Oplegnotitie Open Standaarden Lijsten

Content

Vergadering: Forum Standaardisatie woensdag 12 april 2023
Agendapunt: 3
Documentnummer: FS-20230412.3-Oplegnotitie-Open-Standaarden-Lijsten
Aan: Forum Standaardisatie
Van: Stuurgroep Open Standaarden
Datum: Woensdag 12 april 2023
Versie: 1.0
Bijlage: FS-20230412.3A-Forumadvies-security.txt
Opstellers:

Hans Laagland

Han Zuidweg (3E. Acties voor doorontwikkeling van de lijst open standaarden)
Rechten: CC0 publieke domein verklaring

Samenvatting

Ter besluitvorming

Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:

  • A. Standaard security.txt (security- en policy-contactinformatie) te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (veilig internet)

Ter bespreking

  • B. Actualisering adoptieadviezen Erfgoed Registratie Standaard (meer toegang en openbaarheid)

Ter toelichting

  • C.  Voortgang lopende procedures
    • 1. Veiliger internet:
      • a. Nederlands profiel bij OpenID Connect 1.0 (authenticatie, o.a. relevantie met Wet digitale overheid) verplichten aan de overheid (‘pas toe of leg uit’-verplichting)
    • 2. Betere gegevensuitwisseling:
      • b. OAS (beschrijven van REST APIs) verplichten aan de overheid (‘pas toe of leg uit’-verplichting) in nieuwe versie
      • c. NEN 3610 (onderdeel van Geo-standaarden; basismodel voor geo-informatie) verplichten aan de overheid (‘pas toe of leg uit’-verplichting) in nieuwe versie
    • 3. Verwijderen standaarden lijst aanbevolen standaarden niet meer aanbevelen aan de overheid (batch-procedure)
  • D. Uitkomsten regierol standaarden STIX TAXII in Nederland (n.a.v. Evaluatie) (veilig internet)
  • E. Acties voor de doorontwikkeling van de lijst open standaarden
  • F. Voorzieningen voor beheer en hergebruik registraties open standaarden (lijst open standaarden) in gebruik (meer toegang en openbaarheid)
  • G. Aankondiging Extra Stuurgroep Open Standaarden (bredere ontwikkelingen Forum Standaardisatie, waaronder kosten voor gebruik standaarden)

Ter besluitvorming

Ad A. Forumadvies security.txt (veiliger internet)

[Bijlage: FS-20230412.3A-Forumadvies-security.txt]

Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:

standaard security.txt (security- en policy-contactinformatie) te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (veilig internet)

Advies

De Stuurgroep Open Standaarden adviseert het Forum Standaardisatie om de standaard security.txt te verplichten aan de overheid (‘pas toe of leg uit’-verplichting). security.txt is een standaard voor security- en policy-contactinformatie.

Er is er voldoende ervaring en draagvlak binnen de Nederlandse overheid voor security.txt. De standaard is laagdrempelig en eenvoudig (technisch) te implementeren, en is leveranciersonafhankelijk. De indieners van de standaard National Cyber Security Centrum (NCSC) en Digital Trust Center (DTC) hebben informatieproducten gepubliceerd voor overheden en bedrijfsleven, en hebben aangegeven voor meerdere jaren security.txt actief uit te dragen. Extra aandacht is nodig voor het up-to-date houden van de informatie in het security.txt bestand en de inrichting van het achterliggende proces voor de juiste opvolging van een melding.

Belang van de standaard: veiliger internet

De standaard security.txt draagt bij aan een veiliger internet doordat meldingen over kwetsbaarheden in een dienst of systeem sneller terecht komen bij de juiste personen binnen een organisatie. Hierdoor kunnen kwetsbaarheden sneller worden verholpen en is de kans kleiner dat cybercriminelen kwetsbaarheden gebruiken. security.txt beschrijft op een uniforme wijze, hoe een kwetsbaarheid aan de betreffende organisatie gemeld kan worden.

