Eigenschap:Adoptieadviezen
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Adviezen vanuit het Forum Standaardisatie aan diverse betrokkenen om de adoptie van de standaard te bevorderen.
Subeigenschap van
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
A
Het Forum Standaardisatie doet een oproep:
# Aan de indiener om te vragen te starten met het verzamelen van best practices en hierbij betrokken partijen te het verzoeken zich kenbaar te laten maken als kennisbron met betrekking tot de AdES standaarden.
# Aan de indiener om met de stakeholders bepalen of er behoefte is aan een onderzoek naar aanvullende standaarden voor het beschrijven van tijdstempelautoriteiten.
# Aan PKI Overheid om over te gaan op onderzoek naar mogelijkheden voor aanpassing van de middelen om tijdstempels te ondersteunen bij het gebruik van een PKI certificaat.
# Aan het Forum Standaardisatie om te vragen om over twee jaar na opname van de standaard te beoordelen of de kwantitatieve behoefte aan de standaard voldoende aanwezig is en hoe de adoptie van de verloopt.
# Aan het Forum Standaardisatie om bij opnamen een toelichting op te nemen, waarbij het verschil en de overeenkomst tussen een gewone (ook wel natte) handtekening, een elektronische handtekening, een geavanceerde en een gekwalificeerde elektronische handtekening wordt uitgelegd met een verwijzing naar artikel 15a Boek 3 van het Burgerlijk wetboek en de Richtlijn 1999/93/EG van het Europees Parlement.
+
Het Forum Standaardisatie doet een oproep:
# Aan de indiener om te vragen te starten met het verzamelen van best practices en hierbij betrokken partijen te het verzoeken zich kenbaar te laten maken als kennisbron met betrekking tot de AdES standaarden.
# Aan de indiener om met de stakeholders bepalen of er behoefte is aan een onderzoek naar aanvullende standaarden voor het beschrijven van tijdstempelautoriteiten.
# Aan PKI Overheid om over te gaan op onderzoek naar mogelijkheden voor aanpassing van de middelen om tijdstempels te ondersteunen bij het gebruik van een PKI certificaat.
# Aan het Forum Standaardisatie om te vragen om over twee jaar na opname van de standaard te beoordelen of de kwantitatieve behoefte aan de standaard voldoende aanwezig is en hoe de adoptie van de verloopt.
# Aan het Forum Standaardisatie om bij opnamen een toelichting op te nemen, waarbij het verschil en de overeenkomst tussen een gewone (ook wel natte) handtekening, een elektronische handtekening, een geavanceerde en een gekwalificeerde elektronische handtekening wordt uitgelegd met een verwijzing naar artikel 15a Boek 3 van het Burgerlijk wetboek en de Richtlijn 1999/93/EG van het Europees Parlement.
+
Deze zijn als volgt (bron: [https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen%20OS/Aquo-standaarden/Forumadvies-Aquo-2015-2.pdf Forumadvies Aquo 2015 dd 20 april 2016]):
# De oproep aan IHW om te ondersteunen bij het verkleinen van het gat tussen de inhoudelijke kennis van gegevensbeheerders en de technische aspecten van de standaard. Bij gegevensbeheer is niet altijd de kennis aanwezig om de technische aspecten van de standaard te kunnen doorgronden. Een uitleg van de tooling zou hierbij helpen of bijvoorbeeld een leergang via IHW om de kennis te verhogen. Daarnaast is het van belang dat ook door leveranciers een meer eenduidige implementatie ontstaat van de standaard en dat er niet aparte profielen ontstaan.
# De oproep aan IHW om een betere uitleg en uitbreiding van de tooling te realiseren om te kunnen toetsen op conformiteit. Hierbij gaat het om de uitwisselformaten XML en CSV en het kunnen toetsen in de operationele omgeving in de vorm van een leesbare tabel.
# De oproep aan IHW, Het Waterschapshuis en het Forum Standaardisatie om te bespreken hoe softwareleveranciers meer gestimuleerd kunnen worden om te participeren bij de ontwikkeling, adoptie en gebruik van de standaard.
# De oproep aan IHW om de decodeercode van en naar de database van XML/CSV vrij te geven, zodat organisaties dit kunnen gebruiken om databases/softwarepakketten beter aan te laten sluiten op de Aquo-standaard.
# De oproep aan het Ministerie van Infrastructuur en Milieu (programmabureau BRO), TNO (Dino Loket) en Informatiehuis Water (Aquo Standaard) om in overleg te gaan en het gebruik van Aquo binnen de Basisregistratie Ondergrond (BRO) voor het domein grondwater te gebruiken voor die gegevenselementen die de standaard afdekt.
