Afkorting
|
Betekenis
|
DV
|
Dienstverlener. Partij die een webdienst aanbiedt die door authenticatie met een erkend middel (bijvoorbeeld DigiD) wordt ontsloten.
|
AH
|
Aansluithouder. Vroegere benaming voor dienstverlener.
|
SO
|
Serviceorganisatie. Leverancier van een dienst aan de DV of een andere SO.
|
RDV
|
Rapport Dienstverlener. Het assurancerapport betreffende de audit in opdracht van en uitgevoerd bij de dienstverlener en mogelijke bij SOs die in die audit zijn opgenomen (inclusive).
|
RSO
|
Rapport Serviceorganisatie. Het assurancerapport betreffende de audit opdracht van en uitgevoerd bij de serviceorganisatie en mogelijk bij subSOs die in die audit zijn opgenomen (inclusive).
|
TPM
|
Third Party Memorandum. Vroegere benaming voor RSO.
|
LMA
|
Leverancier Meervoudig Assessment.
|
RMA
|
Rapport Meervoudig Assessment. Het assurancerapport in opdracht van en uitgevoerd bij de LMA en mogelijk bij SOs die in die audit zijn opgenomen (inclusive).
|
Wij zullen teksten een voor een gaan omzetten. Dit betekent dat zowel oude als nieuwe terminologie nog voorkomt op de website, in e-mails en brieven. Dit heeft wat tijd nodig.
Wat als een DigiD-aansluiting nog niet voldoet aan werking?
De toets op werking is voor het eerst verplicht. Hoe gaat Logius ermee om als de toets op werking (nog) niet voldoet? Het antwoord splitsen we op voor bestaande aansluitingen (met een jaarlijkse inleverplicht vóór 1 mei) en voor nieuwe aansluitingen (met een inleverplicht binnen 2 maanden na activatie).
De toets op werking voor bestaande aansluitingen
Voor een bestaande aansluiting moet de dienstverlener, zoals iedere jaar, vóór 1 mei een complete en foutloze DigiD-assessmentrapportage inleveren.
Het kan gebeuren dat een norm in de rapportage (nog) niet voldoet. Volgens de
aansluitvoorwaarden* moet vóór 1 mei worden aangetoond dat wordt voldaan aan de normen. Maar in de praktijk is Logius minder stringent: inleveren moet vóór 1 mei en bij het niet voldoen aan een norm geeft Logius een oplostermijn. Dit proces wijkt niet af van voorgaande jaren. Zie hiervoor de Logius webpagina
IT-auditrapportage voor DigiD: indienen en vervolgstappen, en de kop: Schriftelijke reactie van Logius.
Er is een korte oplostermijn om alsnog te voldoen aan opzet en bestaan. En daar komt nu een lange oplostermijn (6 maanden) bij voor het alsnog voldoen aan werking. Is er wel voldaan aan de toets op opzet en bestaan dan volgt alleen de lange oplostermijn voor de toets op werking.
De werking moet bij alle partijen, dus ook bij iedere (sub)serviceorganisatie, getoetst zijn.
De toets op werking voor nieuwe aansluitingen
Voor een nieuwe aansluiting, met een assessmentplicht binnen 2 maanden na activatie, geldt dat de toets op werking niet verplicht is. De standaardtemplates (zie bericht hieronder) kunnen hiervoor gebruikt worden. Ook voor een nieuwe aansluiting moet de template gebruikt worden.
De toets op werking kan in de rapportage worden afgedaan met een ‘n.v.t.’.
Als er gebruik wordt gemaakt van een RSO met een toets op werking dan kan dit gewoon worden ingediend ook al is de toets op werking niet verplicht.
*
Afhankelijk van een directe aansluiting op DigiD of een aansluiting via TVS zullen de aansluitvoorwaarden DigiD respectievelijk de aansluitvoorwaarden TVS gelden.
NOREA nieuwe templates met een toets op werking
NOREA heeft nieuwe templates gepubliceerd voor de rapportage van een DigiD-assessment. In de nieuwe template is de toets op werking opgenomen. Er is een template voor de serviceorganisatie, de dienstverlener en de LMA (Leverancier Meervoudige Assessment).
De templates kunt u vinden op de website van
NOREA onder de 'Werkgroep DigiD-assessments'.
NCSC publiceert een update van ICT-beveiligingsrichtlijnen voor webapplicaties
Het NCSC heeft een update gepubliceerd van de ICT-beveiligingsrichtlijnen. Dit heeft geen directe invloed op het DigiD-assessment. Het Normenkader 3.0 samen met de ‘NOREA Handreiking ICT-beveiligingsassessment DigiD Versie 2024’ voorziet al in de gewijzigde ICT-beveiligingsrichtlijnen.
Wel adviseert Logius om altijd breder naar de informatieveiligheid te kijken dan alleen de vereisten voor het DigiD-assessment. Hiervoor zijn de ICT-beveiligingsrichtlijnen van het NSCS een goede aanvulling.
De richtlijnen zijn te vinden op
de website van het NCSC.
Automatische response bij het gebruik van het digitaal aanlever- en vragenformulier
Veel dienstverleners maken gebruik van het digitaal
aanleverformulier om de assurancerapporten in te leveren. Het formulier kan nu ook worden gebruikt om een vraag in te dienen.
Als u de vraag of de documenten opstuurt krijgt u automatisch een e-mailresponse. Zo weet u wat u heeft ingevuld en welke bestanden u heeft meegestuurd.
Op de pagina
IT-auditrapportage voor DigiD: indienen en vervolgstappen? staat beschreven op welke manieren Logius documenten kan ontvangen.
Blijf op de hoogte
DigiD-assessments houdt de
webpagina op Logius.nl bij. Dit geeft u de juiste informatie over het DigiD-assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina
Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD-assessmentberichten.
Een regelmatige check op de website voorkomt verrassingen, zowel voor de dienstverlener, de serviceorganisatie als de auditor.
Vragen
Heeft u vragen of opmerkingen? U kunt ons bereiken via
het aanlever- en vragenformulier, of via het e-mailadres
digidassessment@logius.nl.
Met vriendelijke groet,
ICT-beveiligingsassessments DigiD
