Streefbeeldafspraken informatieveiligheid

Content

De overheid wil goede beveiliging voor haar websites en e-mail. Er zijn daarom overheidsbrede interbestuurlijke afspraken om het gebruik van een aantal moderne Internetstandaarden te versnellen, de zogenoemde streefbeeldafspraken.

Wat is een streefbeeldafspraak?

Streefbeeldafspraken gaan verder dan de 'Pas toe of leg uit'-verplichting. Kort samengevat stelt die 'Pas toe of leg uit'-verplichting dat bepaalde open standaarden bij de aanschaf van nieuwe ICT-systemen/-diensten (of de doorontwikkeling van bestaande) moeten worden toegepast.

Bij een streefbeeldafspraak moet de open standaard op alle ICT-systemen/-diensten geïmplementeerd worden, dus ook op bestaande. Wachten kan niet meer. Daarom vervalt bij een streefbeeldafspraak de regel uit het ‘Pas toe of leg uit’-beleid over de minimale aanschafwaarde van €50.000,- en is een 'leg uit' niet meer mogelijk.

Wie maakt de streefbeeldafspraken?

Deze afspraken zijn op advies van Forum Standaardisatie na instemming van alle overheidslagen bekrachtigd in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of haar voorganger, het Nationaal Beraad Digitale Overheid.

Welke streefbeeldafspraken zijn er?

Er zijn vijf streefbeeldafspraken met verschillende uiterlijke implementatiedeadlines. Onderdeel van de afspraken is ook de veilige configuratie van de standaarden.

Voor beveiligde websiteverbindingen (via HTTPS en HSTS) golden eerst een streefbeeldafspraak. Die afspraak is per 1 juli 2023 verzwaard tot een wettelijke verplichting via het "Besluit beveiligde verbinding met overheidswebsites en -webapplicaties".

Overzicht van streefbeeldafspraken

#

Deadline

Afspraak*

5 Eind 2024

Beveiliging van internetroutering

RPKI wordt toegepast voor alle gebruikte IP-adressen en overheidsnetwerken. Dit omvat zowel het publiceren van certificaten (ROA’s) als het valideren van certificaten van anderen.

4 Eind 2021

Bereikbaarheid van websites en e-maildomeinen

Alle overheidswebsites en e-maildomeinen van de overheid moeten, behalve via IPv4, ook volledig bereikbaar zijn via IPv6.

3 Eind 2019

Encryptie van e-mailverkeer

STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer.

Actief bestrijden van e-mailspoofing (anti-phishing)

De 'policies' voor SPF en DMARC moeten veilig (actief) geconfigureerd zijn. Zolang deze policies niet strikt zijn ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. Veilige policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC.

2 Eind 2018

Veilige configuratie van beveiligde websiteverbindingen (per 1-7-2023 wettelijke verplichting)

Alle overheidswebsites passen HTTPS en HSTS toe conform de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC), en configureren de TLS-verbinding conform de ICT-beveiligingsrichtlijnen voor Transport Layer Security (NCSC). Dit is een aanvulling op de eerdere afspraak over beveiligde websiteverbindingen. De afspraken gelden dus niet meer alleen voor transactiewebsites.

1 Eind 2017

Beveiligde websiteverbindingen (per 1-7-2023 een wettelijke verplichting)

TLS (in de vorm van HTTPS) wordt toegepast bij alle overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn;

Domeinnaambeveiliging

DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert.

Bestrijden van e-mailspoofing (anti-phishing)

E-mailbeveiligingsstandaarden SPFDKIM en DMARC worden toegepast voor alle overheidsdomeinnamen, of deze nu wel of niet gebruik maken van e-mail.

Documentatie van streefbeeldafspraken

  1. Notitie Nationaal Beraad d.d. 2-2-2016:  streefbeeldafspraak TLS, DNSSEC, SPF+DKIM+DMARC, eind 2017;
  2. Notitie Nationaal Beraad d.d. 9-5-2017:  streefbeeldafspraak HTTPS, HSTS en TLS conform NCSC, eind 2018;
  3. Notitie OBDO d.d. 20-4-2018:  streefbeeldafspraak voor e-mailstandaarden (STARTTLS+DANE en veilige SPF+DMARC policies), eind 2019; 
  4. Notitie OBDO (bijlage 1C) d.d. 18-3-2020: streefbeeldafspraak IPv6, eind 2021;
  5. Notitie OBDO d.d. 30-3-2023: streefbeeldafspraak RPKI, eind 2024.

Aanvullende documenten

Kamerstukken

Lees ook