 |
Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over de norm B.01 en het ondertekenen van documenten.
B.01 Uitzonderingsregel Logius heeft geconstateerd dat er onduidelijkheid bestaat over de invoering van de norm B.01 en het moment waarop aan de norm B.01 moet zijn voldaan. De norm B.01 is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs.
Logius begrijpt dat er aansluithouders zijn die niet tijdig de (formele) volledige vastlegging en/of vaststelling van het beleid kunnen realiseren en zodoende niet volledig kunnen voldoen aan de norm B.01. Logius heeft daarom, in samenspraak met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en NOREA, een uitzonderingsregel opgesteld.
Lees meer over de B.01 Uitzonderingsregel.
Hogere betrouwbaarheidseisen aan de handtekening van een RE-auditor Eerder hebben we gemeld dat Logius de eisen aan de betrouwbaarheid van de elektronische handtekening van RE-auditors verhoogt. Dit geldt voor alle documenten die worden ingeleverd vanaf 1 januari 2023 voor het DigiD-beveiligingsassessment.
Alle documenten die vanaf 1 januari 2023 aan Logius worden toegezonden moeten:
- Óf door de auditor elektronisch zijn ondertekend met een handtekening op basis van een EUTL-certificaat, bij elektronische aanlevering
- Óf door de auditor zijn voorzien van een natte handtekening, bij aanlevering op papier
Een natte handtekening elektronisch aanleveren is dus niet mogelijk.
TPM Een TPM die nu wordt opgesteld maar vanaf 1 januari 2023 wordt aangeleverd zal dan ook aan de nieuwe betrouwbaarheidseisen moeten voldoen. De inleverdatum na 1 januari 2023 is hier leidend, zelfs als de TPM in 2022 is opgesteld.
ENSIA voor gemeenten Gemeenten kunnen de documentatie aanleveren in het ENSIA-format. Voor de TPM en het assurancerapport gelden dezelfde eisen voor de digitale handtekening van de auditor. Nieuw is dat de digitale handtekening van de auditor eenmalig wordt geplaatst op de collegeverklaring en eenmalig op de zelfevaluatie. Hiermee vervalt het paraferen van iedere bladzijde van de collegeverklaring en de zelfevaluatie.
ENSIA-documenten gebruiken onderlinge verwijzingen waarin vaak fouten worden gemaakt. Om dit te omzeilen is het ook mogelijk om per aansluiting het assurancerapport, de collegeverklaring en de zelfevaluatie als een geheel digitaal te ondertekenen en als een geheel aan te leveren.
De aansluithouder levert het ondertekende papieren of PDF/A-document van de auditor ongewijzigd aan. Knip eenmaal ondertekende documenten ook niet op.
Blijf op de hoogte DigiD-assessments houdt de webpagina op Logius.nl regelmatig bij om u te voorzien van de juiste informatie over het DigiD-assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD-assessmentberichten.
Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor.
Vragen Heeft u vragen of opmerkingen? U kunt ons bereiken via het contactformulier, of via het e-mailadres digidassessment@logius.nl.
Met vriendelijke groet,
ICT-beveiligingsassessments DigiD
|
|
|
|
