ICT-beveiligingsassessments DigiD: veelgestelde vragen

Aanverwante organisaties

In de Veelgestelde vragen zult u regelmatig een verwijzing vinden naar de volgende drie partijen:

Algemeen

De normen voor het ICT-beveiligingsassessment DigiD zijn gebaseerd op de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius adviseert alle organisaties om buiten de maatregelen uit het normenkader ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen van NCSC te adopteren.

Met een DigiD-aansluiting is informatie van de Nederlandse Overheid (zoals het BSN) en informatie van de Nederlandse burger gemoeid.

Met DigiD kunnen burgers transacties doen bij overheidsorganisaties zoals de Belastingdienst, het UWV, de SVB, het RDW en de DUO. Maar ook kan een burger DigiD gebruiken voor transacties bij bijvoorbeeld commerciële organisaties, zoals zorgverzekeraars.

Betrouwbare digitale communicatie is van wezenlijk belang voor het vertrouwen in, en de integriteit van, elektronische (overheids)dienstverlening. Het ministerie van BZK is verantwoordelijk voor de veiligheid van DigiD. Niet alleen DigiD zelf, maar ook de daarop aangesloten digitale diensten.

In de ‘Voorwaarden DigiD’ heeft het ministerie van BZK opgenomen dat afnemers verplicht zijn om binnen twee maanden na activatie van de DigiD-aansluiting een assessmentrapport in te leveren. Een DigiD-assessmentrapportage bestaat minimaal uit een rapport betreffende het assessment van de aansluithouder. Regelmatig wordt een deel van de omgeving van de aansluithouder uitbesteed aan een leverancier. In dat geval wordt soms voor een deel van het assessment verwezen naar een TPM. In dat geval dient de TPM meegestuurd te worden.

Bestaande aansluitingen moeten jaarlijks een assessmentrapport inleveren volgens het reguliere assessmentschema in de periode van 1 januari tot 1 mei.

De mate van gebruik van de aansluiting speelt geen rol ten opzichte van de regels.

Uw assessmentplicht vervalt zodra uw aansluiting is gedeactiveerd. Deactiveren van uw aansluiting kunt u aanvragen door middel van het invullen van het wijzigingsformulier of contact op te nemen met ons servicecentrum.

Let wel: Indien uw aansluiting actief is maar niet in gebruik, vervalt uw assessmentplicht niet.

Nee, een DigiD-assessmentrapportage bestaat minimaal uit een rapport betreffende het assessment van de aansluithouder. Regelmatig wordt een deel van de omgeving van de aansluithouder uitbesteed aan een leverancier. In dat geval wordt soms voor een deel van het assessment verwezen naar een TPM.

Uw organisatie loopt dan het risico dat de DigiD-dienstverlening wordt opgeschort. Het jaarlijks voldoen aan de ‘Norm ICT-beveiligingsassessments DigiD’ en hierover door middel van een assessment rapporteren, is onderdeel van de voorwaarden voor het gebruiken van DigiD. Het niet voldoen aan de ‘Voorwaarden DigiD’ kan leiden tot opschorten van de DigiD-dienstverlening. Logius neemt daarover eerst contact op met uw organisatie.

Hierop is één uitzondering. Indien blijkt dat uw ICT-omgevingen gecompromitteerd zijn, met mogelijke gevolgen voor (de veiligheid van) DigiD, of bij een duidelijke bedreiging van de integriteit van DigiD, kan Logius onmiddellijk over gaan tot het afsluiten van uw organisatie van DigiD.

Logius heeft van het ministerie van BZK de opdracht gekregen om naleving van de voorwaarden voor het gebruik van DigiD te toetsen bij de aansluithouders van DigiD. Logius is niet verantwoordelijk voor de samenstelling van de richtlijnen, het normenkader, de guidance of hoe het assessment uit te voeren. Het normenkader wordt door het ministerie van BZK vastgesteld en jaarlijks geëvalueerd.

