To statlige etater som har vært ute av synk, kan skape trøbbel for en mengde offentlige tjenester

Hvorfor skjer dette nå?

Ett avvik gjenstår uløst, spørsmålet om brukere ble korrekt identifisert ved aktivering av BankID.

Regelverket krever at identifisering skjer ved fysisk oppmøte med legitimasjon. Nkom og Stø er imidlertid uenige om hva avviket egentlig gjelder: Nkom peker på utsendelse av kodebrikker i posten, mens Stø mener problemet gjaldt at noen banker tillot bruk av skrapekort for å aktivere BankID. 

Etter å ha kjent til problemet i lang tid varslet Nkom først i år, den 26. mars, at BankID kan miste godkjenningen på sikkerhetsnivå «høyt» dersom avviket ikke dokumenteres lukket. Det kan ha stor betydning for et til nå uvisst antall offentlige tjenester.

Dette har skjedd i år

Tilsynsvarselet (26. mars): Nkom gir bankene fire uker på å dokumentere at de oppfyller kravene til sikkerhetsnivå «høyt». Frist: slutten av april.

Bankenes svar (slutten av april): Stø leverer dokumentasjon og hevder BankID oppfyller kravene. Argumentet er at alle brukere har møtt opp fysisk for å få selve BankID og at det er utsendelsen av kodebrikken i etterkant som er problemet, ikke den opprinnelige ID-kontrollen. Nkom behandler nå materialet.

Nkoms vedtak (ventes): Nkom konkluderer enten med at dokumentasjonen er tilstrekkelig, eller fatter vedtak om nedgradering til nivå «betydelig». Et vedtak kan påklages til Digitaliserings- og forvaltningsdepartementet (DFD).

Hva skjer hvis BankID nedgraderes?

Dersom BankID nedgraderes, fjernes den fra listen over godkjente eID-løsninger på nivå «høyt». Over 1700 offentlige virksomheter som bruker BankID via ID-porten vil da ikke lenger kunne tilby innlogging på høyeste sikkerhetsnivå med BankID alene. Antallet viser her til hva som hos Digdir omtales som «kunder», som kan være offentlige virksomheter eller private aktører på oppdrag fra det offentlige. 

I dag tilbys fire ulike innloggingstjenester i ID-porten. MinID eies av Digitaliseringsdirektoratet, men er kun på nivå «betydelig». BankID eies av 104 norske banker gjennom selskapet Stø og er den klare favoritten blant norske brukere. Buypass og Commfides er begge godkjent på nivå «høyt», men koster penger for brukeren.

Digdir har derfor bedt de ansvarlige for over tjenestene kartlegge egne behov. Det sentrale spørsmålet er: hvilke av dine tjenester krever faktisk sikkerhetsnivå «høyt»?

For de som bare krever nivået «betydelig» er MinID, levert av Digitaliseringsdirektoratet, godt nok.

Dersom BankID nedgraderes, har virksomheten derfor to muligheter:

Fortsett med lavere krav: Mange tjenester som i dag krever nivå «høyt», kan i praksis fungere med nivå «betydelig». Da vil alle fire påloggingsmetoder fremdeles være tilgjengelig i ID-porten. Dette krever isåfall en bevisst faglig vurdering fra virksomheten.

Beholde krav om nivå «høyt»: Buypass og Commfides kan brukes, men det kan bety at langt færre brukere vil ha tilgang ettersom Buypass og Commfides er lite utbredt og koster penger.

Saken er altså ikke avgjort, og en eventuell klage til departementet kan forlenge prosessen betraktelig. Likevel er det usikkert om BankID vil beholde sikkerhetsnivå høyt mellom en avgjørelse og frem til en klage er avgjort.

Altingets saker (noen artikler krever abonnement)

Altinget Digital har publisert en rekke saker om utfordringene med BankID. De fleste av artiklene nedenfor krever abonnement.

1. Haster med å tette sikkerhetshull i BankID. Digdir har gitt eierne av tjenesten ti dager på å svare (19. mars 2026)
   Digdir varsler Stø og bankene én uke før Nkoms formelle tilsynsvarsel. 3,8 millioner app-brukere må identifisere seg på nytt, ellers kan BankID bli nesten ubrukelig.
2. Forsker om BankID: «Dette er et problem myndighetene har skapt selv» (26. mars 2026)
   Jusprofessor Marte Eidsand Kjørven ved UiO forklarer bakgrunnen og kritiserer at Nkom i fire år holdt hemmelig hvordan de fulgte opp de kjente sikkerhetshullene.
3. Ber nesten 2 000 offentlige virksomheter forberede seg på at BankID kan bli nedgradert (10. april 2026)
   Digdirs seksjonsleder Jon Håkon Odd forklarer hva virksomhetene bør gjøre nå, og hvilke alternativer som finnes.
4. Dette skjer i uke 16: Digdir kaller inn til krisemøte om BankID (13. april 2026)
   Over 600 virksomheter påmeldt. Worst-case scenarioer skal gjennomgås.
5. Kaos på krisemøte om BankID – advarer om worst-case scenario (april 2026)
   Hva ble sagt på møtet, og hva betyr det for virksomhetene?
6. Politiet advarer mot BankID-panikk blant eldre (april 2026)
   700 000 brukere over 60 år skal re-identifiseres. Politiet frykter økt press på passkontor i høysesongen.
7. Fiskaa om BankID-krisen: «Dette er en vaskeekte skandale» (22. april 2026)
   SVs Ingrid Fiskaa kritiserer at digitaliseringsministeren fraskriver seg ansvar.
8. Avviser BankID-kritikk: «Ansvaret ligger hos de som leverer tjenesten» (22. april 2026)
   Nkom-direktør John-Eivind Velure: BankID forsvinner ikke over natten, men avviket må lukkes.
9. Det er ikke «kaos» når tilsyn gjør jobben sin (23. april 2026)
   Nkom-direktøren forsvarer tilsynsrollen og forklarer rollefordelingen med Digdir.
10. BankID oppfyller kravene til sikkerhetsnivå «høyt» (23. april 2026)
    Stø-direktør Øyvind Westby Brekke svarer Nkom og argumenterer for at kravene er oppfylt.
11. BankID er trygt og ingen skal miste tilgang (11. mai 2026)
    Stø forsikrer om at løsningen er trygg og at ingen mister tilgang uten varsel.

Artikkelen ble endret 19. mai kl 1327 etter informasjon om at noen detaljer i de to første avsnittene og under «dette har skjedd» var misvisende.