Werkgroep ENSIA (Eénduidige Normatiek Single Information Audit)

De werkgroep ENSIA
De werkgroep ontwikkelt de handreiking voor het verantwoordingsjaar 2024 voor IT-auditors met een toelichting bij de uitvoering van het verantwoordingsproces over informatieveiligheid bij gemeenten en bijbehorende Template.

Handreikingen vastgesteld door bestuur - 19 december 2024

Het bestuur heeft twee nieuwe handreikingen van de Werkgroep ENSIA vastgesteld. De Handreiking Suwinet (in het kader ENSIA) voor IT-auditor, 2024 versie 1.0 en de Handreiking ENSIA voor IT-auditors, 2024 versie 1.0 staan op de website van NOREA op de pagina Handreikingen en zijn vanaf 19 december 2024 voor iedereen van toepassing op nieuwe opdrachten.

De Vaktechnische commissie geeft daarbij aan dat de handreikingen op deskundige wijze moeten worden toegepast. In geval van onduidelijkheden kan contact worden opgenomen met de Werkgroep ENSIA en wordt dit in het dossier toegelicht. Dit laat onverlet dat bij afwijking van de handreikingen of templates de toezichthouder / stelselhouder daar wat van kan vinden, hetgeen de verwerking van ingediende rapporten kan belemmeren.

Het bestuur dankt de werkgroep ENSIA voor haar inspanningen.

Audit Alert ENSIA - 12 december 2024

In verband met (potentiële) korte reactietermijn gemeenten en de eventuele gevolgen ervan vragen wij jullie aandacht voor bijgaande alert.
Deze is / wordt ook gepubliceerd door de VNG en BKWI.

Overzicht IT-auditors (RE’s) die zichzelf hebben aangemeld als beschikbaar voor de uitvoering van ENSIA-opdrachten
ENSIA – ALERT 4 maart 2025
Inleiding
Door Logius en auditors zijn in een relatief groot aantal gevallen fouten in bijlage 1 DigiD gesignaleerd. Door de VNG is op 27 februari 2025 het navolgde bericht verstuurd aan alle ENSIA-coördinatoren. Verzoek aan de ENSIA-auditors is om onderstaand bericht ook bij hun lopende werkzaamheden te betrekken.

Bericht aan ENSIA-coördinatoren

Beste ENSIA-coördinator,

Vanuit Logius en de auditoren krijgen wij het signaal dat de bijlage 1 DigiD door een aantal gemeenten op een onjuiste wijze wordt ingevuld. Het gaat om de volgende fouten:
  • Gemeenten zetten alle normen op ‘voldoet’ bij haar eigen organisatie, ipv alleen de normen die bij de Gemeente zijn getoetst;
  • Bij de toetsingsperiode op werking staat ‘n.v.t.’;
  • Logius wordt opgegeven als Identity Broker.

Controleer daarom nog een keer extra goed de bijlage 1 DigiD op de volgende punten en corrigeer de fouten omdat dit leidt tot bevindingen tijdens de audit:

  • De normen waarvoor de gemeente (aansluithouder) niet verantwoordelijk is moeten op “Niet van toepassing” staan.
  • De controleperiode moet zijn: 1 juli 2024 t/m 31 december 2024.
  • Logius is geen Identity Provider voor de webapplicatie. Je hebt ook geen TPM van Logius ontvangen. Er is alleen sprake van een Identity Provider als de toegang tot de applicatie via een Identity Broker loopt. Je hebt in dat geval een assurance-rapport van de Identity Broker ontvangen.

Deelnemers Werkgroep