Per 1 augustus 2022 is het nieuwe DigiD normenkader 3.0 in werking getreden. Op dit moment is er sprake van één nieuwe norm (B.01) die is toegevoegd aan het bestaande normenkader. Dit heeft natuurlijk invloed op de ENSIA audit, dus daarom zijn wij hard aan de slag gegaan voor de planning van onze vaste ENSIA audit klanten. In deze blog praten we u graag even bij over wijzigingen in het DigiD normenkader en bespreken we het lang verwachte “toetsen van werking” dat in zicht komt.
DigiD - Nieuwe norm
De nieuwe norm luidt als volgt: “De organisatie formuleert een informatie-beveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatie-gerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.”
De essentie van deze nieuwe norm is dat het eigenaarschap van de DigiD webapplicatie is georganiseerd. Daarnaast dient de organisatie te beschikken over een actueel en vastgesteld informatiebeveiligingsbeleid. Dit informatiebeveiligingsbeleid dient wel een aantal expliciete punten te bevatten in relatie tot de (eigen delen van de) DigiD webapplicatie. Het gaat hier om de volgende punten:
- Eigenaarschap van de DigiD webapplicatie (houder) en bijbehorende bevoegdheden;
- Beveiligingsmaatregelen t.a.v. infrastructuren, netwerksegmenten, DigiD en andere authenticatie- en identificatiediensten (applicatie-, hosting- of SAAS leverancier). Het gaat hier om high over richtlijnen en uitgangspunten. Verwijs eventueel naar bestaande richtlijnen en normenkaders, bijvoorbeeld van het NCSC;
- Uitgangspunten voor zaken als dataclassificatie, toegangsvoorzieningen en kwetsbaarheden beheer. (houder, applicatie-, hosting- of SAAS leverancier) Denk hierbij bijvoorbeeld aan het benoemen van de doelen en refereer ook hier aan bestaande richtlijnen;
- Periodiek rapporteren over informatiebeveiliging aan hoger management (houder, applicatie-, hosting- of SAAS leverancier).
Meer toelichting kunt u vinden in de bijgewerkte testaanpak DigiD op de site van de NOREA: DigiD Testaanpak
Waarschijnlijk beschikt u al over een informatiebeveiligingsbeleid, maar worden hierin de genoemde punten misschien nog niet zo expliciet benoemd. Het is dan aan te raden om een addendum of een specifiek DigiD beveiligingsbeleid op te stellen. Dit tweede zullen veel gemeenten kennen van Suwi. Wij adviseren u om te alle tijden de oplossing voor alle DigiD aansluitingen gezamenlijk op te stellen.
Werking (vanaf verantwoordingsjaar 2023)
Tot nu toe werd voor DigiD enkel getest op ‘opzet en bestaan’: is er een procedure/beschrijving en kunt u aantonen dat dit ook gehanteerd wordt. Hieraan zal voor een aantal normen ‘werking’ worden toegevoegd: heeft het ook gedurende de volledige verslagperiode zo gewerkt?
Dit gaat gelden voor de volgenden normen voor de houderorganisatie en de applicatie-, hosting- of SAAS leverancier: U/TV.01 (Toegangsbeheer), U/WA.02 (Incidentmanagement) en C.08 (Changemanagement);
Voor de applicatie-, hosting- of SAAS leverancier komt daar aanvullend bij: C.07 (controle van de logging) en C.09 (patchmanagement)
Logius adviseert om vanaf verantwoordingsjaar 2023 (inleverdeadline 1 mei 2024) ook over werking te rapporteren voor deze normen. Vanaf verantwoordingsjaar 2024 (inleverdeadline 1 mei 2025) is dit verplicht.
Werking wil niet alleen zeggen dat u het hele jaar de procedure moet volgen, maar dat dit ook nog aantoonbaar moet zijn. Dit is niet altijd eenvoudig. Wij adviseren ook om al dit jaar met uw auditor te overleggen hoe u dit het beste kunt aanpakken.
Suwi
Zoals aangegeven zijn op dit moment geen inhoudelijke veranderingen bekend voor het onderdeel Suwinet. Wel hebben verschillende gemeenten Suwinet in gebruik genomen voor de schuldhulpverlening. Uiteraard dient ook dit onderdeel te voldoen aan alle bekende Suwi-normen. Zo zullen bijvoorbeeld ook de medewerkers van deze afdeling binnen drie maanden na indiensttreding een verplichte training inzake informatiebeveiligingsbewustzijn moeten volgen. Ook dienen bijvoorbeeld de raadplegingen van deze afdeling te worden onderworpen aan een periodiek controle met behulp van de logging.
Wij adviseren om dit tijdig op te pakken. Sommige controles dienen halfjaarlijks te worden uitgevoerd en kunnen niet aan het einde van het jaar worden ‘ingehaald’.
Vragen?
Heeft u vragen over deze blog of wilt u weten wat 2-Control kan betekenen voor uw organisatie? Neem dan hier contact op met één van onze auditors.
