Main content
Bekijk hier het laatste nieuws rondom de ICT-beveiligingsassessments DigiD.
Logius accepteert alleen de zogenoemde EUTL-handtekening als elektronische handtekening voor alle documenten in de assessmentrapportage.
Een EUTL-handtekening is een gekwalificeerde elektronische handtekening met een certificaat dat herleidbaar is naar een uitgevende instantie die vermeld is op de EUTL. De handtekening zorgt voor een hoge betrouwbaarheid. Daarnaast is de controle van de handtekening eenvoudig en snel. Een EUTL-handtekening is persoonsgebonden aan de RE-auditor die een document in de assessmentrapportage ondertekent.
Figuur 1 hieronder laat in de bovenste regel zien hoe dit in de eigenschappen van de handtekening wordt weergegeven:
Figuur 1 Eigenschappen van handtekening
Deze persoonsgebonden koppeling met de naam van de RE-auditor is vereist. Ondertekening door een uitgevende partij is niet toegestaan, ook niet bij vermelding van de naam van de auditor op een andere plaats in de handtekening. Vermelding van het e-mailadres mag, maar is niet vereist.
In de volgende regels in Figuur 1 worden de European Union Trusted Lists (EUTL) genoemd. Het certificaat dat wordt gebruikt bij het zetten van een elektronische handtekening is te herleiden naar de uitgevende instantie. De uitgevende instantie staat op deze EUTL. Dit geeft een hoge betrouwbaarheid.
In Figuur 1 is de elektronische handtekening gekwalificeerd. De verwijzing naar de EU-richtlijn 910/2014 betekent dat de handtekening voldoet aan de eIDAS-verordening waarin het genereren en het accepteren van elektronische handtekeningen op Europees niveau is geregeld.
Bronnen met achtergrondinformatie
Meer informatie is te vinden op Elektronische handtekening - Europa decentraal.
De norm B.01, Informatiebeveiligingsbeleid, is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs. De norm B.01 is onderdeel van het normenkader 3.0 zoals is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Formele vaststelling en vastlegging van het beleid
Een informatiebeveiligingsbeleid bestaat pas na de (formele) vaststelling en vastlegging van het beleid op het juiste organisatorische niveau. Voor aansluithouders die niet tijdig de volledige (formele) vastlegging en/of vaststelling van het beleid kunnen realiseren is een uitzonderingsregel opgesteld. Deze uitzonderingsregel is opgesteld in samenspraak met het Ministerie van BZK en NOREA.
Voorwaarden voor de uitzonderingsregel op B.01
De uitzonderingsregel geldt voor nieuwe en bestaande aansluitingen en is alleen van toepassing op de aansluithouder en alleen als de aansluithouder aan de volgende voorwaarden voldoet.
- De RE-auditor constateert vóór 1 mei 2023 dat de aansluithouder het informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, niet volledig vóór 1 mei 2023 (formeel) heeft vastgelegd en/of vastgesteld.
- De RE-auditor constateert dat aan de overige beheersingsmaatregelen van de norm B.01 wordt voldaan.
- De RE-auditor constateert dat de aansluithouder een verbeterplan heeft opgesteld om te voldoen aan de norm B.01 vóór 1 mei 2024.
Pas als aan alle 3 voorwaarden is voldaan neemt de auditor de onderstaande tekst (als voetnoot) op in de paragraaf ‘Oordelen’ bij het oordeel ‘voldoet niet’ op de norm B.01.
* T.a.v. norm B.01 merken we op dat het (formeel) volledig vastleggen en/of vaststellen van een apart informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, voor de aansluithouder een langere termijn vergt dan de termijn tot 1 mei 2023. Naar het oordeel van de auditor is een verbeterplan opgesteld waarbij de auditor er kennis van heeft genomen dat de tekortkoming voor 1 mei 2024 zal zijn opgelost. Aan alle andere beheersmaatregelen van deze norm wordt wel voldaan. Voor nadere informatie kan Logius zich wenden tot de auditor.
Besluit Logius
Indien niet wordt voldaan aan de norm B.01 vanwege het ontbreken van de (formele) volledige vastlegging en vaststelling van het beleid, maar wel wordt voldaan aan voornoemde voorwaarden, en dit wordt verklaard door de specifieke voetnoot, dan kan Logius de uitzonderingsregel op B.01 toepassen.
Hiermee krijgt de aansluithouder de tijd om uiterlijk 1 mei 2024 volledig te voldoen aan de norm B.01.
Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een nieuw normenkader vastgesteld voor het DigiD-assessment. Het besluit bestaat uit 2 delen:
1. Invoering nieuw Normenkader 3.0, met 21 normen
Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NCSC-richtlijnen plus een nieuwe, 21e norm, B.01. Dit Normenkader v3.0 gaat in op 1 augustus 2022.
Omschrijving norm B.01
'De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatiegerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.'
Doel norm B.01
'Hiermee wordt ervoor gezorgd dat in het beveiligingsproces specifiek aandacht is voor de webapplicaties van de organisatie.'
De norm B.01 is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs.
Auditors zullen hierbij de auditrichtlijnen volgen vanuit NOREA.
