TOPP Audit

g328687af76d6ed46f5f95f1a47034ce2535f056d274c5a7ec54058437206a512da6f2731be135066472b8a6d49c60bf5_1280-820272.jpg

Voorbereiden op DigiD assessments 2025

Waarom een ICT-beveiligingsassessment?

Met DigiD kunnen burgers online zakendoen met de overheid en organisaties met een publieke taak. DigiD geeft burgers gemakkelijk, betrouwbaar en veilig toegang tot digitale dienstverlening. Uit de cijfers van Logius blijkt dat er in Nederland bijna 17,2 miljoen gebruikers zijn! Deze gebruikers kunnen met DigiD gebruik maken van veel belangrijke diensten zoals:

  • Belastingaangifte doen;
  • Aangifte doen bij de Politie;
  • Pensioendossier toegang;
  • MijnOverheid gebruik;
  • Zorgdeclaraties indienen;
  • Parkeervergunning aanvragen;
  • Gebruik van gemeentelijke diensten;
  • Toegang medische gegevens.

De veiligheid van het gebruik van DigiD moet wel worden gewaarborgd. Logius zorgt voor de beschikbaarheid, juiste werking, continuïteit en beveiliging van DigiD. De beveiliging van websites, die gebruik maken van DigiD, is afhankelijk van wat de eigenaren en beheerders van die websites regelen. Logius heeft daarom in de gebruikersvoorwaarden opgenomen dat aansluithouders van DigiD verplicht zijn jaarlijks een ICT beveiligingsassessment te laten uitvoeren en de uitkomsten te delen met Logius. Voor meer informatie zie ook de Logius website.

Wat is een “ICT-beveiligingsassessment”?

Jaarlijks, en bij nieuwe aansluitingen binnen 2 maanden na het formele ‘live’ gaan volgens Logius, dient een hoog gekwalificeerde IT auditor (dit moet een RE zijn die staat ingeschreven bij de NOREA) een IT audit uit te voeren op basis van (1) het door Logius opgestelde normenkader (artikel 5.5 van de “Voorwaarden DigiD”) en (2) de scope bepaling volgens de handreiking voor de IT auditors van de NOREA. Deze IT audit leidt tot een Assurance rapport, met oordelen van de IT auditor per norm, dat de aansluithouder oplevert aan Logius.

Het DigiD Normenkader bestaat uit 21 richtlijnen (normen) die zijn gebaseerd op de ICT-Beveiligingsrichtlijnen voor Webapplicaties. De huidige versie 3.0 geldt vanaf 1 augustus 2022 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het IT audit Assurance rapport van de RE moet uiterlijk (bij de jaarlijkse assessment) voor 1 mei van elk opvolgende jaar bij Logius binnen zijn. Dus voor verantwoordingsjaar 2024 dient het Assurance rapport voor 1 mei 2025 bij Logius te zijn. Voor ICT service organisaties die zorg dragen voor het beschikbaar stellen van de webapplicaties en/of infrastructuur is het nodig een Assurance rapport te leveren aan de aansluithouder dat betrekking heeft op de maatregelen waarvoor de ICT service organisatie verantwoordelijk is. Dat rapport dient dan eerder dan 1 mei beschikbaar te zijn omdat de aansluithouder zelf de uitkomsten daarvan nog beschikbaar moet stellen aan de eigen IT auditor. Deze IT auditor zorgt voor de integrale rapportage die de aansluithouder naar Logius kan sturen. Overigens moet de rapportage aan stringente eisen voldoen.

Geconstateerde tekortkomingen worden op risico gewogen door Logius, zij bepaalt een oplostermijn en meldt deze per brief aan de aansluithouder. Als de tekortkomingen zijn weggewerkt dan vraagt de DigiD aansluithouder de IT-auditor om de betreffende norm opnieuw te toetsen en een Assurance rapport voor op te stellen. Die rapportage wordt verstrekt aan Logius (binnen de gestelde termijn). Indien er sprake is van blijvende tekortkomingen of bij een acuut of serieus beveiligingsrisico, dan kan Logius besluiten de DigiD aansluiting af te sluiten.

Welke veranderingen voor 1 mei 2025?

Voor verantwoordingsjaar 2023 waren al een aantal wijzigingen doorgevoerd, zoals de toevoeging van de norm B.01 (Informatiebeveiligingsbeleid) en de verplichte digitale ondertekening van het Assurance rapport door de IT auditor met een gekwalificeerde digitale handtekening (EUTL handtekening). Tevens kon worden gekozen voor het toetsen op de werking van de beheersingsmaatregelen voor 5 geselecteerde normen.

