Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over:
- Nieuwe handreiking, nieuwe rapporttemplates en FAQ
- Correctie op Non-Occurrence op bestaan
- Correctie voor U/WA.05 en ‘uit te faseren’ instellingen in de vernieuwde TLS-richtlijn
- Verduidelijking in U/TV.01 – logisch toegangsbeheer
- Aanleverformulier voor alle rapporten en vragen
- Voor gemeenten: aanwijzing voor het aanleveren van 3000D
Nieuwe handreiking, nieuwe rapporttemplates en FAQ
Vanaf 10 september 2025 staan de nieuwe ‘NOREA Handreiking ICT-beveiligingsassessment DigiD’ en de rapporttemplates op de website van NOREA: Werkgroep DigiD-assessments.
Een FAQ is een onlosmakelijk onderdeel van de handreiking en geeft een nadere uitleg en/of aanpassing op het toetsen van de normen. Op 26 november is een FAQ op de website van NOREA gepubliceerd voor de normen C.07 en U/WA.05.
De handreiking moet gebruikt worden voor alle DigiD-audits met een onderzoeksdatum vanaf 1 oktober 2025. De templates moeten gebruikt worden voor alle 3000D-rapportages.
Onderwerpen uit de handreiking en de FAQ die wij nader willen toelichten zijn:
- Non-Occurrence op bestaan
- U/WA.05 en de vernieuwde TLS-richtlijn
- Verduidelijking in U/TV.01 – logisch toegangsbeheer
Deze worden hieronder verder benoemd.
Correctie op Non-Occurrence op bestaan
De NOREA Handreiking ICT-beveiligingsassessment versie 2025 – 1.0 van 29 augustus 2025 bevat een fout. In tegenstelling tot wat staat in paragraaf 2.4.1 kan bij een Non-Occurrence (NO) op bestaan door Logius wél een heraudit worden geëist.
Meer informatie over de Non-Occurrence leest u in de mededeling op deze pagina.
Correctie voor U/WA.05 en ‘uit te faseren’ instellingen in de vernieuwde TLS-richtlijn
Voor het voldoen aan de norm U/WA.05 beschrijft de handreiking dat de TLS-instellingen ‘goed’ of ‘voldoende’ moeten zijn. Vanwege de vernieuwde TLS-richtlijn wordt ook ‘uit te faseren’ geaccepteerd.
‘Uit te faseren’ betekent volgens de TLS-richtlijn dat de verwachting is dat deze instellingen op termijn ‘onvoldoende’ zullen worden, bijvoorbeeld met oog op de doorontwikkeling van aanvalstechnieken. Dergelijke instellingen bieden voor de toekomst slechts een geringe veiligheidsmarge. Faseer het gebruik van deze instellingen dus uit.
Hiermee volgt Logius het advies van het NCSC.
Verduidelijking in U/TV.01 – logisch toegangsbeheer
Voor de norm U/TV.01 en het toetsten bij de dienstverlener bleek in de praktijk geen eenduidige aanpak voor auditors. Daarom is in de handreiking een nieuwe tekst opgenomen om de oorspronkelijke intentie voor norm U/TV.01 te beschrijven.
Valt een beheervoorziening buiten de scope van het onderzoek, maar wordt het beheer uitgevoerd op onderdelen binnen de scope van het onderzoek dan zal de dienstverlener getoetst worden op de norm U/TV.01.
Doordat dit nu is uitgeschreven kan het zijn dat u eerst (wellicht onterecht) geen toets op U/TV.01 hoefde te ondergaan en nu wel. Het doel is om hiermee aan alle dienstverleners ook in de praktijk dezelfde eisen op te leggen.
De complete toelichting voor U/TV.01 vindt u in Bijlage 3 van de ‘NOREA Handreiking ICT-beveiligingsassessment DigiD – versie 2025’.
Aanleverformulier voor alle rapporten en vragen
Voor het indienen van de IT-auditrapportage voor DigiD maar ook voor het stellen van vragen is er het Logius aanlever- en vragenformulier.
U kunt alle rapporten (herauditrapporten, ENSIA- en 3000D-rapporten, rapporten van de serviceorganisatie (RSO), rapporten van de dienstverlener (RDV), aanvullende verklaringen van de auditor) veilig uploaden.
- Lever aan per aansluiting
- Voeg alleen PDF/A-bestanden toe. Stuurt u een bestand dat niet in PDF/A-formaat is, dan telt dit niet mee als deel van de auditrapportage.
- Elk bestand mag niet groter zijn dan 8MB.
- U kunt maximaal 4 PDF/A-bestanden toevoegen van bij elkaar maximaal 32MB. Heeft u meer dan 4 of grotere bestanden? Dan gebruikt u het formulier nog een keer.
Voor gemeenten: aanwijzing voor het aanleveren van 3000D
ENSIA-rapporten kunnen zoals voorgaande jaren worden geüpload via de ENSIA-tool. De gemeenten mogen komend jaar ook een 3000D-rapportage indienen (zie mededeling: ENSIA-methodiek komt te vervallen – 26 juni2025). Gemeenten die rapporteren volgens de 3000D-methodiek doen er komend jaar goed aan het aanleverformulier te gebruiken en niet de ENSIA-tool.
De ENSIA-tool is nog niet voorbereid op het inleveren van rapportages volgens de 3000D-methodiek. Het zal vragen om bestanden die binnen de 3000D-methodiek niet meer nodig zijn.
Wilt u ondanks dat uw 3000D-rapportage met de ENSIA-tool aanleveren? Vul dan de velden als volgt in:
- Collegeverklaring DigiD- verplicht veld - wat hier wordt ingevuld wordt toegevoegd aan de dossiers van alle aansluitnummers - upload daarom een leeg bestand in PDF/A formaat
- Assurancerapport- verplicht veld - wat hier wordt ingevuld wordt toegevoegd aan de dossiers van alle aansluitnummers - upload daarom een leeg bestand in PDF/A formaat
Herhaal per aansluitnummer:
- Bijlage 1 DigiD - verplicht veld, per aansluitnummer - wat hier wordt ingevuld wordt alleen toegevoegd aan het dossier van het desbetreffende aansluitnummer – upload het rapport van de dienstverlener (voorheen aansluithouder) voor deze DigiD-aansluiting
- TPM uploaden - niet verplicht veld, per aansluitnummer – upload zoveel RSO’s (voorheen TPM’s) als nodig voor deze DigiD-aansluiting.
Upload van de verkeerde bestanden in de verkeerde velden kan leiden tot fouten en vertraging en mogelijk een niet complete aanlevering.
Om dit te voorkomen is het aanleveren via het aanlever- en vragenformulier een goed alternatief. Hierbij is het uploaden van lege bestanden niet nodig. Dit voorkomt fouten en houdt de verwerking bij Logius uitvoerbaar.
Blijf op de hoogte
Op Logius.nl staat de juiste informatie over het DigiD assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD assessmentberichten. Check onze website regelmatig. Zo voorkomt u verrassingen.
Vragen
Heeft u vragen of opmerkingen? U kunt ons bereiken via het vragen- en aanleverformulier. |
