Main content

Bekijk hier het laatste nieuws rondom de ICT-beveiligingsassessments DigiD.

De norm B.01, Informatiebeveiligingsbeleid, is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs. De norm B.01 is onderdeel van het normenkader 3.0 zoals is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Formele vaststelling en vastlegging van het beleid

Een informatiebeveiligingsbeleid bestaat pas na de (formele) vaststelling en vastlegging van het beleid op het juiste organisatorische niveau. Voor aansluithouders die niet tijdig de volledige (formele) vastlegging en/of vaststelling van het beleid kunnen realiseren is een uitzonderingsregel opgesteld. Deze uitzonderingsregel is opgesteld in samenspraak met het Ministerie van BZK en NOREA.

Voorwaarden voor de uitzonderingsregel op B.01

De uitzonderingsregel geldt voor nieuwe en bestaande aansluitingen en is alleen van toepassing op de aansluithouder en alleen als de aansluithouder aan de volgende voorwaarden voldoet. 

  1. De RE-auditor constateert vóór 1 mei 2023 dat de aansluithouder het informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, niet volledig vóór 1 mei 2023 (formeel) heeft vastgelegd en/of vastgesteld. 
  2. De RE-auditor constateert dat aan de overige beheersingsmaatregelen van de norm B.01 wordt voldaan.
  3. De RE-auditor constateert dat de aansluithouder een verbeterplan heeft opgesteld om te voldoen aan de norm B.01 vóór 1 mei 2024.

Pas als aan alle 3 voorwaarden is voldaan neemt de auditor de onderstaande tekst (als voetnoot) op in de paragraaf ‘Oordelen’ bij het oordeel ‘voldoet niet’ op de norm B.01.

* T.a.v. norm B.01 merken we op dat het (formeel) volledig vastleggen en/of vaststellen van een apart informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, voor de aansluithouder een langere termijn vergt dan de termijn tot 1 mei 2023. Naar het oordeel van de auditor is een verbeterplan opgesteld waarbij de auditor er kennis van heeft genomen dat de tekortkoming voor 1 mei 2024 zal zijn opgelost. Aan alle andere beheersmaatregelen van deze norm wordt wel voldaan. Voor nadere informatie kan Logius zich wenden tot de auditor.

Besluit Logius

Indien niet wordt voldaan aan de norm B.01 vanwege het ontbreken van de (formele) volledige vastlegging en vaststelling van het beleid, maar wel wordt voldaan aan voornoemde voorwaarden, en dit wordt verklaard door de specifieke voetnoot, dan kan Logius de uitzonderingsregel op B.01 toepassen.

Hiermee krijgt de aansluithouder de tijd om uiterlijk 1 mei 2024 volledig te voldoen aan de norm B.01.

Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een nieuw normenkader vastgesteld voor het DigiD-assessment. Het besluit bestaat uit 2 delen:

1. Invoering nieuw Normenkader 3.0, met 21 normen

Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NCSC-richtlijnen plus een nieuwe, 21e norm, B.01. Dit Normenkader v3.0 gaat in op 1 augustus 2022.

Omschrijving norm B.01 

'De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatiegerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.'

Doel norm B.01

'Hiermee wordt ervoor gezorgd dat in het beveiligingsproces specifiek aandacht is voor de webapplicaties van de organisatie.'

De norm B.01 is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs.

Auditors zullen hierbij de auditrichtlijnen volgen vanuit NOREA.

2. Extra toetsing op werking

Sinds de invoering van het DigiD-assessment zijn de normen getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01; U/WA.02; C.07; C.08 en C.09.
De invoering van de toetsing op werking omvat een overgangsjaar:

  • Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
  • Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.

Logius verhoogt de eisen aan de betrouwbaarheid van de elektronische handtekening van RE-auditors. Dit geldt voor alle documenten die worden ingeleverd vanaf 1 januari 2023 voor het DigiD-Beveiligingsassessment.

Logius stelt hoge eisen aan de veiligheid van DigiD, en het veilige gebruik ervan. Logius vraagt aansluithouders jaarlijks te voldoen aan die eisen en dit met een verklaring van een RE-auditor aan te tonen. Veel van deze verklaringen worden door de RE-auditor elektronisch ondertekend. Om de geldigheid van deze elektronische handtekening te kunnen controleren worden de eisen voor elektronische handtekeningen in documentatie aangescherpt.

Bekijk hoe de elektronische handtekening eruit kan zien tot aan 2023 en vanaf 2023 onder de kop ‘Betrouwbaarheidseisen aan de handtekening van een RE-auditor’ op de pagina IT-auditrapportage voor DigiD.

