Oplegnotitie open standaarden, Lijsten
Content
| Vergadering | Forum Standaardisatie woensdag 8 april 2026 |
|---|---|
| Agendapunt | 2 |
| Documentnummer | FS-20260408.2 |
| Aan | Forum Standaardisatie |
| Van | Stuurgroep Open Standaarden |
| Datum | 27 maart 2026 |
| Versie | 1.0 |
| Bijlagen | 2A Forumadvies versiewijziging STIX en TAXII 2B Besluitnotitie Hervatting intakeprocedure SBOM 2C Bespreeknotitie procedures |
| Rechten | CC0 publieke domeinverklaring |
1. Ter besluitvorming
Versiewijziging STIX en TAXII verplichten aan de overheid, voor veiliger internet (Forumadvies)
Bijlage: 2A Forumadvies versiewijziging STIX en TAXII
Inleiding
De ‘Pas toe of leg uit’-status van STIX versie 1.2.1 en TAXII versie 1.1.1 loopt achter op de dagelijkse praktijk. Veel organisaties, waaronder NCSC, gebruiken reeds versie 2.1. Ook internationaal geldt versie 2.1 als de facto versie van beide standaarden. STIX en TAXII versie 2.1 bieden ten opzichte van de vorige versies meerwaarde.
Besluitvraag
Het Forum Standaardisatie word voorgesteld in te stemmen met:
- De standaarden STIX en TAXII in de nieuwe versie (2.1) te blijven verplichten aan de overheid via plaatsing op de ‘Pas toe of leg uit’-lijst.
- Het huidige functioneel toepassingsgebied te wijzigen.
Het huidige functioneel toepassingsgebied voor STIX en TAXII is:
“STIX 1.2.1 en TAXII 1.1.1 moeten worden toegepast op de gestructureerde uitwisseling van informatie over digitale dreigingen tegen informatiesystemen.”
Het voorgestelde functioneel toepassingsgebied voor STIX en TAXII 2.1 is:
“STIX en TAXII moeten worden toegepast op verstrekken en/of verkrijgen van informatie over cyberdreigingen tegen netwerk- en informatiesystemen.”
Belang van de standaard: betere gegevensuitwisseling
STIX en TAXII maken het mogelijk om dreigingsinformatie over een cyberdreiging of -aanval op een gestructureerde en automatisch verwerkbare manier te beschrijven en in real-time te delen met belanghebbende organisaties. Op basis van de dreigingsinformatie kunnen de betreffende organisaties indien nodig beveiligingsmaatregelen treffen. De standaarden zijn verbeterd op meerdere punten ten opzichte van hun voorgaande versies.
Hoe is het proces verlopen?
Het Nationaal Cyber Security Centrum (NCSC) heeft STIX en TAXII in de nieuwe versie (2.1) op 15 april 2025 aangemeld voor plaatsing op de ‘Pas toe of leg uit’-lijst. Op basis van het intakeadvies heeft het Forum Standaardisatie op 24 september 2025 besloten de standaard in procedure te nemen. De uitkomst van het expertonderzoek is vastgelegd in het expertadvies. Deze is van 19 januari 2026 tot 16 februari 2026 in consultatie geweest, wat niet heeft geleid tot reacties.
Dit Forumadvies is opgesteld op basis van het expertadvies en inzichten van de leden van het Forum Standaardisatie. Indien het Forum Standaardisatie instemt met dit advies, wordt het aan het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) ter besluitvorming voorgelegd.
2. Hervatting intakeprocedure SBOM
Bijlage: 2B Besluitnotitie Hervatting intakeprocedure SBOM
Inleiding
Het Forum Standaardisatie besloot op 25 juni 2025 de intakeprocedure voor opname van SBOM (CycloneDX en SPDX) op de ‘Pas toe of leg uit’-lijst tijdelijk te pauzeren wegens onzekerheid over Europese ontwikkelingen rond normering van SBOM-standaarden Een inmiddels door NEN gepubliceerde draft voor een geharmoniseerde norm ter ondersteuning van de Cyber Resilience Act noemt expliciet CycloneDX en SPDX als gangbare formaten. Daarbij wordt er geen alternatieve of concurrerende standaard exclusief voorgeschreven. De grondslag voor de eerdere pauzering, onzekerheid over mogelijke normconflicten, is daarmee komen te vervallen.
Besluitvraag
Het Forum wordt voorgesteld om:
- Vast te stellen dat de grond voor de pauzering van de intakeprocedure voor SBOM (CycloneDX en SPDX) is komen te vervallen;
- Te besluiten de intakeprocedure te hervatten;
- Het Bureau Forum Standaardisatie opdracht te geven een expertadviestraject te starten ten aanzien van opname van CycloneDX en SPDX op de ‘Pas toe of leg uit’-lijst.
Ter bespreking
Procedures
Bijlagen: 2C Bespreeknotitie procedures
Inleiding
Het aantal aanmeldingen voor het toetsen van standaarden voor plaatsing op de lijsten is dit jaar aanzienlijk hoger dan pakweg drie jaar geleden. Tegelijk heeft het Forum Standaardisatie op 11 februari jl. besloten aanmeldingen zonder limiet per direct in behandeling te nemen met een maximale duur van zes maanden. Voor het Bureau knelt het daarom nu om alle niet in procedure zijnde aanvragen dit jaar in behandeling te nemen en tijdig af te handelen.
Besluitvraag
- de huidige situatie (achttien (clusters van) standaarden in procedure, aangemeld en in beeld + SBOM) in relatie tot het besluit van 11 februari 2026 te bespreken.
- te zoeken naar oplossingsrichtingen, waaronder bijvoorbeeld de beleidsopdrachtgever van het bureau van het Forum Standaardisatie te verzoeken om de capaciteits- en budgettaire knelpunten bij het Bureau voor de uitvoering van de toetsingsprocedures op te lossen.