Veranderingen in de ENSIA audit

Veranderingen in de ENSIA audit

Vanaf het controlejaar 2025 wijzigt de DigiD-verantwoording voor gemeenten.

Tot nog toe vult de gemeente de DigiD vragenlijsten in de ENSIA-tool in en stelt een collegeverklaring op. At Risk Advies geeft daarbij haar oordeel via een assurancerapport.

In de nieuwe aanpak worden DigiD-aansluitingen niet meer via het ENSIA-proces gecontroleerd, maar via een directe rapportage door de IT-auditor. Daarbij stelt de IT-auditor zelf het rapport op, inclusief bijlagen en geeft daar een verklaring bij af. De gemeente hoeft geen verantwoordingsdocumenten meer op te stellen, die door de IT-auditor worden gecertificeerd. De controle vindt niet meer plaats vanuit de vragenlijsten, maar rechtstreeks vanaf de onderliggende documentatie.

Deze aanpak is vanaf het controlejaar 2026 verplicht. Voor het controlejaar 2025 mag de nieuwe aanpak worden toegepast of de oude.

De reden voor de wijziging is de foutgevoeligheid van de oude methode. Wij adviseren dan ook om vanaf controlejaar 2025 de nieuwe aanpak te hanteren. Dit betekent naast een kleinere kans op fouten ook minder administratief werk voor de gemeente. U dient wel voorafgaand aan de controle uw keus te bepalen. Het is niet toegestaan om tijdens de audit van methode te wisselen.

De SUWI-audit maakt, net als voorgaande jaren, wel onderdeel uit van de ENSIA-verantwoording. De SUWI-verantwoording wordt gecontroleerd via het BIO normenkader. De verantwoording en de controle daarvan blijft ongewijzigd ten opzichte van vorige jaren. Vanaf 2026 zal de BIO als normenkader ook gebruikt worden om verantwoording af te leggen over de Cyberbeveiligingswet / NIS2, die dan wettelijk van kracht wordt.