Inmiddels zijn we al heel wat jaren gewend aan een 20-tal beveiligingsrichtlijnen die in een DigiD-assessment getoetst worden (normenkader v2.0). Zowel op korte als middellange termijn gaan er een paar dingen veranderen. Voor organisaties die in de DigiD-keten actief zijn – zoals aansluithouders of leveranciers – is het verstandig kennis te nemen van deze ontwikkelingen, zodat ze tijdig de nodige voorbereidingen kunnen treffen.
De wijzigingen in het kort
- De beveiligingsrichtlijn B.01, informatiebeveiligingsbeleid, maakt per 1 augustus 2022 onderdeel uit van het DigiD-assessment.
- Na een overgangsjaar worden vijf beveiligingsrichtlijnen ook op werking getoetst in een DigiD-assessment.
Neem als eerste stap kennis van de update vanuit Logius (zie hieronder) en controleer of uw informatiebeveiligingsbeleid invulling geeft aan de aspecten uit beveiligingsrichtlijn B.01.
Toelichting van Logius over de aanpassingen
Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een nieuw normenkader vastgesteld voor het DigiD-assessment. Het besluit bestaat uit 2 delen:
1. Invoering nieuw Normenkader 3.0, met 21 normen
Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NSCS-richtlijnen plus een nieuwe, 21e norm, B.01. Dit Normenkader v3.0 gaat in op 1 augustus 2022.
Omschrijving norm B.01
‘De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan web-applicatie gerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.’
Doel norm B.01
‘Hiermee wordt ervoor gezorgd dat in het beveiligingsproces specifiek aandacht is voor de webapplicaties van de organisatie.’
De norm B.01 is onderdeel van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor aansluithouderrapportages en voor TPMs.
Auditors zullen hierbij de auditrichtlijnen volgen vanuit NOREA.
2. Extra toetsing op werking
Sinds de invoering van het DigiD-assessment zijn de normen getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01; U/WA.02; C.07; C.08 en C.09.
De invoering van de toetsing op werking omvat een overgangsjaar:
- Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
- Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.
Start op tijd met de voorbereiding op DigiD 3.0
Voor organisaties die in de DigiD-keten actief zijn zoals aansluithouders of leveranciers is het verstandig als eerste stap kennis te nemen van de update vanuit Logius en te controleren of hun beveiligingsbeleid invulling geeft aan de aspecten uit richtlijn B.01.
Daarnaast is het raadzaam om alvast te bepalen wie verantwoordelijk is voor het verzamelen van de benodigde documentatie die de IT-auditor in staat stelt de werking voor de vijf betreffende beveiligingsrichtlijnen te toetsen.
Een specifiek aandachtspunt hierbij is dat er niet langer alleen bewijsvoering verzameld dient te worden van een individuele wijziging, beveiligingsincident et cetera maar dat u ook inzicht dient te geven in de totaalpopulatie van wijzigingen, beveiligingsincidenten et cetera over een langere periode.
Meer informatie?
Wilt u meer informatie over het DigiD normenkader 3.0 en de impact daarvan op uw organisatie?
Neem dan contact op met Wilfred Hanekamp, directeur IT-Auditors bij Afier via w.hanekamp@afier.com of bel via 0592 – 530 953. We helpen u graag!
