Home Organisatie Werkgroepen Werkgroep ENSIA

Werkgroep ENSIA (Eénduidige Normatiek Single Information Audit)

De werkgroep ENSIA
De werkgroep ontwikkelt de handreiking voor het verantwoordingsjaar 2025 voor IT-auditors met een toelichting bij de uitvoering van het verantwoordingsproces over informatieveiligheid bij gemeenten en bijbehorende Template.

Handreikingen vastgesteld door bestuur - 09 oktober 2025

Het bestuur heeft, na de consultatieperiode, twee nieuwe handreikingen van de Werkgroep ENSIA vastgesteld. Hierop hebben in oktober 2025 enkele updates plaatsgevonden. De nieuwste versies zijn Handreiking ENSIA versie 6.0 Update 2025 en de Handreiking Suwi gemeenten 2025 versie 1.0. Deze handreikingen staan op de website van NOREA op de pagina Handreikingen zijn van toepassing op audits over het verantwoordingsjaar 2025.

In geval van onduidelijkheden kan contact worden opgenomen met de Werkgroep ENSIA. Afwijkingen van de handreikingen dienen in het auditdossier te worden toegelicht. Dit laat onverlet dat bij afwijking van de handreikingen of templates de toezichthouder / stelselhouder daar wat van kan vinden, hetgeen de verwerking van ingediende rapporten kan belemmeren.

Het bestuur dankt de werkgroep ENSIA voor haar inspanningen.

Audit Alert ENSIA - 12 december 2024

In verband met (potentiële) korte reactietermijn gemeenten en de eventuele gevolgen ervan vragen wij jullie aandacht voor bijgaande alert.
Deze is / wordt ook gepubliceerd door de VNG en BKWI.

Overzicht IT-auditors (RE’s) die zichzelf hebben aangemeld als beschikbaar voor de uitvoering van ENSIA-opdrachten
ENSIA – ALERT 4 maart 2025
Inleiding
Door Logius en auditors zijn in een relatief groot aantal gevallen fouten in bijlage 1 DigiD gesignaleerd. Door de VNG is op 27 februari 2025 het navolgde bericht verstuurd aan alle ENSIA-coördinatoren. Verzoek aan de ENSIA-auditors is om onderstaand bericht ook bij hun lopende werkzaamheden te betrekken.

Bericht aan ENSIA-coördinatoren

Beste ENSIA-coördinator,

Vanuit Logius en de auditoren krijgen wij het signaal dat de bijlage 1 DigiD door een aantal gemeenten op een onjuiste wijze wordt ingevuld. Het gaat om de volgende fouten:
  • Gemeenten zetten alle normen op ‘voldoet’ bij haar eigen organisatie, ipv alleen de normen die bij de Gemeente zijn getoetst;
  • Bij de toetsingsperiode op werking staat ‘n.v.t.’;
  • Logius wordt opgegeven als Identity Broker.

Controleer daarom nog een keer extra goed de bijlage 1 DigiD op de volgende punten en corrigeer de fouten omdat dit leidt tot bevindingen tijdens de audit:

  • De normen waarvoor de gemeente (aansluithouder) niet verantwoordelijk is moeten op “Niet van toepassing” staan.
  • De controleperiode moet zijn: 1 juli 2024 t/m 31 december 2024.
  • Logius is geen Identity Provider voor de webapplicatie. Je hebt ook geen TPM van Logius ontvangen. Er is alleen sprake van een Identity Provider als de toegang tot de applicatie via een Identity Broker loopt. Je hebt in dat geval een assurance-rapport van de Identity Broker ontvangen.

Deelnemers Werkgroep 
Achmed Bouazza RE CISA   
Frederik Boot RE MSc CISA CISM   
drs. René IJpelaar RE CEH CISA   
ir. Diman Kamp RE   
ir. Raymond de Keijzer RE   
Ruud Kerssens RE RA CISA CRISC   
Jacko Möhle RE EMITA   
mr. drs. Jan Roodnat RE RA (voorzitter)   
drs. Peter Vermeij RE   
drs. ing. Peter Verstege RE RA   
Edwin Hummel RE RO CISA (linking-pin bestuur)   
Contact