Main content

Bekijk hier het laatste nieuws rondom de ICT-beveiligingsassessments DigiD.

Logius verhoogt de eisen aan de betrouwbaarheid van de elektronische handtekening van RE-auditors. Dit geldt voor alle documenten die worden ingeleverd vanaf 1 januari 2023 voor het DigiD-Beveiligingsassessment.

Logius stelt hoge eisen aan de veiligheid van DigiD, en het veilige gebruik ervan. Logius vraagt aansluithouders jaarlijks te voldoen aan die eisen en dit met een verklaring van een RE-auditor aan te tonen. Veel van deze verklaringen worden door de RE-auditor elektronisch ondertekend. Om de geldigheid van deze elektronische handtekening te kunnen controleren worden de eisen voor elektronische handtekeningen in documentatie aangescherpt.

Bekijk hoe de elektronische handtekening eruit kan zien tot aan 2023 en vanaf 2023 onder de kop ‘Betrouwbaarheidseisen aan de handtekening van een RE-auditor’ op de pagina IT-auditrapportage voor DigiD.

Het object van onderzoek, de scope, van het DigiD-assessment verandert niet. Maar met het op een andere manieren opknippen van de dienstverlening in verschillende services, is wel de vraag ontstaan wat wel en wat niet binnen het DigiD assessment valt. NOREA heeft de scope-omschrijving verduidelijkt in de FAQ, versie 1.4. Op de Logius website is die scope-omschrijving overgenomen en terug te lezen op de pagina IT-auditrapportage voor DigiD.

Voor de norm U/PW.03 is in assessmentjaar 2020 een uitzondering mogelijk geweest op de eisen voor ‘unsafe-inline’ en ‘unsafe-eval’. Logius kende, onder voorwaarden, deze uitzondering toe aan aansluitingen met een webapplicatie waarop mitigerende maatregelen zijn toegepast, terwijl niet werd voldaan aan de juiste parameters voor unsafe-inline en unsafe–eval. 

Voor de komende jaren is aan het toekennen van de uitzonderingsregel een striktere invulling gegeven. Wel kan de uitzonderingsregel voorlopig worden voortgezet. Dit geeft aansluithouders en serviceorganisaties meer ruimte om grote wijzigingen door te kunnen voeren. Lees hier meer over.

Hoe een RE-auditor moet omgaan met een ISAE- of SOC -verklaring van een serviceorganisatie is veranderd. Ook wat de aansluithouder hiervoor moet inleveren is veranderd.

Dit staat aangegeven in de FAQ op de website van NOREA. Ook is het aangepast op de pagina: IT-auditrapportage voor DigiD onder de kop 'Toetsen van de serviceorganisatie'.

NOREA heeft de handreiking DigiD meervoudig assessment gepubliceerd. Het meervoudig assessment heeft betrekking op leveranciers van een platform waar meerdere aansluithouders op zijn aangesloten. Met de handreiking van NOREA voert een EDP-auditor alleen bij de leverancier van het platform één audit uit en hoeft dit niet meer te doen bij  de onderliggende aansluithouders. Na een succesvol meervoudig assessment bij de leverancier is het toegestaan om later nieuwe aansluitingen toe te voegen, zonder de verplichting voor een aansluithouder om binnen twee maanden een audit uit te voeren. De nieuwe aansluitingen worden dan in het eerstvolgende jaarlijkse assessment bij de leverancier meegenomen.

Aansluithouders bieden steeds vaker hun diensten aan via grote platformen die gespecialiseerd zijn op hun vakgebied. Ook het aansluiten op DigiD wordt vaak uitbesteed aan de platformleverancier. Dit brengt schaalvoordelen met zich mee en de aansluithouder hoeft zich niet te verdiepen in complexe ICT-aangelegenheden. Met het meervoudig assessment wordt ook de assessmentplicht van iedere aansluithouder overgedragen naar een leverancier en wordt de aansluithouder verder ontzorgt.
 
De leverancier van het platform krijgt bij de uitvoering van het meervoudig assessment een belangrijke rol bij de voorbereidingen en uitvoering. Er moet aangetoond worden dat er standaardprocedures zijn ingericht voor bijvoorbeeld het aansluiten van nieuwe aansluithouders. De standaardprocedure moeten bewijsbaar zijn gevolgd en worden meegenomen in de audit.  Ook zal de leverancier de aansluithouder werk uit handen nemen door bewijs voor de aansluithouder bij te houden en op te leveren. Hiermee wordt het bewijs dat  bij de aansluithouder opgehaald moet worden door de leverancier tot een minimum beperkt.
 
U vindt de NOREA handleiding DigiD meervoudige assessments op: https://www.norea.nl/werkgroep-digid-assessments

Per 1 juni is de nieuwe versie van de testaanpak voor DigiD-assessments verplicht gesteld. NOREA heeft de testaanpak gepubliceerd op de website als ’Handreiking DigiD-assessments’. De testaanpak is vooraf afgestemd met Logius. Het betreft wijzigingen op de invulling van het toetsen van de ongewijzigde DigiD-normen. De auditor zal iedere DigiD-aansluiting volgens de vernieuwde testaanpak moeten controleren.

De update van de testaanpak betreft de toepassing van de non-occurence-regel, het gebruik van TLS zoals getoetst in de norm U/WA.05 en een aanpassing op settings in de security header zoals getoetst in de norm U/PW.03. Deze technische wijzigingen op de testaanpak zijn in 2019 aangekondigd als aanbeveling en als mogelijke toekomstige verplichting.

Meld u zich aan voor algemene DigiD Assessmentberichten (via het algemeen contactformulier) om op de hoogte te blijven van deze en andere wijzigingen en ontwikkelingen die van invloed zijn op het DigiD-assessment.

DigiD assessmentberichten

Met enige regelmaat sturen wij per mail een bericht, met daarin actualiteiten en nieuwswaardigheden rondom de DigiD beveiligingsassessments. Wilt u zich aanmelden voor deze berichten? Vul dan dit formulier in.

U kunt hieronder ook het archief met eerdere berichten bekijken.