Als sprake is van een kwetsbaarheid in een via http of https benaderbaar systeem, dan is snel handelen van enorme importantie. De kwetsbaarheid kan misbruikt worden om in te breken in het betreffende systeem en bijvoorbeeld databestanden met daarin persoonlijke gegevens te bemachtigen. Op dit moment is er geen eenduidige wijze waarop kwetsbaarheden gemeld kunnen worden bij organisaties die systemen hebben die bereikbaar zijn via http of https en verbonden zijn aan het internet.

Hoe is het proces verlopen?

National Cyber Security Centrum (NCSC) en Digital Trust Center (DTC) hebben op 2 juni 2022 security.txt aangemeld om te verplichten aan de overheid via plaatsing op de ‘pas toe of leg uit’-lijst. Op basis van het intakeadvies heeft het Forum Standaardisatie op 28 september besloten de aanmelding in procedure te nemen.

De expertgroep is op 19 januari 2023 bijeengekomen om de standaard te toetsen tegen de criteria en geïdentificeerde aandachtspunten te bespreken. Aan dit expertonderzoek namen vertegenwoordigers deel uit een brede coalitie van overheid, bedrijfsleven en koepelorganisaties.

Het Bureau Forum Standaardisatie publiceerde het expertadvies ter openbare consultatie op internetconsultatie.nl van 11 februari 2023 tot en met 12 maart 2023. Uit de openbare consultatie heeft het Bureau elf reacties ontvangen die hebben gereageerd op één of meer vragen uit de openbare consultatie. Reacties vroegen extra aandacht voor het up-to-date houden van de informatie in het security.txt bestand en voor de inrichting van het achterliggende proces voor de juiste opvolging van een melding, en attendeerden op de bestaande, internationale standaard WHOIS die deels hetzelfde doel heeft als security.txt.

Deze reacties zijn opgenomen in de eindconclusie in het Forumadvies. Dit Forumadvies is opgesteld op basis van het expertadvies, reacties uit de openbare consultatie en inzichten van de leden van het Forum Standaardisatie. Indien het Forum Standaardisatie instemt met dit advies wordt het aan het OBDO ter besluitvorming voorgelegd.

Over de standaard

De standaard security.txt (A File Format to Aid in Security Vulnerability Disclosure) schrijft voor op welke wijze organisaties de gewenste securitycontactinformatie beschikbaar stellen. Wanneer een persoon of organisatie een kwetsbaarheid heeft gevonden in een systeem dat via http of https publiek benaderbaar is, dan kan eenvoudig de verantwoordelijke organisatie worden geïnformeerd door gebruik te maken van de beschikbaar gestelde contactinformatie via security.txt.

De standaard security.txt definieert een tekstbestand dat op een bekende locatie moet worden geplaatst. Het formaat van dit bestand kan door een machine worden geïnterpreteerd, zodat deze geautomatiseerd is te verwerken. Dit bestand is bedoeld om beveiligingsonderzoekers te helpen zo efficiënt mogelijk contact te zoeken met de verantwoordelijke personen van het betreffende systeem met betrekking tot beveiligingskwetsbaarheden.

De Internet Engineering Task Force (IETF) beheert de standaard onder de noemer RFC 9116.

Ter bespreking

Ad B. Actualisering adoptieadviezen Erfgoed Registratie Standaard (meer toegang en openbaarheid)

[Bijlage: geen]

Vraag aan het Forum Standaardisatie het volgende advies te bespreken:

adoptieadviezen van de Erfgoed Registratie Standaard (eenduidige registraties bovengronds erfgoed) actualiseren op de website van Forum Standaardisatie

Het Forum Standaardisatie beveelt sinds 7 april 2022 de Erfgoed Registratie Standaard (hierna: Erfgoedstandaard) de overheid aan (lijst aanbevolen standaarden). De Erfgoedstandaard is een standaard voor eenduidige registraties van bovengronds erfgoed Het Forum Standaardisatie heeft de beheerorganisatie (Werkgroep De Data Beet) in het Forumadvies adviezen meegegeven om binnen een jaar op te volgen. De beheerorganisatie heeft de adviezen uitgevoerd.