Voor Informatie over de  ICT-beveiligingsrichtlijnen voor webapplicaties kunt u terecht bij NCSC.

Een uitleg over het assessment kunt u vinden in de handreiking op de website van NOREA. Hier vindt u ook een modelrapport (rapportagetemplate DigiD-assessment) en contactgegevens.

Het is van belang dat de ICT-beveiliging van alle organisaties die DigiD gebruiken op orde is. Dat is in eerste instantie de verantwoordelijkheid van individuele organisaties zelf. Het is echter nodig gebleken een structurele impuls te geven aan kwaliteitsverhoging van de ICT-beveiliging. Dit gebeurt via ICT-beveiligingsassessment DigiD op basis van een normenkader dat is gebaseerd op een landelijke ICT-beveiligingsrichtlijn.

Na ontvangst beoordeelt Logius de assessmentrapportages en meldt schriftelijk zijn bevindingen aan uw organisatie. Als uit de rapportage gebleken is dat uw organisatie niet aan alle normen voldoet, dan vraagt Logius uw organisatie de tekortkomingen op te lossen en daarover, middels een her-assessmentrapport, aan Logius te rapporteren. Deze verbeterrapportage moet binnen de door Logius gecommuniceerde termijnen worden ingediend.

Als er sprake is van een acuut en serieus beveiligingsrisico met gevolgen voor DigiD kan Logius direct over gaan tot afsluiten van de DigiD-koppeling van de betreffende organisatie.

Als organisatie bent u zelf verantwoordelijk voor het tijdig oplossen van de niet-voldane normen, u wordt dan ook geacht zelf direct maatregelen te nemen. Dit kan onder andere door direct een verbetertraject op te starten. U hoeft hiermee niet te wachten tot Logius uw assessmentrapportage heeft beoordeeld.

Procesinformatie

De sluitingsdatum voor het inleveren van het assessmentrapport is afhankelijk van de datum waarop de DigiD-aansluiting is aangesloten. Hierbij wordt een onderscheid gemaakt tussen bestaande en nieuwe aansluitingen.

Bestaande aansluiting
Heeft u over het gehele afgelopen jaar een bestaande aansluiting gehad dan loopt de inleverperiode van de assessmentrapportage van 1 januari tot 1 mei van het opvolgende jaar.

Nieuwe aansluiting 

Heeft u in het afgelopen jaar een nieuwe aansluiting gekregen, of krijgt u dit jaar een nieuwe aansluiting, dan geldt voor u het volgende:

  • Binnen 2 maanden nadat de aansluiting is geactiveerd moet een assessmentrapportage worden ingediend. De datum vanaf wanneer de aansluiting daadwerkelijk door uw organisatie wordt gebruikt speelt hierbij geen rol. Hierna moet u jaarlijks een assessmentrapport inleveren volgens het reguliere assessmentschema (zie: Bestaande aansluiting).
  • Let op! In de eerste 12 maanden na activatie hoeft u geen volgend assessmentrapport in te leveren.
  • Indien daardoor uw verplichting tot het inleveren van een eerstvolgend assessmentrapport buiten de reguliere inleverperiode van 1 januari tot 1 mei valt, levert u het assessmentrapport in tijdens de inleverperiode van het jaar daarop.

Gedeactiveerde aansluiting
Uw assessmentplicht vervalt zodra uw aansluiting is gedeactiveerd. Deactiveren van uw aansluiting kunt u aanvragen door middel van het invullen van het wijzigingsformulier of contact op te nemen met ons servicecentrum.

Let op: indien uw aansluiting actief is maar niet in gebruik, vervalt uw assessmentplicht niet.

Nee, organisaties moeten jaarlijks een assessmentrapportage indienen voor iedere DigiD-aansluiting. De mate van gebruik van de aansluiting speelt hierbij geen rol.

Ja. Per aansluiting moet een assessmentrapportage worden ingediend, waarin aansluitnaam en aansluitnummer vermeld staan.

