Content
Uit de laatste meting van Forum Standaardisatie blijkt dat ongeveer de helft van alle domeinnamen niet voldoet aan de verplichte informatieveiligheidstandaarden. Voor het eerst werd met een grotere set overheidsdomeinnamen gemeten. De nieuw toegevoegde domeinnamen scoorden minder goed dan domeinnamen die al onderdeel uitmaakten van eerdere metingen. Ministeries die een beperkt domeinnaamportfolio hebben en/of actief sturen op de toepassing van open standaarden, bereiken vaak een hogere adoptiegraad.
Verlopen deadlines
De meting van mei 2022 is verbreed ten opzichte van de vorige keren. Waar eerder met een selectie van ongeveer 550 domeinnamen gemeten werd, meten we nu met meer dan 2.500 domeinen. In de meting wordt naast de informatieveiligheidstandaarden ook de bereikbaarheid via IPv6 gemeten.
Van de gemeten domeinnamen voldeed 53% aan alle verplichte websitestandaarden. E-mailstandaarden bleven verder achter. Slechts 44% van die domeinnamen voldeden aan de afspraken. Over beide sets standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadlines (respectievelijk eind 2019 en 2021) inmiddels zijn verlopen.
Overzicht domeinnamen van decentrale overheden ontbreekt
Voor de uitbreiding van het aantal gemeten domeinnamen zijn lijsten gebruikt waar voornamelijk domeinnamen van de centrale overheid op staan. Bij decentrale overheden lijkt regie op domeinnamen achter te lopen, waardoor er alleen primaire domeinennamen (hoofddomeinen, bijvoorbeeld ‘amsterdam.nl’) zijn meegenomen in de meting, terwijl het aannemelijk is dat decentrale overheden ook veel andere domeinnamen hebben. Voor de centrale overheid is daardoor een veel grotere set gemeten domeinnamen dan voor decentrale overheden. Het Forum adviseert alle overheidsorganisaties om de regie op hun domeinnamen te verbeteren en meer overzicht te krijgen.
Verantwoordelijkheid bij gemeenschappelijke regelingen
Gemeenschappelijke regelingen blijven duidelijk achter qua adoptie van de verplichte standaarden. In deze organisaties werken gemeenten onderling en/of met andere overheden samen. Hieruit blijkt dat de verantwoordelijkheid voor adoptie van verplichte standaarden bij veel van deze samenwerkingen niet goed is belegd. Het Forum adviseert gemeenschappelijke regelingen op dit punt duidelijk afspraken te maken.
Grote verschillen per ministerie
Ook nieuw in deze meting is een verdere uitsplitsing op rijksniveau, namelijk een overzicht van scores per ministerie. Hiermee wordt duidelijk waar binnen het Rijk er nog de meeste kansen voor verbetering liggen. Het ministerie van Algemene Zaken scoort het best en kan als voorbeeld dienen voor de andere ministeries. Als voorbeeld tonen we hieronder de grafiek met de resultaten van 'anti-phishing' standaarden per ministerie. In het volledige rapport zijn ook grafieken met de resultaten van andere standaarden per ministerie opgenomen.
Lees ook:
- Volledige rapportage Meting Internetveiligheidstandaarden 2022 incl. IPv6
- Bijlage Informatieveiligheidstandaarden 2022: individuele resultaten per domeinnaam
- Streefbeeldafspraken informatieveiligheid (incl. IPv6)
- 5 basisprincipes voor regie op internetdomeinen