DigiD

DigiD is in Nederland in 2003 gelanceerd onder de naam NAV; in oktober 2004 werd de naam gewijzigd in DigiD, een afkorting van Digitale Identiteit. Vanaf 1 januari 2005 kunnen alle burgers van Nederland zich bij overheidsorganisaties identificeren via internet en kunnen alle overheidsinstellingen in Nederland zich aansluiten op DigiD.

DigiD is gekoppeld aan het BSN en in beheer bij de gemeenschappelijke beheerorganisatie van de overheid: Logius. Eind 2013 waren er ruim 10 miljoen DigiD’s aan burgers in Nederland uitgegeven. DigiD is aanvankelijk ontwikkeld voor de overheid (gemeenten, Belastingdienst, UWV, SVB) maar de semi-overheid (zoals zorgverzekeraars, ziekenhuizen en onderwijsinstellingen) maakt er tegenwoordig ook gebruik van. Daarnaast zijn er initiatieven door bijvoorbeeld notariskantoren waardoor het gebruik onder voorwaarden ook buiten de overheid plaatsvindt.

ICT-beveiligingsassessment DigiD

Organisaties die over een DigiD-aansluiting beschikken dienen met ingang van 2012 jaarlijks hun ICT-beveiliging te (laten) toetsen middels een ICT-beveiligingsassessment DigiD. Deze assessment wordt onder verantwoordelijkheid van een Register EDP-Auditor (RE) uitgevoerd, welke is ingeschreven in het register van de NOREA.

Bij de uitvoering van ICT-beveiligingsassessments DigiD wordt de “Norm ICT-digid-4-livebeveiligingsassessments DigiD” d.d. 21 februari 2012 gehanteerd. Deze norm bevat een selectie van de 59 richtlijnen uit het document “ICT-beveiligingsrichtlijnen voor webapplicaties” van het Nationaal Cyber Security Centrum (NCSC) dat in samenspraak met publieke en private partijen is opgesteld. In de ICT-beveiligingsassessment worden 28 beveiligingsrichtlijnen getoetst en dient de Register EDP-Auditor een oordeel te geven over de opzet en het bestaan per beveiligingsrichtlijn. De Register EDP-Auditor schrijft een rapportage met de uitkomsten van zijn onderzoek en stemt de conceptrapportage af met de eigenaar van de DigiD-aansluiting. Laatstgenoemde zendt de rapportage naar Logius welke op basis hiervan besluit of de aansluiting operationeel blijft of niet.

CSI

Wij hebben ruime ervaring met de uitvoering van ICT-beveiligingsassessments DigiD bij gemeenten en softwareleveranciers. Voorts hebben wij nauwe contacten met Logius en NOREA en zijn we daardoor steeds op de hoogte van de laatste ontwikkelingen binnen de materie. Indien u een assessment of TPM in het kader van DIgiD wilt laten uitvoeren, neem dan contact met ons op voor een vrijblijvende afspraak en offerte.

csi-curve