Per aansluiting moet een assessmentrapportage worden ingediend, waarin aansluitnaam en aansluitnummer vermeld staan. Daarbij mag een assessmentrapportage wel gaan over meerdere aansluitingen van dezelfde aansluithouder, zolang er in de rapportage duidelijk onderscheid wordt gemaakt tussen de aansluitingen. Belangrijk daarbij is dat de serviceorganisatie (TPM) per aansluiting hetzelfde moet zijn en dat ook de oordelen in hoofdstuk 1.5 (Oordelen) van het assessmentrapport hetzelfde zijn.

U kunt de rapportages per reguliere post of digitaal per e-mail versturen. Voor gemeenten bestaat de mogelijkheid om gebruik te maken ENSIA.

U kunt de assessmentrapportage per post sturen naar:

Logius
ICT-Beveiligingsassessments DigiD
Antwoordnummer 16073
2501 VE Den Haag

U kunt de assessmentrapportage per e-mail sturen naar: DigiDassessment@logius.nl

De documenten moeten in PDF/A-formaat aangeleverd worden. Per document moet er één PDF/A-bestand worden aangeleverd. Als afzender gebruikt u hiervoor een e-mailadres vanuit uw organisatie.

Documenten welke niet zijn verstuurd als PDF/A of niet vanuit een e-mailadres vanuit uw organisatie, worden formeel niet in behandeling genomen.

We adviseren u het e-mailbericht versleuteld op te sturen. Hieraan zijn specifieke richtlijnen verbonden. Zie hiervoor de vraag “Hoe kan ik het e-mailbericht met de assessmentrapportage versleuteld versturen?”.

U mag meerdere PDF/A-bestanden in een zip-file sturen naar het hierboven genoemde e-mailadres. U dient daarbij aan de volgende 2 voorwaarden te voldoen:

  • Het bestandsformaat is .zip
  • De zip-file is niet versleuteld met een wachtwoord

Let op: digitaal aanleveren per e-mail, al dan niet gezipt, is geen vervanger voor het aanleveren via de ENSIA-tool voor gemeenten. Levert u de documenten aan via de ENSIA-tool dan zijn zip-files niet toegestaan.

Vanuit een digitaal tekstbestand met Microsoft Word
Een Word-bestand kunt u opslaan als een PDF/A-bestand. Indien mogelijk gebruikt u dan de mogelijkheid om te “Exporteren”, zoals hieronder beschreven: 

  • Open het tekstbestand;
  • Kies in de menubalk “Bestand”;
  • Kies vervolgens “Exporteren”;
  • Onder "PDF-opties" vink aan de optie "PDF/A-1a:2005-compatibel bestand maken". Of kies de optie voor het maken van een bestand in PDF/A-2a;
  • Klik op "OK"-knop;
  • Klik op de knop "Opslaan".

Heeft u die mogelijkheid niet, dan kun u vanuit Microsoft Word de mogelijkheid “Opslaan als” gebruiken, en kiezen voor “PDF”. Met de knop “Opties” kunt u vervolgens de mogelijkheid “Voldoet aan ISO 19005-1 (PDF/A)” kiezen. De kleine mogelijkheid bestaat dat uw bestand op deze wijze niet het juiste formaat heeft. Wij raden u altijd aan het bestandsformaat te controleren alvorens het te verzenden.

Vanuit een digitaal tekstbestand met LibreOffice

  • Open het tekstbestand;
  • Kies in de menubalk “Bestand”;
  • Kies vervolgens “Exporteren als PDF…”;
  • Controleer in het tabblad “Algemeen” onder de kop “Algemeen” of de optie “Archive PDF/A-1a (ISO 19005-1)” is aangevinkt. Zo niet, vink dan aan. Of kies de optie voor het maken van een bestand in PDF/A-1b;
  • Controleer in het tabblad “Algemeen” onder de kop “Algemeen” of de optie “Hybrid PDF (ingebed ODF-bestand)” is uitgevinkt. Zo niet, vink dan uit;
  • Klik op de knop “Exporteren”;
  • En klik op de knop “Opslaan”.

