Hoofdinhoud

De norm U/PW.03 (de webserver is ingericht volgens een configuratie-baseline) is één van de twintig normen die worden getoetst bij een DigiD-assessment. De RE-auditor toetst de CSP (Content Security Policy) op het gebruik van ‘unsafe-eval’ en/of ‘unsafe-inline’ als onderdeel van deze norm. Deze toetsing is ‘rule based’, dat wil zeggen: naar de letter. De RE-auditor zal de norm als ‘voldoet niet’ beoordelen als ‘unsafe-eval’ en/of ‘unsafe-inline’ wordt gebruikt. Logius, als toezichthouder, zal erop nazien dat aan de norm wordt voldaan. Onder bepaalde voorwaarden kan dit echter worden opgeschoven naar uiterlijk 1 mei 2024. Dit noemt Logius de uitzonderingsregel voor U/PW.03. 

Voorwaarden voor de uitzonderingsregel op U/PW.03

De voorwaarden voor de uitzonderingregel op U/PW.03 voor het gebruik van ‘unsafe-eval’ of ‘unsafe-inline’ zijn:

  • De RE-auditor heeft geconstateerd dat voor het overige gedeelte wordt voldaan aan de norm U/PW.03
  • De RE-auditor heeft geconstateerd dat het gebruik van ‘unsafe-inline’ en/of ‘unsafe-eval’  functioneel is. Zonder het gebruik van ‘unsafe-inline’ of ‘unsafe-eval’ kan de applicatie niet werken en ook niet met eenvoudige middelen of inspanning werkend worden gemaakt.
  • De RE-auditor heeft geconstateerd dat er mitigerende maatregelen zijn.
  • De RE-auditor heeft geconstateerd dat er een verbeterplan aanwezig is. Dit verbeterplan moet ervan uitgaan dat zowel de gebruikers- als de serviceorganisatie vóór 1 mei 2024 geheel voldoet aan de norm U/PW.03.

Pas als aan alle vier voorwaarden is voldaan neemt de auditor de onderstaande tekst (als voetnoot) op onder paragraaf 1.1 ‘Oordelen’ in het assurancerapport of in een aanvullende verklaring: 

* T.a.v. norm U/PW.03 merken we op dat  één (1) specifiek onderdeel van de gewenste configuratie-items niet op de juiste wijze is geconfigureerd, waarbij naar het oordeel van de auditor de kwetsbaarheden afdoende zijn beperkt en een verbeterplan is opgesteld waarbij de auditor er kennis van heeft genomen, dat de kwetsbaarheid voor 1 mei 2024 geheel is opgelost. Alle andere configuratie-items zijn wel correct geconfigureerd. Voor nadere informatie kan Logius zich wenden tot de auditor.

Besluit Logius

Indien niet wordt voldaan aan de norm U/PW.03 vanwege het gebruik van ‘unsafe-eval’ of ‘unsafe-inline’, maar wel wordt voldaan aan voornoemde voorwaarden, en dit wordt verklaard door de specifieke voetnoot, dan kan Logius de uitzonderingsregel op U/PW.03 toepassen.

Hiermee krijgt de aansluithouder (en indien van toepassing indirect de serviceorganisatie) de tijd om uiterlijk 1 mei 2024 volledig te voldoen aan de norm U/PW.03. 

Let op: De aansluithouder moet jaarlijks door de auditor laten verklaren dat er nog steeds wordt voldaan aan de voorwaarden van de uitzonderingsregel. 

Houd er rekening mee dat wanneer u, als aansluithouder gebruik maakt van een serviceorganisatie, deze serviceorganisatie ruim vóór 1 mei 2024 voldoet aan de norm U/PW.03. Dit geeft u de tijd om het product van deze serviceorganisatie te implementeren, en te laten toetsen, voor de deadline van 1 mei 2024.