Aanscherping ICT-Beveiligingsassessment DigiD 2015

Op 9 januari 2015 hebben VNG, IBD, VIAG, Logius en NOREA, op initiatief van de VIAG, overleg gevoerd over het ICT-Beveiligingsassessment DigiD voor dit jaar. Doel van dit overleg is enerzijds om te komen tot meer eenduidigheid in de beoordeling door auditors en anderzijds om gezamenlijk praktische afspraken te maken in het geval er onenigheid is over deze beoordeling tussen auditor en de DigiD-gebruikende organisatie. Concreet zijn de volgende punten van het assessment verder aangescherpt:

1. T.a.v. de scope van het ICT-Beveiligingsassessment DigiD
Ervaring bij het eerste ICT-Beveiligingsassessment DigiD heeft laten zien dat sommige auditors een bredere scope hebben gehanteerd dan op basis van de DigiD-normering noodzakelijk is. De Guidance van NOREA op norm B7-9 lijkt hiertoe aanleiding te geven.
In het overleg van 9 januari is afgesproken dat in eerste instantie getoetst kan worden óf bepaalde maatregelen organisatie-breed genomen zijn, maar indien dit niet het geval is, zal de auditor in- zoomen naar de scope van de DigiD-applicatie zelf.

2. T.a.v. de objectieve beoordeling
Tijdens de assessmentronde in 2014 hebben gelijksoortige omstandigheden niet altijd geleid tot gelijksoortige beoordelingen. NOREA heeft zich via de herziene Guidance ingespannen om subjectiviteit voor de toekomst zo veel als mogelijk uit te bannen. Deze Guidance wordt breed gebruikt en de (meeste) auditors bevragen zowel NOREA als elkaar over de vormgeving en de interpretatie van min of meer gelijkgerichte situaties.
Punt blijft bestaan dat elke auditor een zelfstandige verantwoordelijkheid heeft in de beoordeling van de resultaten. In het gezamenlijk vervolgoverleg op 26 januari is nagegaan waar en hoe deze verscheidenheid in beoordeling zich manifesteert en hoe deze nog verder kan worden teruggedrongen. De ambitie hierbij is dat NOREA voor het einde van januari een nieuwe versie van de Guidance oplevert.

3. T.a.v. het inrichten van een escalatieprocedure
In geval van een blijvend verschil van mening tussen auditor en DigiD-gebruikende organisatie over de bevindingen en/of formulering van een beoordeling, zal NOREA een escalatieprocedure beschikbaar stellen. In deze (algemene) escalatieprocedure wordt een verschil van inzicht tussen opdrachtgever en opdrachtnemer met wederzijds goedvinden doorgeleid naar de zogenaamde vaktechnische geschillen- commissie. Deze commissie zal op basis van gedegen onderzoek, en bij voorkeur met wederzijdse instemming een bindende uitspraak doen. Om mogelijk misbruik van deze escalatieprocedure te voorkomen zal NOREA aan de voorkant toetsen of de DigiD-gebruikende organisatie en de auditor zich voldoende hebben ingespannen om tot onderlinge overeenstemming te komen. Een ingezette escalatieprocedure zal overigens niet leiden tot uitstel van de gestelde inleverdatum bij Logius. Meer informatie over deze escalatieprocedure is te vinden op de website van NOREA.

4. T.a.v. de beoordeling door Logius
Vanuit haar verantwoordelijkheid zal Logius in beginsel de uitkomsten van het assessmentrapport volgen. Bij de beoordeling baseert Logius zich op de door de minister bepaalde normering. Indien tot handhaving moet worden overgegaan treedt Logius, voorafgaand aan uitvoering van handhaving, met betreffende gemeente in contact. De eerste reactie van Logius is een schriftelijke reactie met duiding van de mogelijke afwijzing en aanvullend zal veelvuldig persoonlijke/mondelinge afstemming plaatsvinden.

5. T.a.v. het NOREA Beroepsregister
Gemeenten wordt geadviseerd om, bij aangaan van een contract met een auditor, een toets te doen op het NOREA Beroepsregister van gecertificeerde RE auditors.

Meer informatie?

Meer informatie over het ICT-Beveiligingsassessment DigiD? Volg dan de berichtgeving op de website van Logius.