Nieuw normenkader DigiD assessment vanaf 1-8-2022
Zoals Logius onlangs heeft bericht, heeft BZK op 14 juli het nieuwe normenkader 3.0 voor het DigiD assessment vastgesteld. Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NSCS-richtlijnen plus een 21e norm, namelijk B.01. Het nieuwe normenkader 3.0 gaat in op 1 augustus 2022. Zie hiervoor https://logius.nl/diensten/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid
Concreet betekent dit dat de norm B.01 onderdeel wordt van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor zowel voor de aansluithouder en voor TPMs. Bestaande TPM’s blijven gewoon een jaar geldig ook al bevatten ze geen uitspraken over beveiligingsrichtlijn B.01. Bij lopende of nog startende onderzoeken nemen we dit mee.
Waar gaat B.01 dan over? B.01 schrijft het volgende voor: ‘De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatiegerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.’
Als NOREA werkgroep DigiD – waarin BKBO bv is vertegenwoordigd- komen we zeer binnenkort met een verdere uitwerking in een aanvullende testaanpak. Volg hiervoor de berichten op onze site of die van NOREA
Een 2e meer ingrijpende wijziging gaat later in en betreft de langverwachte controle op werking. Sinds de invoering van het DigiD-assessment zijn de normen steeds getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01 (toegangsbeheer); U/WA.02 (webapplicatiebeheer); C.07 (monitoring logging en detectie informatie); C.08 (wijzigingsbeheer) en C.09 (patchbeheer). De invoering van de toetsing op werking omvat een overgangsjaar:
- Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
- Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.
Als NOREA werkgroep DigiD komen we op iets langere termijn met een geheel vernieuwde testaanpak 3.0 waarin naast deze controle op werking ook de bestaande FAQ in wordt meegenomen. Volg hiervoor de berichten op onze site of op die van NOREA.
Zoals Logius onlangs heeft bericht, heeft BZK op 14 juli het nieuwe normenkader 3.0 voor het DigiD assessment vastgesteld. Het Normenkader 3.0 bestaat uit de 20 normen uit Normenkader 2.0 volgens de NSCS-richtlijnen plus een 21e norm, namelijk B.01. Het nieuwe normenkader 3.0 gaat in op 1 augustus 2022. Zie hiervoor https://logius.nl/diensten/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid
Concreet betekent dit dat de norm B.01 onderdeel wordt van ieder DigiD-assessment met een toetsingsdatum van 1 augustus 2022 of later. Dit geldt voor zowel voor de aansluithouder en voor TPMs. Bestaande TPM’s blijven gewoon een jaar geldig ook al bevatten ze geen uitspraken over beveiligingsrichtlijn B.01. Bij lopende of nog startende onderzoeken nemen we dit mee.
Waar gaat B.01 dan over? B.01 schrijft het volgende voor: ‘De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatiegerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.’
Als NOREA werkgroep DigiD – waarin BKBO bv is vertegenwoordigd- komen we zeer binnenkort met een verdere uitwerking in een aanvullende testaanpak. Volg hiervoor de berichten op onze site of die van NOREA
Een 2e meer ingrijpende wijziging gaat later in en betreft de langverwachte controle op werking. Sinds de invoering van het DigiD-assessment zijn de normen steeds getoetst op opzet en bestaan. Met het besluit van BZK wordt daar nu voor 5 normen ook een toets op werking aan toegevoegd.
De 5 normen die worden getoetst op opzet, bestaan en werking zijn: U/TV.01 (toegangsbeheer); U/WA.02 (webapplicatiebeheer); C.07 (monitoring logging en detectie informatie); C.08 (wijzigingsbeheer) en C.09 (patchbeheer). De invoering van de toetsing op werking omvat een overgangsjaar:
- Vanaf inleverperiode 1 januari -1 mei 2024 (over het voorgaande jaar 2023) mogen DigiD-aansluithouders de 5 normen laten toetsen op werking.
- Vanaf inleverperiode 1 januari -1 mei 2025 (over het voorgaande jaar 2024) moeten DigiD-aansluithouders de 5 normen laten toetsen op werking.
Als NOREA werkgroep DigiD komen we op iets langere termijn met een geheel vernieuwde testaanpak 3.0 waarin naast deze controle op werking ook de bestaande FAQ in wordt meegenomen. Volg hiervoor de berichten op onze site of op die van NOREA.