Wie doet wat rondom het ICT-beveiligingsassessments DigiD?

Binnen het geheel van het ICT-beveiligingsassessments DigiD spelen verschillende partijen een rol.

BZK

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is eigenaar van Logius en heeft vanuit deze rol bepaald dat DigiD aansluithouders verplicht zijn IT-auditrapportages aan te leveren. Ook stelt BZK het Normenkader vast waaraan de DigiD koppeling en applicatie moet voldoen.

Logius

Logius houdt in opdracht van BZK toezicht op het naleven van de Voorwaarden DigiD, zoals de uitvoering van de DigiD Assessments. Ook is Logius verantwoordelijk voor het toezien op het tijdig oplossen van tekortkomingen.

NCSC

Het NCSC (Nationaal Cyber Security Centrum) adviseert over de richtlijnen voor de ICT-beveiliging voor webapplicaties. BZK bepaalt vervolgens welke richtlijnen er gevolgd moeten worden. De richtlijnen met de hoogste impact op de veiligheid van DigiD zijn hiervoor gekozen en opgenomen in het DigiD Normenkader.

NOREA

NOREA is de beroepsorganisatie van IT-auditors waar RE-auditors bij aangesloten moeten zijn om een DigiD Assessment uit te voeren. NOREA geeft invulling aan hoe de door BZK bepaalde DigiD-normen getoetst moeten worden. Alle RE-auditors zijn terug te vinden in het register van NOREA.

ENSIA

Via het ENSIA stelsel leggen gemeenten verantwoording af over de informatieveiligheid waaronder ook die van DigiD.

Een gemeente levert de assessmentrapportage aan via een tool ontwikkeld door ENSIA. Zie hiervoor  IT-auditrapportage voor DigiD en Indienen IT-auditrapportage en vervolgstappen.

DigiD aansluithouder

De DigiD aansluithouder heeft een actieve DigiD aansluiting en is daarmee de verplichting aangegaan tot het jaarlijks indienen van een DigiD Assessment.

De DigiD aansluithouder blijft echter altijd verantwoordelijk voor de veiligheid van de DigiD aansluiting en applicatie. Geadviseerd wordt om buiten de maatregelen uit het DigiD Normenkader ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen van NCSC te adopteren.

Serviceorganisatie

Een DigiD aansluithouder heeft de mogelijkheid om de omgeving met de DigiD koppeling en de DigiD applicatie deels uit te besteden aan een Serviceorganisatie. Hoe het toetsen van de DigiD normen werkt bij het gebruikmaken van een Serviceorganisatie vindt u onder IT-auditrapportage voor DigiD.