Wat is de deadline voor DigiD rapportage?
De deadline voor DigiD-rapportage valt op 1 mei van elk jaar voor alle organisaties die DigiD gebruiken in hun webapplicaties. Deze jaarlijkse rapportageplicht geldt voor overheidsinstanties, zorginstellingen en hun IT-leveranciers. Het assessment moet worden uitgevoerd door een gecertificeerde IT-auditor volgens de NOREA Handreiking ICT-beveiligingsassessment DigiD 2025. Organisaties moeten tijdig beginnen met de voorbereiding om deze cruciale deadline te halen en complianceproblemen te voorkomen.
Wat is de exacte deadline voor DigiD-rapportage?
Alle organisaties die DigiD gebruiken, moeten voor 1 mei jaarlijks rapporteren aan toezichthouder Logius. Deze deadline geldt zonder uitzondering voor zowel nieuwe als bestaande DigiD-gebruikers. De controleperiode voor het assessment moet minimaal 6 maanden duren, waarbij de laatste dag van de controleperiode maximaal 2 maanden voor de oordeelsdatum mag liggen.
Het DigiD-beveiligingsassessment wordt uitgevoerd onder Richtlijn 3000D voor assurance-opdrachten. De rapportages moeten worden ondertekend met een EUTL-handtekening om de betrouwbaarheid te garanderen en te voldoen aan de eisen van Logius.
Voor organisaties die onder de ENSIA-norm vallen, zoals gemeenten, geldt een overgangsregeling tot 1 mei 2026, waarbij Richtlijn 3000A nog gebruikt mag worden. Na deze datum moeten ook zij overstappen naar de standaardrichtlijn 3000D.
Welke organisaties moeten een DigiD-beveiligingsassessment uitvoeren?
Alle organisaties die DigiD gebruiken voor toegang tot hun webapplicaties, zijn verplicht een jaarlijks beveiligingsassessment uit te voeren. Dit omvat een breed scala aan publieke en semipublieke instellingen die digitale dienstverlening aanbieden via DigiD-authenticatie.
De rapportageplicht geldt voor:
- Overheidsinstanties zoals ministeries, agentschappen en gemeenten
- Zorginstellingen, inclusief ziekenhuizen, GGD’s en GGZ-instellingen
- Waterschappen en andere publieke organisaties
- Woningcorporaties die digitale diensten aanbieden
- IT-leveranciers en serviceorganisaties die DigiD-diensten faciliteren
- Onderwijsinstellingen met DigiD-gekoppelde systemen
Ook serviceorganisaties die gebruikmaken van SOC-rapporten (System and Organization Controls) moeten voldoen aan specifieke eisen. Hierbij wordt de carve-outmethode als voorkeur gehanteerd, waarbij het assurancerapport van de subserviceorganisatie wordt geraadpleegd.
Wat gebeurt er als je de DigiD-rapportagedeadline mist?
Het missen van de 1 mei-deadline kan ernstige gevolgen hebben voor je DigiD-aansluiting en compliancestatus. Logius kan maatregelen nemen, variërend van waarschuwingen tot het opschorten van de DigiD-dienstverlening voor je organisatie.
Mogelijke consequenties zijn:
- Een formele waarschuwing van Logius met een herziene deadline
- Opschorting van DigiD-diensten totdat de rapportage is ingediend
- Reputatieschade en verlies van vertrouwen bij burgers
- Mogelijk onderzoek naar complianceprocedures binnen je organisatie
- Extra kosten voor spoedassessments en heraudits
Om achterstand in te halen, moet je onmiddellijk contact opnemen met een gecertificeerde IT-auditor en een spoedassessment plannen. Zorg voor complete documentatie en bereid je technische systemen voor op een snelle beoordeling. Communiceer proactief met Logius over je herstelplan en de verwachte nieuwe inleverdatum.
Hoe bereid je je voor op een DigiD-beveiligingsassessment?
Een succesvolle voorbereiding begint minimaal 3 à 4 maanden voor de deadline met het verzamelen van alle benodigde documentatie en het controleren van technische systemen. Een goede voorbereiding voorkomt vertragingen en zorgt voor een soepel verlopend assessmentproces.
Essentiële voorbereidingsstappen:
- Inventariseer alle webapplicaties die DigiD gebruiken
- Verzamel actuele beveiligingsdocumentatie en -procedures
- Controleer toegangscontroles en gebruikersbeheer
- Documenteer incidentbeheerprocedures en -registraties
- Zorg voor actuele back-up- en recoveryprocedures
- Bereid de technische omgeving voor op penetratietesten
Vanaf 2025 worden vijf kernnormen ook getoetst op werking: toegangscontrole (U.TV.01), incidentbeheer (U.WA.02) en beveiliging en wijzigingsbeheer (C.07, C.08, C.09). Zorg dat deze processen niet alleen op papier bestaan, maar ook daadwerkelijk functioneren in de praktijk.
