Main content

Het ICT-beveiligingsassessments DigiD hanteert verschillende voorwaarden voor nieuwe en bestaande aansluitingen.

Nieuwe aansluiting – artikel 5.6

In de Aansluitvoorwaarden DigiD en DigiD Machtigen staat dat afnemers verplicht zijn om binnen twee maanden na activatie van de DigiD aansluiting een assessmentrapport in te leveren. Zodra de DigiD aansluiting door Logius is geactiveerd, wordt dit per e-mail bevestigd aan de DigiD aansluithouder. Hierna heeft de aansluithouder 2 maanden de tijd om een eerste DigiD Assessment in te leveren.

Ook als uit het assessment blijkt dat er niet aan de gestelde normen is voldaan moet de rapportage worden ingediend. Het DigiD assessment voor nieuwe aansluitingen is gelijk aan die voor bestaande aansluitingen, alleen de tijdslijnen lopen anders.

Wanneer wordt een nieuwe aansluiting een bestaande aansluiting?

Is het eerste assessment met goed gevolg doorlopen en wordt er aan alle normen voldaan, dan stelt Logius de aansluithouder per brief op de hoogte dat aan artikel 5.6 van de Voorwaarden DigiD is voldaan. Vanaf dat moment wordt er gesproken over een bestaande aansluiting.

Berekenen van de eerstvolgende inleverdeadline

In de brief waarin staat dat de DigiD aansluiting voldoet dat aan artikel 5.6 staat ook vermeld wanneer de eerstvolgende assessmentrapportage ingeleverd moet worden. De inleverdatum is niet eerder dan 12 maanden na de activatie. Indien de inleverdatum buiten de reguliere inleverperiode van 1 januari tot 1 mei valt, wordt het assessmentrapport ingeleverd in de inleverperiode van het jaar daarop.

Voorbeeld

Activatiedatum Deadline initieel rapport Volgende inleverperiode Over het jaar
7 januari 2023 7 maart 2023 1 jan – 1 mei 2024¹ 2023
23 maart 2023   23 mei 2023 1 jan – 1 mei 2024¹ 2023
26 april 2023  26 juni 2023 1 jan – 1 mei 2024¹ 2023
7 mei 2023 7 juli 2023 1 jan – 1 mei 2025² 2024
7 oktober 2023 7 december 2023 1 jan – 1 mei 2025² 2024
Voetnoten:
  1. Deze rapportage MAG de toetsing op werking bevatten
  2. Deze rapportage MOET de toetsing op werking bevatten

Meer informatie over de toetsing op werking is te vinden op: Normenkader 3.0 voor ICT-beveiligingsassessments DigiD.

Let op: voor een nieuwe LMA gelden andere regels voor het berekenen van de eerstvolgende inleverdeadline. Zie hiervoor de informatie en de voorwaarden op de pagina: Het meervoudig assessment

Bestaande aansluiting – artikel 5.5

Zodra de DigiD aansluiting moet voldoen aan artikel 5.5 van de Voorwaarden DigiD, beschouwt Logius het als een 'bestaande aansluiting'. Voor een bestaande aansluiting geldt een jaarlijkse assessmentplicht.

De jaarlijkse cyclus

Een DigiD aansluithouder moet jaarlijks tussen 1 januari en 1 mei een assessmentrapportage inleveren waarin verantwoording wordt afgelegd over het voorgaande jaar. De toetsperiode loopt minstens tot 31 december van het voorgaande jaar. De auditor geeft een oordeel aansluitend aan de toetsperiode, niet eerder dan 1 januari.

De aansluithouder krijgt van Logius een schriftelijke terugkoppeling over het resultaat van het assessment.

Wijziging in de DigiD omgeving

Op basis van de Voorwaarden DigiD of de Norm ICT-beveiligingsassessments DigiD eist Logius géén nieuw auditrapport als er wijzigingen in de DigiD omgeving worden doorgevoerd, die niet leiden tot een nieuw aansluitnummer. De wijzigingen worden meegenomen in het eerstvolgend jaarlijkse assessment. De DigiD aansluithouder blijft wel te allen tijde verantwoordelijk voor de veiligheid van de webapplicatie en de ICT-omgeving. Indien blijkt dat een ICT-omgeving gecompromitteerd is met mogelijk negatieve gevolgen voor de veiligheid en integriteit van DigiD, heeft Logius het recht om de DigiD aansluiting af te sluiten.

Een wijziging van de domeinnaam van de DigiD omgeving of een wijziging van koppelvlak heeft wel gevolgen voor het DigiD Assessment. Voor deze wijzigingen is een nieuw DigiD aansluitnummer vereist.

Het Logius Aansluitteam bepaalt of een wijziging een nieuw aansluitnummer tot gevolg heeft. Een nieuw DigiD aansluitnummer wordt gezien als een nieuwe aansluiting. Dit geldt voor de rechtstreekse koppeling met DigiD en voor een koppeling met de ToegangVerleningService (TVS).

Volgens de Aansluitvoorwaarden DigiD en DigiD Machtigen is het voor een nieuwe aansluiting verplicht om binnen twee maanden na activatie een assessmentrapport in te leveren.

