Toevoeging Z-CERT aan DigiD-assessment

01.08.2018

Iedere organisatie in Nederland die een publieke taak heeft, en gebruik mag maken van het burgerservicenummer, mag gebruik maken van DigiD.[1] Ook zorginstellingen maken gebruik DigiD om inzage te geven in het zorgdossier, machtigingen te regelen en afspraken te maken.[2] Om aan te sluiten moeten de systemen van de betreffende zorginstelling voldoen aan een ICT-beveiligingsassessment.[3]
 
De Nederlandse Orde van Register EDP-Auditors (NOREA) heeft een handreiking voor auditors bij het ICT-beveiligingsassessment, de zogenaamde ‘Handreiking bij DigiD-assessments V2.0’. Op 12 juni 2018 heeft de werkgroep DigiD-assessments van NOREA de handreiking bij DigiD-assessments voor auditors aangepast.[4] Een van de aanpassingen heeft betrekking op beveiligingsrichtlijn U/WA.02. Deze stelt:
 
Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten.
 
De volgende regels zijn toegevoegd in de handreiking voor de IT auditor t.a.v. deze richtlijn:
 
  • Een incidentenprocedure is opgesteld.
  • Meldingen van het NCSC of IBD of Z-CERT of andere CERTS worden geanalyseerd en zo nodig opgevolgd.
  • Incidenten worden geregistreerd, geanalyseerd, opgevolgd en afgehandeld.
  • Er is een periodieke rapportage aan het management inzake beveiligingsincidenten.

Test aanpak:
Inspecteer het incidentproces, de uitgevoerde analyse, de managementrapportage en opvolging van beveiligingsincidenten.
 
Impact
De opname van ‘Meldingen van…CERTS worden geanalyseerd en zo nodig opgevolgd’ in de handreiking bij DigiD-assessments betekent dat auditors aan zorginstellingen zullen vragen of zij zijn aangesloten bij een CERT. Het NCSC fungeert in Nederland als CERT / CSIRT voor de vitale sector. De zorg is echter sinds kort geen onderdeel meer van de vitale sector.[5] Hierdoor kunnen zorginstellingen zich niet meer aansluiten bij het NCSC. Ook de IBD, als CERT / CSIRT voor de gemeenten, kan deze rol niet vervullen voor de zorginstellingen. Hierdoor zullen zorginstellingen uitkomen bij Z-CERT, de sectorale CERT voor de zorg. Dit betekent dat zorginstellingen een impuls krijgen om aan te sluiten bij Z-CERT. Het vooruitzicht is dat deze wijziging, los van de bestaande groei, de komende jaren verantwoordelijk voor een verhoogde instroom van deelnemers zal zijn.