Main content
Niet op tijd indienen
In gevallen waarbij een assessmentrapportage niet op tijd is aangeleverd zal Logius overgaan tot het opschorten van de DigiD dienstverlening.
Het proces bij niet of niet tijdig indienen van de rapportage
Bij overschrijding van de deadline voor het aanleveren van een assessmentrapportage stuurt Logius een aanmaning per aangetekende brief. In deze aanmaning wordt de DigiD aansluithouder door Logius in gebreke gesteld. De DigiD aansluithouder krijgt nog één mogelijkheid om alsnog te voldoen aan de assessmentplicht. Bij overschrijding van deze deadline volgt een aangetekende brief waarin wordt aangegeven dat Logius overgaat tot deactivatie van de DigiD aansluiting. In deze brief is ook de deactivatiedatum opgenomen, die wordt gehanteerd indien geen assessmentrapportage wordt opgeleverd.
Logius stuurt deze aanmaningen altijd aangetekend naar het hoogste bestuur binnen de organisatie, bijvoorbeeld het college of de directie.
Voor het opnieuw activeren van een gedeactiveerde aansluiting kan een verzoek worden ingediend bij Logius. Logius beoordeelt het verzoek tot heractivatie en afhankelijk van de situatie worden hier aanvullende voorwaarden aan gesteld.
Indienen
Voor iedere actieve DigiD aansluiting moet een aansluithouder een assessmentrapportage indienen. Hierin moet de aansluitnaam en het aansluitnummer vermeld staan.
Eén rapportage voor meerdere DigiD-aansluitingen
Zolang er in de rapportage duidelijk onderscheid wordt gemaakt tussen de aansluitingen mag een aansluithouder met meerdere DigiD aansluitingen assessmentrapportages samenvoegen. Onder voorwaarde dat voor iedere aansluiting de TPM of assuranceverklaring van de Serviceorganisatie hetzelfde is, en de oordelen in het hoofdstuk ‘Oordelen’ van het assessmentrapport hetzelfde zijn.
Indienen via e-mail, post of ENSIA
Het indienen van rapportages kan voor iedere DigiD aansluithouder per reguliere post of digitaal per e-mail.
Het e-mailadres voor het aanleveren van digitale assessmentrapportages is: DigiDassessment@logius.nl.
De aansluithouder voorziet de assessmentrapportage van een begeleidend schrijven met daarin het aansluitnummer en de contactgegevens waaronder een postadres. Dit kan in de e-mail zelf of via een aanbiedingsbrief die als bijlage aan de e-mail wordt toegevoegd. Deze gegevens worden gebruikt voor de reactie die Logius per post stuurt.
Regels voor het digitaal aanleveren
Aan het digitaal aanleveren zijn enkele regels verbonden:
Elektronische handtekening
Digitaal aangeleverde documentatie moet zijn voorzien van een elektronische handtekening van de RE-auditor. Zie hiervoor het kopje 'Betrouwbaarheidseisen aan de handtekening van een RE-auditor' onder 'Assessmentrapportage' op de pagina IT-auditrapportage voor DigiD.
E-mailadres vanuit de organisatie
Logius moet uit het gebruikte e-mailadres kunnen afleiden dat het assessment is verstuurd vanuit de organisatie van de DigiD aansluithouder.
PDF/A
Lever de documenten aan in het bestandsformaat PDF type A. Indien de mogelijkheid er is kies dan voor de optie PDF/A-1a of PDF/A-2a. Ieder PDF/A-bestand bevat maximaal één document. Uitzondering hierop is het per aansluiting gecombineerde document van assurancerapport, collegeverklaring en zelfevaluatie.
Het aanmaken in PDF/A
Een PDF/A-document aanmaken kan vanuit de meeste tekstverwerkingsprogramma’s. Mocht het niet lukken om een PDF/A-document aan te maken dan kan eventueel een uitgeprinte versie digitaal in PDF/A worden gescand. De scanner moet hiervoor wel de optie PDF/A ondersteunen.
Let op: een geavanceerde of gekwalificeerde elektronische handtekening verliest zijn waarde indien achteraf het document wordt omgezet naar PFD/A. En het verliest de mogelijkheid tot verificatie indien het document wordt gescand.
Het controleren van PDF/A
Controleer het bestandsformaat alvorens het te verzenden. Het bestandsformaat van een document is te verifiëren door in Acrobat Reader:
- in de linkerkantlijn het verticale menu te openen. Klik hiervoor op het pijltje in de linkerkantlijn;
- het i-icoon (vierde icoon) te klikken;
- het formaat te controleren dat staat onder "Conformiteit" bij "Standaard".
Let op: In een Acrobat Reader verschijnt boven in het document een blauwgrijze balk met de tekst: "Dit bestand voldoet aan de PDF/A-standaard en is geopend als alleen-lezen om wijzigingen te voorkomen". Deze tekst kan echter misleidend en tegenstrijdig zijn met de informatie onder het i-icoon. De informatie onder het i-icoon is leidend.
Versleutelen
Om de vertrouwelijkheid van de berichten te garanderen adviseert Logius het e-mailbericht versleuteld op te sturen. Logius accepteert maar één methode van versleuteling.
Methode voor versleuteling
Voor digitaal en versleuteld aanleveren moet eerst de publieke sleutel van het PKIoverheid-certificaat behorende bij het e-mailadres DigiDassessment@logius.nl worden geïmporteerd in de eigen e-mailapplicatie. Op de pagina ‘Documentatie’ vindt u een zip-bestand met de gehele certificaatketen, waaronder de publieke sleutel (Digid_Beveiligingsassessments_KPN_vertrouwelijkheid.cer). Soms is de publieke sleutel niet voldoende en is het nodig de gehele keten te importeren in de e-mailapplicatie.
