Hoofdinhoud
Het ICT-beveiligingsassessments DigiD hanteert verschillende voorwaarden voor nieuwe en bestaande aansluitingen.
Nieuwe aansluiting – artikel 5.6 DigiD (of 1.23 TVS)
In de Aansluitvoorwaarden DigiD en DigiD Machtigen staat dat afnemers verplicht zijn om binnen twee maanden na activatie van de DigiD aansluiting een assessmentrapport in te leveren. Zodra de DigiD aansluiting door Logius is geactiveerd, wordt dit per e-mail bevestigd aan de DigiD aansluithouder. Hierna heeft de aansluithouder 2 maanden de tijd om een eerste DigiD Assessment in te leveren. Dit assessment toetst of aan de normen wordt voldaan in opzet en bestaan.
Ook als uit het assessment blijkt dat er niet aan de gestelde normen is voldaan moet de rapportage worden ingediend.
Wanneer wordt een nieuwe aansluiting een bestaande aansluiting?
Is het eerste assessment met goed gevolg doorlopen en wordt er aan alle normen voldaan, dan stelt Logius de aansluithouder per brief op de hoogte dat aan artikel 5.6 van de Voorwaarden DigiD (of aan artikel 1.23 van de Voorwaarde TVS) is voldaan. Vanaf dat moment wordt er gesproken over een bestaande aansluiting.
Berekenen van de eerstvolgende inleverdeadline
In de brief waarin staat dat de DigiD aansluiting voldoet dat aan artikel 5.6 van de Voorwaarden DigiD (of 1.23 van de Voorwaarden TVS) staat ook vermeld wanneer de eerstvolgende assessmentrapportage ingeleverd moet worden. De inleverdatum is niet eerder dan 12 maanden na de activatie. Indien de inleverdatum buiten de reguliere inleverperiode van 1 januari tot 1 mei valt, wordt het assessmentrapport ingeleverd in de inleverperiode van het jaar daarop.
Voorbeeld
Activatiedatum | Deadline initieel rapport¹ | Volgende inleverperiode² | Over het jaar |
---|---|---|---|
7 januari 2025 | 7 maart 2025 | 1 jan – 1 mei 2026 | 2025 |
23 maart 2025 | 23 mei 2025 | 1 jan – 1 mei 2026 | 2025 |
26 april 2025 | 26 juni 2025 | 1 jan – 1 mei 2026 | 2025 |
7 mei 2025 | 7 juli 2025 | 1 jan – 1 mei 2027 | 2026 |
7 oktober 2025 | 7 december 2025 | 1 jan – 1 mei 2027 | 2026 |
Voetnoten:
- Deze rapportage hoeft geen toetsing op werking te bevatten
- Deze rapportage moet de toetsing op werking bevatten
Meer informatie over de toetsing op werking is te vinden op: Normenkader 3.0 voor ICT-beveiligingsassessments DigiD.
Let op: voor een nieuwe LMA gelden andere regels voor het berekenen van de eerstvolgende inleverdeadline. Zie hiervoor de informatie en de voorwaarden op de pagina: Het meervoudig assessment
Bestaande aansluiting – artikel 5.5 DigiD (of 1.22 TVS)
Zodra de DigiD aansluiting moet voldoen aan artikel 5.5 van de Voorwaarden DigiD (of artikel 1.22 van de Voorwaarden TVS), beschouwt Logius het als een 'bestaande aansluiting'. Voor een bestaande aansluiting geldt een jaarlijkse assessmentplicht.
De jaarlijkse cyclus
Een DigiD aansluithouder moet jaarlijks tussen 1 januari en 1 mei een assessmentrapportage inleveren waarin verantwoording wordt afgelegd over het voorgaande jaar. Dit assessment toetst of aan de normen wordt voldaan in opzet, in bestaan, en voor vijf normen in werking. De toetsperiode loopt minstens tot 31 december van het voorgaande jaar. De auditor geeft een oordeel aansluitend aan de toetsperiode, niet eerder dan 1 januari.
De aansluithouder krijgt van Logius een schriftelijke terugkoppeling over het resultaat van het assessment.
Wijziging in de DigiD omgeving
Op basis van de Voorwaarden DigiD of de Norm ICT-beveiligingsassessments DigiD eist Logius géén nieuw auditrapport als er wijzigingen in de DigiD omgeving worden doorgevoerd, die niet leiden tot een nieuw aansluitnummer. De wijzigingen worden meegenomen in het eerstvolgend jaarlijkse assessment. De DigiD aansluithouder blijft wel te allen tijde verantwoordelijk voor de veiligheid van de webapplicatie en de ICT-omgeving. Indien blijkt dat een ICT-omgeving gecompromitteerd is met mogelijk negatieve gevolgen voor de veiligheid en integriteit van DigiD, heeft Logius het recht om de DigiD aansluiting af te sluiten.
Een wijziging van de domeinnaam van de DigiD omgeving of een wijziging van koppelvlak heeft wel gevolgen voor het DigiD Assessment. Voor deze wijzigingen is een nieuw DigiD aansluitnummer vereist.
Het Logius Aansluitteam bepaalt of een wijziging een nieuw aansluitnummer tot gevolg heeft. Een nieuw DigiD aansluitnummer wordt gezien als een nieuwe aansluiting. Dit geldt voor de rechtstreekse koppeling met DigiD en voor een koppeling met de ToegangVerleningService (TVS).
Volgens de Aansluitvoorwaarden DigiD en DigiD Machtigen is het voor een nieuwe aansluiting verplicht om binnen twee maanden na activatie een assessmentrapport in te leveren.
