Main content
Op deze pagina vindt u de inhoud uit eerdere DigiD-assessmentberichten. Dit is een archief, hou er dus rekening mee dat niet alles op deze pagina nog actueel is.
Wilt u deze berichten voortaan per mail ontvangen? Meld u dan aan via het aanmeldformulier voor nieuwsbrieven en mailings.
Laatste edities
- Bekijk het assassmentbericht van december 2023
- Bekijk het assassmentbericht van juli 2023
- Bekijk het assassmentbericht van april 2023
- Bekijk het assessmentbericht van februari 2023
- Bekijk het assessmentbericht van december 2022
- Bekijk het assessmentbericht van oktober 2022
- Bekijk het assessmentbericht van juli 2022
Ouder
DigiD-assessmentbericht - Editie februari 2022
Blijf op de hoogte
DigiD Assessments houdt de webpagina op Logius.nl regelmatig bij om u te voorzien van de juiste informatie over het DigiD assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in dit DigiD Assessmentbericht. Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor.
Extra aandacht vragen wij voor de volgende onderwerpen:
FAQ 1.4 gepubliceerd door NOREA
NOREA heeft op 8 november 2021 een update gepubliceerd van de meest gestelde vragen bij de testaanpak voor DigiD. Deze FAQ is geschreven voor auditors om zo veel mogelijk een generieke testaanpak te kunnen hanteren. Het geeft de aansluithouder en serviceorganisatie ook de nodige informatie. Er zijn wijzigingen van algemene aard, en op de normen U/NW.04 en U/PW.03. Indien u vragen heeft over de testaanpak of de gevolgen van de wijzigingen in de FAQ, neemt u dan contact op met de auditor. Auditors kunnen NOREA raadplegen.
Uitzonderingsregel U/PW.03
Voor de norm U/PW.03 is in assessmentjaar 2020 een uitzondering mogelijk geweest op de eisen voor ‘unsafe-inline’ en ‘unsafe-eval’. Logius kende, onder voorwaarden, deze uitzondering toe aan aansluitingen met een webapplicatie waarop mitigerende maatregelen zijn toegepast, terwijl niet werd voldaan aan de juiste parameters voor unsafe-inline en unsafe–eval.
Voor de komende jaren is aan het toekennen van de uitzonderingsregel een striktere invulling gegeven. Wel kan de uitzonderingsregel voorlopig worden voortgezet. Dit geeft aansluithouders en serviceorganisaties meer ruimte om grote wijzigingen door te kunnen voeren. Lees hier meer over.
Betrouwbaarheidseisen aan de handtekening van een RE-auditor
Logius verhoogt de eisen aan de betrouwbaarheid van de elektronische handtekening van RE-auditors. Dit geldt voor alle documenten die worden ingeleverd vanaf 1 januari 2023 voor het DigiD-Beveiligingsassessment.
Logius stelt hoge eisen aan de veiligheid van DigiD, en het veilige gebruik ervan. Logius vraagt aansluithouders jaarlijks te voldoen aan die eisen en dit met een verklaring van een RE-auditor aan te tonen. Veel van deze verklaringen worden door de RE-auditor elektronisch ondertekend. Om de geldigheid van deze elektronische handtekening te kunnen controleren worden de eisen voor elektronische handtekeningen in documentatie aangescherpt.
Bekijk hoe de elektronische handtekening eruit kan zien tot aan 2023 en vanaf 2023 onder de kop ‘Betrouwbaarheidseisen aan de handtekening van een RE-auditor’ op de pagina IT-auditrapportage voor DigiD.
Meesturen van TPM, ISAE- of SOC-verklaring?
Hoe een RE-auditor moet omgaan met een ISAE- of SOC-verklaring van een serviceorganisatie is veranderd. Ook wat de DigiD-aansluithouder hiervoor moet inleveren is veranderd.
Dit staat aangegeven in de FAQ op de website van NOREA. Ook is het aangepast op de pagina: IT-auditrapportage voor DigiD onder de kop 'Toetsen van de serviceorganisatie'.
