3 december 2024

Nog even de DigiD audit regelen...

DigiD is de standaard voor veilige authenticatie van burgers op webapplicaties van digitale dienstverleners. Indien u een webapplicatie levert aan bijvoorbeeld een gemeente, zal één van de eisen zijn om deze toegankelijk te maken via DigiD. Uw ontwikkelteam gaat hier voortvarend mee aan de slag en kort voor de livegang nog even de ‘formaliteit’ DigiD audit regelen.  

Dat organisaties die DigiD gebruiken (en hun applicatieleveranciers) jaarlijks vóór 1 mei een DigiD ICT-beveiligingsassessment moeten laten uitvoeren is wel bekend. Voor nieuwe aansluitingen geldt dat dit assessment binnen twee maanden na activering van de DigiD-aansluiting bij Logius moet plaatsvinden. Echter wordt de audit vaak gezien als een administratieve formaliteit en dat is een misvatting. 

Lees verder

Waar gaat de audit over 

De audit onderkent 3 betrokken partijen: de aansluithouder, de softwareleverancier en de hosting partij. Vaak vallen de laatste twee samen bij één organisatie (SaaS) en soms vervult u alle rollen. De audit voor de aansluithouder beperkt zich tot zeven, min of meer procesmatige normen, zoals incidentmanagement en toegangsbeheer.  

Voor de softwareleverancier en de hosting partij is dit anders. Naast de procesnormen heeft u te maken met een aantal technische normen. Hier een korte samenvatting: 

  • B-normen, met zaken als informatiebeveiligingsbeleid en contractafspraken over beveiligingsmaatregelen;  
  • TV – norm, over logisch toegangsbeheer tot alle relevante systemen; 
  • WA-normen, met een aantal specifieke (technische) eisen aan de webapplicatie, zoals het gebruik van beveiligde verbindingen (TLS configuratie) en inputvalidatie; 
  • PW- normen, betreffende het platform, met o.a. specifieke eisen voor de configuratie van de webserver, toegestane protocollen en instellingen voor security headers; 
  • NW-normen met eisen aan de (virtuele) netwerkinfrastructuur, zoals segmentatie en het verplicht gebruikt van IDS/IPS; 
  • C-normen, met eisen aan monitoring en bewaking van de omgeving, waaronder een verplichte penetratie test. Daarnaast komt hier ook het change- en patchmanagementproces aanbod.  

Geen sluitstuk 

De audit is dus geen sluitstuk maar tijdens de ontwikkeling en de planning dient al rekening te worden gehouden met de eisen van DigiD. Dit om verrassingen in de slotfase van ontwikkeling te voorkomen. 2-Control kan u  in de beginfase al hierbij helpen. 

Aanpak 2-Control bij een nieuwe DigiD-aansluiting 

Onze auditors van 2-Control beschikken over ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijks voor vele gemeenten en serviceorganisaties het DigiD ICT-beveiligingsassessment uit. Onze aanpak: 

  • Uitvoeren van een nulmeting / intakegesprek waarin wij de eisen van de norm toelichten en samen de scope bepalen; 
  • Het opstellen van een ‘prepared by customer’-lijst in ons gezamenlijk audit dossier, zodat u weet wat u moet aanleveren voor het definitieve assessment;
  • Het uitvoeren van het beveiligingsassessment en het opstellen van een rapport dat voldoet aan de eisen van toezichthouder Logius 

Onze aanpak kenmerkt zich door veel persoonlijk contact, pro-actief meedenken en nauwgezet de audit uitvoeren. 

Meer weten of benieuwd naar onze aanpak? U kunt direct contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens achterlaten in onderstaand contactformulier. Wij nemen dan zo spoedig mogelijk contact met u op. 

Naar overzicht
DigiD audit IT-auditdiensten

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
Nederland
+31 (0)76 5019470

BTW NL866595934B01
KVK 93995814