Migratieverzoek: de nieuwe aansluiting (5.6) wordt een bestaande aansluiting (5.5) met inleverplicht vóór 1 mei
Soms verandert de DigiD-omgeving niet en is het nieuwe aansluitnummer alleen het gevolg van een wijziging van het koppelvlak. Het eerdere assessment op de oude aansluiting kan dan gebruikt worden. Dit heeft als voordeel dat de assessmentrapportage voor de nieuwe aansluiting niet binnen 2 maanden hoeft te worden ingeleverd. Als de dienstverlener een migratieverzoek indient, en er aan de voorwaarden wordt voldaan, dan verschuift het aanleveren van de assessmentrapportage naar de periode van 1 januari tot 1 mei.
Wijzigingen waarvoor een migratieverzoek kan worden aangevraagd:
- Verandering van koppelvlak, bijvoorbeeld van CGI naar SAML
- Wijziging van een rechtstreekse aansluiting op DigiD naar een aansluiting op TVS
- Wijziging van of toevoeging van een Identity Broker (ook wel Identity Provider)
Gevolgen bij toekenning van het migratieverzoek
Wordt het migratieverzoek door Logius toegekend dan wordt de nieuwe aansluiting gezien als een bestaande aansluiting. Dat heeft gevolgen:
- Niet binnen 2 maanden na activatie (art 5.6) maar tussen 1 januari en vóór 1 mei (art 5.5) levert de dienstverlener het assessmentrapport in.
- De aansluiting wordt niet gezien als een nieuwe aansluiting (art 5.6) maar als een bestaande aansluiting (art 5.5). Dit betekent dat het assessmentrapport de toets op werking moet bevatten.
- De oude aansluiting (of de nieuwe indien de omzetting niet is geslaagd en een roll back is uitgevoerd) moet binnen 2 maanden na toekenning worden gedeactiveerd. Dit moet de dienstverlener zelf doen met het DigiD wijzigingsformulier. Zijn de 2 maanden verlopen dan zal Logius de oude aansluiting deactiveren.
Voorwaarden om het migratieverzoek in te dienen
Voor het indienen van het migratieverzoek om de nieuwe aansluiting (5.6) te behandelen als een bestaande aansluiting (5.5) moet aan de volgende eisen zijn voldaan:
- Binnen twee maanden na activatie van het nieuwe aansluitnummer levert de dienstverlener het verzoek in om de nieuwe aansluiting te behandelen als een bestaande aansluiting. In dit verzoek moet zijn aangegeven wat het oude en wat het nieuwe aansluitnummer is.
- De dienstverlener verklaart in het verzoek binnen 2 maanden na toekenning de oude DigiD aansluiting (of de nieuwe indien de omzetting niet is geslaagd en een roll back is uitgevoerd) te deactiveren. Bij verzuim zal Logius de oude aansluiting deactiveren.
- Op het oude aansluitnummer is een assessmentrapport ingediend, waarbij Logius heeft bevestigd dat de dienstverlener heeft voldaan aan artikel 5.5 of 5.6. Dat wil zeggen: het assessment is goed doorlopen, er zijn geen openstaande punten meer voor het afgelopen assessmentjaar.
- De auditor van de dienstverlener stelt een verklaring op met:
- welk nieuw aansluitnummer welk oud aansluitnummer vervangt.
- dat door de migratie van koppelvlak of door toevoeging/wijziging van de Identity Broker, security technisch niets is gewijzigd binnen de scope van het assessment.
- De auditor van de dienstverlener of de auditor(s) van de serviceorganisatie(s) geeft eenzelfde soort verklaring af voor onderliggende serviceorganisaties.
- Deze verklaring(en) van de auditor(s) en het migratieverzoek worden ingediend.
Extra voorwaarden bij toevoeging of wijziging van de Identity Broker:
- Er is een door een RE-auditor afgegeven assessmentrapport (RSO) voor de Identity Broker. De oordelen in dit rapport voldoen. De oordeelsdatum in het rapport is niet ouder dan een jaar.
- Auditor van de dienstverlener neemt in de verklaring extra op dat het RSO van de Identity Broker van toepassing is op de nieuwe aansluiting met vermelding van het referentienummer, de rapportdatum en de auditor van het RSO.
- De RSO wordt met de verklaring(en) en het migratieverzoek (uit stap 6) ingediend.
Het indienen van het migratieverzoek gaat op dezelfde manier als het indienen van een assessmentrapportage (zie Indienen via het aanleverformulier, e-mail, of ENSIA).
Reactie op het migratieverzoek door Logius
De dienstverlener krijgt een schriftelijke reactie via de post met de beoordeling van het migratieverzoek. Als het migratieverzoek wordt toegewezen zal de nieuwe aansluiting worden gezien als een bestaande aansluiting (art 5.5). Wordt het verzoek afgewezen dan zal alsnog voor de nieuwe aansluiting een assessmentrapportage binnen 2 maanden na activatie moeten worden ingeleverd.
Wanneer vervalt de assessmentplicht?
Elke geactiveerde DigiD aansluiting moet voldoen aan de assessmentplicht. De aansluithouder moet zelf een verzoek indienen om een DigiD aansluiting te laten deactiveren als deze niet meer gebruikt wordt. Dit kan door het invullen van het wijzigingsformulier of door contact op te nemen met Logius. Pas als de aansluiting gedeactiveerd is, vervalt de assessmentplicht.
Let op: Indien de DigiD aansluiting bij de aansluithouder functioneel niet in gebruik is, maar wel als geactiveerd geregistreerd staat bij Logius, loopt de assessmentplicht gewoon door.
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.