Hoofdinhoud
Binnen het geheel van het ICT-beveiligingsassessments DigiD spelen verschillende partijen een rol.
BZK
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is eigenaar van Logius en heeft vanuit deze rol bepaald dat DigiD aansluithouders verplicht zijn IT-auditrapportages aan te leveren. Ook stelt BZK het Normenkader vast waaraan de DigiD koppeling en applicatie moet voldoen.
Logius
Logius houdt in opdracht van BZK toezicht op het naleven van de Voorwaarden DigiD, zoals de uitvoering van de DigiD Assessments. Ook is Logius verantwoordelijk voor het toezien op het tijdig oplossen van tekortkomingen.
NCSC
Het NCSC (Nationaal Cyber Security Centrum) adviseert over de richtlijnen voor de ICT-beveiliging voor webapplicaties. BZK bepaalt vervolgens welke richtlijnen er gevolgd moeten worden. De richtlijnen met de hoogste impact op de veiligheid van DigiD zijn hiervoor gekozen en opgenomen in het DigiD Normenkader.
NOREA
NOREA is de beroepsorganisatie van IT-auditors waar RE-auditors bij aangesloten moeten zijn om een DigiD Assessment uit te voeren. NOREA geeft invulling aan hoe de door BZK bepaalde DigiD-normen getoetst moeten worden. Alle RE-auditors zijn terug te vinden in het register van NOREA.
ENSIA
Via het ENSIA stelsel leggen gemeenten verantwoording af over de informatieveiligheid waaronder ook die van DigiD.
Een gemeente levert de assessmentrapportage aan via een tool ontwikkeld door ENSIA. Zie hiervoor IT-auditrapportage voor DigiD en Indienen IT-auditrapportage en vervolgstappen.
DigiD aansluithouder
De DigiD aansluithouder heeft een actieve DigiD aansluiting en is daarmee de verplichting aangegaan tot het jaarlijks indienen van een DigiD Assessment.
De DigiD aansluithouder blijft echter altijd verantwoordelijk voor de veiligheid van de DigiD aansluiting en applicatie. Geadviseerd wordt om buiten de maatregelen uit het DigiD Normenkader ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen van NCSC te adopteren.
Serviceorganisatie
Een DigiD aansluithouder heeft de mogelijkheid om de omgeving met de DigiD koppeling en de DigiD applicatie deels uit te besteden aan een Serviceorganisatie. Hoe het toetsen van de DigiD normen werkt bij het gebruikmaken van een Serviceorganisatie vindt u onder IT-auditrapportage voor DigiD.
Contact
Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.