Vanuit een papieren document
Afhankelijk van uw scanner kunt u bij het scannen van een papieren bestand ook kiezen voor de optie PDF/A. Indien u de mogelijkheid heeft kiest u dan voor de optie PDF/A-1a of PDF/A-2a. Wij raden u altijd aan het bestandsformaat te controleren alvorens het te verzenden.

PDF/A bestaat in vele soorten. Indien u de keuze heeft verzoeken wij u PDF/A-1a of PDF/A-2a te gebruiken.

Het bestandsformaat van een document is te verifiëren door in Acrobat Reader: 

  • in de linkerkantlijn het verticale menu te openen. Klik hiervoor op het pijltje in de linkerkantlijn;
  • het i-icoon (vierde icoon) te klikken;
  • het formaat te controleren dat staat onder "Conformiteit" bij "Standaard";

Let op: In een Acrobat Reader verschijnt boven in het document een blauwgrijze balk met de tekst: "Dit bestand voldoet aan de PDF/A-standaard en is geopend als alleen-lezen om wijzigingen te voorkomen". Deze tekst kan echter misleidend en tegenstrijdig zijn met de informatie onder het i-icoon. De informatie onder het i-icoon is leidend.

Indien u de vertrouwelijkheid van uw e-mail wilt waarborgen adviseren wij u het bericht versleuteld op te sturen.

Kiest u voor het digitaal en versleuteld aanleveren, dan dient u de publieke sleutel van het PKIoverheid-certificaat behorende bij het DigiDassessment@logius.nl e-mailadres te importeren in uw e-mailapplicatie. De publieke sleutel (digidbeveiligingsassessments.cer) is te vinden op de hoofdpagina van ICT-beveiligingsassessments DigiD onder het kopje Documentatie. Alleen verzonden berichten die met deze sleutel zijn versleuteld kan Logius ontsleutelen en behandelen. Andere methoden van versleuteling worden niet geaccepteerd.

Voor het gebruik van het PKIoverheid-certificaat slaat u deze op uw computer op.

Hieronder volgen instructies hoe deze te importeren in Outlook. U bent vrij om ieder ander e-mailprogramma te gebruiken voor het versleuteld versturen van uw e-mail met het PKIoverheid-certificaat. Daarbij verwijzen wij naar de instructies van de leverancier van het gebruikte e-mailprogramma.  

Outlook (2007 en nieuwer)
Door beperkingen die Microsoft in Outlook heeft ingebouwd is het versleuteld versturen van e-mail helaas niet mogelijk indien u zelf niet beschikt over een digitale ID (een eigen PKIoverheid-certificaat). Zie voor meer informatie de ondersteuningspagina van Microsoft: Hoe kan ik afzonderlijke berichten versleutelen?. Zodra u ook uw eigen certificaat heeft geïmporteerd kunt u de beveiligingsopties instellen met de volgende instructies.

U dient een contactpersoon aan te maken in Outlook waaraan u het PKIoverheid-certificaat kunt koppelen. Dit kunt u doen door naar het scherm voor contactpersonen te gaan (over het algemeen staat de snelkoppeling hiervoor linksonder), en daar te kiezen voor “nieuwe contactpersoon”. U dient een naam in te vullen en het e-mailadres. Bovenin het scherm staat een aantal opties vermeld, waaronder de optie “certificaten”. Als u hierop klikt komt u in een nieuw scherm waar u kiest voor “importeren”. U navigeert naar de plaats waar u het certificaat heeft opgeslagen en opent deze.

