| Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten. Afmelden kan met de knop in deze mail. Blijf op de hoogte DigiD-assessments houdt de webpagina op Logius.nl regelmatig bij om u te voorzien van de juiste informatie over het DigiD-assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in dit DigiD-assessmentbericht.
Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor.
Extra aandacht vragen wij voor de volgende onderwerpen: DigiD Normenkader 3.0 en toetsing op werking Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een nieuw normenkader vastgesteld voor het DigiD-assessment. Het besluit bestaat uit twee delen. 1. Invoering nieuw Normenkader 3.0, met 21 normen Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NSCS-richtlijnen plus een 21e norm, B.01. Dit Normenkader 3.0 gaat in op 1 augustus 2022. Concreet betekent dit dat de norm B.01 onderdeel is van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs. 2. Normenkader 3.0 - Extra toetsing op werking Voor vijf normen wordt naast opzet en bestaan, ook de toetsing op werking ingesteld. Vanaf 1 januari 2024 mag de rapportage toetsing op werking bevatten. Vanaf 1 januari 2025 moet de ingediende rapportage de toetsing op werking bevatten. Dat geldt dus ook voor TPMs die eerder zijn uitgegeven maar vanaf 1 januari 2025 worden ingediend.
Lees meer over het Normenkader 3.0 bij de mededelingen. Alle DigiD-aansluithouders hebben een reactie ontvangen Dit jaar heeft het DigiD-assessmentteam eerder dan anders alle aansluithouders een eerste reactie gegeven op de ingeleverde assessmentrapporten. Deze reactie wordt altijd met de post verstuurd. Bent u, als aansluithouder, nog niet op de hoogte van de stand van zaken rondom de door u aangeleverde rapportage, controleer dan de binnengekomen post. Wellicht dat u nog een verbeterpunt moet realiseren binnen de gestelde termijn. Uitzonderingsregel U/PW.03 Enkele aansluithouders hebben ook in deze assessmentperiode gebruik gemaakt van de uitzonderingsregel voor de norm U/PW.03. Met deze uitzonderingsregel is onder voorwaarden een langere periode gegeven om aan de norm te voldoen. Onder dezelfde voorwaarden kan bij toetsing door de auditor ook volgend jaar de uitzonderingsregel worden toegepast. De uiterlijke deadline om geheel aan de norm te voldoen blijft staan op 1 mei 2024. Ter herinnering: Betrouwbaarheidseisen aan de handtekening van een RE-auditor Logius verhoogt de eisen aan de betrouwbaarheid van de elektronische handtekening van RE-auditors. Dit geldt voor alle documenten die worden ingeleverd vanaf 1 januari 2023 voor het DigiD-beveiligingsassessment.
Hieronder vallen dus ook de TPMs die nu gemaakt worden om vanaf 1 januari 2023 ingediend te worden voor het jaarlijks assessment.
Logius stelt hoge eisen aan de veiligheid van DigiD, en het veilige gebruik ervan. Logius vraagt aansluithouders jaarlijks te voldoen aan die eisen en dit met een verklaring van een RE-auditor aan te tonen. Veel van deze verklaringen worden door de RE-auditor elektronisch ondertekend. Om de geldigheid van deze elektronische handtekening te kunnen controleren worden de eisen voor elektronische handtekeningen in documentatie aangescherpt.
Bekijk hoe de elektronische handtekening eruit kan zien tot aan 2023 en vanaf 2023 onder de kop ‘Betrouwbaarheidseisen aan de handtekening van een RE-auditor’ op de pagina IT-auditrapportage voor DigiD. Meer informatie Kijk voor een uitgebreid overzicht van alle informatie rondom de assessmentplicht voor DigiD-aansluithouders op de website van Logius. Hier vindt u ook alle voorgaande DigiD Assessmentberichten. Vragen Heeft u vragen of opmerkingen? U kunt ons bereiken via het contactformulier, of via het e-mailadres digidassessment@logius.nl. Aanmelden voor DigiD-assessmentberichten Heeft u collega’s die zich ook willen aanmelden voor DigiD-assessmentberichten? Dan kunnen ze dat doen via het aanmeldformulier.
Met vriendelijke groet,
ICT-beveiligingsassessments DigiD
Logius |
