STIX en TAXII 2.1 nu verplicht voor de overheid (‘Pas toe of leg uit’)

Content

Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft ingestemd met het voorstel van Forum Standaardisatie om versie 2.1 van de standaarden STIX en TAXII op te nemen op de 'Pas toe of leg uit'-lijst. Sinds 1 juli 2026 is het gebruik (‘Pas toe of leg uit’) van deze versie verplicht voor de gehele overheid.

Waarom STIX en TAXII?

STIX en TAXII vormen de basis voor het delen van dreigingsinformatie. De standaarden maken het mogelijk om informatie over cyberdreigingen en -aanvallen op een gestructureerde en machine-leesbare manier te beschrijven en in real-time te delen. Hierdoor kunnen overheidsorganisaties sneller en effectiever beveiligingsmaatregelen treffen.

De meerwaarde van versie 2.1

Versie 2.1 is inmiddels de wereldwijde standaard en wordt al op grote schaal gebruikt door onder meer het NCSC. De overstap naar 2.1 biedt meerdere voordelen, aangezien de oudere 1.*-versies door leveranciers nauwelijks nog worden ondersteund en beperkingen bevatten die het praktische gebruik bemoeilijkten. Versie 2.1 is technisch robuuster en daarmee beter toegerust op de moderne eisen voor dreigingsdetectie.

Verduidelijking toepassingsgebied

Naast de versiewijziging is het functioneel toepassingsgebied geactualiseerd. De term ‘uitwisselen’ is vervangen door ‘verstrekken en/of verkrijgen’. Hiermee wordt verduidelijkt dat de verplichting niet alleen geldt voor wederzijdse communicatie, maar ook voor het eenzijdig verstrekken van dreigingsinformatie. Deze wijziging zorgt voor een betere aansluiting bij de huidige wetgeving en het hedendaagse taalgebruik in de sector.

Meer informatie