Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over:
- Aanpassing in Verscherpt toezicht 2024 vs 2025
- Begeleidend schrijven bij aanleveren van documentatie is niet meer nodig
- De norm C.09 met een beperking
- Ieder assessmentjaar een nieuw RSO
- Het DigiD-assessment en de ‘mijn omgeving’
- Generiek RSO
- Voor gemeenten: aanleveren van rapporten
Aanpassing in Verscherpt toezicht 2024 vs 2025
Terwijl alle dienstverleners werken om de rapportage voor 1 mei 2026 aan te kunnen leveren (assessmentjaar 2025) staat een klein aantal dienstverleners nog onder Verscherpt Toezicht (VT) voortkomend uit assessmentjaar 2024. Zij konden niet binnen de oplostermijn aan de toets op werking voldoen. Onder verscherpt toezicht is het toch mogelijk de aansluiting te behouden.
Op de pagina IT-assessmentrapportage voor DigiD: indienen en vervolgstappen? staat hoe het Verscherpt Toezicht eruitziet voor het assessmentjaar 2025. Er is een kleine aanpassing ten opzicht van vorig jaar.
Aanleveren - begeleidend schrijven is niet meer nodig
Voor het indienen van de IT-assessmentrapportage voor DigiD maar ook voor het stellen van vragen is er het Logius aanlever- en vragenformulier.
Bij het indienen van de assessmentrapportage met het aanleverformulier is een begeleidend schrijven niet meer nodig. Tot voor kort werd dit wel genoemd op onze webpagina. De informatie van de aansluiting en de contactgegevens voor het antwoord van Logius worden in het formulier opgevraagd.
Zie de kop ‘Indienen’ op de pagina IT-assessmentrapportage voor DigiD: indienen en vervolgstappen? voor meer informatie.
De norm C.09 met een beperking
Voor de norm C.09 is in de 'NOREA Handreiking ICT beveiligingsassessment DigiD versie 2025' een specifieke beperking opgenomen als de applicatie niet beschikt over de laatste security patches. Onder de in de Handreiking genoemde voorwaarden mag de auditor een voorgeschreven beperkende tekst opnemen.
Hoewel strikt genomen niet wordt voldaan aan de norm heeft Logius hierdoor voldoende zekerheid waardoor geen hertoets wordt gevraagd.
Deze beperking, onder de voorwaarden, kan door de auditor ook worden toegepast voor de toets op werking. Ook dan zal Logius geen hertoets vragen maar de toetsing van de norm opschorten naar het volgende jaarlijks assessment.
Ieder assessmentjaar een nieuw RSO
De vorige nieuwsbrief gaf al aandacht aan het herhaald gebruik van een RSO, specifiek in de situatie van VT (Verscherpt Toezicht).
De website beschrijft nu generiek hoe het principe van ‘ieder assessmentjaar een nieuw RSO’ moet worden toegepast. Zie hiervoor de tekst op de webpagina ‘IT-assessmentrapportage voor DigiD’ onder de kop ‘Toetsen van de Serviceorganisatie’ en ‘Meesturen van RSO, ISAE- of SOC-verklaring?’
Het DigiD-assessment en de ‘mijn omgeving’
Met een ‘mijn omgeving’ wordt bedoeld een verzameling van verschillende diensten achter één aansluitnummer. Een voorbeeld hiervan is het gebruik van een identity-broker die toegang geeft tot meerdere diensten.
Vaak wordt de vraag gesteld: Wat betekent het aan- en afsluiten van diensten in een ‘mijn omgeving’ voor het DigiD-assessment?
In de mededeling ‘Het DigiD- assessment en de Mijn Omgeving’ wordt hier antwoord op gegeven.
Generiek RSO
Anders dan het rapporttemplate doet vermoeden is het gebruik van een generiek opgesteld RSO mogelijk en toegestaan.
Een generiek RSO bevat geen informatie die leidt naar één of meerdere dienstverleners (geen aansluitnummers, geen aansluitnamen, geen klant-URLs en geen namen van DigiD-afnemende organisaties). Het is één en hetzelfde rapport dat uitgegeven wordt aan meerdere dienstverleners.
Gaat een nieuwe DigiD-dienstverlener ook gebruik maken van deze dienst, dan is een extra ‘toepasbaarheidsverklaring’ niet nodig. Of het RSO van toepassing is wordt gecontroleerd door de auditor van de (nieuwe) DigiD-dienstverlener.
Lijst met dienstverleners
Wordt gebruik gemaakt van een RSO met een lijst aan dienstverleners dan is een aparte verklaring voor een nieuwe dienstverlener wel nodig. Het RSO sluit met de uitputtende lijst immers andere niet genoemde dienstverleners uit.
RSO op naam van de dienstverlener
Het RSO-template is opgesteld voor één dienstverlener (met één aansluitnummer, één aansluitnaam, etc). Een rapport heeft altijd een uniek kenmerk. Ieder tenaamgesteld RSO heeft dus een ander kenmerk, ook als alleen de tenaamstelling anders is.
Voor gemeenten: aanleveren van rapporten
Dit jaar heeft de gemeente de keus uit een 3000A of een 3000D rapportage (zie de mededeling “ENSIA-methodiek voor DigiD komt te vervallen – 26 juni 2025”).
3000A rapporten kunnen zowel met het aanleverformulier als met de ENSIA-tool aangeleverd worden. Gemeenten die rapporteren volgens de 3000D-methodiek doen er goed aan het aanleverformulier te gebruiken en niet de ENSIA-tool. Omdat de tool specifieke ENSIA-documenten verwacht.
Wilt u toch uw 3000D-rapportage met de ENSIA-tool aanleveren? In het DigiD-assessmentbericht van december 2025 staat uitgelegd hoe dit te doen.
Blijf op de hoogte
Op Logius.nl staat de juiste informatie over het DigiD assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD assessmentberichten. Check onze website regelmatig. Zo voorkomt u verrassingen.
Vragen
Heeft u vragen of opmerkingen? U kunt ons bereiken via het vragen- en aanleverformulier. |
