Oplegnotitie open standaarden, lijsten 25 juni 2025
Content
Vergadering: Forum Standaardisatie woensdag 25 juni 2025
Agendapunt: 4
Aan: Forum Standaardisatie
Van: Stuurgroep Open Standaarden
Bijlagen: 4A Forumadvies ACME, 4B Forumadvies NL-SBB, 4C Intakeadvies SBOM
Rechten: CC0 publieke domeinverklaring
Ter besluitvorming
4A. ACME verplichten aan de overheid, voor een veiliger internet (Forumadvies)
Inleiding
Als beveiligingscertificaten (TLS-certificaten) voor web- en mailverkeer van de overheid met altijd een afgebakende geldigheidsduur automatisch en tijdig verkregen, vernieuwd en ingetrokken kunnen worden, maakt dat voor de overheid het beheer ervan efficiënter en aanmerkelijk minder foutgevoelig. Met het toepassen van de standaard Automatic Certificate Management Environment (ACME) is dit mogelijk. Het verbetert de bereikbaarheid en beschikbaarheid van web- en mailsystemen aanzienlijk en maakt de digitale overheid betrouwbaarder, wendbaarder en minder leveranciersafhankelijk.
Vraag aan Forum Standaardisatie om in te stemmen met de volgende adviezen aan het OBDO:
- ACME te verplichten aan de overheid (‘Pas toe of leg uit’) door deze met een nieuwe plaatsing toe te voegen aan de ‘Pas toe of leg uit’-lijst voor het automatisch verkrijgen, vernieuwen en intrekken van publiek vertrouwde TLS-certificaten.
- ACME aan te bevelen aan de overheid voor niet-publiek vertrouwde TLS-certificaten.
Het voorgestelde functioneel toepassingsgebied voor ACME is:
ACME moet worden toegepast voor het automatiseren van de interactie tussen certificaatautoriteiten en certificaatgebruikers, met als doel het proces van het verkrijgen, vernieuwen en intrekken van publiek vertrouwde TLS-certificaten wendbaarder en betrouwbaarder te maken.
Belang van de standaard: veiliger internet
Het toepassen van ACME zorgt voor een hogere en doorlopende beschikbaarheid van overheidswebsites en overheidssystemen via het web, die zonder geldige TLS-certificaten niet bereikbaar zijn. De schaalbaarheid en betrouwbaarheid van certificaatbeheer wordt hiermee aanzienlijk verbeterd, ook gezien de toename van het aantal websites en de ontwikkeling naar een kortere geldigheidsduur van TLS-certificaten. Het beheer van deze certificaten wordt efficiënter en aanmerkelijk minder foutgevoelig.
Omdat ACME een gestandaardiseerd protocol is, zijn TLS-certificaten en automatiseringsprocessen niet afhankelijk van de specifieke implementatie van een Certificate Authority (CA). Het gebruik van ACME maakt het overstappen naar een andere certificaatleverancier daarmee eenvoudiger.
Hoe is het proces verlopen?
Op 23 oktober 2023 heeft Rijkswaterstaat ACME (RFC8555) aangemeld om te toetsen of de standaard geschikt is om aan te bevelen aan de overheid via plaatsing op de lijst aanbevolen standaarden. Op basis van dit intakeadvies heeft het Forum Standaardisatie op 19 juni 2024 besloten de standaard in procedure te nemen.
De expertgroep is op 15 november 2024 online bijeengekomen om de standaard te toetsen op basis van de inhoudelijke hoofdcriteria en om geïdentificeerde aandachtspunten te bespreken. Tijdens deze bijeenkomst zijn ook het functioneel toepassingsgebied en het organisatorisch werkingsgebied vastgesteld en is gekozen voor het adviseren ACME te verplichten aan de overheid (‘Pas toe of leg uit’). De uitkomst van het expertonderzoek is vastgelegd in het expertadvies, dat het bureau ter openbare consultatie van 19 februari 2025 tot 19 maart 2025 heeft gepubliceerd op internetconsultatie.nl. Op basis van het expertadvies, de reacties uit de consultatie en inzichten van leden van het Forum Standaardisatie is het Forumadvies opgesteld. Daarbij heeft de Stuurgroep open standaarden geoordeeld dat ACME verplicht (‘Pas toe of leg uit’) moet worden gesteld in plaats van aanbevolen, gelet het belang van de standaard, de positieve reacties van de experts en reageerders het feit dat verreweg de meeste CA’s hebben ingestemd met het terugbrengen van de geldigheidsduur van TLS-certificaten naar uiteindelijk 47 dagen. Met een verplichting worden leveranciers bewogen om hierop te acteren en te leveren.