Gemeenten verantwoorden zich in 2017 voor het eerst met ENSIA. Ook DigiD is in ENSIA opgenomen. Voor uw bestaande aansluiting gebruikt u als gemeente daarom ENSIA om uw DigiD-assessment in te leveren. De voorwaarden en regels rondom DigiD veranderen niet. Voor inhoudelijke vragen over deze methodiek kunt u de website van ENSIA raadplegen. Hier vindt u ook contactgegevens.

De volgende stukken moeten ingediend worden:

  1. De assessmentrapportage met een oordeel per norm van het normenkader, ondertekend door de RE-auditor. Gebruik PDF/A bij digitale verzending.
  2. Aanleveren contactgegevens
    • Bij aanlevering per reguliere post
      • Een begeleidend schrijven met daarin uw contactgegevens.
    • Bij aanlevering via e-mail:
      • Als afzender gebruikt u een e-mailadres vanuit uw organisatie
      • Contactgegevens in de e-mail
    • Bij gebruik van ENSIA zijn er geen eisen.
  3. Alle TPM‘s (Third Party Mededeling) indien deze gebruikt zijn voor het assessment. Gebruik PDF/A bij digitale verzending.

Voor Informatie over de  ICT-beveiligingsrichtlijnen voor webapplicaties kunt u terecht bij NCSC.
Een uitleg over het assessment kunt u vinden in de handreiking op de website van NOREA. Hier vindt u ook een modelrapport (rapportagetemplate DigiD-assessment) en contactgegevens.

Na ontvangst beoordeelt Logius de rapportage op volledigheid en eventuele bevindingen, en reageert schriftelijk.

ENSIA

Gemeenten verantwoorden zich in 2017 voor het eerst met ENSIA. Ook DigiD is in ENSIA opgenomen. Voor uw bestaande aansluiting gebruikt u als gemeente daarom ENSIA om uw DigiD-assessment in te leveren. De voorwaarden en regels rondom DigiD veranderen niet.

Voor inhoudelijke vragen over deze methodiek kunt u de website van ENSIA raadplegen. Hier vindt u ook contactgegevens.

Meer informatie kunt u vinden op de ENSIA-pagina op de website van VNG. Hier vindt u ook contactgegevens.

Nee, de voorwaarden en regels rondom DigiD veranderen niet door het gebruik van ENSIA. Let er wel op dat u ook bij het gebruik van ENSIA het PDF/A-formaat gebruikt voor het opsturen van alle documenten zoals de assessmentrapportage.

Gemeenten verantwoorden zich in 2017 voor het eerst met ENSIA. Ook DigiD is in ENSIA opgenomen.

U gebruikt ENSIA voor het indienen van uw assessmentrapportage in de inleverperiode van 1 januari tot 1 mei. Voor een nieuwe aansluiting is dit niet noodzakelijk. Het inleveren van het eerste assessmentrapport is immers gekoppeld aan de datum van aansluiting en niet aan de jaarlijkse inleverperiode.

Indien niet voldaan wordt aan één of meerdere normen, dan komt uw assessment terecht in het reguliere opvolgingstraject van Logius. U communiceert dan rechtstreeks met Logius over de verbeterrapportage, buiten de ENSIA-tool om.

Auditor - testen - verbeterrapport

Na ontvangst beoordeelt Logius de assessmentrapportages en meldt schriftelijk zijn bevindingen aan uw organisatie. Als uit de rapportage gebleken is dat uw organisatie niet aan alle normen voldoet, dan vraagt Logius uw organisatie de tekortkomingen op te lossen en daarover, middels een her-assessmentrapport, aan Logius te rapporteren. Deze verbeterrapportage moet binnen de door Logius gecommuniceerde termijnen worden ingediend.

Als er sprake is van een acuut en serieus beveiligingsrisico met gevolgen voor DigiD kan Logius direct over gaan tot afsluiten van de DigiD-koppeling van de betreffende organisatie.

Als organisatie bent u zelf verantwoordelijk voor het tijdig oplossen van de niet-voldane normen. U wordt dan ook geacht zelf direct maatregelen te nemen. Dit kan onder andere door direct een verbetertraject op te starten. U hoeft hiermee niet te wachten tot Logius uw assessmentrapportage heeft beoordeeld.

