DigiD Audit en het Logius Normenkader: Handleiding voor Dienstverleners

Organisaties die DigiD als authenticatiemiddel gebruiken voor hun online dienstverlening zijn verplicht om jaarlijks een DigiD-audit te laten uitvoeren. Deze audit toetst of de aansluiting op DigiD voldoet aan het normenkader van Logius, de beheerorganisatie van DigiD. Het niet tijdig aanleveren van een goedkeurende auditverklaring kan leiden tot afsluiting van de DigiD-koppeling, met grote gevolgen voor de dienstverlening.

Wat is het Logius normenkader?

Het Logius normenkader bevat een set beveiligingsnormen waaraan organisaties moeten voldoen die gebruikmaken van DigiD. Het kader is gebaseerd op gangbare beveiligingsstandaarden en wordt regelmatig geactualiseerd. De normen hebben betrekking op diverse aspecten van informatiebeveiliging, waaronder netwerkbeveiliging, toegangsbeheer, logging, kwetsbaarheidsbeheer en wijzigingsbeheer. Elke norm is voorzien van een toelichting en richtlijnen voor de auditor.

Belangrijke aandachtsgebieden in het normenkader

• •Netwerkbeveiliging: segmentatie, firewallconfiguratie en bescherming tegen ongeautoriseerde toegang.
• •Toegangsbeheer: sterke authenticatie, autorisatiebeheer en het principe van least privilege.
• •Logging en monitoring: het vastleggen en bewaken van toegang tot systemen en gegevens.
• •Kwetsbaarheidsbeheer: regelmatige scans, patchmanagement en pentests.
• •Wijzigingsbeheer: gecontroleerde doorvoering van wijzigingen aan systemen in de DigiD-keten.
• •Continuiteit: maatregelen voor beschikbaarheid en herstel van de DigiD-koppeling.
• •Applicatiebeveiliging: bescherming tegen veelvoorkomende kwetsbaarheden zoals die in de OWASP Top 10.

Het auditproces: van voorbereiding tot verklaring

De DigiD-audit wordt uitgevoerd door een RE-auditor (Register EDP-Auditor) of een organisatie met vergelijkbare kwalificaties. Het proces begint met het vaststellen van de scope: welke systemen, netwerken en processen zijn betrokken bij de DigiD-aansluiting? Vervolgens toetst de auditor de implementatie van elke norm door middel van documentatiereview, technische tests en interviews. De auditor stelt een auditrapport op met bevindingen en een oordeel per norm. Bij een goedkeurend oordeel ontvangt de organisatie een auditverklaring die wordt ingediend bij Logius.

Veelvoorkomende tekortkomingen

• •Onvoldoende netwerkscheiding tussen de DigiD-omgeving en overige systemen.
• •Verouderde software of ontbrekende beveiligingspatches op servers in de DigiD-keten.
• •Onvolledige of ontbrekende logging van toegang tot DigiD-gerelateerde systemen.
• •Geen periodieke penetratietest of kwetsbaarheidsscan uitgevoerd.
• •Onduidelijke of ongedocumenteerde wijzigingsprocedures.
• •Onvoldoende bewustzijn bij medewerkers over beveiligingsvereisten rond DigiD.

Tips voor een soepele DigiD-audit

Bereid u ruim van tevoren voor op de jaarlijkse audit. Voer een interne pre-audit uit om mogelijke tekortkomingen vroegtijdig te signaleren. Zorg dat alle documentatie actueel en beschikbaar is, inclusief netwerkschema's, configuratiedocumentatie en procedures. Plan de penetratietest tijdig in, zodat eventuele bevindingen voor de audit kunnen worden opgelost. Communiceer duidelijk met uw hosting- en softwarepartijen over hun verantwoordelijkheden.

Een gekwalificeerde DigiD-auditor vinden

De DigiD-audit vereist een auditor met specifieke ervaring in het Logius normenkader en technische informatiebeveiliging. Op IT-Audit Directory kunt u zoeken naar RE-auditors en auditkantoren die ervaring hebben met DigiD-audits voor gemeenten, waterschappen, uitvoeringsorganisaties en andere DigiD-gebruikers. Vergelijk auditors op ervaring, doorlooptijd en prijs.