Gemeenten kunnen beginnen met DigiD-veiligheidscheck

Is de gemeentelijke website wel veilig? Gemeenten hebben nog even de tijd om dat te bewijzen, maar moeten het van minister Spies wel grotendeels zelf gaan uitzoeken - met behulp van een 'Register EDP-auditor'.

Stappen
Minister Spies kondigde begin deze maand aan dat een snelle check van gemeentelijke DigiD-omgevingen (die naar aanleiding van 'Lektober' door haar voorganger was aangekondigd) voor gemeenten niet haalbaar is. Zij krijgen tot eind volgend jaar de tijd om hun zaken op orde te krijgen, maar moeten wel zelf een aantal stappen doorlopen om uiteindelijk aan de eisen te voldoen.

Norm
DigiD-beheerorganisatie Logius heeft een norm opgesteld voor het 'ICT Beveligingsassessment DigiD' vastgesteld, aan de hand waarvan gemeenten zelf kunnen vaststellen of hun DigiD-omgeving (inclusief alle applicaties en processen die daarvan gebruik maken) veilig zijn. De norm bestaat uit een selectie van 28 richtlijnen die afkomstig zijn uit de 'ICT-beveiligingsrichtlijnen voor webapplicaties (deel 1)' van het Nationaal Cyber Security Centrum. Die 28 zijn de richtlijnen die veel impact hebben op de DigiD-processen waarvan BZK de veiligheid bevestigd wil zien.

RE
Na die zelftoetsing en eventuele maatregelen moet de gemeente een penetratietest laten uitvoeren, oftewel zich laten 'hacken' door een specialist. Als de eventuele problemen die daarbij aan het licht zijn gekomen zijn opgelost, kan pas de echte 'ICT Beveligingsassessment DigiD plaatsvinden. 

Een zogeheten Register EDP-auditor dient die uit te voeren. Dat is een erkend specialist uit de accountancy-hoek die verstand heeft van IT (en uit hoofde van zijn titel 'RE' achter zijn naam mag zetten). Die Register EDP-auditor dient te voldoen aan de eisen die brancheorganisatie NOREA stelt. Uiteindelijk moet de gemeente een gestandaardiseerde rapportage aan Logius sturen.

Impact
Met die laatste stap moeten gemeenten nog even geen haast hebben, waarschuwt de VNG. Die doet met KING binnenkort met enkele gemeenten en leveranciers een proef om de gevolgen en kosten van die assessment voor gemeenten vast te stellen en adviseert gemeenten om de uitkomst daarvan eerst af te wachten. Die wordt rond de zomer verwacht.