Main content

Het ICT-beveiligingsassessments DigiD hanteert verschillende voorwaarden voor nieuwe en bestaande aansluitingen.

Nieuwe aansluiting – artikel 5.6

In de Aansluitvoorwaarden DigiD en DigiD Machtigen staat dat afnemers verplicht zijn om binnen twee maanden na activatie van de DigiD aansluiting een assessmentrapport in te leveren. Zodra de DigiD aansluiting door Logius is geactiveerd, wordt dit per e-mail bevestigd aan de DigiD aansluithouder. Hierna heeft de aansluithouder 2 maanden de tijd om een eerste DigiD Assessment in te leveren.

Ook als uit het assessment blijkt dat er niet aan de gestelde normen is voldaan moet de rapportage worden ingediend. Het DigiD assessment voor nieuwe aansluitingen is gelijk aan die voor bestaande aansluitingen, alleen de tijdslijnen lopen anders.

Wanneer wordt een nieuwe aansluiting een bestaande aansluiting?

Is het eerste assessment met goed gevolg doorlopen en wordt er aan alle normen voldaan, dan stelt Logius de aansluithouder per brief op de hoogte dat aan artikel 5.6 van de Voorwaarden DigiD is voldaan. Vanaf dat moment wordt er gesproken over een bestaande aansluiting.

Berekenen van de eerstvolgende inleverdeadline

In de brief waarin staat dat de DigiD aansluiting voldoet dat aan artikel 5.6 staat ook vermeld wanneer de eerstvolgende assessmentrapportage ingeleverd moet worden. De inleverdatum is niet eerder dan 12 maanden na de activatie. Indien de inleverdatum buiten de reguliere inleverperiode van 1 januari tot 1 mei valt, wordt het assessmentrapport ingeleverd in de inleverperiode van het jaar daarop.

Voorbeeld

Activatiedatum Deadline initieel rapport Volgende inleverperiode Over het jaar
7 januari 2023 7 maart 2023 1 jan – 1 mei 2024¹ 2023
23 maart 2023   23 mei 2023 1 jan – 1 mei 2024¹ 2023
26 april 2023  26 juni 2023 1 jan – 1 mei 2024¹ 2023
7 mei 2023 7 juli 2023 1 jan – 1 mei 2025² 2024
7 oktober 2023 7 december 2023 1 jan – 1 mei 2025² 2024
Voetnoten:
  1. Deze rapportage MAG de toetsing op werking bevatten
  2. Deze rapportage MOET de toetsing op werking bevatten

Meer informatie over de toetsing op werking is te vinden op: Normenkader 3.0 voor ICT-beveiligingsassessments DigiD.

Let op: voor een nieuwe LMA gelden andere regels voor het berekenen van de eerstvolgende inleverdeadline. Zie hiervoor de informatie en de voorwaarden op de pagina: Het meervoudig assessment

Bestaande aansluiting – artikel 5.5

Zodra de DigiD aansluiting moet voldoen aan artikel 5.5 van de Voorwaarden DigiD, beschouwt Logius het als een 'bestaande aansluiting'. Voor een bestaande aansluiting geldt een jaarlijkse assessmentplicht.

De jaarlijkse cyclus

Een DigiD aansluithouder moet jaarlijks tussen 1 januari en 1 mei een assessmentrapportage inleveren waarin verantwoording wordt afgelegd over het voorgaande jaar. De toetsperiode loopt minstens tot 31 december van het voorgaande jaar. De auditor geeft een oordeel aansluitend aan de toetsperiode, niet eerder dan 1 januari.

De aansluithouder krijgt van Logius een schriftelijke terugkoppeling over het resultaat van het assessment.

Wijziging in de DigiD omgeving

Op basis van de Voorwaarden DigiD of de Norm ICT-beveiligingsassessments DigiD eist Logius géén nieuw auditrapport als er wijzigingen in de DigiD omgeving worden doorgevoerd, die niet leiden tot een nieuw aansluitnummer. De wijzigingen worden meegenomen in het eerstvolgend jaarlijkse assessment. De DigiD aansluithouder blijft wel te allen tijde verantwoordelijk voor de veiligheid van de webapplicatie en de ICT-omgeving. Indien blijkt dat een ICT-omgeving gecompromitteerd is met mogelijk negatieve gevolgen voor de veiligheid en integriteit van DigiD, heeft Logius het recht om de DigiD aansluiting af te sluiten.

