ICT-beveiligingsassessments DigiD onder verantwoordelijkheid van RE’s
Minister Spies van Binnenlandse Zaken heeft de Tweede Kamer geïnformeerd over enkele specifieke maatregelen naar aanleiding van geconstateerde lekken in gemeentelijke websites. Organisaties die gebruik maken van DigiD, moeten jaarlijks hun ICT-beveiliging toetsen op basis van een ICT-beveiligingsassessment onder verantwoordelijkheid van een Register EDP-Auditor (RE), ingeschreven in het register van de NOREA.
Deze organisaties dienen de conclusies te rapporteren aan Logius, de ICT-uitvoeringsdienst van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
De beveiligingsassessments worden uitgevoerd op basis van de ICT-Beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC, voorheen GOVCERT.NL). Ook een 'hack'-test, ofwel een zogenaamde penetratietest maakt deel uit van deze richtlijnen.
Ten behoeve van de assessments wordt een gefaseerde aanpak gehanteerd, omdat naar verwachting "de markt op korte termijn niet kan voldoen aan de benodigde expertise".
Grootgebruikers van DigiD, zoals de Belastingdienst en UWV, dienen voor het eind van het jaar de beveiligingsassessment te hebben uitgevoerd, terwijl de overige organisaties als gemeenten, provincies en waterschappen een jaar langer de tijd krijgen.
Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een self-assessment uitvoeren.