Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over:
- IT-auditrapportage voor DigiD inleveren vóór 1 mei
- Voldoet uw aansluiting al aan de 21 normen?
- De norm C.09 verduidelijkt
- De elektronische en de natte handtekening
- Nieuw rapporttemplate en het indienen van ISAE/SOC
IT-auditrapportage inleveren vóór 1 mei De jaarlijkse deadline om het DigiD-assessment in te dienen komt in zicht. Logius verwacht vóór 1 mei per aansluiting een complete en juiste IT-auditrapportage van de aansluithouder.
Een complete assessmentrapportage bestaat ten minste uit het auditrapport van de aansluithouder. Vaak is dit aangevuld met een assurancerapport van de serviceorganisatie zoals een TPM. Als TPM(s) ontbreken kan Logius de rapportage niet in behandeling nemen.
Is de rapportage onvolledig of met vormfouten, dan stuurt Logius een antwoord per post aan de aansluithouder. Houd daarom de fysieke post goed in de gaten. Mist u de brief, dan loopt u al snel de kans dat u de aanvullende informatie te laat aanlevert.
Hoe u een IT-auditrapportage indient en wat Logius doet bij te late aanlevering vindt u op de pagina Indienen en vervolgstappen.
Voldoet uw aansluiting al aan de 21 normen? Volgens de Aansluitvoorwaarden DigiD moet iedere aansluiting vóór 1 mei voldoen aan de 21 normen. Voor nu gaan wij nog ruim om met deze voorwaarde.
Voldoet een aansluiting niet aan een norm, neem dan als aansluithouder direct maatregelen. Wacht niet tot het moment dat Logius de brief stuurt met de oplostermijnen. Hiermee zorgt u voor de veiligheid van de webapplicatie en voorkomt u dat u te weinig hersteltijd heeft met het risico op afsluiting.
Heeft u al een verbeterrapport ontvangen? Stuur dit dan direct op, ook als u nog geen reactie heeft ontvangen op uw eerdere aanlevering. Logius neemt direct de verbeteringen mee in de reactie.
Norm C.09 verduidelijkt NOREA publiceerde een nieuwe FAQ-update op de NOREA-website. Voor de norm C.09 – patchmanagement staat hierin een verduidelijking voor de auditor. De C.09-tekst in de handreiking van NOREA was eerder op meerdere manieren uit te leggen. Met de FAQ zijn de situatie en de voorwaarden duidelijker opgesteld.
De elektronische en de natte handtekening Iedere verandering is altijd even wennen, ook nu de elektronische EUTL-handtekening is ingevoerd. Veel auditors gebruiken deze manier van ondertekenen al. De EUTL-handtekening maakt het document betrouwbaarder en voor Logius is het eenvoudig te controleren. Dit spaart tijd.
De grote winst voor ENSIA is dat de RE-auditor de zelfevaluatie en de collegeverklaring niet meer hoeft te paraferen. Het is voldoende als ieder document één keer elektronisch is ondertekend.
Daarnaast kan een handtekening van de auditor niet meer uit een document worden gehaald. Dat geeft de auditor de controle over het gebruik van zijn/haar handtekening.
Voor meer informatie over de elektronische handtekening zie Mededelingen ICT-beveiligingsassessment DigiD.
Mocht het elektronisch ondertekenen toch niet lukken dan kan de aansluithouder de rapportage met een natte (originele, niet gescande of gekopieerde) handtekening opsturen met de post. Dit kan ook voor een gedeelte van de rapportage. Het is dan wel belangrijk om duidelijk aan te geven dat u een gedeelte met de post en een gedeelte digitaal verstuurt. Dit doet u bij de postzending en de digitale zending. Zo maakt Logius er één dossier van.
Meer informatie over het digitaal opsturen vindt u op de pagina Indienen en vervolgstappen onder de kop ‘Indienen via e-mail, post of ENSIA’.
Nieuw rapporttemplate en het indienen van ISAE/SOC NOREA heeft een nieuw rapporttemplate gepubliceerd als onderdeel van de nieuwe handreiking. Dit template heeft naast een bijlage C ook een bijlage D. De bijlagen geven Logius een duidelijker overzicht van de getoetste omgeving en de samenstelling van de rapportage. Als deze bijlagen goed zijn ingevuld hoeft de aansluithouder een ISAE (anders dan een TPM) of SOC niet mee te sturen. Zie meer informatie op IT-auditrapportage voor DigiD onder de kop ‘Toetsen van de Serviceorganisatie’.
Logius keurt dit assessmentjaar de rapporten in het oude template niet af. Als u het oude template gebruikt, moet u de ISAE/SOC wel meesturen.
Voor rapportages die worden ingeleverd vanaf 1 september 2023 vereist Logius het nieuwe rapporttemplate. Dit geldt voor het aansluithouderrapport en voor het rapport van de serviceorganisatie (TPM).
De nieuwe templates zijn te vinden op de website van NOREA. Blijf op de hoogte DigiD-assessments houdt de webpagina op Logius.nl bij om u te voorzien van de juiste informatie over het DigiD-assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD-assessmentberichten.
Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor.
Vragen Heeft u vragen of opmerkingen? U kunt ons bereiken via het contactformulier, of via het e-mailadres digidassessment@logius.nl.
Met vriendelijke groet,
ICT-beveiligingsassessments DigiD |
