ICT-beveiligingsassessments DigiD

Alle organisaties die DigiD gebruiken moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen.

De norm v2.0 is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties.

De norm v2.0 geldt sinds 1 juli 2017 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De norm is gebaseerd op de ICT-beveiligingsrichtlijnen (NSCS, 2015).

Een Register EDP-auditor toetst in een IT-audit of uw organisatie voldoet aan de norm. Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren.

U kunt contact opnemen met uw accountantskantoor voor het vinden van een auditor. In het register van de NOREA, (Nederlandse Orde van Register EDP-Auditors) staan Register EDP-auditors ingeschreven die voldoen aan internationale regelgeving op het terrein van audit en assurance. Een voorbeeld van deze regelgeving is de 'Code of Ethics' en de International Standards on Auditing (ISA's).

Door de NOREA is een handreiking gepubliceerd met een toelichting op formele aspecten bij de opdrachten voor DigiD-assessments. Deze handreiking vindt u op de website van NOREA. Let op: het betreft een handreiking, geen één op één handhaving.

Door NOREA is ook een handreiking gepubliceerd met een toelichting op de procesmatige kwaliteitsaspecten bij DigiD penetratietesten.

Deze handreiking vindt u eveneens op de website van Norea.

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". 

Met systeemkoppelingen wordt de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.

Stap 1: zelf toetsen aan de hand van de richtlijnen

Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.

Stap 2: maatregelen treffen

Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

Stap 3: penetratietest uitvoeren

Laat een penetratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.

Stap 4: bevindingen penetratietest oplossen

Neem maatregelen om de bevindingen op te lossen.

Stap 5: audit uitvoeren

Laat een audit uitvoeren door een RE-auditor.

Stap 6: bevindingen naar Logius sturen

  1. De rapportage over het ICT-beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep van de auditors tot stand is gekomen. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet.
  2. De rapportage, die is ondertekend door de auditor, wordt door het bestuur van uw organisatie aan Logius verstuurd. Het postadres is:
    Logius
    t.a.v. ICT-Beveiligingsassessments
    Antwoordnummer 16073
    2501 VE Den Haag

    Eventuele achterliggende deelrapportages, subbevindingen, managementletters, methodische verantwoordingen en dergelijke, verstrekt de auditor primair voor de desbetreffende organisatie in wiens opdracht het onderzoek plaatsvindt.

    Het NCSC ontvangt een geanonimiseerde rapportage vanwege periodieke herijking van de richtlijnen. Logius en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties stellen aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD.

U kunt de rapportages vanaf 1 januari 2018 ook digitaal versturen naar:
DigiDassessment@logius.nl

De documenten moeten in PDF/A-formaat aangeleverd worden. Per document moet er één PDF/A- bestand worden aangeleverd. Als afzender gebruikt u hiervoor een e-mailadres vanuit uw organisatie. Zie de Veelgestelde vragen voor meer informatie over PDF/A en het maken van een PDF/A-bestand.

Indien u de vertrouwelijkheid van uw e-mail wilt waarborgen adviseren wij u het bericht versleuteld op te sturen. Informatie over het versleuteld opsturen van uw assessmentrapportage kunt u vinden onder de veelgestelde vragen.

Sinds 2017 is voor gemeenten de verantwoordingsprocedure veranderd. Gemeenten maken voor het eerst gebruik van de ENSIA-verantwoordingsmethodiek.

Voor inhoudelijke vragen over deze methodiek kunt u contact opnemen met KING:

  • Telefoonnummer: 070 250 24 00 (bereikbaar op werkdagen tussen 8.00 - 18.00 uur)
  • E-mail: ensia@kinggemeenten.nl

Logius

Voor vragen over de procedure en de toetsing kunt u terecht bij Logius.

NCSC

Voor inhoudelijke vragen over de richtlijn beveiliging webapplicaties kan men terecht bij NCSC via 070 888 75 99 op werkdagen van 9.30 - 12.00 uur of richtlijnen@ncsc.nl.

NOREA

Register EDP-auditors kunnen voor vragen over het toetsingsproces terecht bij NOREA.

Postadres

Logius, ICT-Beveiligingsassessments DigiD
Antwoordnummer 16073
2501 VE Den Haag

Contact en ondersteuning

Zoekt u zakelijk contact met Logius? Het Servicecentrum is op werkdagen van 08.00 tot 17.00 uur actief.