×

De afgelopen week heeft het kabinet aanvullende maatregelen genomen om de verspreiding van het coronavirus tegen te gaan. Ook op Logius heeft dit impact. Lees verder op de pagina Continuïteit dienstverlening Logius

ICT-beveiligingsassessments DigiD

Door de maatregelen rondom het COVID-19-virus komen aansluithouders potentieel in het nauw met de deadline voor het inleveren van de DigiD-assessmentrapportage. Logius realiseert zich dat dit een bijzondere, onvoorziene situatie is en speelt hier als volgt op in.

Uitgaande van de huidige maatregelen durend tot 6 april 2020 en voorbehoudend nieuwe maatregelen:

  • Voor bestaande aansluitingen met de inleverperiode vóór 1 mei wordt 1 maand extra de tijd gegeven. De assessmentrapportage wordt daarmee verwacht vóór 1 juni 2020.
  • Nieuwe aansluitingen dienen normaliter de assessmentrapportage in binnen 2 maanden na activatie. Logius streeft ernaar al deze aansluithouders te bellen om te kijken wat de mogelijkheden zijn. Indien uw ontwikkelingen rondom de nieuwe DigiD-aansluiting stil liggen adviseren wij u om zelf de aansluiting tijdelijk te deactiveren. Heractiveren kan op een later moment weer als de werkzaamheden hervat worden. U krijgt vervolgens weer 2 maanden de tijd om de assessmentrapportage in te dienen.
  • Ook de aansluithouders die termijn hebben gekregen voor het niet voldoen aan eerder gescoorde norm(en) gaan wij bellen. Wij kijken gezamenlijk naar een passende oplossing.

Bovenal doet Logius een beroep op de eigen verantwoordelijkheid van de aansluithouders om assessments in te leveren zodra deze klaar zijn. En om de DigiD-webapplicaties en hun ICT-omgeving veilig te maken en te houden. Omdat het niet altijd makkelijk zal zijn om de aansluithouders zoals hierboven genoemd telefonisch te bereiken kunnen deze aansluithouders ook Logius bereiken via https://www.logius.nl/contact

Alle organisaties die DigiD gebruiken moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit laten toetsen.

De norm v2.0 is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties.

De norm v2.0 geldt sinds 1 juli 2017 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De norm is gebaseerd op de ICT-beveiligingsrichtlijnen (NSCS, 2015). Voor inhoudelijke vragen over de richtlijn kan men terecht bij NCSC.

Een Register EDP-auditor toetst in een IT-audit of uw organisatie voldoet aan de norm. Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren.

U kunt contact opnemen met uw accountantskantoor voor het vinden van een auditor. In het register van de NOREA, (Nederlandse Orde van Register EDP-Auditors) staan Register EDP-auditors ingeschreven die voldoen aan internationale regelgeving op het terrein van audit en assurance. Een voorbeeld van deze regelgeving is de 'Code of Ethics' en de International Standards on Auditing (ISA's).

Door de NOREA is een handreiking gepubliceerd met een toelichting op formele aspecten bij de opdrachten voor DigiD-assessments. Deze handreiking vindt u op de website van NOREA. Let op: het betreft een handreiking, geen één op één handhaving.

Door NOREA is ook een handreiking gepubliceerd met een toelichting op de procesmatige kwaliteitsaspecten bij DigiD penetratietesten.

Deze handreiking vindt u eveneens op de website van Norea.

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". 

Met systeemkoppelingen wordt de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.

Stap 1: zelf toetsen aan de hand van de richtlijnen

Door eerst na te gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u sowieso moet treffen. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit.

Stap 2: maatregelen treffen

Voer naar aanleiding van uw eigen toetsing noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

Stap 3: penetratietest uitvoeren

Laat een penetratietest (ook wel 'ethical hacking test') uitvoeren op uw systemen. U krijgt een rapport met bevindingen.

Stap 4: bevindingen penetratietest oplossen

Neem maatregelen om de bevindingen op te lossen.

Stap 5: audit uitvoeren

Laat een audit uitvoeren door een RE-auditor.

Stap 6: bevindingen naar Logius sturen

  1. De rapportage over het ICT-beveiligingsassessment DigiD betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep van de auditors tot stand is gekomen. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet.
  2. De rapportage, die is ondertekend door de auditor, wordt door het bestuur van uw organisatie aan Logius verstuurd. Het postadres is:

    Logius
    t.a.v. ICT-Beveiligingsassessments
    Antwoordnummer 16073
    2501 VE Den Haag

    Eventuele achterliggende deelrapportages, subbevindingen, managementletters, methodische verantwoordingen en dergelijke, verstrekt de auditor primair voor de desbetreffende organisatie in wiens opdracht het onderzoek plaatsvindt.

    Het NCSC ontvangt een geanonimiseerde rapportage vanwege periodieke herijking van de richtlijnen. Logius en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties stellen aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD.

U kunt de rapportage ook digitaal versturen naar: DigiDassessment@logius.nl

De documenten moeten in PDF/A-formaat aangeleverd worden. Per document moet er één PDF/A- bestand worden aangeleverd. Als afzender gebruikt u hiervoor een e-mailadres vanuit uw organisatie. Zie de Veelgestelde vragen voor meer informatie over PDF/A en het maken van een PDF/A-bestand.

Indien u de vertrouwelijkheid van uw e-mail wilt waarborgen adviseren wij u het bericht versleuteld op te sturen. Informatie over het versleuteld opsturen van uw assessmentrapportage kunt u vinden onder de veelgestelde vragen.

Sinds 2017 is voor gemeenten de verantwoordingsprocedure veranderd. Gemeenten maken voor het eerst gebruik van de ENSIA-verantwoordingsmethodiek.

Voor inhoudelijke vragen over ENSIA kunt u contact opnemen met VNG-Realisatie ENSIA:

  • Telefoonnummer: 070 250 24 00 (bereikbaar op werkdagen tussen 08:00-13:00 en daarna via de mail)
  • E-mail: ENSIA@vng.nl

 

Postadres

Logius, ICT-Beveiligingsassessments DigiD
Antwoordnummer 16073
2501 VE Den Haag

Contact en ondersteuning

Zoekt u zakelijk contact met Logius? Het Servicecentrum is op werkdagen van 08.00 tot 17.00 uur actief.