Op 17 juni 2024 is de nieuwe allesomvattende NOREA Handreiking ICT-beveiligingsassessment DigiD versie 2024 verschenen, 99 pagina’s toelichting op het verrichten van deze IT audits. Was het nog vrijwillig om de werking van de beheersingsmaatregelen voor 5 geselecteerde normen mee te nemen in de IT audit, voor verantwoordingsjaar 2024 is dat verplicht. Dit heeft ook geleidt tot een uitgebreide handreiking voor het toetsen van die werking voor de IT auditor. Maar betekent voor de aansluithouders en betrokken service organisaties ook dat zij die werking moeten kunnen aantonen. Het betreft de normen:

U/TV.01: De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken.
U/WA.02: Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten.
C.07: De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd.
C.08: Wijzigingsbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd.
C.09: Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen.

De doelstelling is om de DigiD assessment in de toekomst ook te kunnen uitvoeren als een ‘attest’ opdracht waarbij de interne controle binnen organisaties zorg draagt voor de toetsing van beheersingsmaatregelen. Bij de testaanpak voor de normen die getoetst worden op werking staat dat de IT auditor ook nagaat of in de organisatie gedurende de gehele controleperiode verbijzonderde interne controle heeft plaatsgevonden op de werking van de relevante beheersingsmaatregelen. Dit kan hij meewegen in zijn oordeelsvorming. Vooralsnog blijft de DigiD Assessment nog een directe opdracht waarbij de IT auditor zelf de testwerkzaamheden uitvoert.

Daarnaast zijn verder gaande eisen gesteld aan de rapportages en de te gebruiken formuleringen. Tevens is een consultatie verplichting en -optie in het leven geroepen voor het afwijken van voorgeschreven rapporten of verschillen van inzicht tussen IT auditors en/of met Logius.

Logius biedt de mogelijkheid van een controle vooraf op (concept) Assurance rapporten voor serviceorganisaties om eventuele problemen bij de finale oplevering zoveel mogelijk te voorkomen. De aanlevering dient dan wel plaats te vinden in de periode van 15 september tot 1 november.

 

Hoe voor te bereiden?

Een aantal belangrijke tips:

1. Zorg tijdig voor de opdracht aan de IT auditor (RE) voor de uitvoering van de IT audit en betrek deze in de voorbereiding.

De NOREA houdt een lijst bij van IT audit organisaties die hebben aangegeven DigiD ICT Beveiligingsassessments te kunnen en willen uitvoeren. TOPP audit staat ook op deze lijst.

Stel vast of de geselecteerde IT auditor voldoende onafhankelijk is om de opdracht uit te voeren. Dit zal hij/zij vanuit de beroepsregels ook persoonlijk nog een keer vaststellen alvorens de opdracht te aanvaarden.

Een penetratie- en hacktest vormt onderdeel van de IT audit. Daarvoor kan een, door het management zelf geselecteerde, organisatie worden ingezet. Leg ook die afspraken vroegtijdig vast, betrek de IT auditor daarbij en stel vast dat die organisatie voldoet aan de gestelde eisen zoals opgenomen in Bijlage 5 van de NOREA Handreiking “Toetsingscriteria penetratietesten”.

2. Wijs 1 contactpersoon aan voor de coördinatie rond de voorbereiding en de uitvoering van de beveiligingsassessment.

Dit zorgt ervoor dat de externe IT auditor niet zelf op zoek moet naar informatie en veel tijd kwijt is aan de bewaking van de tijdige oplevering. Dat zijn ‘dure’ uren en kosten doorlooptijd. De functionaris die als contactpersoon optreedt moet wel voldoende bevoegdheden hebben van het management om ook daadwerkelijk prioriteit te krijgen bij het opvolgen van informatieverzoeken en regelen van interviews.

3. Overweeg een pre-assessment op de aantoonbaarheid van de werking van beheersingsmaatregelen.

Hiermee kan duidelijk worden of alle relevante informatie beschikbaar en inzichtelijk kan worden gemaakt voor de IT auditor. Hier worden veel belemmeringen verwacht, dus belangrijk dit zo snel mogelijk in beeld te hebben. Er is dan nog tijd om lacunes in te vullen voordat de echte IT audit gaat starten.

Voor serviceorganisaties bestaat een, door Logius geboden, optie om al eerder een concept Assurance rapport voor de serviceorganisatie te laten checken door Logius op de compliance met de rapportage-eisen.

4. Bespreek en leg een lijst initieel gewenste documentatie vast van de IT auditor voor de start van zijn IT audit.

In de praktijk blijkt dat juist het zoeken van, volgens de IT auditor, (ontbrekende) informatie, zeer tijdrovend kan zijn. Gezien de strakke en harde deadlines is dat niet wenselijk. Zo’n documentatielijst kan helpen bij de start na een goede voorbereiding. De contactpersoon kan de benodigde documentatie uit de organisatie halen en vereiste interviews inplannen en voorbereiden voordat de IT audit start.

Door dit bij te houden en aanvullend opgevraagde informatie gedurende de assessment toe te voegen kan de tijdige en volledigheid van de oplevering worden bewaakt.