Verzoek om de nieuwe aansluiting (5.6) te behandelen als een bestaande aansluiting (5.5) met inleverplicht vóór 1 mei 

Soms verandert de DigiD-omgeving niet en is het nieuwe aansluitnummer alleen het gevolg van een wijziging van het koppelvlak. Het eerdere assessment op de oude aansluiting kan dan gebruikt worden. Dit heeft als voordeel dat de assessmentrapportage voor de nieuwe aansluiting later kan worden ingeleverd. Als de dienstverlener hiervoor een verzoek indient, en aan de voorwaarden wordt voldaan, dan verschuift het aanleveren van de assessmentrapportage naar de periode van 1 januari tot 1 mei. 

Wijzigingen waarvoor dit kan gelden:

  • Verandering van koppelvlak, bijvoorbeeld van CGI naar SAML
  • Wijziging van een rechtstreekse aansluiting op DigiD naar een aansluiting op TVS
  • Wijziging van of toevoeging van een Identity Provider (ook wel Identity Broker) 

Gevolgen bij toekenning van het verzoek

Wordt het verzoek door Logius toegekend om de nieuwe aansluiting te zien als een bestaande aansluiting dan heeft dit gevolgen:

  • Niet binnen 2 maanden na activatie (art 5.6) maar tussen 1 januari en vóór 1 mei (art 5.5) levert de dienstverlener het assessmentrapport in.
  • De aansluiting wordt niet gezien als een nieuwe aansluiting (art 5.6) maar als een bestaande aansluiting (art 5.5). Dit betekent dat het assessmentrapport de toets op werking moet bevatten. 
  • De oude aansluiting (of de nieuwe indien de omzetting niet is geslaagd en een roll back is uitgevoerd) moet binnen 2 maanden na toekenning worden gedeactiveerd. Dit moet de dienstverlener zelf doen met het DigiD wijzigingsformulier. Zijn de 2 maanden verlopen dan zal Logius de oude aansluiting deactiveren.

Voorwaarden om het verzoek in te dienen

Voor het indienen van het verzoek om de nieuwe aansluiting (5.6) te behandelen als een bestaande aansluiting (5.5) moet aan de volgende eisen zijn voldaan:

  1. Binnen twee maanden na activatie van het nieuwe aansluitnummer levert de dienstverlener het verzoek in om de nieuwe aansluiting te behandelen als een bestaande aansluiting. In dit verzoek moet zijn aangegeven wat het oude en wat het nieuwe aansluitnummer is. 
  2. De dienstverlener verklaart in het verzoek binnen 2 maanden na toekenning de oude DigiD aansluiting (of de nieuwe indien de omzetting niet is geslaagd en een roll back is uitgevoerd) te deactiveren. Bij verzuim zal Logius de oude aansluiting deactiveren.
  3. Op het oude aansluitnummer is een assessmentrapport ingediend, waarbij Logius heeft bevestigd dat de dienstverlener heeft voldaan aan artikel 5.5 of 5.6. Dat wil zeggen: het assessment is goed doorlopen, er zijn geen openstaande punten meer voor het afgelopen assessmentjaar.
  4. De auditor van de dienstverlener stelt een verklaring op met: 
    1. welk nieuw aansluitnummer welk oud aansluitnummer vervangt. 
    2. dat door de migratie van koppelvlak of door toevoeging/wijziging van de Identity Provider, security technisch niets is gewijzigd binnen de scope van het assessment. 
  5. De auditor van de dienstverlener of de auditor(s) van de serviceorganisatie(s) geeft eenzelfde soort verklaring af voor onderliggende serviceorganisaties.

Extra voorwaarden bij toevoeging of wijziging van de Identity Provider:

  1. Er is een door een RE-auditor afgegeven assessmentrapport voor de Identity Provider. De oordelen in dit rapport voldoen. De oordeelsdatum in het rapport is niet ouder dan een jaar. 
  2. Auditor van de dienstverlener neemt in de verklaring extra op dat de TPM van de Identity Provider toepasbaar is op de nieuwe aansluiting.

Het indienen van het verzoek gaat op dezelfde manier als het indienen van een assessmentrapportage (zie Indienen via het aanleverformulier, e-mail, of ENSIA).

Reactie op het verzoek door Logius

De dienstverlener krijgt een schriftelijke reactie via de post met de beoordeling van het verzoek. Als het verzoek wordt toegewezen zal de nieuwe aansluiting worden gezien als een bestaande aansluiting (art 5.5). Wordt het verzoek afgewezen dan zal alsnog voor de nieuwe aansluiting een assessmentrapportage binnen 2 maanden na activatie moeten worden ingeleverd.

Wanneer vervalt de assessmentplicht?

Elke geactiveerde DigiD aansluiting moet voldoen aan de assessmentplicht. De aansluithouder moet zelf een verzoek indienen om een DigiD aansluiting te laten deactiveren als deze niet meer gebruikt wordt. Dit kan door het invullen van het wijzigingsformulier of door contact op te nemen met Logius. Pas als de aansluiting gedeactiveerd is, vervalt de assessmentplicht.

Let op: Indien de DigiD aansluiting bij de aansluithouder functioneel niet in gebruik is, maar wel als geactiveerd geregistreerd staat bij Logius, loopt de assessmentplicht gewoon door.

Contact

Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.