Het uitvaardigen van technische auditvoorschriften voor elektronische handtekeningen en vertrouwde diensten: de veiligheid waarborgen en het vertrouwen in de digitale ruimte vergroten

De circulaire vormt een belangrijke wettelijke basis voor de standaardisatie van technische auditprocessen. Hiermee wordt gewaarborgd dat systemen en organisaties die elektronische handtekeningen aanbieden en gebruiken, voldoen aan technische normen en informatiebeveiliging. Zo wordt bijgedragen aan het versterken van het vertrouwen van mensen, bedrijven en beheersinstanties in de digitale transactieomgeving.

Volgens de regelgeving is deze circulaire van toepassing op organisaties en personen die deelnemen aan of verband houden met technische auditactiviteiten voor informatiesystemen, processen voor het leveren van beveiligde elektronische handtekeningsdiensten, beveiligde elektronische handtekeningscertificaten, digitale handtekeningen, digitale handtekeningscertificaten en andere vertrouwde diensten.

Met name instanties en organisaties die veilige elektronische handtekeningen creëren en gebruiken, worden aangemoedigd om proactief technische audits uit te voeren om de naleving en veiligheid van hun systemen en dienstverleningsprocessen zelf te beoordelen. Dit is een belangrijke stap die de geest van proactief voorkomen van cyberbeveiligingsrisico's laat zien in plaats van alleen incidenten af ​​te handelen wanneer er overtredingen optreden.

Betrouwbare dienstverleners moeten elke twee jaar technische audits uitvoeren om ervoor te zorgen dat de dienstverleningssystemen en -processen veilig en stabiel zijn en voldoen aan de technische vereisten volgens de nationale normen.

Volgens de circulaire vormen de specifieke eisen voor informatiesystemen en dienstverleningsprocessen, zoals vastgelegd in technische voorschriften, technische normen en technische eisen die van toepassing zijn op elektronische handtekeningen, elektronische certificaten en vertrouwde diensten, de basis voor de technische auditbeoordeling.

Technische auditactiviteiten worden uitgevoerd in twee hoofdfasen: evaluatie van informatie en documenten tijdens het planningsproces en de daadwerkelijke evaluatie bij de gecontroleerde organisatie. Alle inhoud moet objectief en transparant zijn, in overeenstemming met het vooraf overeengekomen plan en de reikwijdte.

De maximale auditduur is 6 maanden en kan indien nodig met maximaal 45 dagen worden verlengd om corrigerende maatregelen te treffen. Na afronding zal de auditorganisatie, op basis van de beoordelingsresultaten en eventuele corrigerende maatregelen, overwegen een certificaat met een technisch auditrapport af te geven aan de geauditeerde organisatie. Indien niet aan de eisen wordt voldaan, dient de auditorganisatie dit schriftelijk te melden, met opgave van redenen en het bijvoegen van het technisch auditrapport.

In de circulaire wordt ook de verplichte inhoud van het technisch auditrapport beschreven, waaronder: algemene informatie over de audit, implementatietijd, beoordelingsmethode, resultaten van de risicoanalyse van de informatiebeveiliging, resultaten van de systeemtests, technische aanbevelingen en de basis voor certificeringsbeslissingen.

Betrouwbare dienstverleners moeten technische auditrapporten naar het Ministerie van Wetenschap en Technologie sturen via het Nationaal Centrum voor Elektronische Authenticatie (NEAC), het centrale punt voor het samenvatten, monitoren en ondersteunen van het werk op het gebied van staatsbeheer.

Regelmatige rapportage helpt niet alleen bij het beoordelen van de operationele status van vertrouwde dienstverleners, maar creëert ook een uniforme database voor beleidsvorming, risicobeheer en ondersteunt overheidsinstanties bij het verbeteren van de kwaliteit en veiligheid van de nationale digitale transactie-infrastructuur.

In de circulaire wordt bepaald dat technische auditorganisaties verantwoordelijk zijn voor het uitoefenen van hun rechten en plichten in overeenstemming met de wettelijke bepalingen inzake technische normen en voorschriften. Daarbij moeten zij onafhankelijkheid, objectiviteit en volledige naleving van technische auditprocedures waarborgen, in overeenstemming met de voorschriften inzake de kwaliteit van producten en goederen en de beveiliging van netwerkinformatie.

Het Nationaal Comité voor Normen, Metrologie en Kwaliteit van het Ministerie van Wetenschap en Technologie is het centrale aanspreekpunt voor het ontvangen en beoordelen van registratiedossiers voor de aanwijzing van technische auditorganisaties en het indienen ervan bij de Minister van Wetenschap en Technologie voor een besluit over de aanwijzing van gekwalificeerde organisaties in overeenstemming met de wet op normen en kwaliteit.

Ondertussen is het Nationaal Centrum voor Elektronische Authenticatie verantwoordelijk voor het ontvangen en samenvatten van technische auditrapporten van gecontroleerde organisaties en brengt het periodiek verslag uit aan de Minister van Wetenschap en Technologie om het staatsbeheer van de levering van betrouwbare diensten te ondersteunen.

De uitgifte van de circulaire over de technische audit van elektronische handtekeningen en vertrouwde diensten wordt beschouwd als een belangrijke stap in de voltooiing van de nationale wettelijke corridor op het gebied van informatiebeveiliging, elektronische authenticatie en digitale transformatie.

De circulaire draagt ​​bij aan de standaardisatie van het onafhankelijke beoordelingssysteem, de versterking van de risicobeheersing, de verbetering van de technologische autonomie en het creëren van digitaal vertrouwen voor gebruikers in het proces van het verrichten van transacties, het ondertekenen en uitwisselen van elektronische gegevens.

De circulaire treedt in werking op 1 januari 2026 en markeert een nieuwe stap voorwaarts in technisch beheer en waarborgt de veiligheid en betrouwbaarheid van de nationale infrastructuur voor elektronische handtekeningen, met als doel een veilige, transparante en duurzaam ontwikkelde digitale overheid, digitale economie en digitale samenleving te bouwen.