Het digitale landschap van vandaag heeft ons geleid naar een tijdperk van ongekende gemakken en toegang tot een scala aan diensten via internet. Een van de hoekstenen van deze digitale revolutie in Nederland is DigiD, het toonaangevende digitale authenticatiesysteem dat burgers in staat stelt om veilig en betrouwbaar toegang te krijgen tot overheidsinstanties en andere online dienstverleners. In de kern van dit systeem ligt het ICT-beveiligingsassessment DigiD, een waarborg voor de veiligheid, betrouwbaarheid en integriteit van de DigiD-systemen.
Een decennium van veiligheid en betrouwbaarheid
Ruim een decennium wordt het ICT-beveiligingsassessment DigiD met grote precisie uitgevoerd. Dit assessment is van groot belang gebleken om de continuïteit van de dienst te garanderen en om de vertrouwelijkheid van persoonlijke gegevens van gebruikers te waarborgen. Uitgevoerd door een RE auditor volgens de handreiking ICT-beveiligingsassessment van de Nederlandse Orde van Register EDP-Auditors (NOREA), biedt dit assessment een essentieel raamwerk om jaarlijks te toetsen of de DigiD-systemen voldoen aan de vastgestelde normen. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft daarbij Logius aangesteld als toezichthouder, waarbij het normenkader is vastgesteld in overeenstemming met deze autoriteiten.
Evolutie van beveiliging: een oog op werking
Het landschap van cybersecurity en technologie staat nooit stil, en het is van groot belang dat ons beveiligingsarsenaal met dezelfde snelheid evolueert. Gedurende het afgelopen decennium heeft de handreiking ICT-beveiligingsassessment meerdere herzieningen ondergaan. Deze wijzigingen zijn het resultaat van nauwe samenwerking tussen NOREA, het Ministerie van Binnenlandse Zaken en Logius, met als doel om de beveiliging op de proef te stellen en te versterken. De consistentie in dit proces was het accent op de opzet en het bestaan van de beveiligingsmaatregelen, tot nu.
Een Nieuw Hoofdstuk: Werkingstoetsing voor DigiD
Met een blik op de toekomst en met een vastberadenheid om de beveiliging van DigiD naar nieuwe hoogten te tillen, heeft het Ministerie van Binnenlandse Zaken in 2022 een belangrijke stap genomen. Besloten werd dat voor vijf specifieke normen de toetsing op werking een integraal onderdeel zal zijn van het ICT-beveiligingsassessment. Dit besluit is een getuigenis van het voortdurende streven naar verbetering en een weerspiegeling van de immers veranderende aard van digitale dreigingen.
Versie 4.0: nieuwe horizonten voor werkingstoetsing
De NOREA heeft op 17 juli 2023 versie 4.0 van de handreiking ICT-beveiligingsassessment DigiD gepubliceerd. Dit is een mijlpaal in de reis naar veiligheid en betrouwbaarheid voor DigiD-gebruikers. Deze update bevestigt formeel dat de toetsing op werking voor het verantwoordingsjaar 2023 een feit is. Deze publicatie dient als een routekaart, die helderheid biedt over de aanpak van de werkingstoetsing voor specifieke normen, waaronder U/TV.01, U/WA.02, C.07, C.08 en C.09. Daarnaast verheldert de nieuwe handreiking ook andere belangrijke aspecten van het beveiligingsassessment.
Een introductiejaar voor werkingstoetsing
Het komende jaar, met het verantwoordingsjaar 2023 (vanaf de inleverperiode 1 januari 2024 – 1 mei 2024), markeert een introductiejaar voor de toetsing op werking. Dit betekent dat DigiD-aansluithouders de kans krijgen om hun DigiD-systemen te laten toetsen op werking voor de vijf geselecteerde normen. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft besloten dat deze stap in 2024, voor verantwoordingsjaar 2024 (vanaf de inleverperiode 1 januari 2025 – 1 mei 2025), een verplichting zal zijn. Dit onderstreept het belang van werkingstoetsing in het bredere beveiligingsraamwerk.
Randvoorwaarden voor de toetsing op werking
Naast het leveren van essentiële context, duidt de nieuwe handreiking ook op een aantal randvoorwaarden die van toepassing zijn op de toetsing op werking:
- DigiD-aansluithouders en serviceorganisaties kunnen voor het verantwoordingsjaar 2023 de werking laten toetsen middels een ‘proef audit’, naast de reguliere toetsing op opzet en bestaan.
- Resultaten en bevindingen van deze ‘proef audit’ kunnen worden gerapporteerd in de vorm van een interne rapportage voor verantwoordingsjaar 2023. Deze rapportage kan dienen als waardevol hulpmiddel om mogelijke verbeterpunten te identificeren ter voorbereiding op de verantwoordingsplicht in 2024.
- De toetsing op werking (proef audit) omvat een aaneengesloten controleperiode van drie maanden. Gedurende deze tijd moeten organisaties aantonen dat er een gespecialiseerde interne controle is opgezet voor de processen met betrekking tot identiteits- en toegangsbeheer (U/TV.01), incident- en datalekbeheer (U/WA.02), logging en monitoring (C.07), wijzigingsbeheer (C.08) en patchmanagement (C.09).
- Nieuwe DigiD-aansluitingen zijn in hun eerste jaar vrijgesteld van werkingstoetsing. Het blijft echter verplicht om het ICT-beveiligingsassessment uit te voeren op opzet en bestaan, twee maanden na de livegang van de DigiD-aansluiting.
- Bovendien vereist de RE auditor dat populaties voor elk proces worden vastgesteld om steekproeven te definiëren. De grootte van de steekproefomvang wordt bepaald op basis van de frequentie van de beheersmaatregel of het aantal gebeurtenissen in de onderzoeksperiode. De RE auditor mag binnen de steekproef geen fouten constateren voor een positief oordeel.
Een versterkte toekomst voor DigiD
In een tijd waarin de digitale wereld groeit en evolueert, blijft DigiD zich onderscheiden als één van de belangrijkste schakels van digitale identiteit en toegang tot essentiële diensten. Het nieuwe hoofdstuk van werkingstoetsing getuigt van een vastberadenheid om de beveiligingsmaatregelen naar een nieuw niveau te tillen, waarbij de veiligheid van gebruikers voorop staat. Met de aankomende veranderingen en verplichtingen is de weg vooruit duidelijk gemarkeerd. Samen zorgen we voor een digitaal ecosysteem dat veilig, betrouwbaar en veerkrachtig is, waarbij DigiD een onmisbare schakel blijft in dit streven naar een veiligere digitale toekomst.