Dit betekent dat de adviezen op de website van Forum Standaardisatie geactualiseerd kunnen worden. Het bespreekpunt voor het Forum Standaardisatie is:

  1. om in te stemmen met het actualiseren van de adoptieadviezen van de Erfgoedstandaard
  2. om de toepassing van de uitgangspunten voor het actualiseren van adoptieadviezen te bespreken aan de hand van de case van de Erfgoedstandaard

Adoptieadviezen zijn het resultaat van een toetsingsprocedure incl. een vastgesteld Forumadvies en besluitvorming door OBDO. Het Forum Standaardisatie heeft op 8 juni ingestemd met uitgangspunten voor het actualiseren van de adoptieadviezen op de website van Forum Standaardisatie. Deze uitgangspunten worden nu voor het eerst toegepast via de Erfgoedstandaard.

Opvolging en uitvoering adoptieadviezen Erfgoedstandaard

Hieronder volgt een beknopte terugkoppeling op opvolging van de adoptieadviezen op de Erfgoedstandaard van de beheerorganisatie:

  • De beheerorganisatie heeft de financiering van het ministerie van OCW voor beheer, doorontwikkeling en het realiseren van aansluitingen van de Erfgoedstandaard een periode van vijf jaar
  • De beheerorganisatie heeft een eerste vertaling gemaakt naar inrichting van beheer volgens BOMOS
  • De beheerorganisatie heeft een vertaling gerealiseerd van de Erfgoedstandaard naar de principes van MIM (standaard voor informatiemodellen) in afstemming met Geonovum. Deze vertaling is gepubliceerd op GitHub
  • De beheerorganisatie heeft de specificaties voor de API uitgewerkt (REST) en gedocumenteerd conform de API Strategie van het Kennisplatform API’s.

Adoptieactiviteiten

In totaal zijn er 40 gemeenten aangesloten. Voor 2023 zijn de plannen:

  • onderzoek naar mogelijkheid om de Erfgoedstandaard uit te breiden t.b.v. archeologische vindplaatsen
  • monitoren ontwikkelingen Digitaal Stelsel Omgevingswet (DSO) om de Erfgoedstandaard waar mogelijk als informatieproduct te kunnen laten aansluiten
  • zoveel mogelijk gemeenten betrekken en de deelname en toegankelijkheid vergroten, bijvoorbeeld met een uitgebreide viewer op de toepassing (haalbaarheidsonderzoek loopt).

Het Bureau Forum Standaardisatie publiceert in 2023 een praktijkverhaal over de Erfgoedstandaard voor de website van Forum Standaardisatie om de adoptie van de standaard verder te stimuleren.

Over de standaard

De Erfgoedstandaard draagt bij aan meer toegang en openbaarheid doordat gegevens over erfgoed als open data op gestandaardiseerde wijze en volgens eenduidige definities toegankelijk en uitwisselbaar worden, waaronder ten behoeve van het DSO. De Erfgoedstandaard is een nieuwe standaard (sinds 2021) en is in beheer van Federatie Grote Monumentengemeenten.

Actualiseren adoptieadviezen website Forum Standaardisatie

Het Bureau ziet de behoefte om de adoptieadviezen bij de registratie van de Erfgoedstandaard op de website Forum Standaardisatie te actualiseren, volgens de uitgangspunten die het Forum Standaardisatie heeft vastgesteld op 8 juni 2022, voor actualiseren van adoptieadviezen:

  • aanpassingen eerst beoordelen:

Aanpassingen beoordelen in afstemming met de beheerder of indiener op basis van inschatting van de accountmanager en vervolgens voorleggen aan Forum Standaardisatie ter besluitvorming, voor adoptieadviezen waarvoor geldt dat adoptieadviezen zijn ingehaald door de tijd of waar een relatie is met een lopende of inmiddels afgeronde toetsingsprocedure (inhoud).