Verbeterplan, verbeterrapport, auditrapport. Wat is wat?
Regelmatig krijgen wij vragen over de termen verbeterplan, verbeterrapport en auditrapport.
Met een auditrapport wordt bedoeld een door een RE-auditor afgegeven DigiD-rapport. Ook een TPM is dus een auditrapport. Er kan zowel een initieel rapport mee worden bedoeld of een verbeterrapport, afhankelijk van de context.
Een verbeterplan is een (intern) plan om tot verbeteringen van tekortkomingen te komen. Bijvoorbeeld als de aansluithouder of serviceorganisatie zelf of door een auditor heeft geconstateerd dat verbeteringen moeten worden opgepakt. Een verbeterplan hoeft niet aan Logius opgestuurd te worden, Logius stelt dan ook geen eisen aan het verbeterplan. Wel is het voor de organisatie belangrijk in het doorlopen van de Plan-Do-Check-Act-cyclus.
Een verbeterrapport is een door een RE-auditor afgegeven rapport. Het is gelijkwaardig aan het DigiD-auditrapport. Het is alleen specifieker omdat het een hertoets is op normen die in het voorgaande auditrapport niet voldeden. Een verbeterrapport kan een geheel nieuw rapport zijn, het kan ook inhaken op het eerder uitgegeven auditrapport. Er is (nog) geen vast template voor het verbeterrapport.
Uitfasering PKIo-webcertificaten: wat moet u doen voor DigiD?
Op 2 augustus 2021 kondigde PKIoverheid aan dat de uitgifte van publiek vertrouwde (SSL/TLS) certificaten gaat stoppen. Alle onder EV/CA2020 uitgegeven certificaten moeten voor 4 december 2022 vervangen zijn. In een bericht op onze website leest u wat dit betekent voor webdiensten en de aansluiting op DigiD.
DigiD-assessmentbericht - Editie oktober 2021
Aflopen van oplevertermijnen, ook die van de norm U/PW.03
Heeft u een brief ontvangen over een norm die niet voldoet?
Logius heeft u een oplevertermijn gegeven. Binnen die termijn toont u aan alsnog aan de norm te voldoen. Een verklaring of rapportage getekend door een RE-auditor stuurt u vóór het verlopen van de oplostermijn naar ons op. Hoe? Dat vindt u op de webpagina van ICT-beveiligingsassessments DigiD.
Heeft u de vaste opleverdatum van 1 november 2021 gekregen voor de norm U/PW.03?
Er zijn veel aansluithouders die dezelfde vaste oplostermijn hebben gekregen voor de norm U/PW.03. Plan de verbeteringen en de controle door de auditor tijdig in. Ligt de norm (ook) bij uw serviceorganisatie? Bespreek dit dan tijdig met uw serviceorganisatie. Door het grote aantal aansluithouders verwachten wij drukte bij auditors. Wees dus op tijd.
Wordt de norm U/PW.03 opgelost met een geheel nieuwe TPM op basis van recent onderzoek?
U mag dan de geheel nieuwe TPM gebruiken om voor dit assessmentjaar de norm U/PW.03 op te lossen. Daarnaast mag u de TPM ook gebruiken voor volgend assessmentjaar. Wel geldt de gebruikelijke methode om te bepalen of een TPM valide is en gebruikt mag worden.
Mitigerende maatregelen voor U/PW.03.
Heeft Logius de mitigerende maatregelen op de U/PW.03 geaccepteerd en gevraagd om een nieuwe toetsing voor 1 mei?
Dan heeft u van Logius een brief ontvangen waarin staat dat een hertoets op de norm U/PW.03 moet worden uitgevoerd, die gecombineerd mag worden met het reguliere jaarlijkse assessment.
Aan de norm U/PW.03 zal in het aankomende assessmentjaar wederom ‘rule based’ moeten worden voldaan, net als in het afgelopen jaar. Logius en NOREA werken op dit moment aan de invulling van een uitzonderingsregel om ook voor volgend jaar het gebruik van mitigerende maatregelen toe te staan. De uitzondering wordt dus verlengd, maar wel onder andere voorwaarden.
