Wat is een TPM-verklaring bij een DigiD assessment?

Wat is een TPM-verklaring bij een DigiD assessment?
Wat is een TPM-verklaring bij een DigiD assessment?

Een TPM (Third Party Mededeling) bij een DigiD-assessment is een apart onderzoek dat wordt uitgevoerd door een onafhankelijke auditor. Het belangrijkste doel van een TPM is dat andere IT-auditors op dit rapport kunnen vertrouwen, waardoor zij niet alles opnieuw zelf hoeven te onderzoeken. Dit vermindert de totale auditinspanning voor organisaties aanzienlijk. Voor organisaties die gebruikmaken van een SaaS-oplossing is een TPM van de leverancier vereist. Op basis van deze TPM hoeven auditors bij de gebruikersorganisatie alleen een beperkte controle uit te voeren op een specifiek aantal relevante normen. De TPM geeft daarmee richting aan de audit: het laat zien welke onderdelen al bij de leverancier zijn onderzocht en op welke punten de auditor zich nog moet richten bij de organisatie zelf. Voor organisaties die een DigiD-assessment ondergaan, is deze verklaring essentieel voor compliance.

Ontbrekende TPM-documentatie vertraagt uw DigiD-assessmentproces

Veel organisaties ondervinden vertraging in hun DigiD-assessment omdat ze onvoldoende voorbereid zijn op de TPM-verificatie. Dit leidt tot uitstel van de jaarlijkse rapportage aan Logius, wat compliancerisico’s met zich meebrengt en mogelijk tot boetes kan leiden. Het probleem ontstaat vaak doordat IT-afdelingen niet weten welke specifieke TPM-documenten vereist zijn of hoe ze deze moeten verkrijgen van hun leveranciers.

Verouderde TPM-versies creëren beveiligingsrisico’s voor DigiD-toepassingen

Organisaties die nog steeds TPM 1.2 gebruiken, lopen aanzienlijke beveiligingsrisico’s, omdat deze oudere versie kwetsbaarheden bevat die door aanvallers kunnen worden uitgebuit. Dit kan leiden tot compromittering van DigiD-authenticatie en mogelijk tot datalekken. De oplossing ligt in het upgraden naar TPM 2.0, dat sterkere cryptografische algoritmen biedt en beter beschermt tegen moderne bedreigingen.

Wat is een TPM en waarom is deze nodig bij DigiD?

Een TPM (Third Party Mededeling) is een rapport van een onafhankelijke auditor dat bevestigt dat de systemen en processen van een leverancier voldoen aan de geldende beveiligingseisen. Deze verklaring is van belang bij DigiD-assessments omdat Logius wil garanderen dat cryptografische sleutels veilig worden opgeslagen en dat systemen beschermd zijn tegen ongeautoriseerde toegang.

De TPM dient als bewijs dat de leverancier de juiste beveiligingsmaatregelen heeft geïmplementeerd. Logius eist deze documentatie omdat DigiD-systemen gevoelige persoonsgegevens verwerken en een hoog beveiligingsniveau vereisen. Wanneer een organisatie gebruikmaakt van een SaaS-oplossing, is een geldige TPM van de leverancier noodzakelijk om het DigiD-assessment succesvol af te ronden.

Het rapport bevat de bevindingen van de onafhankelijke auditor over de technische en organisatorische maatregelen bij de leverancier. Deze informatie stelt auditors in staat om te bepalen welke onderdelen al zijn onderzocht en op welke punten zij zich nog moeten richten bij de organisatie zelf.

Hoe werkt een TPM in de praktijk bij DigiD-systemen?

Een TPM functioneert als een onafhankelijk auditrapport dat de beveiligingsmaatregelen van een leverancier bevestigt. Op basis van dit rapport kan de auditor bij de gebruikersorganisatie een gerichte, beperkte controle uitvoeren op de relevante normen, in plaats van het volledige onderzoek opnieuw te moeten uitvoeren.

In DigiD-toepassingen waarbij gebruik wordt gemaakt van een SaaS-oplossing, biedt de TPM van de leverancier inzicht in de wijze waarop cryptografische sleutels worden beheerd en hoe de communicatie met de DigiD-infrastructuur van Logius is beveiligd.