Ter toelichting

Ad C. Voortgang lopende procedures

[Bijlage: geen]

Veiliger internet

Nederlands profiel bij OpenID Connect 1.0 (authenticatie): tweede expertbijeenkomst

Forum Standaardisatie toetst of de standaard van Logius NL GOV Assurance Profile for OIDC 1.0 geschikt is om te verplichten aan de overheid via plaatsing op de ‘pas toe of leg uit’-lijst. NL GOV Assurance Profile for OIDC 1.0 draagt bij aan veiliger internet doordat authenticatieservices (zoals DigiD) de identiteit van een eindgebruiker controleren op een gestandaardiseerde wijze. Breder kader is de aankomende Wet digitale overheid die regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi)overheid.

Op 15 oktober 2020 heeft Logius NL GOV Assurance Profile for OIDC 1.0 aangemeld bij het Bureau Forum Standaardisatie om te toetsen of dit profiel geschikt is te verplichten aan de overheid (‘pas toe of leg uit’-verplichting). Uit expertadvies (najaar 2021) en reacties uit de openbare consultatie (winter 2022) kwamen aandachtspunten naar voren, waaronder ‘toegevoegde waarde (overlap met SAML)’, ‘draagvlak (marktondersteuning) (voorbeeldimplementatie)’ en samenhang met het internationale iGOV-profiel voor OIDC.

Na vervolggesprekken met de indiener Logius en met inhoudsdeskundigen (SURF) heeft op 29 maart 2022 een Extra Stuurgroep Open Standaarden plaatsgevonden. Deze Extra Stuurgroep Open Standaarden heeft richting gegeven aan het vervolg van de toetsingsprocedure. Op basis van de uitkomsten van de Extra Stuurgroep Open Standaarden is in overleg met de indiener Logius (7 april 2022) besloten om een aanvullend onderzoek uit te voeren via een tweede expertbijeenkomst te houden. Deze tweede expertbijeenkomst heeft plaatsgevonden op 6 oktober 2022.

Het Bureau heeft de uitkomsten van de tweede expertbijeenkomst vertaald naar de toetsingsprocedure (inhoud en procedure). Deze vertaling is besproken op Stuurgroep Open Standaarden van 23 maart. Voorstel is een geclusterde registratie van authenticatiestandaarden op ‘pas toe of leg uit’-lijst (SAML en NL GOV AP OIDC) met één functioneel toepassingsgebied (naar analogie van Geo-standaarden). Een Forumadvies wordt verwacht op de Forum-vergadering 14 juni 2023.

Betere gegevensuitwisseling

OpenAPI Specification (beschrijven van REST APIs)

Forum Standaardisatie toetst of de standaard OpenAPI Specification (OAS) in de nieuwe versie (3.1) geschikt is om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting). OAS is een standaard voor het beschrijven van REST API’s; een Application Programming Interface (API) draagt bij aan het uitwisselen van informatie tussen applicaties.

Logius heeft OAS in de nieuwe versie 3.1 op 10 augustus 2022 aangemeld bij het Bureau Forum Standaardisatie. Het Forum Standaardisatie heeft op 7 december 2022 besloten om de versiewijziging van OAS in procedure te nemen. De expertbijeenkomst is in voorbereiding.

NEN 3610 (onderdeel van Geo-standaarden; basismodel voor geo-informatie)

Forum Standaardisatie toetst of de standaard NEN 3610 (onderdeel van Geo-standaarden) in de nieuwe versie (NEN 3610:2022 nl) geschikt is om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting). NEN 3610 is een basismodel voor geo-informatie en geeft regels voor het eenduidig beschrijven, uitwisselen en op het web publiceren van geo-informatie.

Geonovum heeft NEN 3610 in de nieuwe versie (NEN 3610:2022 nl) op 30 augustus 2022 aangemeld bij het Bureau Forum Standaardisatie. Het Forum Standaardisatie heeft op 8 februari 2023 besloten om de versiewijziging van NEN 3610 in procedure te nemen. De expertbijeenkomst wordt opgestart zodra de Europese Aanbesteding voor de begeleiding van de toetsingsprocedures een nieuwe opdrachtnemer heeft opgeleverd.

