Styrken på autentiseringsfaktorene er avgjørende for sikkerheten i autentiseringsprosessen. Den totale sikkerheten og styrken på autentiseringen avhenger av antall faktorer som benyttes for å bekrefte identiteten til en person, i tillegg til kompleksiteten til hver enkelt faktor.
Selvdeklarasjonsforskriften definerer tre sikkerhetsnivåer for elektroniske identitetsbevis som gjelder i Norge: «høyt», «betydelig» og «lavt». Disse sikkerhetsnivåene erstatter sikkerhetsnivåene 1 til 4 etter «Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor» fra 2008, som tidligere gjaldt.
De nye sikkerhetsnivåene bygger på det europeiske regelverket, eIDAS-forordningen. Forordningen har som formål å standardisere sikkerhetsnivåer og gi føringer for å oppnå et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon på tvers av EU/EØS-land.
Tabellen under illustrerer de gjeldende norske sikkerhetsnivåene.
| Sikkerhetsnivå | Beskrivelse av nivået | Utleveringskriterier |
| HØYT | Dette sikkerhetsnivået krever to autentiseringsfaktorer, hvorav en er dynamisk. Som gyldig identifikasjonsbevis regnes pass eller nasjonal ID-kort. For utenlandsk identitetsbevis må entydig knytning til norsk identitetsnummer godtgjøres. | Aktiveringsprosessen kontrollerer at den elektroniske eIDen ikke er levert til andre enn eIDens eier. Dette innebærer at personens identitet kontrolleres mot personens fysiske kjennetegn, minst en gang. |
| BETYDELIG | Dette sikkerhetsnivået krever to autentiseringsfaktorer, hvorav en er dynamisk. Som gyldig identifikasjonsbevis kreves et bevis som representerer den påberoptes identitet og som er godkjent av medlemsstaten. | Etter utstedelse leveres den elektroniske eIDen via en mekanisme som gjør at det kan antas at den bare leveres til eIDens eier, eksempelvis med post til folkeregistrert adresse. |
| LAVT | Dette sikkerhetsnivået krever kun én autentiseringsfaktor. Som gyldig identifikasjonsbevis skal kravene for nivå betydelig tilfredsstilles. | Etter utstedelse leveres det den elektroniske eIDen via en mekanisme som gjør at det kan antas at det bare leveres til den tiltenkte personen. |
Vilkårene er kumulative, dvs. at krav til lavere nivåer også må oppfylles på høyere nivåer, med mindre annet eksplisitt fremgår.
Tilbydere av eID-ordninger kan selvdeklarere sine ordninger for eID ved å sende inn en erklæring om at kravene i selvdeklarasjonsforskriften er oppfylt. Dette er en forutsetning for at tilbyderen kan påstå at eID-ordningen er på ett av de tre norske sikkerhetsnivåene.
Med andre ord er ikke alle løsninger som krever tofaktorautentisering, automatisk på nivå «betydelig» eller «høyt».
Under følger et eksempel på ulike løsninger innenfor de ulike sikkerhetsnivåene. Eksemplene er i hovedsak hentet fra «Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor».
Eksempler på løsninger innenfor de ulike sikkerhetsnivåene: Eksemplene under forutsetter at tilbyder av løsningen har selvdeklarert løsningen hos NKOM. Sikkerhetsnivå lavt Dette nivået gir enkel pålogging og tilfredsstiller nivået for mange tjenester. Det gir en viss sikkerhet for at personen er rette vedkommende. Eksempel på løsninger:
Sikkerhetsnivå betydelig Dette nivået tilfredsstiller behovet for de fleste tjenester. Eksempel på løsninger:
Sikkerhetsnivå høyt Dette nivået tilfredsstiller også behovet for tjenester med særlig høye krav til sikkerhet. Eksempel på løsninger:
|
Normen stiller ikke krav til at autentiseringsløsningene som benyttes skal være selvdeklarert for de norske nivåene, men det er krav til at autentisering skal foregå på en sikker måte. Sikre autentiseringsløsninger bør som minimum baseres på tofaktorautentisering hvor brukeren for eksempel autentiserer seg med en kode tilsendt på SMS eller gjennom en app på telefonen, i tillegg til brukernavn og passord.
I dette tilfellet er brukernavn og passord én faktor og SMS sendt til et forhåndsregistrert mobilnummer en annen faktor. Den sikreste formen for tofaktorautentisering er autentiseringsløsninger som tilfredsstiller nivå «høyt», som for eksempel bruk av personlige kvalifiserte sertifikater (PKI). Med eIDAS-forordningen åpnes det opp for bruk av andre teknologier enn PKI, som for eksempel biometriske autentiseringsfaktorer og FIDO2 på nivå «høyt».
Flere tilbydere av autentiseringsløsninger jobber derfor med å selvdeklarere andre løsninger på nivå «høyt» hos NKOM.
Som nevnt tidligere skal det ligge en risikovurdering til grunn for valg av sikkerhetsnivå på autentiseringen til informasjonssystemer og EPJ i virksomheten. Det kan være hensiktsmessig å beslutte ulike krav til autentiseringsstyrke for innlogging til tjenester med mange følsomme opplysninger kontra tjenester uten følsomme opplysninger, eller til tjenester som er eksponert mot internett kontra tjenester som kun er tilgjengelig på lokalt nettverk.
