a) Før anskaffelse av PKI-løsninger for signering, kryptering eller autentisering for ekstern kommunikasjon skal virksomheten gjennomføre risikovurdering av den konkrete løsningen. Risikovurderingen kan gjennomføres av virksomheten selv eller virksomhetens leverandør.
b) Iht. Normen og Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor (digdir.no) skal PKI-løsninger i sektoren etableres på sikkerhetsnivå høyt.
c) Ved gjennomføring av risikovurdering av PKI-løsninger skal akseptkriterier for risiko settes lik nivå høy i Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.
d) Om virksomheten utarbeider kravspesifikasjoner for etablering av PKI, skal leveransen ivareta Kravspesifikasjon for PKI i offentlig sektor (digdir.no).