Alleen berichten die op deze manier versleuteld zijn kan Logius in behandeling nemen.
Voor meer informatie over het importeren van het certificaat en hoe versleuteld berichten versturen werkt verwijzen wij u naar de instructies van het gebruikte e-mailprogramma.
Bij aanleveren via de ENSIA tool (alleen voor gemeenten) zorgt de tool automatisch voor het versleuteld versturen van de assessmentrapportage aan Logius. De gemeente als aansluithouder hoeft de bestanden niet zelf te versleutelen.
ZIP-bestanden
Meerdere PDF/A-bestanden mogen in een zip-file per e-mail gestuurd worden. Hieraan zijn twee voorwaarden verbonden:
- Het bestandsformaat is .zip;
- De zip-file is niet versleuteld met een wachtwoord
Indien de documenten worden aangeleverd via de ENSIA tool (alleen voor gemeenten) dan zijn zip-files niet toegestaan.
Voldoet de aanlevering per e-mail niet aan deze regels, dan neemt Logius de assessmentrapportage formeel niet in behandeling.
Let op: Vanaf 1 januari 2024 is het niet meer mogelijk om DigiD rapportages op papier aan te leveren.
Het postadres voor de DigiD Assessmentrapportages is:
Logius
ICT-beveiligingsassessments DigiD
Antwoordnummer 16073
2501 VE Den Haag
De aansluithouder voorziet de assessmentrapportage van een begeleidend schrijven met daarin het aansluitnummer en de contactgegevens. Deze gegevens worden gebruikt voor de reactie die Logius per post stuurt.
Tot 1 januari 2024 moet op papier ingeleverde documentatie zijn voorzien van een ‘natte’ handtekening. Zie hiervoor het kopje ‘Betrouwbaarheidseisen aan de handtekening van een RE-auditor’ onder ‘Assessmentrapportage’ op de pagina IT-auditrapportage voor DigiD. Vanaf 1 januari 2024 kan alleen nog digitaal worden aangeleverd.
Voor gemeenten bestaat de mogelijkheid om gebruik te maken van de ENSIA-tool.
Ook DigiD is in ENSIA opgenomen. Voor bestaande aansluitingen die deelnemen aan de jaarlijkse assessmentcyclus gebruiken de gemeenten de ENSIA-tool voor het inleveren van de DigiD-assessmentrapportage. De voorwaarden en regels rondom DigiD zijn niet anders dan voor niet-gemeenten. Inhoudelijke vragen over deze methodiek, de rapportagevorm en contactgegevens zijn te vinden op de website van ENSIA.
De ENSIA-tool kan niet gebruikt worden voor het eerste assessment dat binnen twee maanden na activatie van een nieuwe DigiD-aansluiting aangeleverd moet worden.
Indien niet voldaan wordt aan één of meerdere normen, dan komt het assessment terecht in het reguliere opvolgingstraject van Logius. Voor het opsturen van een verbeterrapportage wordt geen gebruik gemaakt van de ENSIA-tool. Gebruik hiervoor een van de andere beschreven methoden (e-mail of post).
Schriftelijke reactie van Logius
Na de beoordeling van de assessmentrapportages informeert Logius de DigiD aansluithouder per brief over de bevindingen. Standaard zijn er drie mogelijke reacties op de ingediende DigiD Assessmentrapportage.
De rapportage wordt niet in behandeling genomen
Als de rapportage niet in behandeling wordt genomen staat er in de brief altijd een reden vermeld. De DigiD aansluithouder stuurt voor de in de brief vermelde deadline de ontbrekende of gecorrigeerde documenten op. Documenten die al correct waren hoeven niet nogmaals opgestuurd te worden.
De rapportage is beoordeeld en er wordt niet aan alle normen voldaan
Per norm waaraan niet wordt voldaan bepaalt Logius een oplostermijn en vermeldt deze in de brief. Wordt er aan de norm voldaan dan vraagt de DigiD aansluithouder de IT-auditor om de norm opnieuw te toetsen. Logius dient het verbeterrapport binnen de oplostermijn te ontvangen. Normen waar al aan is voldaan hoeven niet nogmaals getoetst te worden.
Logius adviseert een DigiD aansluithouder bij constatering van een norm die niet voldoet direct te starten met het oplossen en niet te wachten op de beoordeling en de oplostermijn van Logius.
Dit geldt ook als de niet voldane norm wordt geconstateerd bij de Serviceorganisatie. De DigiD aansluithouder, niet de Serviceorganisatie, is te allen tijde eindverantwoordelijke voor de informatieveiligheid van de gehele DigiD omgeving.
Na het indienen van het verbeterrapport wordt de documentatie wederom beoordeeld. Logius geeft hierop opnieuw per brief een schriftelijke reactie.
De rapportage is beoordeeld en er wordt aan alle normen voldaan
Logius informeert de DigiD aansluithouder per brief dat voor het betreffende assessmentjaar aan de Voorwaarden DigiD is voldaan. Zolang de DigiD aansluiting bij Logius als geactiveerd geregistreerd staat, blijft de jaarlijkse assessmentplicht bestaan.
Let op: Logius is gerechtigd om in gevallen waar er sprake is van een acuut en serieus beveiligingsrisico met gevolgen voor DigiD, direct over te gaan tot het afsluiten van de DigiD koppeling in kwestie, zonder daarover eerst schriftelijk te communiceren.
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.