Norea logo

Aandachtspunten DigiD-assessments 2016 en 2017

In overleg met Logius brengt de NOREA DigiD-Werkgroep nog enkele aanwijzingen en suggesties onder uw aandacht. Bovendien is de nieuwe Logius-norm en NOREA-handreiking (2.0) voor de volgende assessment-ronde over 2017 gepubliceerd. Zie ook de Q&A op de Logius-website.

Ronde 2016 
(Handreiking 2015/2016, rapportagetemplates aansluithouder en serviceprovider/TPM's)
Eventuele TPM's moeten samen met het rapport worden meegezonden aan Logius èn worden vermeld in het totaaloverzicht (Bijlage C). Het rapport moet worden uitgebracht op briefpapier waarop (het logo en/of) de bedrijfsnaam van de auditorganisatie is vermeld (dus niet met NOREA-logo). Bovendien moet het rapport worden ondertekend door de verantwoordelijke RE. Dat kan/mag desgewenst elektronisch. Ieder rapport moet worden gedateerd, ondertekend en voorzien van een uniek kenmerk. Ook moet de aansluiting éénduidig geïdentificeerd kunnen worden op basis van het aansluitnummer.

In paragraaf 1.5 ‘Oordelen' worden alleen oordelen uitgebracht op basis van de eigen toetsing. In Bijlage C wordt een totaaloverzicht gegeven, inclusief de oordelen van de auditor(s) van de service-organisatie(s). De norm scoort alleen voldoende (‘groen') als in opzet en bestaan invulling is gegeven aan de betreffende norm. Anders scoort de norm onvoldoende (‘rood').

Bij een beperkt aantal normen (met name, maar niet uitsluitend, B0-5, B0-12 en B7-9) kan het voorkomen dat de opzet van de norm wel kan worden vastgesteld maar het bestaan niet. Dit omdat de situatie waarop de maatregel van toepassing is zich niet heeft voorgedaan. In dit geval kan het 'voldoende' oordeel worden toegelicht in een voetnoot. In het verleden zijn hier verschillende varianten van teksten voor gebruikt. In de guidance voor 2016 is voor deze situatie een standaard tekst opgenomen. Deze tekst luidt: ‘Wij hebben vastgesteld dat deze organisatie maatregelen heeft ontworpen en ingericht met betrekking tot deze norm en hebben deze gevalideerd. Vanwege het feit dat zich geen situatie heeft voorgedaan waarop deze maatregel betrekking heeft, hebben wij het bestaan niet kunnen vaststellen. Wij zijn echter van oordeel dat de organisatie voldoet aan deze norm.'. In de guidance wordt tevens opgenomen dat de auditor daadwerkelijk vaststelt dat de situatie zich inderdaad niet heeft voorgedaan.

Volledigheidshalve moet in dit verband nog worden benadrukt dat de uitvoering van een DigiD-assessment als een assurance-opdracht wordt aangemerkt. De consequentie daarvan is dat de uitvoering van de opdracht moet voldoen aan de uitgangspunten die op grond van kwaliteitsbeheersing aan de RE's worden gesteld.

Aangepaste handreiking ('2.0') bij het normenkader voor 2017 
(rapportagetemplates aansluithouder en serviceprovider/TPM's
Het normenkader voor het ICT beveiligingsassessment DigiD is gebaseerd op de beveiligingsrichtlijnen voor webapplicaties van het NCSC. Het NCSC heeft deze richtlijnen medio 2015 vernieuwd. Op basis daarvan heeft Logius een nieuw normenkader vastgesteld en gepubliceerd op 16 december 2016. Dit normenkader is door NOREA voorzien van een aangepaste handreiking. De nieuwe norm en handreiking '2.0' gelden voor de assessmentronde over 2017. De rapporten daarvoor moeten voor 1 mei 2018 worden ingeleverd.