Hoofdinhoud

Bekijk hier het laatste nieuws rondom de ICT-beveiligingsassessments DigiD.

Vanaf 2023 is het mogelijk om assurancerapporten voor de serviceorganisatie (voorheen TPM’s, nu RSO’s) vooraf te laten controleren. Auditors kunnen hier gebruik van maken.

Door het vroegtijdig laten controlereen van een concept-RSO worden fouten en omissies zo veel als mogelijk voorkomen. Dit zorgt zowel bij auditor, serviceorganisatie, dienstverlener en bij Logius voor minder werk en minder tijdsdruk in de jaarlijkse inleverperiode. 

Voorwaarden:

Voor een goed verloop worden de volgende voorwaarden gesteld:

  1. De aanleverperiode loopt van 15 september tot 1 november. 
  2. In aanmerking komen alleen rapporten van serviceorganisaties (RSO’s) die aan meerdere dienstverleners (aansluithouders) worden verstrekt. 
  3. Een RSO wordt in conceptvorm ingeleverd en mag nog niet zijn uitgegeven aan dienstverleners. Het kenmerk van deze conceptversie eindigt op ‘-check’. Het rapport bevat geen EUTL-handtekening.
  4. Een volgend RSO van een andere dienst en/of andere serviceorganisatie mag pas ingeleverd worden nadat het commentaar op het eerdere RSO is verwerkt. 

Handig om te weten:

  1. De pre-check wordt maar 1 keer per RSO uitgevoerd. Zorg er daarom voor dat het RSO  zo-goed-als-af is. Alles wat niet is opgenomen kan niet gecontroleerd worden. Een respons wordt per email verstuurd.  
  2. Zijn er meerdere diensten of serviceorganisaties waarvoor een concept RSO wordt ingeleverd, stuur de ene pas als de respons op de andere is verwerkt (voorwaarde 4). Geconstateerde fouten kunnen op die manier in het volgende RSO al aangepast worden. Zo wordt het RSO steeds beter en voorkomt het daarnaast dubbel werk.
  3. We verwachten binnen 5 tot 10 werkdagen een respons te kunnen sturen. 
  4. Een goed concept-RSO geeft (helaas) geen garantie op een goede definitieve versie. Een RSO is slechts een gedeelte van de totale DigiD rapportage. Uit de samenhang kunnen altijd niet eerder geconstateerde onjuistheden blijken.  

Meedoen en aanleveren:

Tussen 15 september en 1 november kunt u het RSO in conceptvorm opsturen met het aanleverformulier.

Vul de volgende velden als volgt in:

  • Aansluitnummer: [vul in: naam auditor en auditorganisatie]
  • Aansluitnaam: Pre-check voor [vul in: dienst en SO]

Upload het RSO en maak het aanleverformulier daarna verder af. 

Assessments over 2023

In het Assessmentbericht van 14 juli 2022 heeft Logius de invoering aangekondigd van het normenkader 3.0 met de toetsing op werking. Hierin staat dat 5 normen extra getoetst gaan worden op werking: U/TV.01; U/WA.02; C.07; C.08 en C.09.

In een overgangsjaar wordt de toetsing op werking ingevoerd:

  • Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
  • Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.

In het eerste jaar mag er vrijwillig gerapporteerd worden over de werking. NOREA heeft een instructie geschreven voor de RE-auditors. Hierin staat beschreven hoe zij moeten toetsen in dat eerste jaar. Dit is opgenomen in ‘NOREA-Handreiking DigiD-assessment 4.0 (2023)’ en te vinden op de website van NOREA.

Heeft u vragen over hoe u een toets op werking rapporteert tussen 1 januari en 1 mei 2024 of over de vervolgstappen van Logius? Neem dan contact met ons op.


Assessments over 2024

Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.

Daarnaast houdt de auditor een langere controleperiode (zie hieronder de uitleg bij controleperiode) aan.

De toets op werking is nu verplicht. Als een norm nu niet voldoet aan werking, moet deze aantoonbaar verbeterd worden door een nieuwe toets op werking. Door de langere controleperiode is voor de hertoets een langere doorlooptijd nodig. Vandaar dat Logius in dat geval een tussentijdse toets vraagt op opzet en bestaan. 
Een norm herstellen die niet voldoet op werking brengt meer met zich mee. Het is dus belangrijk om de processen en systemen goed op orde te hebben zodat de auditor de toets op werking kan uitvoeren en positief kan beoordelen.