Zodra de voorwaarden en de invulling bekend zijn, zal dit worden gedeeld op de website en in het volgende DigiD Assessmentbericht.
Digitale handtekeningen van de RE-auditors
Komend assessmentjaar verandert er niets aan de eisen voor digitale handtekeningen van RE-auditors. Wél in het jaar daarna. Daarnaast hebben we veel fouten gezien in de wijze waarop handtekeningen van RE-auditors zijn geplaatst. Daarom op een rij:
- Een digitale handtekening wordt geaccepteerd als het gecertificeerd is door een uitgever die vermeld staat op de European Trust List (EUTL). Of de uitgever staat op de EUTL is in de eigenschappen van de digitale handtekening voor iedereen te zien, en geeft een hoge betrouwbaarheid. Deze eis is niet nieuw, maar anders verwoord.
- Daarnaast accepteert Logius alleen nog voor het komende assessmentjaar gescande handtekeningen, jpeg-handtekeningen en ‘scribbles’. Kenmerkend voor deze handtekeningen is dat ze persoonlijk door de auditor zijn gezet. Een naam uitgeschreven met een computerlettertype, ook die handgeschreven lijkt, wordt niet geaccepteerd.
- Als laatste wordt de natte handtekening geaccepteerd. Een gescand document met een natte handtekening valt onder de tweede bullet
DigiD-assessmentbericht - Editie juli 2021
De vakantie staat voor de deur, zorg voor een vervanger.
Vanwege de vele aanleveringen vlak voor het aflopen van de deadline van 1 mei hebben nog niet alle aangesloten partijen een reactie ontvangen op de ingeleverde rapportage. Mogelijk dat u alsnog een brief ontvangt dat uw rapportage is afgekeurd en u snel actie moet ondernemen. Wij zien helaas meer vormfouten in de rapportages dan voorgaande jaren. Een vormfout kan reden zijn voor het afkeuren van een rapportage. Met de vakantieperiode voor de deur willen wij u vragen om voor een vervanger te zorgen zodat de mogelijk gevraagde acties ook in uw afwezigheid opgepakt kunnen worden. Heeft u (of uw vervanger) vragen of zijn er zaken onduidelijk dan kunt u altijd contact met ons opnemen. Gebruik hiervoor bij voorkeur het contactformulier op de website van Logius. Wij willen u vragen om volgend jaar uw rapportage tijdig (en niet vlak voor de deadline van 1 mei) in te leveren om mogelijke vertragingen te voorkomen. Inleveren kan al vanaf 1 januari 2022.
NOREA publiceert nieuwe FAQ per 1 juli 2021
Op 1 juli heeft NOREA een update gepubliceerd van de meest gestelde vragen betreffende de testaanpak voor DigiD. Deze FAQ is geschreven voor de auditors om zo veel als mogelijk een generieke testaanpak te kunnen hanteren. Het geeft u als aansluithouder ook de nodige informatie. De wijzigingen betreffen de norm U/PW.03. Indien u vragen heeft over de testaanpak of de gevolgen van de wijzigingen in de FAQ, neemt u dan contact op met uw auditor.
DigiD-assessmentbericht - Editie april 2021
Inleverperiode 2021
Let op: het is bijna 1 mei. Lever tijdig en correct uw DigiD-rapportage in. Een norm waaraan niet wordt voldaan, is geen reden om niet in te leveren. Na het indienen van uw rapportage ontvangt u een oplostermijn voor het verbeteren van de norm. Deze oplostermijn staat los van de inleverperiode tot 1 mei.
Begin direct met het treffen van de nodige verbeteringen zodat snel aan de norm wordt voldaan en wacht hier niet mee tot u een oplostermijn krijgt. Dit voorkomt verrassingen.