2. Extra toetsing op werking
Sinds de invoering van het DigiD-assessment zijn de normen getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01; U/WA.02; C.07; C.08 en C.09.
De invoering van de toetsing op werking omvat een overgangsjaar:
- Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
- Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.
Het object van onderzoek, de scope, van het DigiD-assessment verandert niet. Maar met het op een andere manieren opknippen van de dienstverlening in verschillende services, is wel de vraag ontstaan wat wel en wat niet binnen het DigiD assessment valt. NOREA heeft de scope-omschrijving verduidelijkt in de FAQ, versie 1.4. Op de Logius website is die scope-omschrijving overgenomen en terug te lezen op de pagina IT-auditrapportage voor DigiD.
Voor de norm U/PW.03 is in assessmentjaar 2020 een uitzondering mogelijk geweest op de eisen voor ‘unsafe-inline’ en ‘unsafe-eval’. Logius kende, onder voorwaarden, deze uitzondering toe aan aansluitingen met een webapplicatie waarop mitigerende maatregelen zijn toegepast, terwijl niet werd voldaan aan de juiste parameters voor unsafe-inline en unsafe–eval.
Voor de komende jaren is aan het toekennen van de uitzonderingsregel een striktere invulling gegeven. Wel kan de uitzonderingsregel voorlopig worden voortgezet. Dit geeft aansluithouders en serviceorganisaties meer ruimte om grote wijzigingen door te kunnen voeren. Lees hier meer over.
Hoe een RE-auditor moet omgaan met een ISAE- of SOC -verklaring van een serviceorganisatie is veranderd. Ook wat de aansluithouder hiervoor moet inleveren is veranderd.
Dit staat aangegeven in de FAQ op de website van NOREA. Ook is het aangepast op de pagina: IT-auditrapportage voor DigiD onder de kop 'Toetsen van de serviceorganisatie'.
NOREA heeft de handreiking DigiD meervoudig assessment gepubliceerd. Het meervoudig assessment heeft betrekking op leveranciers van een platform waar meerdere aansluithouders op zijn aangesloten. Met de handreiking van NOREA voert een EDP-auditor alleen bij de leverancier van het platform één audit uit en hoeft dit niet meer te doen bij de onderliggende aansluithouders. Na een succesvol meervoudig assessment bij de leverancier is het toegestaan om later nieuwe aansluitingen toe te voegen, zonder de verplichting voor een aansluithouder om binnen twee maanden een audit uit te voeren. De nieuwe aansluitingen worden dan in het eerstvolgende jaarlijkse assessment bij de leverancier meegenomen.
Aansluithouders bieden steeds vaker hun diensten aan via grote platformen die gespecialiseerd zijn op hun vakgebied. Ook het aansluiten op DigiD wordt vaak uitbesteed aan de platformleverancier. Dit brengt schaalvoordelen met zich mee en de aansluithouder hoeft zich niet te verdiepen in complexe ICT-aangelegenheden. Met het meervoudig assessment wordt ook de assessmentplicht van iedere aansluithouder overgedragen naar een leverancier en wordt de aansluithouder verder ontzorgt.
De leverancier van het platform krijgt bij de uitvoering van het meervoudig assessment een belangrijke rol bij de voorbereidingen en uitvoering. Er moet aangetoond worden dat er standaardprocedures zijn ingericht voor bijvoorbeeld het aansluiten van nieuwe aansluithouders. De standaardprocedure moeten bewijsbaar zijn gevolgd en worden meegenomen in de audit. Ook zal de leverancier de aansluithouder werk uit handen nemen door bewijs voor de aansluithouder bij te houden en op te leveren. Hiermee wordt het bewijs dat bij de aansluithouder opgehaald moet worden door de leverancier tot een minimum beperkt.
U vindt de NOREA handleiding DigiD meervoudige assessments op: https://www.norea.nl/werkgroep-digid-assessments
Per 1 juni is de nieuwe versie van de testaanpak voor DigiD-assessments verplicht gesteld. NOREA heeft de testaanpak gepubliceerd op de website als ’Handreiking DigiD-assessments’. De testaanpak is vooraf afgestemd met Logius. Het betreft wijzigingen op de invulling van het toetsen van de ongewijzigde DigiD-normen. De auditor zal iedere DigiD-aansluiting volgens de vernieuwde testaanpak moeten controleren.
De update van de testaanpak betreft de toepassing van de non-occurence-regel, het gebruik van TLS zoals getoetst in de norm U/WA.05 en een aanpassing op settings in de security header zoals getoetst in de norm U/PW.03. Deze technische wijzigingen op de testaanpak zijn in 2019 aangekondigd als aanbeveling en als mogelijke toekomstige verplichting.
Meld u zich aan voor algemene DigiD Assessmentberichten (via het algemeen contactformulier) om op de hoogte te blijven van deze en andere wijzigingen en ontwikkelingen die van invloed zijn op het DigiD-assessment.
DigiD-assessmentberichten
Met enige regelmaat sturen wij per mail een bericht, met daarin actualiteiten en nieuwswaardigheden rondom de DigiD beveiligingsassessments. Wilt u zich aanmelden voor deze berichten? Vul dan dit formulier in.
U kunt hieronder ook het archief met eerdere berichten bekijken.
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.