Controleperiode

Een controleperiode is het tijdvak dat de auditor bekijkt om de werking te toetsen. In het eerste jaar waarin u vrijwillig toetst, is dit nog 3 maanden (minimaal). In het tweede jaar, waarin u dus verplicht toetst, wordt dit 6 maanden.

De oordeelsdatum is de laatste dag van de controleperiode.

Voor de aansluithouder mag de oordeelsdatum niet vóór 31 december zijn (dit geldt niet voor serviceorganisaties). Op die manier is de maand december ook meegenomen in de controleperiode en het assessment. De oordeelsdatum mag wel na 1 januari liggen maar let op, altijd geldt:

  • De rapportage moet vóór 1 mei zijn ingeleverd.
  • In het rapport van iedere serviceorganisatie (TPM of ISAE3402 of SOC2) mag de oordeelsdatum niet meer dan een jaar verschillen van de oordeelsdatum in het rapport van de aansluithouder.

Als voorbeeld: bij een controleperiode van 6 maanden kan een aansluithouder de maanden oktober t/m maart laten toetsen op werking om eind maart een eindoordeel te laten geven. En dit vóór 1 mei in te leveren met een rapport van een serviceorganisatie die de maanden juni t/m november heeft laten beoordelen met een oordeelsdatum eind november.

Houdt er rekening mee dat de controleperiode gedurende de tijd zal toenemen naar uiteindelijk een jaar. Een controleperiode van een jaar is gebruikelijk voor de toetsing op werking.

Logius accepteert alleen de zogenoemde EUTL-handtekening als elektronische handtekening voor alle documenten in de assessmentrapportage.

Een EUTL-handtekening is een gekwalificeerde elektronische handtekening met een certificaat dat herleidbaar is naar een uitgevende instantie die vermeld is op de EUTL. De handtekening zorgt voor een hoge betrouwbaarheid. Daarnaast is de controle van de handtekening eenvoudig en snel. Een EUTL-handtekening is persoonsgebonden aan de RE-auditor die een document in de assessmentrapportage ondertekent.

Figuur 1 hieronder laat in de bovenste regel zien hoe dit in de eigenschappen van de handtekening wordt weergegeven:

Figuur 1 Eigenschappen van handtekening

Figuur 1 Eigenschappen van handtekening

Deze persoonsgebonden koppeling met de naam van de RE-auditor is vereist. Ondertekening door een uitgevende partij is niet toegestaan, ook niet bij vermelding van de naam van de auditor op een andere plaats in de handtekening. Vermelding van het e-mailadres mag, maar is niet vereist.

In de volgende regels in Figuur 1 worden de European Union Trusted Lists (EUTL) genoemd. Het certificaat dat wordt gebruikt bij het zetten van een elektronische handtekening is te herleiden naar de uitgevende instantie. De uitgevende instantie staat op deze EUTL. Dit geeft een hoge betrouwbaarheid.

In Figuur 1 is de elektronische handtekening gekwalificeerd. De verwijzing naar de EU-richtlijn 910/2014 betekent dat de handtekening voldoet aan de eIDAS-verordening waarin het genereren en het accepteren van elektronische handtekeningen op Europees niveau is geregeld.

Bronnen met achtergrondinformatie

Meer informatie is te vinden op Elektronische handtekening - Europa decentraal.

 

De norm B.01, Informatiebeveiligingsbeleid, is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs. De norm B.01 is onderdeel van het normenkader 3.0 zoals is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Formele vaststelling en vastlegging van het beleid

Een informatiebeveiligingsbeleid bestaat pas na de (formele) vaststelling en vastlegging van het beleid op het juiste organisatorische niveau. Voor aansluithouders die niet tijdig de volledige (formele) vastlegging en/of vaststelling van het beleid kunnen realiseren is een uitzonderingsregel opgesteld. Deze uitzonderingsregel is opgesteld in samenspraak met het Ministerie van BZK en NOREA.

Voorwaarden voor de uitzonderingsregel op B.01

De uitzonderingsregel geldt voor nieuwe en bestaande aansluitingen en is alleen van toepassing op de aansluithouder en alleen als de aansluithouder aan de volgende voorwaarden voldoet. 