Verwijderen elf standaarden lijst aanbevolen standaarden

Forum Standaardisatie toetst in een gecombineerde toetsingsprocedure om een groep van elf standaarden van lijst aanbevolen standaarden niet meer aan te bevelen aan de overheid. Het betreft de standaarden CalDAV, DHCP, DNS, EI Standaarden, http, IMAP, IPP, MTOM, SIP, UDDI, WebDav. Forum Standaardisatie heeft deze elf standaarden vastgesteld op 8 februari 2023.

Het Forum Standaardisatie heeft op 8 februari 2023 besloten om deze groep standaarden in procedure te nemen via een gecombineerde toetsingsprocedure die iedere standaard afzonderlijk op hoofdlijnen beoordeelt tegen de criteria die het Forum Standaardisatie voor de lijst hanteert. De expertbijeenkomst is in voorbereiding.

Deze verwijdering geeft gehoor aan de aanbeveling uit het onderzoek van Paul Dam over de doorontwikkeling van de lijsten open standaarden, nl. actiever onderhoud van de lijst aanbevolen standaarden en standaarden verwijderen die op de lijst geen toegevoegde waarde meer hebben.

Ad D. Uitkomsten regierol standaarden STIX TAXII in Nederland (n.a.v. Evaluatie)

[Bijlage: geen]

Nationaal Cyber Security Centrum (NCSC) heeft bevestigd een stimulerende rol (regierol) in Nederland op zich te nemen voor de standaarden STIX en TAXII (standaarden voor cyberdreigingsinformatie) van de ‘pas toe of leg uit’-lijst van Forum Standaardisatie. Dit is de uitkomst na initiatief van het (Bureau) Forum Standaardisatie. Het ontbreken van de regierol was de hoofduitkomst van het Evaluatierapport Veilig Internet (2022) in opdracht van Forum Standaardisatie waarin de open standaarden STIX en TAXII zijn geëvalueerd.

De stimulerende rol voor NCSC gaat bijdragen aan hogere adoptie van de standaarden bij overheden. NCSC werkt de stimulerende rol verder uit met het delen van kennis over de standaarden STIX en TAXII (kennisrol) en met het monitoren van internationale ontwikkelingen via de internationale beheerorganisatie OASIS (monitorende rol). Het Bureau Forum Standaardisatie heeft aangegeven het NCSC te ondersteunen.

Ad E. Acties voor de doorontwikkeling van de lijst open standaarden

[Bijlage: geen]

In de vergadering van 20 april 2022 onderschreef het Forum Standaardisatie de acties die voortkwamen uit het onderzoek van Paul Dam over de doorontwikkeling van de lijsten open standaarden. Hieronder volgt een overzicht van de voortgang.

Overzicht kandidaten ‘andersoortige standaarden’ op de lijst aanbevolen standaarden

Het Forum Standaardisatie nam het advies over uit het onderzoek doorontwikkeling van de lijsten open standaarden om ‘andersoortige standaarden’ zoals principes, baselines en richtlijnen toe te laten op de lijst aanbevolen standaarden als deze belangrijke meerwaarde hebben voor de interoperabiliteit, online veiligheid of leveranciersonafhankelijkheid van de overheid.

In de bijeenkomst van het Forum Standaardisatie van 8 februari is de vraag gesteld welke ‘andersoortige standaarden’ in aanmerking zouden kunnen komen om getoetst te worden voor een ‘aanbevolen’ status.

In de afgelopen jaren brachten verschillende organisaties de volgende ‘andersoortige’ standaarden onder aandacht van het Bureau Forum Standaardisatie:

Standaard Organisatie
BOMOS Logius
Common Ground VNG
Data Pro Code NL Digital
Domeinnaambeleid overheid minAZ DPC
FAIR data principes Go-Fair
ICO Wizzard CIP
MANRS NLnet Labs
NL Design System Gebruiker Centraal
Secure Software Development CIP

Op advies van de Stuurgroep Open Standaarden en het Forum Standaardisatie toetsen wij in eerste instantie MANRS en NL Design System als proof of concept. Hiermee willen wij bekijken in hoeverre wij de bestaande toetsingsprocedure kunnen toepassen op ‘andersoortige standaarden’. Waar aanpassingen aan de toetsingsprocedure nodig blijken, leggen wij deze voor aan het Forum Standaardisatie.