Zodra u van Logius een schriftelijk bericht heeft ontvangen dat u aan alle normen voldoet, heeft u aan uw assessmentverplichting voldaan en hoeft u niets meer te doen voor dat assessmentjaar.

Het ICT-beveiligingsassessment moet uitgevoerd worden door een Register EDP-auditor (RE-auditor). De assessmentrapportage, en waar nodig de verbeterrapportage, moet door een RE-auditor worden opgesteld.

De verklaring van de RE-auditor in het assessmentrapport is een verklaring over de IT-omgeving op een bepaald moment zoals in het rapport vermeld. Dat maakt het assessment een momentopname. Functionele wijzigingen na deze datum hebben geen invloed op het uitgevoerde assessment of de beoordeling daarvan door Logius. Op basis van de ‘Voorwaarden DigiD’ of de ‘Norm ICT-beveiligingsassessments DigiD’ eist Logius géén nieuw auditrapport. De functionele wijziging wordt meegenomen in het eerstvolgende jaarlijkse assessment. De afnemer van DigiD blijft te allen tijde verantwoordelijk voor de veiligheid van zijn ICT-omgeving. Indien blijkt dat uw ICT-omgevingen gecompromitteerd zijn, met mogelijke gevolgen voor (de veiligheid van) DigiD, of bij een duidelijke bedreiging van de integriteit van DigiD, kan Logius onmiddellijk overgaan tot het afsluiten van uw organisatie van DigiD.

Voor de overgang van het CGI- naar het SAML-koppelvlak zult u binnen twee maanden na activatie een nieuw DigiD-beveiligingsassessment moeten laten uitvoeren.

De SAML-aansluiting wordt gezien als een nieuwe aansluiting. U krijgt een nieuw aansluitnummer. Volgens de voorwaarden van DigiD geldt voor een nieuwe aansluiting de verplichting om binnen twee maanden na activatie een assessmentrapport in te dienen.

Onder bepaalde voorwaarden bestaat er wel de mogelijkheid om uitstel te krijgen voor het indienen van uw assessmentrapportage. Dit wordt toegelicht bij de vraag: “Kan ik uitstel krijgen voor het indienen van het DigiD-beveiligingsassessmentsrapport bij een wijziging van CGI- naar SAML-koppelvlak?”.

Met uw uitstelverzoek vraagt u het inleveren van een assessmentrapportage uit te stellen tot in de eerstvolgende reguliere inleverperiode van 1 januari tot 1 mei. Wij kunnen uitstel verlenen als aan de volgende 2 voorwaarden wordt voldaan: 

  • U heeft voor de huidige CGI-aansluiting inmiddels een assessmentrapport ingediend, waarvan Logius heeft bevestigd dat deze voldoet aan de assessmentvoorwaarden;
  • Uw auditor heeft een schriftelijke verklaring opgesteld en ondertekend, waarin deze verklaart dat door de migratie van CGI naar SAML, security technisch niets is gewijzigd binnen de scope van het assessment. Uw auditor kan aangeven of er ook een verklaring vanuit de leverancier noodzakelijk is. In dat geval dient onder identieke voorwaarden een auditverklaring opgesteld en ondertekend te worden door de auditor van de TPM. Deze kunt u waarschijnlijk verkrijgen via uw leverancier.

Verder is het van belang dat u aangeeft welke CGI-aansluiting (aansluitnummer en aansluitnaam) vervangen gaat worden en welke SAML-aansluiting (aansluitnummer en aansluitnaam) gebruikt gaat worden.
Met het uitstel dat u verkrijgt, kunt u uw rapportage inleveren tijdens de eerstvolgende reguliere inleverperiode, welke jaarlijks loopt van 1 januari tot 1 mei. Hiermee sluit het assessmentjaar voor uw laatste goedgekeurde CGI-aansluiting aan op het assessmentjaar voor uw nieuwe SAML-aansluiting.

