DigiD assessment 2026: dit zijn de nieuwe eisen

Het ICT beveiligingsassessment DigiD is geen statisch document. Logius past de eisen regelmatig aan op basis van nieuwe dreigingen, incidenten en voortschrijdend inzicht. Voor 2026 zijn er opnieuw wijzigingen doorgevoerd die directe impact hebben op organisaties die DigiD gebruiken voor hun digitale dienstverlening aan burgers.

De kern van het assessment blijft onveranderd: organisaties die DigiD als authenticatiemiddel aanbieden moeten periodiek aantonen dat hun IT omgeving voldoet aan de beveiligingseisen van Logius. Maar de invulling van die eisen evolueert. Wij zien in de praktijk dat organisaties die vorig jaar zonder problemen door het assessment kwamen, dit jaar tegen nieuwe bevindingen aanlopen.

Verscherpte eisen voor API beveiliging

Een van de belangrijkste wijzigingen betreft de beveiliging van de SAML en OAuth koppelingen met DigiD. Waar voorheen een werkende integratie volstond, kijken assessors nu nadrukkelijker naar de configuratie van de metadata endpoints, de geldigheid en pinning van certificaten, en de manier waarop tokens worden gevalideerd en opgeslagen. Organisaties die hun DigiD integratie via een MSP of SaaS leverancier afnemen, moeten kunnen aantonen dat deze partij aantoonbaar aan de eisen voldoet. Een verwerkersovereenkomst alleen is niet meer voldoende.

Logging en monitoring: van aanwezig naar aantoonbaar

De eisen rond logging zijn niet nieuw, maar de bewijslast is verzwaard. Het is niet meer genoeg om te verklaren dat logging is ingericht. Assessors vragen steeds vaker om concrete voorbeelden: laat zien hoe een verdachte inlogpoging wordt gedetecteerd, welke alerts worden getriggerd, en hoe het escalatieproces verloopt. Organisaties die monitoring alleen op papier hebben ingericht lopen hier vast.

Wij adviseren om voorafgaand aan het assessment een testscenario uit te voeren. Simuleer een brute force aanval op de DigiD inlogpagina en documenteer hoe je organisatie reageert. Dat levert concreet bewijs op dat assessors waarderen en bespaart discussie tijdens het assessment.

Vulnerability management en patchbeleid

Het patchbeleid is aangescherpt. Kritieke kwetsbaarheden in de DigiD gerelateerde infrastructuur moeten binnen een vastgestelde termijn zijn opgelost, en organisaties moeten kunnen aantonen dat ze een actief vulnerability management proces hebben. Een kwartaallijkse scan is niet meer voldoende als het assessment aantoont dat er tussentijds kritieke patches zijn gemist.

De aanbeveling is om minimaal maandelijks te scannen en een duidelijk proces te hebben voor het prioriteren en uitrollen van patches. Documenteer niet alleen wat je scant, maar ook je besluitvorming bij het uitstellen van patches. Assessors willen zien dat je bewust en onderbouwd met risico omgaat.

Ketenbeheer en leverancierseisen

Een groeiend aandachtspunt is ketenbeheer. Steeds meer organisaties draaien hun DigiD omgeving niet meer volledig in eigen beheer. De applicatie draait bij een hostingpartij, de DigiD koppeling loopt via een MSP, en het beheer is uitbesteed. In die context wordt de vraag relevant: wie is verantwoordelijk voor welk deel van de beveiliging?

Assessors verwachten dat organisaties een actueel overzicht hebben van alle partijen in de keten, inclusief de beveiligingsmaatregelen die bij elke partij zijn belegd. Een TPM of SOC 2 rapport van je leverancier kan helpen, maar alleen als je kunt aantonen dat je de inhoud hebt beoordeeld en de relevante controls hebt geverifieerd.

Praktische voorbereiding

De meest effectieve voorbereiding op een DigiD assessment is een interne pre assessment. Loop de normen door, verzamel het bewijs, en identificeer de gaten voordat de assessor komt. Dat klinkt voor de hand liggend, maar in de praktijk beginnen veel organisaties pas met bewijsverzameling als het assessment is ingepland.

Wij ondersteunen organisaties bij de voorbereiding op DigiD assessments: van pre assessment en gapanalyse tot het begeleiden van het eigenlijke assessment. Neem contact op voor een vrijblijvend gesprek over hoe wij kunnen helpen.