tung og Nkom peker på som stedet avviket først ble avdekket.
– Fakta i saken er at funnene i fagfellevurderingen ikke omhandlet utlevering av kodebrikker, og at regelverket ikke stiller eksplisitte krav om fysisk oppmøte ved utlevering av kodebrikker. Regelverket gir rom for ulike måter å gjennomføre utleveringen på, og vi mener at kravene til høyeste sikkerhetsnivå er godt ivaretatt, sier Bjerved.
Han understreker likevel at dette er tolkningsspørsmål det ikke er enkelt å sette to streker under, og at det derfor er naturlig med ulike syn på saken.
Unntatt offentligheten
Hva som faktisk står i rapporten, er ikke enkelt for folk flest å finne ut av. «Rapporten er unntatt offentlighet fordi innsyn vil kunne lette gjennomføring av straffbare handlinger», opplyser Digdir i en e-post til Altinget.
Nkom-sjef John-Erlend Velure har uttrykt frustrasjon over at saken fremstilles som om de plutselig reagerer, mens de «over flere år har hatt dialog og oppfølging knyttet til det aktuelle avviket med BankID og eierne av løsningen».
«Sikkerhetsavvikene i BankID ble identifisert allerede i 2021. Nå er fire av fem avvik rettet, men det siste avviket handler om mangelfull identitetskontroll for hundretusener av brukere – et helt grunnleggende krav for klassifisering på sikkerhetsnivå høyt», skrev han i Altinget tidligere i år.
Tilsynsmyndigheten forteller at de ble kjent med avviket i 2022, og har veiledet BankID om løsninger og konsekvenser fra 2023, med omfattende dialog fra 2024. Det har vært møter mellom Nkom og Stø flere ganger, blant annet i desember 2024 og juli 2025, da Nkom oppgir å ha gitt tydelig beskjed om krav og konsekvenser. I januar 2026 ble det gjennomført et møte på direktørnivå mellom Stø og Nkom.
Altinget har ikke lykkes i å få innsyn i noen vesentlig del av denne dialogen, som Nkom mener er nødvendig å unnta offentlighet av sikkerhetshensyn.
Innsikt
Fødselsdager
Even Tronstad Sagebakken49 årI dag
Statssekretær for fiskeri- og havministeren i Nærings- og fiskeridepartementet
Torgeir Micaelsen47 årI dag
Statssekretær i Finansdepartementet
Harald Vaagaasar Nikolaisen59 årI dag
Administrerende direktør i Statsbygg, styreleder i Nye Veier, styremedlem i Helse Sør-Øst, Grønn Byggallianse, Skift - Næringslivets klimaledere og Baneservice
Statsråden svarer
Jon Engen-Helgheim spør Astri Aas-HansenHvor mange konkursbo med mistanke om økonomisk kriminalitet risikerer å stå uten midler til videre undersøkelser?Besvart
Silje Hjemdal spør Astri Aas-HansenVil statsråden endre regelverket for å gi arbeidsgivere bedre tilgang til relevante vandelsopplysninger fra utlandet?Besvart
Mari Holm Lønseth spør Kjersti StensengHvorfor er det startet en vurdering av Navs formidling av hjelpemidler, hva er mandat, fremdrift og konsekvenser for anskaffelser?Besvart
'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M4.59974%208.70857L10.9598%2011.4343C11.6239%2011.7189%2012.3756%2011.7189%2013.0397%2011.4343L19.3998%208.70857C20.0699%208.4214%2020.8459%208.7318%2021.133%209.40187C21.2035%209.56618%2021.2398%209.74308%2021.2398%209.92184V18.0592C21.2398%2019.1153%2020.6104%2020.0697%2019.6397%2020.4857L13.0397%2023.3143C12.3756%2023.5989%2011.6239%2023.5989%2010.9598%2023.3143L4.35982%2020.4857C3.38913%2020.0697%202.75977%2019.1153%202.75977%2018.0592V9.92184C2.75977%209.19282%203.35075%208.60184%204.07977%208.60184C4.25853%208.60184%204.43543%208.63815%204.59974%208.70857Z'%20fill='%23EA1718'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M12%209.24001C14.1912%209.24001%2015.96%207.47121%2015.96%205.28001C15.96%203.08881%2014.1912%201.32001%2012%201.32001C9.80884%201.32001%208.04004%203.08881%208.04004%205.28001C8.04004%207.47121%209.80884%209.24001%2012%209.24001Z'%20fill='%233340B1'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_26833_4934'%3e%3crect%20width='24'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Mest lest Arbeidsliv