Let op: door het verkrijgen van uitstel valt uw nieuwe aansluiting onder voorwaarde 5.5 uit de ‘Voorwaarden DigiD’.

U, als aansluithouder, dient zelf de aanvraag in om de CGI-aansluiting te deactiveren. Dit kan door het invullen van het wijzigingsformulier of contact op te nemen met ons servicecentrum. Zodra de aansluiting gedeactiveerd is, vervalt uw assessmentplicht.

Logius wil de zekerheid van een onafhankelijke deskundige over de betrouwbaarheid van websites van de aansluithouders van DigiD. De deskundige moet vaststellen dat de betreffende website voldoet aan de beveiligingsnormen. Om zeker te zijn van de goede uitvoering van een dergelijk onderzoek, heeft Logius gezocht naar betrouwbare deskundigen die:

  • voldoende kennis hebben van het gebruik van informatietechnologie en informatiebeveiliging;
  • gedegen onderzoek kunnen uitvoeren;
  • erkend zijn in de markt.

Op basis hiervan heeft Logius gekozen voor RE-auditors die voldoen aan de eisen die NOREA, de beroepsorganisatie van IT-auditors, stelt. 

NOREA is geassocieerd lid van de International Federation of Accountants (IFAC), wat betekent dat de in het register van NOREA ingeschreven RE-auditors moeten voldoen aan de opleidingseisen die NOREA stelt, en onderworpen zijn aan internationale regelgeving op het terrein van audit en insurance, waaronder de 'Code of Ethics' en de ‘International Standards on Auditing’ (ISAs). Daarnaast zijn RE-auditors onderworpen aan tuchtrecht en periodiek kwaliteitstoezicht.

Logius wil de zekerheid van een onafhankelijke deskundige over de betrouwbaarheid van websites. De deskundige moet vaststellen dat de betreffende website voldoet aan de beveiligingsnormen.

Het is derhalve aan het professionele oordeel van de RE-auditor om te bepalen of hij kan steunen op de rapportage van de auditor van de leverancier.

Waarschijnlijk heeft uw accountantskantoor RE-auditors in dienst. Neem in andere gevallen contact op met NOREA, de beroepsorganisatie van IT-auditors.

Eventuele vakinhoudelijke specifieke auditvragen over het ICT-beveiligingsassessment kunnen primair worden gericht aan NOREA. Zo ook voor het verkrijgen van uitsluitsel bij een verschil van inzicht.

De benodigde expertise voor de assessments en pentesten is beperkt in de markt aanwezig. Daarom adviseren wij om hiermee rekening te houden met het inplannen en uitvoeren van een ICT-beveiligingsassessment DigiD.

Organisaties die verschillende soorten audits laten uitvoeren op hun webomgeving kunnen in overleg met hun auditors nagaan of er combinaties mogelijk zijn.

Voor elke actieve aansluiting op DigiD moet u een DigiD-beveiligingsassessment (laten) uitvoeren. In het normenkader staat omschreven op welke normen de audit plaats vindt.

Met de DigiD-applicatie wordt bedoeld: de website of webapplicatie van de afnemer die gebruik maakt van DigiD voor authenticatie.

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces".

Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld. Vragen over de scope van het assessment moeten primair worden gericht aan NOREA.

Elke organisatie die DigiD afneemt is verantwoordelijk voor het op laten stellen van een assessmentrapportage door een auditor, voor iedere DigiD-aansluiting. Afhankelijk van hoe de oplossing is geïmplementeerd (SaaS, extern gehost, zelf gehost) zal inderdaad in meer of mindere mate een aantal van de richtlijnen bij de leverancier getoetst kunnen worden. Er is echter altijd een aantal normen dat bij de organisatie zélf door een auditor moeten worden getoetst.

Nee, een penetratietest is onderdeel van het assessment, maar geldt op zichzelf niet als audit. 

