14 augustus 2024

Waarom een ICT-beveiligingsassessment? Met DigiD kunnen burgers online zakendoen met de overheid en organisaties met een publieke taak. DigiD geeft burgers gemakkelijk, betrouwbaar en veilig toegang tot digitale dienstverlening. Uit de cijfers van Logius blijkt dat er in Nederland bijna 17,2 miljoen gebruikers zijn! Deze gebruikers kunnen met DigiD gebruik maken van veel belangrijke diensten zoals: Belastingaangifte doen; Aangifte doen bij de Politie; Pensioendossier toegang; MijnOverheid gebruik; Zorgdeclaraties indienen; Parkeervergunning aanvragen; Gebruik van gemeentelijke diensten; Toegang medische gegevens. De veiligheid van het gebruik van DigiD moet wel worden gewaarborgd. Logius zorgt voor de beschikbaarheid, juiste werking, continuïteit en beveiliging van DigiD. De beveiliging van websites, die gebruik maken van DigiD, is afhankelijk van wat de eigenaren en beheerders van die websites regelen. Logius heeft daarom in de gebruikersvoorwaarden opgenomen dat aansluithouders van DigiD verplicht zijn jaarlijks een ICT beveiligingsassessment te laten uitvoeren en de uitkomsten te delen met Logius. Voor meer informatie zie ook de Logius website. Wat is een “ICT-beveiligingsassessment”? Jaarlijks, en bij nieuwe aansluitingen binnen 2 maanden na het formele ‘live’ gaan volgens Logius, dient een hoog gekwalificeerde IT auditor (dit moet een RE zijn die staat ingeschreven bij de NOREA) een IT audit uit te voeren op basis van (1) het door Logius opgestelde normenkader (artikel 5.5 van de “Voorwaarden DigiD”) en (2) de scope bepaling volgens de handreiking voor de IT auditors van de NOREA. Deze IT audit leidt tot een Assurance rapport, met oordelen van de IT auditor per norm, dat de aansluithouder oplevert aan Logius. Het DigiD Normenkader bestaat uit 21 richtlijnen (normen) die zijn gebaseerd op de ICT-Beveiligingsrichtlijnen voor Webapplicaties. De huidige versie 3.0 geldt vanaf 1 augustus 2022 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het IT audit Assurance rapport van de RE moet uiterlijk (bij de jaarlijkse assessment) voor 1 mei van elk opvolgende jaar bij Logius binnen zijn. Dus voor verantwoordingsjaar 2024 dient het Assurance rapport voor 1 mei 2025 bij Logius te zijn. Voor ICT service organisaties die zorg dragen voor het beschikbaar stellen van de webapplicaties en/of infrastructuur is het nodig een Assurance rapport te leveren aan de aansluithouder dat betrekking heeft op de maatregelen waarvoor de ICT service organisatie verantwoordelijk is. Dat rapport dient dan eerder dan 1 mei beschikbaar te zijn omdat de aansluithouder zelf de uitkomsten daarvan nog beschikbaar moet stellen aan de eigen IT auditor. Deze IT auditor zorgt voor de integrale rapportage die de aansluithouder naar Logius kan sturen. Overigens moet de rapportage aan stringente eisen voldoen. Geconstateerde tekortkomingen worden op risico gewogen door Logius, zij bepaalt een oplostermijn en meldt deze per brief aan de aansluithouder. Als de tekortkomingen zijn weggewerkt dan vraagt de DigiD aansluithouder de IT-auditor om de betreffende norm opnieuw te toetsen en een Assurance rapport voor op te stellen. Die rapportage wordt verstrekt aan Logius (binnen de gestelde termijn). Indien er sprake is van blijvende tekortkomingen of bij een acuut of serieus beveiligingsrisico, dan kan Logius besluiten de DigiD aansluiting af te sluiten. Welke veranderingen voor 1 mei 2025? Voor verantwoordingsjaar 2023 waren al een aantal wijzigingen doorgevoerd, zoals de toevoeging van de norm B.01 (Informatiebeveiligingsbeleid) en de verplichte digitale ondertekening van het Assurance rapport door de IT auditor met een gekwalificeerde digitale handtekening (EUTL handtekening). Tevens kon worden gekozen voor het toetsen op de werking van de beheersingsmaatregelen voor 5 geselecteerde normen. Op 17 juni 2024 is de nieuwe allesomvattende NOREA Handreiking ICT-beveiligingsassessment DigiD versie 2024 verschenen, 99 pagina’s toelichting op het verrichten van deze IT audits. Was het nog vrijwillig om de werking van de beheersingsmaatregelen voor 5 geselecteerde normen mee te nemen in de IT audit, voor verantwoordingsjaar 2024 is dat verplicht. Dit heeft ook geleidt tot een uitgebreide handreiking voor het toetsen van die werking voor de IT auditor. Maar betekent voor de aansluithouders en betrokken service organisaties ook dat zij die werking moeten kunnen aantonen. Het betreft de normen: U/TV.01: De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken.U/WA.02: Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten.C.07: De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd.C.08: Wijzigingsbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd.C.09: Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen. De doelstelling is om de DigiD assessment in de toekomst ook te kunnen uitvoeren als een ‘attest’ opdracht waarbij de interne controle binnen organisaties zorg draagt voor de toetsing van beheersingsmaatregelen. Bij de testaanpak voor de normen die getoetst worden op werking staat dat de IT auditor ook nagaat of in de organisatie gedurende de gehele controleperiode verbijzonderde interne controle heeft plaatsgevonden op de werking van de relevante beheersingsmaatregelen. Dit kan hij meewegen in zijn oordeelsvorming. Vooralsnog blijft de DigiD Assessment nog een directe opdracht waarbij de IT auditor zelf de testwerkzaamheden uitvoert. Daarnaast zijn verder gaande eisen gesteld aan de rapportages en de te gebruiken formuleringen. Tevens is een consultatie verplichting en -optie in het leven geroepen voor het afwijken van voorgeschreven rapporten of verschillen van inzicht tussen IT auditors en/of met Logius. Logius biedt de mogelijkheid van een controle vooraf op (concept) Assurance rapporten voor serviceorganisaties om eventuele problemen bij de finale oplevering zoveel mogelijk te voorkomen. De aanlevering dient dan wel plaats te vinden in de periode van 15 september tot 1 november.   Hoe voor te bereiden? Een aantal belangrijke tips: 1. Zorg tijdig voor de opdracht aan de IT auditor (RE) voor de uitvoering van de IT audit en betrek deze in de voorbereiding. De NOREA houdt een lijst bij van IT audit organisaties die hebben aangegeven DigiD ICT Beveiligingsassessments te