Het object van onderzoek, de scope, van het DigiD-assessment verandert niet. Maar met het op een andere manieren opknippen van de dienstverlening in verschillende services, is wel de vraag ontstaan wat wel en wat niet binnen het DigiD assessment valt. NOREA heeft de scope-omschrijving verduidelijkt in de FAQ, versie 1.4. Op de Logius website is die scope-omschrijving overgenomen en terug te lezen op de pagina IT-auditrapportage voor DigiD.

Voor de norm U/PW.03 is in assessmentjaar 2020 een uitzondering mogelijk geweest op de eisen voor ‘unsafe-inline’ en ‘unsafe-eval’. Logius kende, onder voorwaarden, deze uitzondering toe aan aansluitingen met een webapplicatie waarop mitigerende maatregelen zijn toegepast, terwijl niet werd voldaan aan de juiste parameters voor unsafe-inline en unsafe–eval. 

Voor de komende jaren is aan het toekennen van de uitzonderingsregel een striktere invulling gegeven. Wel kan de uitzonderingsregel voorlopig worden voortgezet. Dit geeft aansluithouders en serviceorganisaties meer ruimte om grote wijzigingen door te kunnen voeren. Lees hier meer over.

Hoe een RE-auditor moet omgaan met een ISAE- of SOC -verklaring van een serviceorganisatie is veranderd. Ook wat de aansluithouder hiervoor moet inleveren is veranderd.

Dit staat aangegeven in de FAQ op de website van NOREA. Ook is het aangepast op de pagina: IT-auditrapportage voor DigiD onder de kop 'Toetsen van de serviceorganisatie'.

NOREA heeft de handreiking DigiD meervoudig assessment gepubliceerd. Het meervoudig assessment heeft betrekking op leveranciers van een platform waar meerdere aansluithouders op zijn aangesloten. Met de handreiking van NOREA voert een EDP-auditor alleen bij de leverancier van het platform één audit uit en hoeft dit niet meer te doen bij  de onderliggende aansluithouders. Na een succesvol meervoudig assessment bij de leverancier is het toegestaan om later nieuwe aansluitingen toe te voegen, zonder de verplichting voor een aansluithouder om binnen twee maanden een audit uit te voeren. De nieuwe aansluitingen worden dan in het eerstvolgende jaarlijkse assessment bij de leverancier meegenomen.

Aansluithouders bieden steeds vaker hun diensten aan via grote platformen die gespecialiseerd zijn op hun vakgebied. Ook het aansluiten op DigiD wordt vaak uitbesteed aan de platformleverancier. Dit brengt schaalvoordelen met zich mee en de aansluithouder hoeft zich niet te verdiepen in complexe ICT-aangelegenheden. Met het meervoudig assessment wordt ook de assessmentplicht van iedere aansluithouder overgedragen naar een leverancier en wordt de aansluithouder verder ontzorgt.
 
De leverancier van het platform krijgt bij de uitvoering van het meervoudig assessment een belangrijke rol bij de voorbereidingen en uitvoering. Er moet aangetoond worden dat er standaardprocedures zijn ingericht voor bijvoorbeeld het aansluiten van nieuwe aansluithouders. De standaardprocedure moeten bewijsbaar zijn gevolgd en worden meegenomen in de audit.  Ook zal de leverancier de aansluithouder werk uit handen nemen door bewijs voor de aansluithouder bij te houden en op te leveren. Hiermee wordt het bewijs dat  bij de aansluithouder opgehaald moet worden door de leverancier tot een minimum beperkt.
 
U vindt de NOREA handleiding DigiD meervoudige assessments op: https://www.norea.nl/werkgroep-digid-assessments

Per 1 juni is de nieuwe versie van de testaanpak voor DigiD-assessments verplicht gesteld. NOREA heeft de testaanpak gepubliceerd op de website als ’Handreiking DigiD-assessments’. De testaanpak is vooraf afgestemd met Logius. Het betreft wijzigingen op de invulling van het toetsen van de ongewijzigde DigiD-normen. De auditor zal iedere DigiD-aansluiting volgens de vernieuwde testaanpak moeten controleren.

De update van de testaanpak betreft de toepassing van de non-occurence-regel, het gebruik van TLS zoals getoetst in de norm U/WA.05 en een aanpassing op settings in de security header zoals getoetst in de norm U/PW.03. Deze technische wijzigingen op de testaanpak zijn in 2019 aangekondigd als aanbeveling en als mogelijke toekomstige verplichting.

Meld u zich aan voor algemene DigiD Assessmentberichten (via het algemeen contactformulier) om op de hoogte te blijven van deze en andere wijzigingen en ontwikkelingen die van invloed zijn op het DigiD-assessment.

DigiD-assessmentberichten

Met enige regelmaat sturen wij per mail een bericht, met daarin actualiteiten en nieuwswaardigheden rondom de DigiD beveiligingsassessments. Wilt u zich aanmelden voor deze berichten? Vul dan dit formulier in.

U kunt hieronder ook het archief met eerdere berichten bekijken.

Contact

Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.