Niet per definitie. De ‘Norm ICT-beveiligingsassessments DigiD’ is een selectie van beveiligingsrichtlijnen uit de ‘ICT-Beveiligingsrichtlijnen voor Webapplicaties’ van het Nationaal Cyber Security Centrum (NCSC). Wij adviseren organisaties daarom breed te kijken naar hun IT-beveiliging en eventueel ook specifieke maatregelen te treffen.

Nee, het kan echter wel door de auditor gebruikt worden als ondersteunende auditdocumentatie.

Een Certified Information Systems Auditor (CISA) is niet bevoegd de ICT-beveiligingsassessments uit te voeren. De reden hiervoor is dat de CISA niet onderworpen is aan internationaal erkende regelgeving op het terrein van audit en assurance, i.e International Standards on Auditing (ISAs), tuchtrecht en kwaliteitstoetsing.

TPM (Third Party Mededeling)

Nee, dat hoeft niet. De aansluithouder en zijn auditor maken de keuze om wel of niet gebruik te maken van TPM's. Het is de verantwoordelijkheid van de aansluithouder dit te organiseren. Maak hier duidelijke afspraken over met uw leverancier.

Een groot aantal afnemers maakt gebruik van een TPM-verklaring van een leverancier. De geldigheid van een TPM is bepaald op maximaal 12 maanden. Dat wil zeggen dat ten tijde van het assessment (datum assessmentrapport) de gebruikte TPM’s niet ouder mogen zijn dan 12 maanden.

Voorwaarde daarbij is dat een TPM maar één keer mag worden gebruikt voor een assessment op de betreffende aansluiting. Ook de TPM moet zijn opgesteld en ondertekend door een RE-auditor.

De auditor neemt de oordelen uit de TPM over onder vermelding van:

  • de naam van de serviceorganisatie;
  • het referentie/rapportnummer;
  • de datum van het rapport;
  • de naam van de auditor.

Zie hiervoor ook bijlage C van het “modelrapport gebruikersorganisatie (2017)” van NOREA. Tevens wordt de TPM als bijlage aan de assessmentrapportage toegevoegd.

U kunt gebruik maken van een ISAE-, of SOC-verklaring van een leverancier. Gangbare internationale assurancestandaarden zijn ISAE3402, ISAE3000 en SOC2 of SOC3. In hoeverre de verklaring bruikbaar en van toepassing is kan uw auditor bepalen.

Maakt een assessmentrapportage gebruik van een onderliggende internationale assuranceverklaring, dan mag de assuranceverklaring niet ouder zijn dan 12 maanden ten opzichte van de datum van het assessmentrapport.

De assuranceverklaring mag maar één keer mag worden gebruikt voor een assessment op de betreffende aansluiting.

De oordelen uit de ISAE- of SOC-verklaring zijn vaak niet een-op-een te koppelen aan de normen van het DigiD-assessment. Uw auditor moet beoordelen of en aan welke normen van het DigiD-assessment wordt voldaan, aan de hand van de oordelen uit de ISAE-, of SOC-verklaring. Ook beoordeelt uw auditor of de aansluithouderorganisatie nog aanvullende maatregelen moet nemen.

Uw auditor neemt een verklaring op dat de toetsing van de ISAE- of SOC-normen tegen de DigiD-normen is uitgevoerd, en toont het resultaat van deze toetsing in de tabel van bijlage C (zie het modelrapport van NOREA) met een oordeel “voldoet” of “voldoet niet”.

De auditor vermeldt daarbij ook de volgende gegevens van de internationale assuranceverklaring:

  • de naam van de serviceorganisatie
  • het referentie-/rapportnummer
  • de datum van de verklaring
  • de naam van de ondertekenaar.

De internationale assuranceverklaring zelf mag worden toegevoegd als bijlage aan de assessmentrapportage, maar let er hierbij op of dit is toegestaan door uw dienstverlener.