Wat zijn de belangrijkste onderdelen van een DigiD-rapportage?
Een complete DigiD-rapportage bevat technische beveiligingstoetsen, risicoanalyses en compliancedocumentatie volgens de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC. Elke norm wordt onafhankelijk getoetst, met nadruk op penetratietesten en vulnerability assessments.
Verplichte rapportage-elementen:
- Beveiligingstoets van webapplicaties en infrastructuur
- Evaluatie van toegangscontrole en gebruikersbeheer
- Incidentbeheerprocedures en -registraties
- Wijzigingsbeheer- en deploymentprocessen
- Logging- en monitoringsystemen
- Back-up- en recoveryprocedures
- Risicoanalyse en mitigatiemaatregelen
De testaanpak is gebaseerd op toetsing van de opzet, het bestaan en de werking van beveiligingsmaatregelen. Bij ‘non-occurrence’-situaties, waarbij een gebeurtenis niet heeft plaatsgevonden binnen de controleperiode, wordt een aangepaste beoordelingsmethode gehanteerd. De rapportage moet worden ondertekend met een EUTL-handtekening voor betrouwbaarheidsgarantie.
Hoe BKBO B.V. helpt met DigiD-rapportagedeadlines
Wij ondersteunen organisaties bij het tijdig behalen van de 1 mei-deadline door onze DigiD-beveiligingsassessments en onze expertise in overheidsprocessen. Met meer dan 1.843 afgeronde audits sinds 2018 begrijpen wij de complexiteit van DigiD-compliance en zorgen wij voor een soepel verloop van het gehele proces.
Onze concrete ondersteuning omvat:
- Tijdige planning en uitvoering van assessments vóór de deadline
- Complete voorbereiding, inclusief documentatiereview
- Gecertificeerde register-IT-auditors met DigiD-expertise
- Vaste prijzen, inclusief eventuele heraudits (geen-gekibbelgarantie)
- Directe rapportage aan Logius met EUTL-handtekening
- Praktische aanbevelingen voor verbetering van compliance
Met onze diepgaande kennis van overheidssystemen en een klantretentiepercentage van 91,4% zorgen wij ervoor dat je DigiD-rapportage tijdig en compliant wordt ingediend. Neem contact op voor een vrijblijvende planning van je assessment en zorg dat je de deadline haalt zonder stress.
De deadline voor DigiD-rapportage valt op 1 mei van elk jaar voor alle organisaties die DigiD gebruiken in hun webapplicaties. Deze jaarlijkse rapportageplicht geldt voor overheidsinstanties, zorginstellingen en hun IT-leveranciers. Het assessment moet worden uitgevoerd door een gecertificeerde IT-auditor volgens de NOREA Handreiking ICT-beveiligingsassessment DigiD 2025. Organisaties moeten tijdig beginnen met de voorbereiding om deze cruciale deadline te halen en complianceproblemen te voorkomen.
Wat is de exacte deadline voor DigiD-rapportage?
Alle organisaties die DigiD gebruiken, moeten voor 1 mei jaarlijks rapporteren aan toezichthouder Logius. Deze deadline geldt zonder uitzondering voor zowel nieuwe als bestaande DigiD-gebruikers. De controleperiode voor het assessment moet minimaal 6 maanden duren, waarbij de laatste dag van de controleperiode maximaal 2 maanden voor de oordeelsdatum mag liggen.
Het DigiD-beveiligingsassessment wordt uitgevoerd onder Richtlijn 3000D voor assurance-opdrachten. De rapportages moeten worden ondertekend met een EUTL-handtekening om de betrouwbaarheid te garanderen en te voldoen aan de eisen van Logius.
Voor organisaties die onder de ENSIA-norm vallen, zoals gemeenten, geldt een overgangsregeling tot 1 mei 2026, waarbij Richtlijn 3000A nog gebruikt mag worden. Na deze datum moeten ook zij overstappen naar de standaardrichtlijn 3000D.
Welke organisaties moeten een DigiD-beveiligingsassessment uitvoeren?
Alle organisaties die DigiD gebruiken voor toegang tot hun webapplicaties, zijn verplicht een jaarlijks beveiligingsassessment uit te voeren. Dit omvat een breed scala aan publieke en semipublieke instellingen die digitale dienstverlening aanbieden via DigiD-authenticatie.
De rapportageplicht geldt voor:
- Overheidsinstanties zoals ministeries, agentschappen en gemeenten
- Zorginstellingen, inclusief ziekenhuizen, GGD’s en GGZ-instellingen
- Waterschappen en andere publieke organisaties
- Woningcorporaties die digitale diensten aanbieden
- IT-leveranciers en serviceorganisaties die DigiD-diensten faciliteren
- Onderwijsinstellingen met DigiD-gekoppelde systemen
Ook serviceorganisaties die gebruikmaken van SOC-rapporten (System and Organization Controls) moeten voldoen aan specifieke eisen. Hierbij wordt de carve-outmethode als voorkeur gehanteerd, waarbij het assurancerapport van de subserviceorganisatie wordt geraadpleegd.
