Hoofdinhoud
Niet op tijd indienen
In gevallen waarbij een assessmentrapportage niet op tijd is aangeleverd zal Logius overgaan tot het opschorten van de DigiD dienstverlening.
Het proces bij niet of niet tijdig indienen van de rapportage
Bij overschrijding van de deadline voor het aanleveren van een assessmentrapportage stuurt Logius een aanmaning per aangetekende brief. In deze aanmaning wordt de DigiD aansluithouder door Logius in gebreke gesteld. De DigiD aansluithouder krijgt nog één mogelijkheid om alsnog te voldoen aan de assessmentplicht. Bij overschrijding van deze deadline volgt een aangetekende brief waarin wordt aangegeven dat Logius overgaat tot deactivatie van de DigiD aansluiting. In deze brief is ook de deactivatiedatum opgenomen, die wordt gehanteerd indien geen assessmentrapportage wordt opgeleverd.
Logius stuurt deze aanmaningen altijd aangetekend naar het hoogste bestuur binnen de organisatie, bijvoorbeeld het college of de directie.
Voor het opnieuw activeren van een gedeactiveerde aansluiting kan een verzoek worden ingediend bij Logius. Logius beoordeelt het verzoek tot heractivatie en afhankelijk van de situatie worden hier aanvullende voorwaarden aan gesteld.
Indienen
Voor iedere actieve DigiD aansluiting moet een aansluithouder een assessmentrapportage indienen. Hierin moet de aansluitnaam en het aansluitnummer vermeld staan.
Eén rapportage voor meerdere DigiD-aansluitingen
Zolang er in de rapportage duidelijk onderscheid wordt gemaakt tussen de aansluitingen mag een aansluithouder met meerdere DigiD aansluitingen assessmentrapportages samenvoegen. Onder voorwaarde dat voor iedere aansluiting de TPM of assuranceverklaring van de Serviceorganisatie hetzelfde is, en de oordelen in het hoofdstuk ‘Oordelen’ van het assessmentrapport hetzelfde zijn.
Indienen via het aanleverformulier, e-mail of ENSIA
Iedere DigiD aansluithouder kan rapportages indienen met het aanleverformulier of per e-mail. Gemeenten kunnen ook aanleveren via ENSIA. De drie methoden zijn hier beschreven. Daarnaast zijn er regels waar de digitale documenten aan moeten voldoen.
Iedere aansluithouder kan rapportages opsturen met het aanleverformulier.
Het aanleverformulier met daarin de documenten wordt versleuteld verstuurd naar Logius. Het is daarmee veiliger dan het niet-versleuteld versturen van documenten via e-mail.
Houd rekening met het volgende als u het aanleverformulier gebruikt:
- Voeg alleen PDF/A -bestanden toe. Een bestand dat niet in PDF/A-formaat is, telt niet mee als deel van de auditrapportage. (dus ook geen zip-files)
- Elk bestand mag niet groter zijn dan 8MB.
- Voeg maximaal 3 PDF/A-bestanden toe van bij elkaar maximaal 20MB.
- Geef een e-mailadres op binnen de organisatie van de DigiD-aansluithouder
Bij meer dan 3 bestanden of als uw bestanden bij elkaar meer dan 20MB zijn kunt u de bestanden verspreiden door meerdere keren het aanleverformulier te gebruiken.
Het e-mailadres waar u digitale assessmentrapportages aanlevert is: DigiDassessment@logius.nl.
De aansluithouder voegt een begeleidend schrijven toe aan de assessmentrapportage. Daarin staat het aansluitnummer en de contactgegevens waaronder een postadres. Dit kan in de e-mail zelf of via een aanbiedingsbrief die u als bijlage aan de e-mail toevoegt. Deze gegevens gebruikt Logius voor de reactie per post.
E-mailadres vanuit de organisatie
Logius moet uit het gebruikte e-mailadres kunnen afleiden dat het assessment is verstuurd vanuit de organisatie van de DigiD aansluithouder.
Versleutelen
Om de vertrouwelijkheid van de berichten te garanderen adviseert Logius het e-mailbericht versleuteld op te sturen.
Zijn er problemen met het versleutelen van de e-mail? Gebruik dan het aanleverformulier (te gebruiken door alle aansluithouders).
Bij aanlevering via e-mail accepteert Logius alleen onderstaande methode van versleuteling.
Methode voor versleuteling
Importeer in uw eigen e-mailapplicatie eerst de publieke sleutel van het PKIoverheid-certificaat dat hoort bij het e-mailadres DigiDassessment@logius.nl. Daarna kunt u digitaal en versleuteld aanleveren. Op de pagina ‘Documentatie’ vindt u een zip-bestand met de gehele certificaatketen. Daaronder vindt u de publieke sleutel (Digid_Beveiligingsassessments_KPN_vertrouwelijkheid.cer). Soms is de publieke sleutel niet voldoende en is het nodig de gehele keten te importeren in de e-mailapplicatie.