Kijk op onze website voor meer informatie over hoe u de rapportage kunt inleveren. Wij ontvangen uw assessmentrapportage bij voorkeur via e-mail (DigiDassessment@logius.nl) of, in het geval u een rapportage indient voor een gemeente, via ENSIA.
Toelichting voor ENSIA-gebruikers: het versturen van additionele of vervangende documenten
Dit jaar zien wij meer dan anders dat voor gemeenten de documentatie moet worden aangepast door een verandering in de periode tussen de zelfevaluatie en de Assurance Verklaring. Het ENSIA-proces en de -tool kunnen hier lastig mee omgaan. Vandaar dat wij een bericht hebben geplaatst op de website hoe er kan worden omgegaan met het versturen van additionele of vervangende documenten. U vindt het bericht “Toelichting ENSIA-gebruikers versturen documenten (25-03- 2021)” hier: Mededelingen ICT-beveiligingsassessment DigiD
U/PW.03:
De norm U/PW.03 toetst onder andere de instellingen in de security headers. Om richting te geven aan de auditors heeft NOREA een FAQ uitgegeven welke is gepubliceerd op de website van NOREA. De FAQ beschrijft onder andere hoe voor deze rule based norm voetnoten gebruikt mogen worden in de beoordeling.
Maakt u gebruik van een serviceorganisatie en wordt de norm U/PW.03 ook bij uw gebruikersorganisatie getoetst (bijvoorbeeld voor de overgang naar een nieuwe versie van de webapplicatie voor het oplossen van de norm) dan kan uw auditor ook voor uw gebruikersorganisatie oordelen of een van de toegestane voetnoten van toepassing is. Hiermee verkrijgt u eventueel een verlengde oplostermijn.
Geldigheid van de TPM
Regelmatig worden TPMs ingediend die niet meer geldig zijn. Hierin speelt de onderzoeksdatum een grote rol. Maar ook zien wij TPMs die nog niet geldig zijn, omdat ze zijn uitgegeven voor een versie die nog niet is geïmplementeerd door de gebruikersorganisatie. Wij vragen u en uw auditor goed te letten op het verstrekken van de juiste, geldige informatie. Kijk voor de geldigheid van de TPM op IT-auditrapportage voor DigiD.
Meerdere applicaties achter één DigiD-aansluiting
Soms maakt een DigiD aansluithouder voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Dit wordt niet geadviseerd, maar is wel mogelijk. Om het inzicht in de omgeving te kunnen behouden, stellen wij hiervoor een extra eis aan de documentatie. Voor meer informatie zie: IT-auditrapportage voor DigiD.
DigiD-assessmentbericht - Editie december 2020
Vernieuwde website
Recent is de informatie op de Logius website over ICT-beveiligingsassessments DigiD vernieuwd. Hier staat de informatie die u van ons gewend bent maar dan in een nieuw jasje.
Onder de tegel ‘mededelingen’ vindt u voortaan de DigiD Assessmentberichten en zullen we regelmatig berichten plaatsen die op dat moment extra aandacht nodig hebben.
Meervoudige aansluitingen en meervoudige assessments
Sinds kort bestaat de mogelijkheid tot het doen van één assessment op een meervoudige aansluiting. Het meervoudig assessment is bedoeld voor leveranciers van een platform waar meerdere aansluithouders op zijn aangesloten. Een EDP[1]auditor voert bij de leverancier van het platform één audit uit en hoeft dit niet meer te doen voor alle onderliggende aansluithouders. Na een succesvol meervoudig assessment bij de leverancier kunnen er nieuwe aansluitingen toegevoegd worden zonder de verplichting voor een aansluithouder om binnen twee maanden een audit uit te voeren. De nieuwe aansluitingen worden in het eerstvolgende jaarlijkse assessment bij de leverancier meegenomen. Voor meer informatie kijk op de website.
