ENSIA: van opzet en bestaan naar werking

De Eenduidige Normatiek Single Information Audit (ENSIA) helpt gemeenten, provincies, waterschappen en enkele onderdelen binnen de rijksoverheid om verantwoording af te leggen over informatiebeveiliging gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast structureert ENSIA de verantwoording over belangrijke registraties richting zowel de gemeenteraad als de Rijksoverheid, zoals aangegeven in de onderstaande afbeelding.

Via de ENSIA moeten overheidsinstanties jaarlijks verantwoording afleggen over hun informatiebeveiliging en kwaliteit. Voordat een overheidsinstantie aan de slag gaat met ENSIA, is het belangrijk dat zij controleert of er wijzigingen zijn ten opzichte van het voorgaande jaar.

In dit blog brengt Information Security Consultant Max Aarts je op de hoogte van de belangrijkste verandering voor de DigiD-aansluitingen. Vijf bestaande normen moeten niet alleen op ‘opzet’ en ‘bestaan’ worden getoetst, maar ook op hun ‘werking’. Deze verandering heeft een aanzienlijke impact. Als organisatie moet je nu aantonen dat je systematisch over meerdere maanden volgens een gestructureerd proces werkt.

Wat is nieuw?

In 2022 heeft het ministerie van Binnenlandse Zaken en Koninkrijkrelaties besloten om het DigiD-normenkader aan te passen. Er zijn 5 normen (U/TV.01; U/WA.02; C.07; C.08 en C.09) toegevoegd die naast ‘opzet’ en ‘bestaan’, ook op ‘werking’ moeten worden getoetst. Het toetsen op ‘werking’ is niet helemaal nieuw voor overheidsinstanties. In 2023 konden DigiD-aansluithouders zich al vrijwillig laten toetsen op ‘werking’. Echter, sinds dit jaar (2024) is het ook daadwerkelijk verplicht gesteld. Logius heeft bepaald dat de effectiviteit van de ‘werking’ moet worden vastgesteld over een periode van minimaal 6 maanden.

Wat is opzet, bestaan en werking?

‘Opzet’, ‘bestaan’ en ‘werking’ zijn termen die gebruikt worden in audits, compliance en assurance. Hier volgt de definitie volgens NOREA, met onze uitleg van elke term erbij.

Waar moet je op letten?

De 5 normen die worden getoetst op ‘werking’ zijn:

• U/TV.01: identiteit- en toegangsbeheer
• U/WA.02: incidentbeheer
• C.07: logging
• C.08: Wijzigingsbeheer
• C.09: patchmanagement

Bij deze normen worden onder ‘werking’ twee aspecten gecontroleerd:

1. Verbijzonderde interne controle (VIC): Dit houdt in dat de organisatie zelf nagaat of de beheersmaatregelen voor de betreffende norm worden nageleefd. Een voorbeeld van identiteit- en toegangsbeheer: het controleren of de toegangsrechten correct worden beheerd. NOREA geeft aan dat deze controle vooralsnog een wenselijkheid is en geen verplichting.
2. Steekproefcontrole: Op basis van het totaal aantal acties, wijzigingen, incidenten of tickets wordt middels een steekproef gecontroleerd of het vastgestelde proces wordt nageleefd. Bij identiteits- en toegangsbeheer gebeurt dit bijvoorbeeld per categorie (indiensttredingen, functiewijzigingen en uitdiensttredingen). Van elke categorie wordt een steekproef genomen om te controleren of de procedure voor deze categorie op de juiste wijze is gevolgd.

Wat kun je doen?

We geven alvast 5 tips om goed voorbereid te zijn op de toets op ‘werking’.

1. Documenteer processen. Zorg ervoor dat alle processen duidelijk gedocumenteerd zijn. Leg vast wat je doet. Denk hierbij aan het documenteren van beslissingen, de onderbouwing ervan, het vastleggen van updates of wijzigingen en het documenteren van analyses (bij wijzigingen of incidenten). Dit helpt bij zowel interne controles als steekproefcontroles.
2. Regelmatige interne controles. Voer gedurende het jaar regelmatig, en dus niet één keer aan het eind van het jaar, interne controles uit om na te gaan of de beheersmaatregelen worden nageleefd. Dit helpt bij het identificeren van eventuele tekortkomingen, het tijdig nemen van corrigerende maatregelen en het bijsturen binnen het verantwoordingsjaar.
3. Training en bewustwording. Zorg ervoor dat alle medewerkers die betrokken zijn bij deze processen goed getraind zijn en zich bewust zijn van de procedures en hun verantwoordelijkheden.
4. Gebruik van tools. Zet geautomatiseerde tools of een ticketingsysteem in voor logging, wijzigingsbeheer en patchmanagement. Dit vergemakkelijkt en verbetert de naleving van normen aanzienlijk.
5. Feedback en verbetering. Verzamel feedback van de interne controles en steekproefcontroles om de processen continu te verbeteren.

Wat als ‘werking’ niet voldoet?

De Nederlandse beroepsorganisatie van IT-auditors, NOREA, legt uit dat wanneer een auditor vaststelt dat de ‘werking’ niet voldoet, dit moet worden bevestigd door tenminste één aanvullende waarneming. Dit is om te controleren of het proces of systeem daadwerkelijk functioneert zoals bedoeld. Het vaststellen van het ‘bestaan’ vervangt niet de toets op ‘werking’. Er moet nog steeds worden voldaan aan de vereisten voor ‘werking’, waaronder de interne controle en steekproefcontrole. Het vaststellen van alleen ‘bestaan’ garandeert niet dat het proces ook daadwerkelijk effectief wordt toegepast. Bij nieuwe Digid-aansluitingen is tijdens het eerste assessment de toetsing op ‘werking’ niet verplicht, dit vindt plaats in het daaropvolgende jaar.

Conclusie

Vanaf 2024 is het verplicht om via ENSIA 5 normen te toetsen op hun ‘werking’. Het regelmatig uitvoeren van interne controles is belangrijk om grip te houden op de effectiviteit van je processen en te voldoen aan deze eisen.

Zoek je ondersteuning bij het ENSIA-proces, ben je op zoek naar een ENSIA-coördinator of een ENSIA-auditor? Wil je als organisatie verbeteringen doorvoeren op het gebied van identiteit- en toegangsbeheer, incidentbeheer, logging en monitoring, wijzigingsbeheer en patchmanagement? Cuccibu is dé partner die je zoekt. Als integrale dienstverlener kunnen wij jouw organisatie ontzorgen op het gebied van Information Security, Cyber Security, Privacy en QHSE (kwaliteit, arboveiligheid en milieu).

Reduce Risk, Create Value!

Contact

Bronnen: VNG, Logius en NOREA.