Main content
Bekijk hier het laatste nieuws rondom de ICT-beveiligingsassessments DigiD.
Logius accepteert alleen de zogenoemde EUTL-handtekening als elektronische handtekening voor alle documenten in de assessmentrapportage.
Een EUTL-handtekening is een gekwalificeerde elektronische handtekening met een certificaat dat herleidbaar is naar een uitgevende instantie die vermeld is op de EUTL. De handtekening zorgt voor een hoge betrouwbaarheid. Daarnaast is de controle van de handtekening eenvoudig en snel. Een EUTL-handtekening is persoonsgebonden aan de RE-auditor die een document in de assessmentrapportage ondertekent.
Figuur 1 hieronder laat in de bovenste regel zien hoe dit in de eigenschappen van de handtekening wordt weergegeven:
Figuur 1 Eigenschappen van handtekening
Deze persoonsgebonden koppeling met de naam van de RE-auditor is vereist. Ondertekening door een uitgevende partij is niet toegestaan, ook niet bij vermelding van de naam van de auditor op een andere plaats in de handtekening. Vermelding van het e-mailadres mag, maar is niet vereist.
In de volgende regels in Figuur 1 worden de European Union Trusted Lists (EUTL) genoemd. Het certificaat dat wordt gebruikt bij het zetten van een elektronische handtekening is te herleiden naar de uitgevende instantie. De uitgevende instantie staat op deze EUTL. Dit geeft een hoge betrouwbaarheid.
In Figuur 1 is de elektronische handtekening gekwalificeerd. De verwijzing naar de EU-richtlijn 910/2014 betekent dat de handtekening voldoet aan de eIDAS-verordening waarin het genereren en het accepteren van elektronische handtekeningen op Europees niveau is geregeld.
Bronnen met achtergrondinformatie
Meer informatie is te vinden op Elektronische handtekening - Europa decentraal.
De norm B.01, Informatiebeveiligingsbeleid, is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs. De norm B.01 is onderdeel van het normenkader 3.0 zoals is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Formele vaststelling en vastlegging van het beleid
Een informatiebeveiligingsbeleid bestaat pas na de (formele) vaststelling en vastlegging van het beleid op het juiste organisatorische niveau. Voor aansluithouders die niet tijdig de volledige (formele) vastlegging en/of vaststelling van het beleid kunnen realiseren is een uitzonderingsregel opgesteld. Deze uitzonderingsregel is opgesteld in samenspraak met het Ministerie van BZK en NOREA.
Voorwaarden voor de uitzonderingsregel op B.01
De uitzonderingsregel geldt voor nieuwe en bestaande aansluitingen en is alleen van toepassing op de aansluithouder en alleen als de aansluithouder aan de volgende voorwaarden voldoet.
- De RE-auditor constateert vóór 1 mei 2023 dat de aansluithouder het informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, niet volledig vóór 1 mei 2023 (formeel) heeft vastgelegd en/of vastgesteld.
- De RE-auditor constateert dat aan de overige beheersingsmaatregelen van de norm B.01 wordt voldaan.
- De RE-auditor constateert dat de aansluithouder een verbeterplan heeft opgesteld om te voldoen aan de norm B.01 vóór 1 mei 2024.
Pas als aan alle 3 voorwaarden is voldaan neemt de auditor de onderstaande tekst (als voetnoot) op in de paragraaf ‘Oordelen’ bij het oordeel ‘voldoet niet’ op de norm B.01.
* T.a.v. norm B.01 merken we op dat het (formeel) volledig vastleggen en/of vaststellen van een apart informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, voor de aansluithouder een langere termijn vergt dan de termijn tot 1 mei 2023. Naar het oordeel van de auditor is een verbeterplan opgesteld waarbij de auditor er kennis van heeft genomen dat de tekortkoming voor 1 mei 2024 zal zijn opgelost. Aan alle andere beheersmaatregelen van deze norm wordt wel voldaan. Voor nadere informatie kan Logius zich wenden tot de auditor.
Besluit Logius
Indien niet wordt voldaan aan de norm B.01 vanwege het ontbreken van de (formele) volledige vastlegging en vaststelling van het beleid, maar wel wordt voldaan aan voornoemde voorwaarden, en dit wordt verklaard door de specifieke voetnoot, dan kan Logius de uitzonderingsregel op B.01 toepassen.
Hiermee krijgt de aansluithouder de tijd om uiterlijk 1 mei 2024 volledig te voldoen aan de norm B.01.
Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een nieuw normenkader vastgesteld voor het DigiD-assessment. Het besluit bestaat uit 2 delen:
1. Invoering nieuw Normenkader 3.0, met 21 normen
Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NCSC-richtlijnen plus een nieuwe, 21e norm, B.01. Dit Normenkader v3.0 gaat in op 1 augustus 2022.
Omschrijving norm B.01
'De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatiegerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.'
Doel norm B.01
'Hiermee wordt ervoor gezorgd dat in het beveiligingsproces specifiek aandacht is voor de webapplicaties van de organisatie.'
De norm B.01 is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs.
Auditors zullen hierbij de auditrichtlijnen volgen vanuit NOREA.
2. Extra toetsing op werking
Sinds de invoering van het DigiD-assessment zijn de normen getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01; U/WA.02; C.07; C.08 en C.09.
De invoering van de toetsing op werking omvat een overgangsjaar:
- Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
- Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.
Het object van onderzoek, de scope, van het DigiD-assessment verandert niet. Maar met het op een andere manieren opknippen van de dienstverlening in verschillende services, is wel de vraag ontstaan wat wel en wat niet binnen het DigiD assessment valt. NOREA heeft de scope-omschrijving verduidelijkt in de FAQ, versie 1.4. Op de Logius website is die scope-omschrijving overgenomen en terug te lezen op de pagina IT-auditrapportage voor DigiD.
Voor de norm U/PW.03 is in assessmentjaar 2020 een uitzondering mogelijk geweest op de eisen voor ‘unsafe-inline’ en ‘unsafe-eval’. Logius kende, onder voorwaarden, deze uitzondering toe aan aansluitingen met een webapplicatie waarop mitigerende maatregelen zijn toegepast, terwijl niet werd voldaan aan de juiste parameters voor unsafe-inline en unsafe–eval.
Voor de komende jaren is aan het toekennen van de uitzonderingsregel een striktere invulling gegeven. Wel kan de uitzonderingsregel voorlopig worden voortgezet. Dit geeft aansluithouders en serviceorganisaties meer ruimte om grote wijzigingen door te kunnen voeren. Lees hier meer over.
DigiD-assessmentberichten
Met enige regelmaat sturen wij een mailing met daarin actuele aandachtspunten rondom de DigiD beveiligingsassessments en het inleveren en opvolgen ervan. Wilt u zich aanmelden voor deze mailing? Vul dan dit formulier in.
U kunt hieronder ook het archief met eerdere berichten bekijken.
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.