DigiD aansluithouders dienen jaarlijks een ICT-beveiligingsassessment uit te laten voeren door een Register EDP-auditor (RE-auditor). Het DigiD-Normenkader omschrijft de beveiligingsrichtlijnen waaraan de aansluiting moet voldoen.
Bijvoorbeeld de volgende twee richtlijnen zijn onderdeel van de Norm ICT-beveiligingsassessments DigiD 3.0:
ThreatLabs heeft expertise op het gebied van pentesten met DigiD-aansluitingen als (onderdeel van) de scope. Hiermee wordt volledig of gedeeltelijk invulling gegeven aan de voorgenoemde twee richtlijnen.
Het DigiD-Normenkader betreft een selectie van richtlijnen uit de ICT-beveiligingsrichtlijnen voor webapplicaties dat het Nationaal Cyber Security Centrum (NCSC) in 2015 gepubliceerd heeft. ThreatLabs is van mening dat een assessment dat expliciet gelimiteerd is tot deze (geselecteerde) richtlijnen geen (applicatie)pentest genoemd kan worden en hierdoor ook niet zou volstaan.
Bij een dergelijk assessment wordt aanvullend bewijslast over geldende (technische) richtlijnen verwerkt in de rapportage. De betrokken RE-auditor is verantwoordelijk voor de uiteindelijke beoordeling. Bij het beoordelingsproces dienen zowel technische als procesmatige richtlijnen meegewogen te worden.