De TPM maakt ook duidelijk welke beveiligingsaspecten al zijn getoetst bij de leverancier, zodat de auditor bij de gebruikersorganisatie gericht kan controleren welke aanvullende maatregelen nog nodig zijn. Dit maakt het auditproces efficiënter en overzichtelijker voor alle betrokken partijen.

Wat is het verschil tussen TPM 1.2 en TPM 2.0 voor DigiD?

TPM 2.0 biedt aanzienlijk sterkere beveiliging dan TPM 1.2 door het gebruik van moderne cryptografische algoritmen en een verbeterde architectuur. Voor DigiD-systemen betekent dit betere bescherming tegen geavanceerde aanvallen en compliance met actuele beveiligingsstandaarden die Logius hanteert.

Het belangrijkste verschil ligt in de cryptografische mogelijkheden. TPM 1.2 ondersteunt alleen RSA-versleuteling en SHA-1-hashalgoritmen, terwijl TPM 2.0 moderne algoritmen zoals ECC (Elliptic Curve Cryptography) en SHA-256 ondersteunt. Deze nieuwere algoritmen bieden sterkere beveiliging tegen huidige bedreigingen.

TPM 2.0 heeft ook een flexibelere architectuur die meerdere hiërarchieën voor sleutelbeheer ondersteunt. Dit maakt het mogelijk om verschillende beveiligingsdomeinen te creëren binnen hetzelfde systeem, wat vooral belangrijk is voor organisaties die meerdere applicaties op dezelfde hardware draaien.

Voor DigiD-assessments geeft Logius de voorkeur aan TPM 2.0 vanwege de verbeterde beveiligingsgaranties. Organisaties met TPM 1.2 wordt geadviseerd om te upgraden, hoewel deze versie nog steeds wordt geaccepteerd, mits aanvullende beveiligingsmaatregelen worden geïmplementeerd.

Welke documenten zijn nodig voor een TPM bij een DigiD-assessment?

Voor een TPM bij een DigiD-assessment heeft u het auditrapport van de onafhankelijke auditor, technische specificaties van de gebruikte oplossing en bewijs van een Common Criteria-evaluatie nodig. Deze documenten tonen aan dat de leverancier voldoet aan de beveiligingseisen die Logius stelt voor DigiD-systemen.

Het TPM-rapport is het kernstuk van uw documentatie. Dit document wordt opgesteld door een onafhankelijke auditor en bevestigt dat de maatregelen bij de leverancier voldoen aan de gestelde normen. Het rapport bevat de bevindingen, de gehanteerde toetsingscriteria en de conclusies van de auditor.

Daarnaast heeft u technische documentatie nodig die de implementatie van de gebruikte oplossing in uw specifieke situatie beschrijft. Dit omvat informatie over hoe de oplossing is geconfigureerd, welke beveiligingsinstellingen zijn ingesteld en hoe de integratie met uw DigiD-applicatie is gerealiseerd.

Common Criteria-evaluatierapporten vormen het derde essentiële document. Deze rapporten tonen aan dat de gebruikte oplossing is geëvalueerd door onafhankelijke beveiligingsexperts en voldoet aan internationale beveiligingsstandaarden. Zonder deze evaluatie accepteert Logius de TPM niet voor DigiD-assessments.

Hoe bereidt u uw organisatie voor op TPM-verificatie tijdens een DigiD-audit?

Bereid uw organisatie voor op TPM-verificatie door alle vereiste documentatie te verzamelen, uw IT-team te trainen in het beheer van de gebruikte oplossingen en voorafgaand aan de audit een testprocedure uit te voeren. Deze voorbereiding voorkomt vertraging en zorgt voor een soepel verloop van het DigiD-assessmentproces.

Start met het inventariseren van alle systemen en SaaS-oplossingen die in gebruik zijn en verzamel de bijbehorende TPM-rapporten en documentatie. Neem contact op met uw leveranciers om ontbrekende documenten op te vragen en verifieer dat alle systemen correct zijn geconfigureerd volgens de richtlijnen van Logius.

Train uw IT-personeel in het beheer van de gebruikte oplossingen en in het voeren van een audit. Zorg dat zij begrijpen hoe de status van de systemen kan worden geverifieerd, hoe problemen kunnen worden opgelost en welke informatie auditors nodig hebben. Dit voorkomt miscommunicatie tijdens de audit en toont professionaliteit aan de beoordelaars.