Assessmentjaar 2019 bijna afgerond
Het assessmentjaar 2019 is op enkele verbeterpunten na bijna afgerond. Anders dan voorgaande jaren werd de inleverdeadline verschoven van 1 mei naar 1 juni 2020. Dit heeft alle partijen lucht gegeven om ongeplande hobbels te overwinnen. We kijken dan ook tevreden terug op de afgelopen periode en zijn ervan overtuigd dat na alle extra inspanningen van iedereen 2019 succesvol kan worden afgerond. Graag willen we bij deze ook iedereen bedanken voor de inzet in het afgelopen jaar.
Assessmentjaar 2020 komt eraan
Vanaf 1 januari 2021 is het weer mogelijk om de assessmentrapportage over 2020 in te leveren. Doe dit niet eerder dan 1 januari, het onderzoek van de rapportage moet geheel 2020 omvatten. De deadline voor het inleveren van de assessmentrapportage is dit jaar weer 1 mei 2021. Zorg ervoor dat de rapportage volledig en correct is.
Vernieuwd certificaat voor versleuteld inleveren
Het publieke certificaat om uw documenten versleuteld op te sturen is gewijzigd. U kunt het vernieuwde certificaat en de keten downloaden van de website. Gebruik het oude certificaat niet meer. Dit is verlopen en niet meer bruikbaar. Voor meer informatie over versleuteld versturen zie: Indienen via e-mail, post of ENSIA.
Levert u de documentatie in via het systeem van ENSIA, dan vindt de versleuteling onder water plaats en hoeft u hiervoor zelf geen actie te ondernemen.
Aanscherping van de norm U/PW.03
Eerder is al aangekondigd dat de norm U/PW.03 een aangescherpte invulling heeft betreffende de instellingen voor security headers. NOREA heeft deze en andere aanscherpingen gepubliceerd op de website in de updates van de ’Handreiking DigiD-assessments’. Daarmee samenhangend is het document ‘FAQ DigiD assessment’ van 14 oktober 2020 gepubliceerd. Hier staat onder andere hoe en met welke toevoegingen de auditor de security headers en CSP kan beoordelen. Afhankelijk van de beoordeling door de auditor kan Logius de termijn verlengen voor het voldoen aan de eisen voor de security header.
Meerdere applicaties achter één DigiD-aansluiting
Soms maakt een DigiD aansluithouder voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Om het inzicht in de omgeving te kunnen behouden, stellen wij hiervoor een extra eis aan de documentatie. Voor meer informatie zie: Meerdere diensten die gebruik maken van dezelfde DigiD aansluiting.
Geldigheid van de TPM
Regelmatig worden TPMs ingediend die niet meer geldig zijn. Hierin speelt de onderzoeksdatum een grote rol. Kijk voor de geldigheid van de TPM op Toetsen van de Serviceorganisatie.
DigiD-assessmentbericht - Editie mei 2020
Inleverperiode 2020
Vanwege mogelijke hinder die u heeft ondervonden door de coronacrisis is de inleverperiode voor de assessmentrapportage van bestaande aansluitingen met 1 maand verlengd. U kunt uw assessmentrapportage inleveren tot 1 juni 2020.
Voor nieuwe aansluitingen is er niets gewijzigd ten opzichte van andere jaren. Hier blijft de eis dat een assessmentrapportage binnen 2 maanden na activatie van de aansluiting aangeleverd moet worden.
Kijk op onze website voor meer informatie over hoe u de rapportage kunt inleveren. Wij ontvangen uw assessmentrapportage bij voorkeur via e-mail (DigiDassessment@logius.nl) of, in het geval u een rapportage indient voor een gemeente, via ENSIA.
Aandachtspunten
Het komt geregeld voor dat Logius een rapportage vanwege vormfouten niet in behandeling kan nemen. Dit kan in veel gevallen voorkomen worden. Let goed op vormfouten en controleer of alle bijlage zijn toegevoegd. Het komt bijvoorbeeld geregeld voor dat wij een rapportage zonder TPM ontvangen. In het geval van ENSIA kan een rapportage pas ingeleverd worden als de auditor de documenten op een correcte manier heeft gewaarmerkt.