Over de standaard
ACME is een protocol voor het geautomatiseerd verkrijgen, vernieuwen en intrekken van publiek vertrouwde TLS-certificaten, dat onder andere kan worden ingezet om het gegevensverkeer tussen de browser van de eindgebruiker en de server waar de site gehost is te versleutelen. Een op die manier beveiligde website is te herkennen aan het slotje in de adresbalk. Ook mailverkeer kan met deze certificaten worden beveiligd.
4B. NL-SBB verplichten aan de overheid, voor meer toegang en openbaarheid (Forumadvies)
Bijlage: 4B Forumadvies NL-SBB
Inleiding
Overheden, bedrijven en burgers hebben baat bij een overheid die begrippen die ze gebruikt in begrijpelijk Nederlands (B1) en eenduidig uitlegt plus verwijst naar de (juridische) grondslag (geschreven of op internet) ervan. De betekenis en grondslag van gegevens is van groot belang voor het kunnen begrijpen en goed kunnen interpreteren van die gegevens. Begrippen kunnen dan overal met dezelfde grondslag hetzelfde betekenen, of het nu de gemeente, de provincie, een uitvoeringsorganisatie of het Rijk is die het begrip gebruikt. Dit bevordert de samenwerking tussen overheden.
De standaard voor het beschrijven van begrippen (NL-SBB) draagt hieraan bij door aan te geven hoe begrippen in een begrippenlijst, taxonomie of thesaurus eenduidig worden beschreven. NL-SBB biedt een kader voor het vastleggen van begrippen en het begrippenkader ‘vangt’ de betekenis van een begrip om weer als linked data te kunnen worden gepubliceerd.
Hoe is het proces verlopen?
Op 22 november 2023 heeft het Kadaster NL-SBB aangemeld voor het verplichten aan de overheid (‘Pas toe of leg uit’-verplichting) via plaatsing op de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Op basis van het intakeadvies heeft het Forum Standaardisatie op 19 juni 2024 besloten de aanmelding in procedure te nemen.
De expertgroep is op 17 oktober 2024 bijeengekomen om de bevindingen in het algemeen en de geïdentificeerde aandachtspunten in het bijzonder te bespreken. Tijdens deze bijeenkomst zijn ook het toepassings- en werkingsgebied vastgesteld. De uitkomst van het expertonderzoek is vastgelegd in een expertadvies, dat het bureau ter openbare consultatie van 22 november 2024 tot 20 december 2024 op internetconsultatie.nl heeft gepubliceerd.
Uit de reacties uit de openbare consultatie komt een meer kritisch beeld naar voren over het al dan niet verplichten van NL-SBB. Zonder het adresseren van deze reacties was het opstellen van een gedragen Forumadvies niet mogelijk. Een extra bijeenkomst vond hierop plaats op 12 juni 2025 met deelnemers uit de expertsessie en reageerders uit de openbare consultatie om de verschillen van inzichten nader te bespreken en te komen tot een gedragen standpunt.
Op basis van het expertadvies, de reacties uit de consultatie, de resultaten van de extra bijeenkomst en inzichten van het Forum Standaardisatie is dit Forumadvies opgesteld.
Belang van de standaard: betere gegevensuitwisseling
Het toepassen van NL-SBB helpt om de betekenis van begrippen die de overheid gebruikt in begrijpelijk Nederlands te kunnen uitleggen. De standaard draagt tevens bij aan een betere samenwerking tussen overheden door het standaardiseren van afspraken rondom het gebruik van basisregistraties en berichtenuitwisseling tussen overheden. Met NL-SBB is er daarnaast zicht op waar gebruikte begrippen hun oorsprong vinden in wet- en regelgeving.
