ICT-beveiligingsassessments DigiD in het algemeen

Wat is het ICT-beveiligingsassessments DigiD?

Met het ICT-beveiligingsassessments DigiD houdt Logius toezicht op de DigiD aansluitingen met als doel het gebruik van DigiD veilig te houden.

Betrouwbare digitale communicatie is van groot belang voor het vertrouwen in en de integriteit van elektronische (overheids)dienstverlening. Het ministerie van BZK is verantwoordelijk voor de veiligheid van DigiD. Dit betreft niet alleen het middel zelf, maar ook de daarop aangesloten digitale diensten.

Voor wie is het ICT-beveiligingsassessments DigiD?

Het ICT-beveiligingsassessments DigiD is er voor alle organisaties met een DigiD aansluiting.

Hoe gaat het toezicht in zijn werk?

Er wordt toezicht gehouden op de koppeling van DigiD met de webapplicatie van een aangesloten organisatie. Alle organisaties die DigiD gebruiken moeten per 1 augustus 2022 voldoen aan het DigiD Normenkader 3.0. Tot die tijd geldt het Normenkader 2.0. Toetsing van de normen gebeurt op basis van een IT-audit.

Een organisatie met een DigiD aansluiting:

• laat jaarlijks een assessment uitvoeren
• zorgt voor het oplossen van eventuele tekortkomingen
• levert een door een RE-auditor opgestelde en ondertekende rapportage aan bij Logius

Logius houdt toezicht op het op tijd naleven van de assessmentplicht en beoordeelt de IT-auditrapportage (assessmentrapportage).

DigiD Normenkader 3.0

Het DigiD Normenkader 3.0 (zie hiervoor: Logius | Normenkader 3.0 voor ICT-beveiligingsassessments DigiD) bestaat uit 21 richtlijnen die zijn gebaseerd op de ICT-Beveiligingsrichtlijnen voor Webapplicaties. De versie 3.0 geldt vanaf 1 augustus 2022 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De 21 beveiligingsrichtlijnen uit het Normenkader worden in het dagelijks gebruik de 21 normen genoemd.

Toetsing op opzet, bestaan en werking

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft vastgesteld dat vijf normen uit het Normenkader 3.0 getoetst gaan worden op werking. Hierbij wordt een overgangsjaar gebruikt. Voor aansluithouders betekent dit het volgende:

• Vanaf inleverperiode 1 januari - 1 mei 2024 (over het voorgaande jaar 2023) mag de aansluithouder de vijf normen op werking te laten toetsen. 
• Vanaf inleverperiode 1 januari - 1 mei 2025 (over het voorgaande jaar 2024) moet de aansluithouder de vijf normen op werking te laten toetsen. 

Ook TPM’s die in het jaar 2024 worden gemaakt en die worden ingediend vanaf 1 januari 2025 moeten de toetsing op werking bevatten. De publicatie van de introductie van Normenkader 3.0 en de toetsing op werking is te lezen bij de mededelingen.

Wat levert dit op?

Het ICT-beveiligingsassessments DigiD biedt burgers meer zekerheid dat DigiD als authenticatiemiddel veilig en betrouwbaar is. Het verplicht DigiD aansluithouders inzicht te geven in de informatieveiligheid van de op DigiD aangesloten webapplicatie.