 |
|
Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over:
|
|
|
|
|
Toetsing op werking normen |
Voor de normen U/TV.01; U/WA.02; C.07; C.08 en C.09 kunt u vrijwillig een assessmentrapport met toetsing op werking over 2023 inleveren. U kunt vanaf januari 2024 voor het eerst een assessmentrapportage inleveren met daarin de toets op werking.
Door dit jaar al mee te doen met deze toetsing, kunt u als aansluithouder en (sub)serviceorganisatie oefenen met de toets op werking en hiervan leren. Hierdoor is iedereen beter voorbereid op de verplichte toetsing op werking over 2024. Die moet u inleveren tussen 1 januari en 1 mei 2025.
Heeft u vragen over hoe u dit jaar een toets op werking rapporteert of over de vervolgstappen van Logius? Neem dan contact met ons op.
Voor meer informatie zie de mededeling ‘Toezicht op toetsing werking.’ |
|
|
|
|
Op 1 mei 2024 moeten ook B.01 en U/PW.03 voldoen |
Vanaf het assessmentjaar 2020 is extra tijd gegeven om te voldoen aan de norm U/PW.03. In 2022 is de norm B.01 ingevoerd. Ook daar is een verlengde implementatietijd mogelijk (Zie: Mededelingen ICT-beveiligingsassessment DigiD | Logius). Onder voorwaarden hoefden beide normen nog niet te voldoen.
Het einde van deze uitzonderingen is in zicht. Nieuwe aansluitingen kunnen nog in aanmerking komen voor een verlengde oplostermijn tot 1 mei 2024. De bestaande aansluitingen moeten bij het inleveren van het assessment vóór 1 mei 2024 voldoen aan de norm. |
|
|
|
|
Norm B.01 geldt voor iedere partij |
Alle partijen die vallen binnen de scope van het DigiD-assessment moeten de norm B.01 toetsen, dus ook de (sub)serviceorganisaties.
B.01 moet onderdeel zijn van de toets als een partij opzichzelfstaand is getoetst, bijvoorbeeld door een TPM, ISAE 3402 of een SOC2. |
|
|
|
|
Niet meer aanleveren op papier |
Op digitale rapporten mag de auditor sinds 1 januari 2023 alleen nog de digitale handtekening gebruiken op basis van een EUTL-certificaat. Hierdoor is een hoge betrouwbaarheid ontstaan op de ingeleverde rapporten.
Vanaf 1 januari 2024 kunt u het DigiD-assessment niet meer aanleveren op papier. Ook niet met een natte handtekening. Door alleen de elektronische handtekening toe te staan garanderen we de integriteit van ieder document.
Meer informatie over hoe u rapportages indient, vindt u op de pagina 'Indienen en vervolgstappen'. |
|
|
|
|
| Digitaal aanleverformulier gebruiken |
Iedere aansluithouder kan vanaf vandaag de assessmentrapportage veilig opsturen met het aanleverformulier. Het aanleverformulier vindt u op onze website.
Het aanleverformulier en de meegestuurde documenten worden versleuteld verstuurd naar Logius. Het is daarmee veiliger dan documenten niet-versleuteld versturen via e-mail. Ook e-mail mag nog steeds gebruikt worden.
Op de pagina Logius | IT-auditrapportage voor DigiD: indienen en vervolgstappen? staat op welke manieren Logius documenten kan ontvangen. |
|
|
|
|
| Nieuw versleutelingscertificaat voor versleutelde e-mail |
| Het versleutelingscertificaat waarmee u ons een e-mail versleuteld kunt sturen, is vernieuwd. Het oude versleutelingscertificaat kunt u niet meer gebruiken. Het nieuwe certificaat is te vinden onder de kop ‘Download de certificaatketen’ op de documentatiepagina van ICT-beveiligingsassessments DigiD. |
|
|
|
|
| Blijf op de hoogte |
DigiD-assessments houdt de webpagina op Logius.nl bij. Dit geeft u de juiste informatie over het DigiD-assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD-assessmentberichten.
Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor. |
|
|
|
|
|
Aanmelden voor DigiD-assesmentberichten Heeft u collega's die zich ook willen aanmelden voor DigiD-assessmentberichten? Dan kunnen zij dat doen via het aanmeldformulier. |
|
|
|
|
|