5. Introduceer een interne controle handeling en/of functie op de DigiD compliance.

Het zijn nu geen momentopnames meer. De werking dient gedurende minimaal een half jaar te worden aangetoond. Belangrijk is om eventuele afwijkingen vroegtijdig te signaleren. Bij een adequate signalering en opvolging hoeft dit niet direct te leiden tot een “Voldoet niet” oordeel, en geeft het management inzicht in het beheersingsniveau. Dit voorkomt verrassingen.

Tevens kunnen interne controlemaatregelen aanvullende zekerheid geven en daarmee een rol spelen in de (positieve) oordeelsvorming door de IT auditor bij de normen.

6. Overweeg de opzet van een interne controle functie.

De IT auditor gaat sowieso na of deze aanwezig is. Het gaat dan om een verbijzonderde interne controle op de werking van relevante beheersingsmaatregelen. Door deze nu op te zetten, kunnen ervaringen worden uitgewisseld en de inzet worden geoptimaliseerd. Dit biedt de mogelijkheid in de toekomst in te zetten op een verwachte optie voor een attest versie van de DigiD assessment. Zo’n attest assessment vergt minder inzet van de externe IT auditor en geeft meer zekerheid over het functioneren van de relevante beheersingsmaatregelen, en dus meer zekerheid over de compliance met de DigiD eisen tegen lagere auditkosten.

7. Bij onduidelijkheden: vraag de IT auditor om uitleg of toelichting!

Hij/zij is de onafhankelijke inhoudsdeskundige en kent uw omgeving en gebruik van DigiD. De natuurlijke adviesfunctie geeft de ruimte om u meer inzicht geven, prioriteiten te kunnen stellen en dus beter voor te bereiden op de IT audit.

8. Bij gebruik van serviceorganisaties: nalopen van contractafspraken en monitoren van de opvolging.

Niet in alle contracten staan heldere afspraken over het (verplicht) laten uitvoeren van ICT beveiligingsassessments DigiD door serviceorganisaties. Hun bijdrage is cruciaal. Loop de contractafspraken door, maak afspraken over de inzet van een IT auditor en de tijdlijnen voor de uitvoering en oplevering van de benodigde Assurance rapport(en). Wees daarbij vooral alert op de gehanteerde scope.

Het verdient aanbeveling de eigen IT auditor de ketenanalyse te laten uitvoeren op de DigiD aansluiting, om vast te stellen welke serviceorganisaties voor welk onderdeel in scope zijn.

Service organisaties zijn niet verantwoordelijk voor alle beheersingsmaatregelen. Een deel zal bij de gebruikende organisatie(s) / formele aansluithouder liggen. Ga daar vooraf over in gesprek met de serviceorganisatie. Zij moeten inzichtelijk kunnen maken wat de verantwoordelijkheden zijn van de gebruikersorganisatie (aansluithouder). Intern kan worden vastgesteld of daar voldoende invulling aan wordt gegeven met adequate beheersingsmaatregelen die goed aansluiten op de maatregelen bij de serviceorganisatie.

9. Bespreek de aanpak met je IT auditor als een service organisatie niet beschikt over een Assurancerapport Service organisatie voor DigiD Assessment 

In het bijzonder voor de internationaal werkende serviceorganisaties geldt dat aan een aantal voorwaarden moet zijn voldaan alvorens de IT Auditor gebruik kan maken van Assurance rapporten van die organisaties zoals een SOC2. De Handreiking geeft een houvast, maar het advies is dit vooral met je IT auditor af te stemmen hoe hiermee om te gaan. In de praktijk kan blijken dat de SOC2 Assurance rapport slechts voor een deel kan worden gebruikt en de aansluithouder zelf extra maatregelen moet hebben geïmplementeerd om compleet te zijn.

10. Betrek in de opdrachtverstrekking aan de IT auditor ook de oplevering van een management letter en een evaluatiegesprek.

Een management letter is een aanvullende rapportage door de IT auditor naast zijn Assurance rapport. In deze managementletter (ML) rapporteert de IT auditor over het functioneren van de administratieve organisatie en de interne organisatie (leiding) die hij gedurende de DigiD Assessment heeft aangetroffen. Deze ML geeft meer ruimte om verbeterpunten aan te geven. Voor het management en eventuele commissarissen kan dit waardevolle informatie bevatten om de interne beheersing van de IT omgeving naar een hoger niveau te brengen.

Meer vragen?

De IT auditors van TOPP audit hebben veel ervaring met het verrichten van de ICT beveiligingsassessments DigiD en staan u graag met woord en daad terzijde. Dit kan in een ondersteunende rol (helpen bij de voorbereiding en gedurende de assessment) of als de onafhankelijke en deskundige IT auditor voor de uitvoering van de ICT beveiligingsassessments DigiD.

U kunt ons bereiken via info@toppaudit.nl.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Alle TOPP Tips
Terug naar begin

© TOPP Audit 2024
info@toppaudit.nl

BTW-id: NL003650822B67
KvK: nummer: 82169276
KvK vestigingsnummer: 000048419753
KNAB: NL88 KNAB 0405 7888 00
BIC: KNABNL2H