Wat gebeurt er als je de DigiD-rapportagedeadline mist?
Het missen van de 1 mei-deadline kan ernstige gevolgen hebben voor je DigiD-aansluiting en compliancestatus. Logius kan maatregelen nemen, variërend van waarschuwingen tot het opschorten van de DigiD-dienstverlening voor je organisatie.
Mogelijke consequenties zijn:
- Een formele waarschuwing van Logius met een herziene deadline
- Opschorting van DigiD-diensten totdat de rapportage is ingediend
- Reputatieschade en verlies van vertrouwen bij burgers
- Mogelijk onderzoek naar complianceprocedures binnen je organisatie
- Extra kosten voor spoedassessments en heraudits
Om achterstand in te halen, moet je onmiddellijk contact opnemen met een gecertificeerde IT-auditor en een spoedassessment plannen. Zorg voor complete documentatie en bereid je technische systemen voor op een snelle beoordeling. Communiceer proactief met Logius over je herstelplan en de verwachte nieuwe inleverdatum.
Hoe bereid je je voor op een DigiD-beveiligingsassessment?
Een succesvolle voorbereiding begint minimaal 3 à 4 maanden voor de deadline met het verzamelen van alle benodigde documentatie en het controleren van technische systemen. Een goede voorbereiding voorkomt vertragingen en zorgt voor een soepel verlopend assessmentproces.
Essentiële voorbereidingsstappen:
- Inventariseer alle webapplicaties die DigiD gebruiken
- Verzamel actuele beveiligingsdocumentatie en -procedures
- Controleer toegangscontroles en gebruikersbeheer
- Documenteer incidentbeheerprocedures en -registraties
- Zorg voor actuele back-up- en recoveryprocedures
- Bereid de technische omgeving voor op penetratietesten
Vanaf 2025 worden vijf kernnormen ook getoetst op werking: toegangscontrole (U.TV.01), incidentbeheer (U.WA.02) en beveiliging en wijzigingsbeheer (C.07, C.08, C.09). Zorg dat deze processen niet alleen op papier bestaan, maar ook daadwerkelijk functioneren in de praktijk.
Wat zijn de belangrijkste onderdelen van een DigiD-rapportage?
Een complete DigiD-rapportage bevat technische beveiligingstoetsen, risicoanalyses en compliancedocumentatie volgens de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC. Elke norm wordt onafhankelijk getoetst, met nadruk op penetratietesten en vulnerability assessments.
Verplichte rapportage-elementen:
- Beveiligingstoets van webapplicaties en infrastructuur
- Evaluatie van toegangscontrole en gebruikersbeheer
- Incidentbeheerprocedures en -registraties
- Wijzigingsbeheer- en deploymentprocessen
- Logging- en monitoringsystemen
- Back-up- en recoveryprocedures
- Risicoanalyse en mitigatiemaatregelen
De testaanpak is gebaseerd op toetsing van de opzet, het bestaan en de werking van beveiligingsmaatregelen. Bij ‘non-occurrence’-situaties, waarbij een gebeurtenis niet heeft plaatsgevonden binnen de controleperiode, wordt een aangepaste beoordelingsmethode gehanteerd. De rapportage moet worden ondertekend met een EUTL-handtekening voor betrouwbaarheidsgarantie.
Hoe BKBO B.V. helpt met DigiD-rapportagedeadlines
Wij ondersteunen organisaties bij het tijdig behalen van de 1 mei-deadline door onze DigiD-beveiligingsassessments en onze expertise in overheidsprocessen. Met meer dan 1.843 afgeronde audits sinds 2018 begrijpen wij de complexiteit van DigiD-compliance en zorgen wij voor een soepel verloop van het gehele proces.
Onze concrete ondersteuning omvat:
- Tijdige planning en uitvoering van assessments vóór de deadline
- Complete voorbereiding, inclusief documentatiereview
- Gecertificeerde register-IT-auditors met DigiD-expertise
- Vaste prijzen, inclusief eventuele heraudits (geen-gekibbelgarantie)
- Directe rapportage aan Logius met EUTL-handtekening
- Praktische aanbevelingen voor verbetering van compliance
Met onze diepgaande kennis van overheidssystemen en een klantretentiepercentage van 91,4% zorgen wij ervoor dat je DigiD-rapportage tijdig en compliant wordt ingediend. Neem contact op voor een vrijblijvende planning van je assessment en zorg dat je de deadline haalt zonder stress.