Afhankelijk van de opgedane ervaring stellen wij met het Forum Standaardisatie prioriteiten voor de toetsing van meer ‘andersoortige standaarden’. Daarbij is er geen garantie dat alle standaarden in de bovenstaande tabel in procedure genomen zullen worden.

Gangbare standaarden minder op de voorgrond op de lijst aanbevolen standaarden

In de vergadering van 20 april 2022 gaf het Forum Standaardisatie opdracht aan BFS om gangbare standaarden op de lijst aanbevolen standaarden minder op de voorgrond te laten treden. Bureau Forum Standaardisatie verwacht het Forum Standaardisatie tegen het einde van 2023 een voorstel voor te leggen van standaarden die als ‘gangbaar’ op de lijst aangemerkt kunnen worden.

Ad F. Voorzieningen voor beheer en hergebruik registraties open standaarden (lijst open standaarden) in gebruik

[Bijlage: geen]

Het Bureau Forum Standaardisatie heeft per 6 maart 2023 twee voorzieningen in gebruik genomen voor een beter beheer en hergebruik van de registraties open standaarden (lijst open standaarden). Het gaat om het Registratie Open Standaarden Systeem (ROSS) en het Forum Standaardisatie Kennismodel (FSKM). Dit draagt bij aan meer toegang en openbaarheid, en bevordert de adoptie van standaarden.

Het Bureau professionaliseert de interne informatiehuishouding voor de registraties van standaarden. Met registratie wordt bedoeld het registreren van de status van een standaard incl. aanvullende eigenschappen (zoals de registratie van de Erfgoedstandaard). Hiervoor werken BFS en Nederlandse Overheid Referentie Architectuur (NORA) samen.

Forum Standaardisatie vindt het belangrijk de registraties van de standaarden van de Lijst Open Standaarden te brengen naar de platformen waar gebruikers zitten. Daarom biedt het Forum Standaardisatie de registraties aan als open data voor hergebruik via linked data standaarden. Zo wordt de informatie over open standaarden van het Forum Standaardisatie beter zichtbaar. Dit draagt bij aan meer toegang en openbaarheid en bevordert de adoptie van standaarden.

Workshop Standaarden in kennismodel Forum Standaardisatie

Op 6 april 2023 heeft de Workshop Standaarden in kennismodel Forum Standaardisatie plaatsgevonden van Forum Standaardisatie en Nederlandse Overheid Referentie Architectuur (NORA). Doel van de workshop is reacties te ontvangen op de (her)bruikbaarheid van het Forum Standaardisatie Kennismodel (FSKM) voor hergebruik van de registraties in eigen platformen. Uitkomsten van de workshop gebruiken we om FSKM verder te verbeteren en beter te laten aansluiten bij de wensen van de gebruikers.

Ad G. Aankondiging Extra Stuurgroep Open Standaarden

[Bijlage: geen]

De Stuurgroep Open Standaarden heeft de wens heeft geuit op de bijeenkomst van 17 november 2022 om een Extra Stuurgroep Open Standaarden via een fysieke bijeenkomst in te plannen om een aantal bredere ontwikkelingen rond standaarden op de lijst open standaarden te behandelen. Deze Extra Stuurgroep Open Standaarden vindt plaats op [ ### datum ]. Het betreft ontwikkelingen, zoals:

  • hoe gaan we om met standaarden waarbij sprake is van een vorm van betaling (waar ligt de grens)?
  • hoe gaan we om met standaarden waarvan maar één implementatie is of een monopoliepositie van de leverancier (waar ligt de grens)?
  • hoe gaan we om met adoptieadviezen die niet worden opgevolgd?
  • hoe gaan we om met standaarden op de ‘pas toe of leg uit’-lijst waarvan de adoptiegraad hoog is?

Het Bureau zorgt voor nadere voorbereiding van de bijeenkomst.

Documentatie-type

vergaderstuk