Veranderingen in de ENSIA audit

Vanaf het controlejaar 2025 wijzigt de DigiD-verantwoording voor gemeenten.

Tot nog toe vult de gemeente de DigiD vragenlijsten in de ENSIA-tool in en stelt een collegeverklaring op. At Risk Advies geeft daarbij haar oordeel via een assurancerapport.

In de nieuwe aanpak worden DigiD-aansluitingen niet meer via het ENSIA-proces gecontroleerd, maar via een directe rapportage door de IT-auditor. Daarbij stelt de IT-auditor zelf het rapport op, inclusief bijlagen en geeft daar een verklaring bij af. De gemeente hoeft geen verantwoordingsdocumenten meer op te stellen, die door de IT-auditor worden gecertificeerd. De controle vindt niet meer plaats vanuit de vragenlijsten, maar rechtstreeks vanaf de onderliggende documentatie.

Deze aanpak is vanaf het controlejaar 2026 verplicht. Voor het controlejaar 2025 mag de nieuwe aanpak worden toegepast of de oude.

De reden voor de wijziging is de foutgevoeligheid van de oude methode. Wij adviseren dan ook om vanaf controlejaar 2025 de nieuwe aanpak te hanteren. Dit betekent naast een kleinere kans op fouten ook minder administratief werk voor de gemeente. U dient wel voorafgaand aan de controle uw keus te bepalen. Het is niet toegestaan om tijdens de audit van methode te wisselen.

De SUWI-audit maakt, net als voorgaande jaren, wel onderdeel uit van de ENSIA-verantwoording. De SUWI-verantwoording wordt gecontroleerd via het BIO normenkader. De verantwoording en de controle daarvan blijft ongewijzigd ten opzichte van vorige jaren. Vanaf 2026 zal de BIO als normenkader ook gebruikt worden om verantwoording af te leggen over de Cyberbeveiligingswet / NIS2, die dan wettelijk van kracht wordt.

ENSIA AUDIT: de verschillen met vorig jaar

Op 22 oktober heeft NOREA een seminar gegeven over de 2020-update van de ENSIA audit. De update heeft naast aanpassingen door actuele ontwikkelingen ook een structurele wijziging doordat het SUWI normenkader nu is aangesloten op de BIO.

Gemeenten blijven ook in het geval van uitbesteding en/ of samenwerking met andere organisaties bestuurlijk verantwoordelijkheid voor het gebruik van Suwinet.

Veelal brengt het samenwerkingsverband, een serviceorganisatie of de gemeente aan wie de Suwi-taken zijn uitbesteedt een op de uitbestede taken gericht assurancerapport uit. Dit assurance rapport wordt RSO genoemd, voor Rapport van de Service Organisatie, voorheen Third Party Mededeling of TPM. Het college van B&W legt dan verantwoording af gebaseerd op dit RSO en het assurancerapport van de eigen IT-auditor.

Als geen RSO wordt uitgebracht voor de uitbestede diensten dient de IT-auditor van de gemeente zelf controlewerkzaamheden uit te voeren bij het samenwerkingsverband of de serviceorganisatie om vast te stellen of aan de betreffende Suwi-normen wordt voldaan.

Een overzicht van de belangrijkste wijzigingen voor de SUWI-audit vindt je hier.

Digid heeft een eigen normenkader, de veranderingen daar zijn beperkt tot een aanscherping van de normen U/WA.05 en U/PW.03 en een verduidelijking van de werkzaamheden indien het bestaan van maatregelen niet kan worden vastgesteld. Een overzicht van de belangrijkste wijzigingen voor Digid-audit vindt je hier.

ENSIA helpt gemeenten verantwoording afleggen

ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.

ENSIA structureert ook de verticale verantwoording richting de rijksoverheid, over de Basisregistratie Personen (BRP) en Reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI). 2019 was voor ENSIA het overgangsjaar naar de invoering van de BIO. Per 1 juli 2020 start het eerste jaar waarin de verantwoording volledig onder de BIO plaatsvindt.

Een NOREA gecertificeerde Register EDP-auditor moet ‘assurance’ geven over de in de collegeverklaring opgenomen toelichting op Suwinet en DigiD.