# De oproep aan Provincies en Rijkswaterstaat om binnen de Regieraad Interconnectiviteit de rol van Aquo binnen de Omgevingswet toe te lichten.
# De oproep aan TNO en IHW om gezamenlijk te kijken wat de mogelijkheden zijn om Aquo via het DINO Loket te ondersteunen.
Deze zijn als volgt (bron: [https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen%20OS/Aquo-standaarden/Forumadvies-Aquo-2015-2.pdf Forumadvies Aquo 2015 dd 20 april 2016]):
# De oproep aan IHW om te ondersteunen bij het verkleinen van het gat tussen de inhoudelijke kennis van gegevensbeheerders en de technische aspecten van de standaard. Bij gegevensbeheer is niet altijd de kennis aanwezig om de technische aspecten van de standaard te kunnen doorgronden. Een uitleg van de tooling zou hierbij helpen of bijvoorbeeld een leergang via IHW om de kennis te verhogen. Daarnaast is het van belang dat ook door leveranciers een meer eenduidige implementatie ontstaat van de standaard en dat er niet aparte profielen ontstaan.
# De oproep aan IHW om een betere uitleg en uitbreiding van de tooling te realiseren om te kunnen toetsen op conformiteit. Hierbij gaat het om de uitwisselformaten XML en CSV en het kunnen toetsen in de operationele omgeving in de vorm van een leesbare tabel.
# De oproep aan IHW, Het Waterschapshuis en het Forum Standaardisatie om te bespreken hoe softwareleveranciers meer gestimuleerd kunnen worden om te participeren bij de ontwikkeling, adoptie en gebruik van de standaard.
# De oproep aan IHW om de decodeercode van en naar de database van XML/CSV vrij te geven, zodat organisaties dit kunnen gebruiken om databases/softwarepakketten beter aan te laten sluiten op de Aquo-standaard.
# De oproep aan het Ministerie van Infrastructuur en Milieu (programmabureau BRO), TNO (Dino Loket) en Informatiehuis Water (Aquo Standaard) om in overleg te gaan en het gebruik van Aquo binnen de Basisregistratie Ondergrond (BRO) voor het domein grondwater te gebruiken voor die gegevenselementen die de standaard afdekt.
# De oproep aan Provincies en Rijkswaterstaat om binnen de Regieraad Interconnectiviteit de rol van Aquo binnen de Omgevingswet toe te lichten.
# De oproep aan TNO en IHW om gezamenlijk te kijken wat de mogelijkheden zijn om Aquo via het DINO Loket te ondersteunen.
B
* Partijen die nu de Juriconnect-standaard BWB gebruiken worden opgeroepen om de standaard verder te implementeren en voorbeelden te publiceren hoe de standaard kan worden gebruikt.
* Juriconnect en KOOP worden opgeroepen om de link-maker1 van KOOP zichtbaarder te maken op de websites van Juriconnect en KOOP.
* Juriconnect wordt opgeroepen om in begrijpelijke taal uit te leggen voor wie de standaard bedoeld is, hoe de standaard werkt, en hoe je deze kan toepassen.
* Juriconnect wordt opgeroepen om te communiceren over de standaard met partijen die deze zouden kunnen gebruiken.
+
* Partijen die nu de Juriconnect-standaard BWB gebruiken worden opgeroepen om de standaard verder te implementeren en voorbeelden te publiceren hoe de standaard kan worden gebruikt.
* Juriconnect en KOOP worden opgeroepen om de link-maker1 van KOOP zichtbaarder te maken op de websites van Juriconnect en KOOP.
* Juriconnect wordt opgeroepen om in begrijpelijke taal uit te leggen voor wie de standaard bedoeld is, hoe de standaard werkt, en hoe je deze kan toepassen.
* Juriconnect wordt opgeroepen om te communiceren over de standaard met partijen die deze zouden kunnen gebruiken.
+
C
* Aan Logius: Maak een implementatiehandleiding (met voorbeeld) hoe op de juiste manier een CAA-record opgenomen kan worden voor PKI-overheidscertificaten, met de duidelijke verwijzing naar de te gebruiken referenties. Beschrijf daarbij ook de verschillende mogelijkheden en de implicaties van die mogelijkheden. Maak duidelijk wat de mogelijke consequentie(s) is (zijn) bij het foutief configureren van een CAA-record. Zoals bijvoorbeeld dat het heruitgeven of verlengen van een certificaat door dezelfde CA geblokkeerd worden.
* Aan Internet.nl: Voeg de mogelijkheid op controle van een CAA-record toe op Internet.nl.
