OSCP · OSWE · OSEP gecertificeerd | Joost voert elke test zelf uit — geen juniors | Reactie binnen 1 werkdag | Gevestigd in Haarlem

Wat is een DigiD ICT-beveiligingsassessment?

Door /
Close-up of a computer monitor displaying cyber security data and code, indicative of system hacking or programming.

Wat is een DigiD ICT-beveiligingsassessment?

Als uw organisatie gebruik maakt van DigiD — het digitale inlogsysteem voor overheidsdiensten — bent u verplicht jaarlijks een ICT-beveiligingsassessment te laten uitvoeren. Dit is een eis van Logius, de beheerder van DigiD. Maar wat houdt zo’n assessment precies in?

De wettelijke verplichting

Organisaties die DigiD integreren in hun dienstverlening (zoals gemeenten, zorgverzekeraars, UWV-koppelingen of onderwijsinstellingen) moeten elk jaar aantonen dat hun DigiD-koppeling voldoet aan de Norm ICT-beveiligingsassessments DigiD (NIBAD). Deze norm is gebaseerd op de BIO (Baseline Informatiebeveiliging Overheid) en bevat technische en organisatorische eisen.

Wat wordt getoetst?

Het assessment richt zich op twee hoofdgebieden:

  • Technische beveiliging — inclusief een verplichte penetratietest van de webapplicatie en bijbehorende infrastructuur. Dit is een white box of grey box pentest waarbij de tester toegang heeft tot relevante documentatie.
  • Organisatorische maatregelen — denk aan toegangsbeheer, patchbeleid, incidentrespons en logging.

De rol van de penetratietest

De NIBAD vereist dat een erkende partij een penetratietest uitvoert op de DigiD-webapplicatie. De bevindingen worden opgenomen in het assessmentrapport dat naar Logius wordt gestuurd. Wordt een ernstige kwetsbaarheid gevonden en niet tijdig opgelost, dan kan Logius de DigiD-koppeling intrekken.

MonkeysICT voert DigiD-assessments uit conform de NIBAD-norm. Bekijk onze specifieke pagina over de DigiD pentest & ICT-beveiligingsassessment.

Wie moet een DigiD-assessment laten uitvoeren?

  • Gemeenten en overheidsorganisaties met een DigiD-koppeling
  • Zorgverzekeraars en zorginstellingen
  • Onderwijsinstellingen (DUO-koppeling)
  • Pensioenfondsen en sociale zekerheidsorganisaties
  • Leveranciers die namens bovenstaande partijen systemen beheren

Wanneer moet het assessment zijn afgerond?

Elk jaar, vóór 1 mei, moet het assessmentrapport worden aangeleverd bij Logius. Start ruim van tevoren — een pentest en beoordeling kosten tijd, en eventuele kwetsbaarheden moeten worden verholpen vóór indiening.

Wat levert het op?

  • Aantoonbare naleving van Logius-eisen
  • Inzicht in de werkelijke beveiligingsstatus van uw DigiD-omgeving
  • Een concreet verbeterplan voor gevonden kwetsbaarheden
  • Continuïteit van uw DigiD-koppeling

Gerelateerde artikelen en diensten

Related Posts

Scroll naar boven