Voer een interne pre-audit uit waarin u alle relevante procedures test. Simuleer de verificatiestappen die tijdens het echte assessment zullen plaatsvinden en documenteer eventuele problemen die u tegenkomt. Deze proefrun helpt u zwakke punten te identificeren en op te lossen voordat de officiële audit begint.

Hoe BKBO helpt met TPM-verificatie bij DigiD-assessments

Wij ondersteunen organisaties bij het voorbereiden en uitvoeren van TPM-verificatie tijdens DigiD-assessments. Met meer dan 2.500 afgeronde audits stelt onze ervaring ons in staat u te begeleiden bij het complexe proces van TPM-documentatie en -verificatie.

Onze aanpak omvat:

  • Voorafgaande controle van uw TPM-documentatie en -configuratie
  • Begeleiding bij het verkrijgen van ontbrekende rapporten en certificaten
  • Training van uw IT-team in het beheer van de gebruikte oplossingen en auditvoorbereiding
  • Uitvoering van het volledige DigiD-assessment met TPM-verificatie
  • Concrete aanbevelingen voor het verbeteren van uw beveiligingsimplementatie

Eventuele heraudits voeren wij pro deo uit, zodat u zekerheid heeft over de kwaliteit van het assessment. Neem contact met ons op voor een vrijblijvende offerte.

Veelgestelde vragen

Hoe lang duurt het om een TPM-verklaring te verkrijgen van mijn hardwareleverancier?

Het verkrijgen van een TPM-verklaring duurt meestal 2-4 weken, afhankelijk van uw leverancier en de complexiteit van uw systeem. Sommige grote leveranciers hebben standaard documentatie beschikbaar die binnen enkele dagen kan worden geleverd, terwijl aangepaste configuraties meer tijd vergen. Start dit proces daarom minimaal 6 weken voor uw geplande DigiD-assessment.

Wat moet ik doen als mijn TPM-module geen geldig certificaat heeft?

Als uw TPM-module geen geldig certificaat heeft, neem dan direct contact op met uw hardwareleverancier om de authenticiteit te verifiëren. In sommige gevallen kan een firmware-update of herconfiguratie het probleem oplossen. Als de module daadwerkelijk niet-authentiek blijkt, moet u deze vervangen door een gecertificeerde TPM-module voordat het DigiD-assessment kan worden afgerond.

Kan ik een DigiD-assessment doen met een virtuele TPM (vTPM) in plaats van hardware TPM?

Virtuele TPM-modules worden door Logius alleen geaccepteerd in specifieke gevallen en met aanvullende beveiligingsmaatregelen. Voor de meeste DigiD-implementaties is een hardware TPM-module vereist vanwege de hogere beveiligingsgaranties. Raadpleeg altijd de actuele Logius-richtlijnen en overleg met uw auditor voordat u kiest voor een vTPM-oplossing.

Hoe kan ik controleren of mijn TPM-module correct functioneert voordat de audit?

U kunt de TPM-status controleren via Windows PowerShell met het commando 'Get-Tpm' of via de TPM Management Console (tpm.msc). Verifieer dat de TPM is ingeschakeld, geactiveerd en eigendom heeft. Test ook of cryptografische bewerkingen correct worden uitgevoerd en controleer of alle vereiste certificaten aanwezig zijn in de TPM-opslag.

Wat zijn de kosten voor het upgraden van TPM 1.2 naar TPM 2.0?

De kosten voor een TPM-upgrade variëren van €50-200 per systeem voor een nieuwe TPM-chip, plus arbeidskosten voor installatie en herconfiguratie. Bij oudere systemen kan een volledige hardware-upgrade noodzakelijk zijn, wat de kosten aanzienlijk verhoogt. Weeg deze kosten af tegen de beveiligingsrisico's en mogelijke gevolgen bij non-compliance met DigiD-eisen.

Hoe vaak moet ik mijn TPM-documentatie updaten voor DigiD-compliance?

TPM-documentatie moet worden geüpdatet bij elke significante systeemwijziging, firmware-update of hardware-vervanging. Voor DigiD-assessments controleert Logius jaarlijks of uw documentatie nog actueel is. Houd een register bij van alle TPM-gerelateerde wijzigingen en update uw documentatie binnen 30 dagen na elke aanpassing om compliance-problemen te voorkomen.