Een wijziging van de domeinnaam van de DigiD omgeving of een wijziging van koppelvlak heeft wel gevolgen voor het DigiD Assessment. Voor deze wijzigingen is een nieuw DigiD aansluitnummer vereist.

Het Logius Aansluitteam helpt bij de vraag of een wijziging een nieuw aansluitnummer tot gevolg heeft. Een nieuw DigiD aansluitnummer wordt gezien als een nieuwe aansluiting. Dit geldt voor zowel de rechtstreekse koppeling met DigiD, als voor een koppeling met de ToegangVerleningService (TVS).

Volgens de Aansluitvoorwaarden DigiD en DigiD Machtigen is het voor een nieuwe aansluiting verplicht om binnen twee maanden na activatie een assessmentrapport in te leveren.

Soms verandert de DigiD-omgeving niet en is het nieuwe aansluitnummer alleen het gevolg van een wijziging van het koppelvlak. In dat geval kan uitstel gevraagd worden voor het indienen van de assessmentrapportage. Dit is bijvoorbeeld het geval bij een wijziging van CGI naar SAML. Maar ook voor een wijziging van een rechtstreekse aansluiting op DigiD naar een aansluiting op TVS kan uitstel worden aangevraagd.

Omdat de omgeving niet verandert geldt de eerstvolgende inleverperiode van het oude aansluitnummer als inleverperiode voor het nieuwe aansluitnummer. Dus in plaats van het inleveren van een assessmentrapportage binnen twee maanden, wordt er ingeleverd in de eerstvolgende assessmentperiode van 1 januari tot 1 mei.

Om gebruik te maken van de mogelijkheid tot uitstel, moet aan onderstaande eisen worden voldaan:

  1. Binnen twee maanden na activatie van het nieuwe aansluitnummer dient de aansluithouder een verzoek in tot uitstel tot de eerstvolgende assessmentperiode van 1 januari tot 1 mei. In dit verzoek moet zijn aangegeven wat het oude en wat het nieuwe aansluitnummer is. Het indienen van het uitstelverzoek gaat op dezelfde manier als het indienen van een assessmentrapportage, dus via het aanleverformulier of e-mail (zie Indienen via het aanleverformulier, e-mail, of ENSIA).
  2. Op het oude aansluitnummer is een assessmentrapport ingediend, waarbij Logius heeft bevestigd dat de aansluithouder heeft voldaan aan artikel 5.5 of 5.6. Dat wil zeggen: het assessment is goed doorlopen, er zijn geen openstaande punten meer voor het afgelopen assessmentjaar.
  3. De auditor (RE) van de aansluithouder heeft een schriftelijke verklaring opgesteld en ondertekend (zie Betrouwbaarheidseisen aan de handtekening van een RE-auditor). Hierin staat dat, door de migratie van koppelvlak, security technisch niets is gewijzigd binnen de scope van het assessment. De verklaring geeft aan welk nieuw aansluitnummer welk oud aansluitnummer vervangt. De aansluithouder stuurt de verklaring mee met het uitstelverzoek.

Let op: als er binnen de scope van het assessment voor uw aansluiting gebruik gemaakt wordt van een serviceorganisatie, dan moet hier een soortgelijke verklaring voor worden ingeleverd. Dit kan apart, maar mag ook worden meegenomen in de verklaring van de auditor van de aansluithouder.

De aansluithouder krijgt een schriftelijke reactie via de post op het uitstelverzoek. Hierin wordt de inleverperiode genoemd waarin het eerstvolgende assessment voor het nieuwe aansluitnummer/aansluitnaam moet worden ingeleverd.

Let op: Deactiveer na migratie het oude aansluitnummer via het Logius Aansluitteam om de assessmentplicht voor deze aansluiting te beëindigen.

Let op: door het krijgen van uitstel valt de nieuwe aansluiting onder artikel 5.5 van de Aansluitvoorwaarden DigiD en DigiD Machtigen.

 

Wanneer vervalt de assessmentplicht?

Elke geactiveerde DigiD aansluiting moet voldoen aan de assessmentplicht. De aansluithouder moet zelf een verzoek indienen om een DigiD aansluiting te laten deactiveren als deze niet meer gebruikt wordt. Dit kan door het invullen van het wijzigingsformulier of door contact op te nemen met Logius. Pas als de aansluiting gedeactiveerd is, vervalt de assessmentplicht.

Let op: Indien de DigiD aansluiting bij de aansluithouder functioneel niet in gebruik is, maar wel als geactiveerd geregistreerd staat bij Logius, loopt de assessmentplicht gewoon door.

Contact

Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.