Over de standaard
NL-SBB geeft aan hoe begrippen in een begrippenlijst, taxonomie of thesaurus eenduidig worden beschreven. De standaard biedt een kader voor het vastleggen van begrippen. Het begrippenkader ‘vangt’ de betekenis van een begrip. Er is aandacht voor uitleg in begrijpelijke taal (B1-niveau) en de verwijzing naar de (juridische) grondslag van een begrip in een geschreven bron of een bron op het internet (zoals wetten.nl).
De standaard is zo opgezet dat een begrippenkader volgens NL-SBB als linked data kan worden gepubliceerd. Daarbij wordt gebruik gemaakt van met name SKOS en Linked Data, maar kan ook los daarvan gebruikt worden. Daarmee kunnen organisaties los van het niveau van de door hen gebruikte technologie de standaard toepassen als eerste stap op weg naar semantische interoperabiliteit.
4C. SBOM verplichten aan de overheid, voor betere gegevensuitwisseling (Intakeadvies)
Inleiding
Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:
De onder de noemer SBOM aangemelde standaarden CycloneDX en SPDX voor nu niet in procedure te nemen zolang Europese harmonisatie nog gaande is. Op termijn kan de Europese Commissie (EC) via de Cyber Resilience Act (CRA) en bijbehorende standaardisatieverzoeken geharmoniseerde eisen voor Software Bills of Materials (SBOMs) verplicht stellen. Forum Standaardisatie moet hierin volgen om te voorkomen dat het de aangemelde standaarden verplicht (‘Pas toe of leg uit’) of aanbeveelt terwijl de EC mogelijk andere SBOM-standaarden voorschrijft. Ook is het zonder duidelijke minimumeisen of (Nederlandse) profielen lastig om SBOMs betrouwbaar in te zetten voor beveiliging, compliance of risicobeoordeling. Het Forum Standaardisatie wordt opgeroepen de ontwikkelingen wel te blijven volgen.
Hoe is het proces verlopen?
Op 25 juni 2024 heeft het ministerie van VWS in afstemming met de Belastingdienst en het UWV de standaarden OWASP CycloneDX Software Bill of Materials (SBOM) Standard (kortweg: CycloneDX) versie 1.5 en Software Package Data Exchange (kortweg: SPDX) versie 3.0 onder de noemer SBOM aangemeld om te toetsen of deze standaarden geschikt zijn om te verplichten aan de overheid (‘Pas toe of leg uit’). Op 7 november 2024 heeft een intakegesprek plaatsgevonden met de indiener, procedurebegeleider InnoValor Advies en Bureau Forum Standaardisatie om te verkennen of deze standaarden voldeden aan de criteria om in procedure genomen te worden. Daarnaast is vooruitgeblikt op de toetsingsprocedure. Dit intakeadvies is tot stand gekomen op basis van de informatie in het aanmeldformulier en aanvullende informatie uit het intakegesprek. Aanvullend hierop zijn gesprekken gevoerd door Bureau Forum Standaardisatie met de indiener en het Ministerie van Economische Zaken.
Belang van de standaard: betere gegevensuitwisseling
Als SBOM-standaarden bieden CycloneDX en SPDX inzicht in de samenstelling van een softwareproduct, wat bijdraagt aan transparantie, hergebruik, veiligheid en beheer van deze producten. Het stelt organisaties in staat om naleving van licenties en regelgeving beter te waarborgen, mogelijk hergebruik van componenten te beoordelen, afhankelijkheden in kaart te brengen en sneller te reageren op veiligheidsincidenten rond componenten.
Over de standaard
Een SBOM is een document dat alle onderdelen (componenten, bibliotheken en frameworks) beschrijft waaruit een softwareproduct bestaat. Alle softwareproducten (open en closed source) zijn opgebouwd uit een of meerdere componenten. CycloneDX en SPDX zijn beide veelgebruikte standaarden om een SBOM te beschrijven. Ze specificeren de manier waarop softwarecomponenten, licenties, versies en relaties in een softwareproduct vastgelegd kunnen worden. Hierdoor is integratie en uitwisseling tussen verschillende systemen eenvoudiger en wordt het beheer van het softwarelandschap verbeterd.