DigiD Assessmentbericht Logius oktober 2021
Aflopen van oplevertermijnen, ook die van de norm U/PW.03
- Heeft u een brief ontvangen over een norm die niet voldoet?
Logius heeft u een oplevertermijn gegeven. Binnen die termijn toont u aan alsnog aan de norm te voldoen. Een verklaring of rapportage getekend door een RE-auditor stuurt u vóór het verlopen van de oplostermijn naar ons op. Hoe? Dat vindt u op de webpagina van ICT-beveiligingsassessments DigiD.
- Heeft u de vaste opleverdatum van 1 november 2021 gekregen voor de norm U/PW.03?
Er zijn veel aansluithouders die dezelfde vaste oplostermijn hebben gekregen voor de norm U/PW.03. Plan de verbeteringen en de controle door de auditor tijdig in. Ligt de norm (ook) bij uw serviceorganisatie? Bespreek dit dan tijdig met uw serviceorganisatie. Door het grote aantal aansluithouders verwachten wij drukte bij auditors. Wees dus op tijd.
- Wordt de norm U/PW.03 opgelost met een geheel nieuwe TPM op basis van recent onderzoek?
U mag dan de geheel nieuwe TPM gebruiken om voor dit assessmentjaar de norm U/PW.03 op te lossen. Daarnaast mag u de TPM ook gebruiken voor volgend assessmentjaar. Wel geldt de gebruikelijke methode om te bepalen of een TPM valide is en gebruikt mag worden.
Mitigerende maatregelen voor U/PW.03.
- Heeft Logius de mitigerende maatregelen op de U/PW.03 geaccepteerd en gevraagd om een nieuwe toetsing voor 1 mei?
Dan heeft u van Logius een brief ontvangen waarin staat dat een hertoets op de norm U/PW.03 moet worden uitgevoerd, die gecombineerd mag worden met het reguliere jaarlijkse assessment.
Aan de norm U/PW.03 zal in het aankomende assessmentjaar wederom ‘rule based’ moeten worden voldaan, net als in het afgelopen jaar. Logius en NOREA werken op dit moment aan de invulling van een uitzonderingsregel om ook voor volgend jaar het gebruik van mitigerende maatregelen toe te staan. De uitzondering wordt dus verlengd, maar wel onder andere voorwaarden.
Zodra de voorwaarden en de invulling bekend zijn, zal dit worden gedeeld op de website en in het volgende DigiD Assessmentbericht.
Digitale handtekeningen van de RE-auditors
Komend assessmentjaar verandert er niets aan de eisen voor digitale handtekeningen van RE-auditors. Wél in het jaar daarna. Daarnaast hebben we veel fouten gezien in de wijze waarop handtekeningen van RE-auditors zijn geplaatst. Daarom op een rij:
- Een digitale handtekening wordt geaccepteerd als het gecertificeerd is door een uitgever die vermeld staat op de European Trust List (EUTL). Of de uitgever staat op de EUTL is in de eigenschappen van de digitale handtekening voor iedereen te zien, en geeft een hoge betrouwbaarheid. Deze eis is niet nieuw, maar anders verwoord.
- Daarnaast accepteert Logius alleen nog voor het komende assessmentjaar gescande handtekeningen, jpeg-handtekeningen en ‘scribbles’. Kenmerkend voor deze handtekeningen is dat ze persoonlijk door de auditor zijn gezet. Een naam uitgeschreven met een computerlettertype, ook die handgeschreven lijkt, wordt niet geaccepteerd.
- Als laatste wordt de natte handtekening geaccepteerd. Een gescand document met een natte handtekening valt onder de tweede bullet.
|