security.txt (standaard voor veilig internet)
Forum Standaardisatie toetst of de standaard security.txt geschikt is om te verplichten aan de overheid (‘pas toe of leg uit’-verplichting). In deze openbare consultatie kunt u reageren op dit advies van de experts.
security.txt is een standaard voor security-contactinformatie.
Forum Standaardisatie adviseert de publieke sector over het gebruik van ICT-standaarden en onderhoudt de lijst met ICT-standaarden die verplicht of aanbevolen zijn voor de overheid.
Consultatie gegevens
| Publicatiedatum | 11-02-2023 |
|---|---|
| Einddatum consultatie | 12-03-2023 |
| Status | Gesloten |
| Type consultatie | Beleidsnota |
| Organisatie | Ministerie van Binnenlandse Zaken en Koninkrijksrelaties |
| Onderwerpen | Organisatie en beleid ICT Organisatie en beleid |
Publicatie reacties
Reacties worden gepubliceerd tijdens de loop van de consultatie. Alleen die reacties worden gepubliceerd waarvan is aangeven, door de inzender, dat deze openbaar mogen zijn.
Doelgroepen die door de regeling worden geraakt
Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
Verwachte effecten van de regeling voor de doelgroepen
Het is van groot belang dat we onze digitale gegevens veilig en makkelijk met elkaar kunnen uitwisselen. Forum Standaardisatie helpt dit mogelijk te maken door open standaarden te toetsen en voor te schrijven aan publieke organisaties.
Sommige belangrijke standaarden worden te weinig gebruikt door de publieke sector. Het Forum Standaardisatie kan deze standaarden verplicht stellen volgens de ‘pas toe of leg uit’-verplichting. Deze verplichting geldt voor alle overheidsorganisaties: gemeenten, provincies, rijk, waterschappen en uitvoeringsorganisaties.
De standaard security.txt draagt bij aan een veiliger internet doordat meldingen over kwetsbaarheden in een dienst of systeem sneller terecht komen bij de juiste personen binnen een organisatie. Hierdoor kunnen kwetsbaarheden sneller worden verholpen en is de kans kleiner dat cybercriminelen kwetsbaarheden gebruiken.
Op dit moment is er geen eenduidige wijze waarop kwetsbaarheden gemeld kunnen worden bij organisaties die systemen hebben die bereikbaar zijn via http of https en verbonden zijn aan het internet. Experts die betrokken waren bij het expertonderzoek, adviseren daarom om security.txt te verplichten aan de overheid (via ‘pas toe of leg uit’-verplichting) via opname op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie.
Experts stellen vast dat er voldoende ervaring en draagvlak is binnen de Nederlandse overheid voor security.txt. De standaard heeft een lage drempel voor de (technische) implementatie ervan. Er is ondersteuning beschikbaar (kennis en tools) vanuit de Nederlandse overheid die wordt voortgezet na verplichting van security.txt aan overheden.
Waarop kunt u reageren
Wij stellen u in de gelegenheid om te reageren op bijgevoegde vragen. U hoeft alleen te reageren op het onderwerp waarop u commentaar heeft.
Daarnaast kunt u elke aanvullende overweging meegeven aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), die van invloed kan zijn op het besluit om security.txt te verplichten aan de overheid (‘pas toe of leg uit’-verplichting).
Alle reacties die wij binnen de termijn ontvangen worden door het Forum Standaardisatie in beschouwing genomen.
Downloads
- Beleidsnota
20230209-Expertadvies-security.txt-v.1.1
Externe bronnen
Toetsingsprocedure
Bron: forumstandaardisatie.nl