 |
|
Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over:
|
|
|
|
|
| Alle DigiD-aansluithouders hebben reactie ontvangen |
| Alle DigiD-aansluithouders met een inleverplicht tussen 1 januari en 1 mei 2023 hebben een eerste reactie ontvangen op de ingeleverde assessmentrapporten. Deze reactie stuurt DigiD assessments altijd met de post. Heeft u, als aansluithouder, nog geen reactie gezien? Controleer dan de binnengekomen post. Misschien moet u nog een (verbeter)rapport opleveren. Heeft u echt niets ontvangen, neem dan contact met ons op. |
|
|
|
|
| Op 1 mei 2024 einde aan uitzondering op B.01 en U/PW.03 |
| Sinds assessmentjaar 2020 bestaat een uitzondering op de norm U/PW.03. Met de invoering van de norm B.01 is ook daar een uitzondering op mogelijk (Zie: Mededelingen ICT-beveiligingsassessment DigiD | Logius). Onder voorwaarden hoeven beide normen uiterlijk 1 mei 2024 pas te voldoen.
Het einde van deze uitzonderingen is in zicht. Aansluitingen die het afgelopen assessmentjaar aan de voorwaarden voldeden kregen een oplostermijn tot 1 mei 2024. Dit kan ook gelden voor nieuwe aansluitingen die de komende tijd nog een assessmentrapport moeten indienen. |
|
|
|
|
| Norm B.01 geldt voor iedereen |
| ALLE partijen die vallen binnen de scope van het DigiD assessment moeten de norm B.01 toetsen, dus ook de (sub)serviceorganisaties. Doordat de norm B.01 in het lopende jaar is ingevoerd, zijn ‘oude’ TPM’s ingeleverd zonder B.01. Dit in combinatie met ‘nieuwe’ aansluithouderrapporten met B.01. Deze situatie faseert vanzelf uit. Daarna moet in ieder rapport een oordeel op de B.01 staan. |
|
|
|
|
| Einde aan auditrapport op papier |
| Vanaf 1 januari 2024 kunt u het DigiD-assessment niet meer aanleveren op papier. Ook niet met een natte handtekening. Door alleen de elektronische handtekening toe te staan is de integriteit van ieder document gegarandeerd.
Sinds 1 januari 2023 mag de auditor alleen nog de handtekening op basis van een EUTL-certificaat gebruiken bij digitaal verstuurde rapporten. Hierdoor is een hoge betrouwbaarheid ontstaan op de ingeleverde rapporten. Meer informatie over het indienen van rapportages, vindt u op de pagina Indienen en vervolgstappen. |
|
|
|
|
| Gebruik de nieuwste rapporttemplate |
| NOREA publiceerde afgelopen jaar een nieuw rapporttemplate. Dit template heeft naast een bijlage C ook een bijlage D. Het geeft een beter inzicht in de normen verdeeld over de verschillende rapporten. Er is een versie voor de aansluithouder en voor de serviceorganisatie (TPM). De auditor is verplicht om het nieuwe template te gebruiken. TPM’s die zijn uitgegeven voordat het template werd gepubliceerd mag de aansluithouder nog gebruiken.
Zie meer informatie op IT-auditrapportage voor DigiD onder de kop ‘Toetsen van de Serviceorganisatie’.
De templates zijn te vinden op de website van NOREA.
|
|
|
|
|
| Toets op werking |
| Vorig jaar is een nieuw normenkader ingesteld: Normenkader 3.0. Fase 1 van het normenkader 3.0 is inmiddels bekend. Alle aansluitingen lieten de afgelopen inleverperiode 21 normen toetsen.
Fase 2 moet nog komen: Toetsing op werking. Op 16 normen blijft de auditor toetsen op opzet en bestaan. Op 5 normen toetst de auditor op opzet en werking. In de rapportage mag vanaf 1 januari 2024 toetsing op werking staan. Vanaf 1 januari 2025 moet de toetsing op werking in de ingediende rapportage staan. Dat geldt dus ook voor TPM’s die eerder zijn uitgegeven maar vanaf 1 januari 2025 worden ingediend.
Lees meer over het Normenkader 3.0 bij de mededelingen. |
|
|
|
| Blijf op de hoogte |
| DigiD-assessments houdt de webpagina op Logius.nl bij om u de juiste informatie over het DigiD-assessment te geven. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD-assessmentberichten. Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor. |
|
|
|
|
| |
Aanmelden voor DigiD-assessmentberichten Heeft u collega’s die zich ook willen aanmelden voor DigiD-assessmentberichten? Dan kunnen ze dat doen via het aanmeldformulier |
|
|
|
|
