DigiD assessment: wanneer verplicht en wat houdt het in?

Elke organisatie die DigiD-authenticatie gebruikt voor haar digitale diensten is verplicht om jaarlijks een DigiD assessment te laten uitvoeren. Dit assessment, voorgeschreven door Logius (onderdeel van het ministerie van BZK), toetst of de ICT-omgeving waarin DigiD wordt verwerkt voldoet aan de norm ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC.

Het assessment moet worden uitgevoerd door een onafhankelijke, CIP-geregistreerde assessor. De assessor beoordeelt zowel de technische als organisatorische beveiligingsmaatregelen rondom de DigiD-koppeling. Denk aan netwerkbeveiliging, toegangsbeheer, logging, incidentbeheer en kwetsbaarhedenbeheer.

Het assessment resulteert in een rapport dat je indient bij Logius. Logius beoordeelt het rapport en geeft een oordeel: voldoet, voldoet deels, of voldoet niet. Bij onvoldoende resultaat kun je je DigiD-aansluiting verliezen, wat betekent dat burgers niet meer kunnen inloggen op jouw dienst.

De scope van het assessment omvat de volledige keten: van de webapplicatie die DigiD integreert, via de infrastructuur waarop deze draait, tot aan de beheerprocessen eromheen. Ook onderaannemers en cloudproviders die betrokken zijn bij de DigiD-keten vallen binnen scope.

Veelgemaakte fouten bij DigiD assessments zijn onvolledige scopeafbakening, ontbrekende penetratietests, en onvoldoende logging van beheerhandelingen. Wij zien dat organisaties die vroegtijdig starten met voorbereidingen, doorgaans soepeler door het assessment komen.

Onze RE-gecertificeerde auditors begeleiden je van scopebepaling tot rapportoplevering. Neem contact op voor een vrijblijvende intake.