  1. De RE-auditor constateert vóór 1 mei 2023 dat de aansluithouder het informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, niet volledig vóór 1 mei 2023 (formeel) heeft vastgelegd en/of vastgesteld. 
  2. De RE-auditor constateert dat aan de overige beheersingsmaatregelen van de norm B.01 wordt voldaan.
  3. De RE-auditor constateert dat de aansluithouder een verbeterplan heeft opgesteld om te voldoen aan de norm B.01 vóór 1 mei 2024.

Pas als aan alle 3 voorwaarden is voldaan neemt de auditor de onderstaande tekst (als voetnoot) op in de paragraaf ‘Oordelen’ bij het oordeel ‘voldoet niet’ op de norm B.01.

* T.a.v. norm B.01 merken we op dat het (formeel) volledig vastleggen en/of vaststellen van een apart informatiebeveiligingsbeleid voor webapplicaties, of een hiervoor apart ontwikkeld beleid, voor de aansluithouder een langere termijn vergt dan de termijn tot 1 mei 2023. Naar het oordeel van de auditor is een verbeterplan opgesteld waarbij de auditor er kennis van heeft genomen dat de tekortkoming voor 1 mei 2024 zal zijn opgelost. Aan alle andere beheersmaatregelen van deze norm wordt wel voldaan. Voor nadere informatie kan Logius zich wenden tot de auditor.

Besluit Logius

Indien niet wordt voldaan aan de norm B.01 vanwege het ontbreken van de (formele) volledige vastlegging en vaststelling van het beleid, maar wel wordt voldaan aan voornoemde voorwaarden, en dit wordt verklaard door de specifieke voetnoot, dan kan Logius de uitzonderingsregel op B.01 toepassen.

Hiermee krijgt de aansluithouder de tijd om uiterlijk 1 mei 2024 volledig te voldoen aan de norm B.01.

Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een nieuw normenkader vastgesteld voor het DigiD-assessment. Het besluit bestaat uit 2 delen:

1. Invoering nieuw Normenkader 3.0, met 21 normen

Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NCSC-richtlijnen plus een nieuwe, 21e norm, B.01. Dit Normenkader v3.0 gaat in op 1 augustus 2022.

Omschrijving norm B.01 

'De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatiegerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.'

Doel norm B.01

'Hiermee wordt ervoor gezorgd dat in het beveiligingsproces specifiek aandacht is voor de webapplicaties van de organisatie.'

De norm B.01 is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs.

Auditors zullen hierbij de auditrichtlijnen volgen vanuit NOREA.

2. Extra toetsing op werking

Sinds de invoering van het DigiD-assessment zijn de normen getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01; U/WA.02; C.07; C.08 en C.09.
De invoering van de toetsing op werking omvat een overgangsjaar:

  • Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
  • Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.

Het object van onderzoek, de scope, van het DigiD-assessment verandert niet. Maar met het op een andere manieren opknippen van de dienstverlening in verschillende services, is wel de vraag ontstaan wat wel en wat niet binnen het DigiD assessment valt. NOREA heeft de scope-omschrijving verduidelijkt in de FAQ, versie 1.4. Op de Logius website is die scope-omschrijving overgenomen en terug te lezen op de pagina IT-auditrapportage voor DigiD.

Voor de norm U/PW.03 is in assessmentjaar 2020 een uitzondering mogelijk geweest op de eisen voor ‘unsafe-inline’ en ‘unsafe-eval’. Logius kende, onder voorwaarden, deze uitzondering toe aan aansluitingen met een webapplicatie waarop mitigerende maatregelen zijn toegepast, terwijl niet werd voldaan aan de juiste parameters voor unsafe-inline en unsafe–eval. 

Voor de komende jaren is aan het toekennen van de uitzonderingsregel een striktere invulling gegeven. Wel kan de uitzonderingsregel voorlopig worden voortgezet. Dit geeft aansluithouders en serviceorganisaties meer ruimte om grote wijzigingen door te kunnen voeren. Lees hier meer over.

DigiD-assessmentberichten

Met enige regelmaat sturen wij een mailing met daarin actuele aandachtspunten rondom de DigiD beveiligingsassessments en het inleveren en opvolgen ervan. Wilt u zich aanmelden voor deze mailing? Vul dan dit formulier in.

U kunt hieronder ook het archief met eerdere berichten bekijken.

Contact

Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.