Reactie op een ingestuurd assessment
U ontvangt van Logius alleen een schriftelijke reactie op uw ingestuurde assessment. Vanwege de piekbelasting rondom de deadline is het niet (meer) mogelijk telefonisch contact met u op te nemen, ook niet als uw assessment incorrect of onvolledig blijkt te zijn. Houd daarom de post goed in de gaten.
Aanscherping invulling van normen per 1 juni
In samenspraak met Logius heeft NOREA in 2019 voor de normen U/WA.05 (gebruik van TLS) en U/PW.03 (instellingen voor security headers) een aanbeveling afgegeven. Per 1 juni 2020 wordt deze aanbeveling een verplichting. De exacte invulling wordt gepubliceerd in de ’Handreiking bij DigiD-assessments’ en geplaatst op de website van NOREA.
Per 1 juni moeten alle nog uit te voeren assessments de nieuwe handreiking volgen. Dit geldt niet voor herassessments met een initiële assessmentdeadline van vóór 1 juni. Zodra een TPM opnieuw wordt uitgegeven zal ook de nieuwe handreiking gevolgd moeten worden. In de praktijk betekent dit dat er een overgangsperiode is waarbij de TPM van vóór 1 juni nog gebaseerd kan zijn op de vorige handreiking en het assessment dat na 1 juni is uitgevoerd de nieuwe handreiking volgt.
DigiD-assessmentbericht - Editie november 2019
Assessmentjaar 2019 komt eraan
Vanaf 1 januari 2020 is het mogelijk om de assessmentrapportage over 2019 in te leveren. Doe dit niet eerder dan 1 januari, het onderzoek van de rapportage moet immers geheel 2019 omvatten. U heeft de tijd tot 1 mei 2020 om een volledige en correcte assessmentrapportage in te leveren. Lever tijdig in om verrassingen te voorkomen.
Dit jaar hebben we voor nieuwe aansluitingen de eerstvolgende assessmentperiode expliciet opgenomen in de brief. Heeft u voor de nieuwe aansluiting nog een brief ontvangen zonder deze datum en twijfelt u of u in 2020 of in 2021 uw volgende assessment moet inleveren, neem dan contact met ons op.
Stuur de rapportage niet per e-mail naar het Servicecentrum. Gebruik hiervoor in de plaats het directe e-mailadres DigiDassessment@logius.nl.
Assessmentjaar 2018 bijna afgerond
Het assessmentjaar 2018 is bijna afgerond. Een goed moment voor een terugblik op wat goed ging en wat nog verbeterd kan worden.
Wat ging er goed?
- Logius ontvangt steeds meer documenten in pdf/A.
- Verbeterrapporten (indien van toepassing) kwamen in vergelijking met het vorige assessmentjaar vaker tijdig binnen.
- Rapporten worden steeds vaker via e-mail aangeleverd in plaats van via de post.
Aandachtspunten
Blijf letten op het voorkomen van vormfouten die ertoe leiden dat Logius een rapportage niet in behandeling kan nemen.
Denk hierbij aan:
- Het meesturen van een TPM
- Het noemen van de juiste referenties (naar andere documenten).
Specifiek in het geval van ENSIA-leveringen (gemeenten):
- Lever documenten pas in wanneer de auditor deze op een correcte manier heeft gewaarmerkt.
Elektronische handtekening
Het afgelopen jaar heeft Logius veel rapporten ontvangen met een gescande handtekening in .jpeg-formaat. Deze vorm van elektronische ondertekening is fraudegevoelig. Logius zal komend assessmentjaar deze vorm nog accepteren, maar op termijn alleen de geavanceerde en gekwalificeerde elektronische handtekening accepteren.
Aanscherping invulling van normen
Het normenkader is niet gewijzigd. De auditor zal wel aan sommige normen een aangescherpte invulling geven. Voor meer informatie verwijzen wij u naar de website van NOREA.
Toetsing op werking
Wij hebben vernomen dat er onduidelijkheid is ontstaan over het toetsen van de normen op werking. Met NOREA is afgesproken dat over het assessmentjaar 2019 nog niet wordt getoetst op werking.