Wie doet wat rondom het ICT-beveiligingsassessments DigiD?

Binnen het geheel van het ICT-beveiligingsassessments DigiD spelen verschillende partijen een rol.

BZK

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is eigenaar van Logius en heeft vanuit deze rol bepaald dat DigiD dienstverleners verplicht zijn IT-assessmentrapportages aan te leveren. Ook stelt BZK het Normenkader vast waaraan de DigiD applicatie moet voldoen.

Logius

Logius houdt in opdracht van BZK toezicht op het naleven van de uitvoering van de DigiD Assessments zoals gesteld in de Voorwaarden DigiD en de Voorwaarden TVS. Ook is Logius verantwoordelijk voor het toezien op het tijdig oplossen van tekortkomingen.

NOREA

NOREA is de beroepsorganisatie van IT-auditors waar RE-auditors bij aangesloten moeten zijn om een DigiD Assessment uit te voeren. NOREA en Logius geven gemeenschappelijk invulling aan hoe de door BZK bepaalde DigiD-normen getoetst moeten worden. Alle RE-auditors zijn terug te vinden in het register van NOREA.

DigiD dienstverlener

De DigiD dienstverlener heeft een actieve DigiD aansluiting (direct of via TVS) en is daarmee de verplichting aangegaan tot het jaarlijks indienen van een DigiD Assessment.

De DigiD dienstverlener blijft echter altijd verantwoordelijk voor de veiligheid van de DigiD aansluiting en applicatie. Het DigiD Normenkader is een minimale vereiste. Het adopteren van extra beveiligingsmaatregelen wordt geadviseerd. 

Serviceorganisatie

Een DigiD dienstverlener heeft de mogelijkheid om de omgeving met de DigiD koppeling en de DigiD applicatie deels uit te besteden aan een Serviceorganisatie. Hoe het toetsen van de DigiD normen werkt bij het gebruikmaken van een Serviceorganisatie vindt u onder IT-assessmentrapportage voor DigiD.