Oplegnotitie Staatssecretaris Tweede Kamer MIDO OBDO en Forum Standaardisatie

Vergadering: Forum Standaardisatie 14 juni 2023

Agendapunt: 2

Documentnummer: FS-20230614.2

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Ter bespreking

a. AMvB HTTPS en HSTS, presentatie

Het Forum Standaardisatie wordt gevraagd om:

1. kennis te nemen van de aanstaande wettelijke verplichting van HTTPS en HSTS;
2. de achterban hierover te informeren.

Toelichting

Per 1 juli treedt het “Besluit veilige verbinding met overheidswebsites en -webapplicaties” (AMvB HTTPS en HSTS) in werking. Daarmee zijn overheden wettelijk verplicht om deze internetveiligheid-standaarden te gebruiken.

Het gebruik van HTTPS en HSTS maakt het bezoeken van websites van de overheid veiliger door het tegengaan van ongewenste omleidingen en onderschepping van webverkeer. HTTPS zorgt voor een versleutelde verbinding (slotje in de adresbalk). HSTS voorkomt dat het webverkeer tijdens het bezoek aan een site wordt teruggeschakeld naar een niet-versleutelde HTTP-verbinding.

De grondslag voor de AMvB is artikel 3 Wet digitale overheid. Over de aanstaande verplichting is een FAQ (concept) gepubliceerd.

BZK zal ter vergadering met een presentatie de AMvB nader toelichten.

b. Gevolgen Wdo voor werkzaamheden Forum Standaardisatie

De inwerkingtreding van de Wet digitale overheid (Wdo) betekent ook het nodige voor het werk van het Forum en het bureau:

1. Voor wat betreft de AMvB HTTPS en HSTS:
2. Aanpassing van teksten op de Forum website, de ‘pas toe of leg uit’-lijst, en in tools (beslisboom Open Standaarden bij inkoop).
3. Meehelpen met ‘aanpalend beleid’ BZK, waaronder (technische) inhoud van BZK communicatie aan de partijen die moeten voldoen (norm adressaat).
4. Meehelpen met de jaarlijkse meting (afzender BZK, de facto uitvoering BFS).
5. Meehelpen met ‘beheer van AMvB’, waaronder versieovergangen.
6. Voor wat betreft ‘betrouwbaarheidsniveaus authenticatie dienstverlening: aanpassing van de huidige handreiking.
7. Meedenken met toekomstige verplichtingen: o.a. advies over functioneel en organisatorische toepassingsgebieden.

Ter toelichting

c. Terugkoppeling vergadering OBDO 25 mei 2023

Voor het agendapunt Standaardisatie stonden de IV-meting begin 2023 en het advies aan het OBDO om de standaard security.txt te verplichten aan de overheid door plaatsing op de ‘pas toe of leg uit’-lijst.

Het OBDO onderkent de urgentie die uitgaat van de resultaten van de IV-meting en is daarnaast akkoord met plaatsing van security.txt op de ‘pas toe of leg uit’-lijst. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.

De verplichting van security.txt krijgt ook de nodige media-aandacht:

• Dutch IT Channel: Gebruik security.txt voor Nederlandse overheidsorganisaties verplicht
• Tweakers: Nederlandse overheden moeten verplicht security.txt gaan gebruiken
• Computable: txt verplicht voor websites overheid
• Binnenlands Bestuur: Internetstandaard Security.txt verplicht voor overheid
• VPN Gids: txt verplicht voor overheidsinstanties
• IT Channel Pro: txt verplicht voor overheid
• In het Nieuws: Nederlandse overheden moeten verplicht security.txt gaan
• Digital Trust Center: txt verplicht voor overheid
• Persberichten: TAG: security.txt
• AGConnect: Internetstandaard Security.txt verplicht voor overheid
• Netherlands Posten: Dutch governments must start using security.txt
• Aviation Analysis: Dutch governments should start using security.txt
• Ultimum: Nieuwe internetstandaard verplicht voor overheidswebsites
• WingMag Pro: txt verplicht voor overheid
• Channelconnect: txt vanaf nu verplicht voor overheidswebsites
• Digitale Overheid: Standaard security.txt nu verplicht voor overheid
• AboutICT: txt nu verplicht voor Nederlandse overheidswebsites

d. Invulling vrije plaatsen Forum Standaardisatie

Ter vergadering volgt een nadere toelichting op de stand van zaken rond de invulling van de vrije plaatsen in het Forum Standaardisatie.

Ter kennisname

e. Input op visie Architectuur Digitale Overheid 2030

[bijlage: 2E]

De overkoepelende werkgroep van der Architectuurraad heeft de ‘Visie Architectuur Digitale Overheid 2030’ opgesteld, onder eindredactie van Bureau van Meerjarenprogramma Infrastructuur Digitale Overheid (MIDO). Bureau MIDO heeft een oproep geplaatst aan architecten en niet-architecten om op deze plannen te reageren in een review. Het Bureau Forum Standaardisatie heeft een review geleverd op de visie (bijlage 2d). Voor deze review van BFS heeft vooraf afstemming plaatsgevonden met Logius.

De ‘Visie Architectuur Digitale Overheid 2030’ heeft als doel richting te geven aan de ontwikkeling van de digitale overheid die alle bestuurslagen omvat. Het biedt een basis voor een op architectuur gebaseerd programma- en projectenportfolio zoals opgenomen in het GDI-programmeringsplan. De visie is gebaseerd op bestaand beleid en vastgestelde beleidsdocumenten, zoals de Werkagenda Waardengedreven Digitaliseren en de GDI-meerjarenvisie, en op de NORA.

f. Verslagen gremia MIDO

De verslagen van de Programmaraad GDI (pGDI) en de programmeringstafels Toegang, Interactie, Infrastructuur en Gegevensuitwisseling zijn permanent terug te lezen op de deelsite van de pGDI op Pleio.

Link naar Bestanden · Verslagen van de MIDO-overleggen · Programmeringsraad GDI (pgdi.nl)