Alleen berichten die op deze manier zijn versleuteld kan Logius in behandeling nemen.
Voor meer informatie over het importeren van het certificaat en hoe het versleuteld berichten versturen werkt, verwijzen wij u naar de instructies van het e-mailprogramma dat u gebruikt.
ZIP-bestanden
Alleen per e-mail mag u meerdere PDF/A-bestanden sturen in een zip-file. Hieraan zijn twee voorwaarden verbonden:
- Het bestandsformaat is .zip;
- De zip-file is niet versleuteld met een wachtwoord
Voldoet de aanlevering per e-mail niet aan deze regels, dan neemt Logius de assessmentrapportage formeel niet in behandeling.
Voor gemeenten bestaat de mogelijkheid om de ENSIA-tool te gbruiken.
Ook DigiD is in ENSIA opgenomen. Voor bestaande aansluitingen die meedoen aan de jaarlijkse assessmentcyclus, gebruiken de gemeenten de ENSIA-tool om DigiD-assessmentrapportage in te leveren. De voorwaarden en regels rondom DigiD zijn niet anders dan voor niet-gemeenten. Inhoudelijke vragen over deze methodiek, de rapportagevorm en contactgegevens kunt u vinden op de website van ENSIA.
De ENSIA-tool kunt u niet gebruiken voor het eerste assessment dat aangeleverd moet worden binnen twee maanden nadat een nieuwe DigiD-aansluiting is geactiveerd. Gebruik dan een van de andere beschreven methoden (het aanleverformulier of e-mail).
Voldoet u niet aan één of meerdere normen, dan komt het assessment terecht in het reguliere opvolgingstraject van Logius. De ENSIA-tool wordt niet gebruikt om een verbeterrapportage op te sturen. Gebruik dan een van de andere beschreven methoden (het aanleverformulier of e-mail).
Aan de digitale documenten zijn een paar regels verbonden:
Elektronische handtekening
Digitaal aangeleverde documentatie moet een elektronische handtekening hebben van de RE-auditor. Zie hiervoor het kopje 'Betrouwbaarheidseisen aan de handtekening van een RE-auditor' onder 'Assessmentrapportage' op de pagina IT-auditrapportage voor DigiD.
PDF/A
Lever de documenten aan in het bestandsformaat PDF type A. Alshet kan kies dan voor de optie PDF/A-1a of PDF/A-2a. Ieder PDF/A-bestand bevat maximaal één document. Uitzondering hierop is het document van assurancerapport, collegeverklaring en zelfevaluatie, dat per aansluiting wordt gecombineerd.
Schriftelijke reactie van Logius
Na de beoordeling van de assessmentrapportages informeert Logius de DigiD aansluithouder per brief over de bevindingen. Standaard zijn er drie mogelijke reacties op de ingediende DigiD Assessmentrapportage.
De rapportage wordt niet in behandeling genomen
Als de rapportage niet in behandeling wordt genomen staat er in de brief altijd een reden vermeld. De DigiD aansluithouder stuurt voor de in de brief vermelde deadline de ontbrekende of gecorrigeerde documenten op. Documenten die al correct waren hoeven niet nogmaals opgestuurd te worden.
De rapportage is beoordeeld en er wordt niet aan alle normen voldaan
Per norm waaraan niet wordt voldaan bepaalt Logius een oplostermijn en vermeldt deze in de brief. Wordt er aan de norm voldaan dan vraagt de DigiD aansluithouder de IT-auditor om de norm opnieuw te toetsen. Logius dient het verbeterrapport binnen de oplostermijn te ontvangen. Normen waar al aan is voldaan hoeven niet nogmaals getoetst te worden.
Logius adviseert een DigiD aansluithouder bij constatering van een norm die niet voldoet direct te starten met het oplossen en niet te wachten op de beoordeling en de oplostermijn van Logius.
Dit geldt ook als de niet voldane norm wordt geconstateerd bij de Serviceorganisatie. De DigiD aansluithouder, niet de Serviceorganisatie, is te allen tijde eindverantwoordelijke voor de informatieveiligheid van de gehele DigiD omgeving.
Na het indienen van het verbeterrapport wordt de documentatie wederom beoordeeld. Logius geeft hierop opnieuw per brief een schriftelijke reactie.
De rapportage is beoordeeld en er wordt aan alle normen voldaan
Logius informeert de DigiD aansluithouder per brief dat voor het betreffende assessmentjaar aan de Voorwaarden DigiD is voldaan. Zolang de DigiD aansluiting bij Logius als geactiveerd geregistreerd staat, blijft de jaarlijkse assessmentplicht bestaan.
Let op: Logius is gerechtigd om in gevallen waar er sprake is van een acuut en serieus beveiligingsrisico met gevolgen voor DigiD, direct over te gaan tot het afsluiten van de DigiD koppeling in kwestie, zonder daarover eerst schriftelijk te communiceren.
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.