* Aan alle overheden: Hanteer bij de implementatie van CAA de beveiligingsadviezen van het [https://www.ncsc.nl/onderwerpen/verbindingsbeveiliging/documenten/factsheets/2019/juni/01/factsheet-veilig-beheer-van-digitale-certificaten NCSC].
* Aan DPC:Zodra internet.nl op CAA-ondersteuning kan testen en de standaard op de lijst aanbevolen standaarden staat: Breid de gepubliceerde testresultaten in het publieke websiteregister van de Rijksoverheid (http://websiteregisterrijksoverheid.nl/) uit met CAA- scores
+
* Aan Logius: Maak een implementatiehandleiding (met voorbeeld) hoe op de juiste manier een CAA-record opgenomen kan worden voor PKI-overheidscertificaten, met de duidelijke verwijzing naar de te gebruiken referenties. Beschrijf daarbij ook de verschillende mogelijkheden en de implicaties van die mogelijkheden. Maak duidelijk wat de mogelijke consequentie(s) is (zijn) bij het foutief configureren van een CAA-record. Zoals bijvoorbeeld dat het heruitgeven of verlengen van een certificaat door dezelfde CA geblokkeerd worden.
* Aan Internet.nl: Voeg de mogelijkheid op controle van een CAA-record toe op Internet.nl.
* Aan alle overheden: Hanteer bij de implementatie van CAA de beveiligingsadviezen van het [https://www.ncsc.nl/onderwerpen/verbindingsbeveiliging/documenten/factsheets/2019/juni/01/factsheet-veilig-beheer-van-digitale-certificaten NCSC].
* Aan DPC:Zodra internet.nl op CAA-ondersteuning kan testen en de standaard op de lijst aanbevolen standaarden staat: Breid de gepubliceerde testresultaten in het publieke websiteregister van de Rijksoverheid (http://websiteregisterrijksoverheid.nl/) uit met CAA- scores
+
Ten aanzien van de adoptie van de standaard werden de volgende additionele adviezen gedaan:
# Om tijdig op nieuwe ontwikkelingen rondom CMIS in te spelen is het belangrijk om op de hoogte te zijn van de ontwikkelingen rondom de standaard. DGOBR heeft toegezegd om namens de Nederlandse rijksoverheid de monitoring te organiseren voor ontwikkelingen rondom CMIS en waar nodig een standpunt (van de Nederlandse rijksoverheid) in te brengen in de technische commissie CMIS bij OASIS.
# Het programma Digitale Taken Rijksarchieven 2015 heeft toegezegd om CMIS te betrekken in haar onderzoek naar interoperabiliteitseisen voor het rijksarchief. Verder gaat het programma na in hoeverre CMIS in combinatie kan worden gebruikt met de Richtlijn Metagegevens Overheidsinformatie en het bijhorende Toepassingsprofiel Metagegevens Rijksoverheid. De resultaten hiervan dienen gedeeld te worden met het Forum.
# Organisaties die binnen hun sector of domein over organisatiegrenzen heen documenten en andere ongestructureerde gegevens willen uitwisselen met behulp van CMIS en die (bovenop CMIS) een toepassingsprofiel nodig hebben, worden opgeroepen om dit toepassingsprofiel gezamenlijk voor de gehele sector te definiëren, zoals is gebeurd voor en door gemeenten.
# Het Forum Standaardisatie wordt opgeroepen om de gebruikservaringen met CMIS te verzamelen en te publiceren bij of na opname op de lijst. Denk hierbij in het bijzonder aan praktijkvoorbeelden, waarin CMIS en Digikoppeling en/of SAML gecombineerd worden toegepast. +
Ten aanzien van de adoptie van de standaard werden de volgende additionele adviezen gedaan:
# Om tijdig op nieuwe ontwikkelingen rondom CMIS in te spelen is het belangrijk om op de hoogte te zijn van de ontwikkelingen rondom de standaard. DGOBR heeft toegezegd om namens de Nederlandse rijksoverheid de monitoring te organiseren voor ontwikkelingen rondom CMIS en waar nodig een standpunt (van de Nederlandse rijksoverheid) in te brengen in de technische commissie CMIS bij OASIS.
# Het programma Digitale Taken Rijksarchieven 2015 heeft toegezegd om CMIS te betrekken in haar onderzoek naar interoperabiliteitseisen voor het rijksarchief. Verder gaat het programma na in hoeverre CMIS in combinatie kan worden gebruikt met de Richtlijn Metagegevens Overheidsinformatie en het bijhorende Toepassingsprofiel Metagegevens Rijksoverheid. De resultaten hiervan dienen gedeeld te worden met het Forum.
# Organisaties die binnen hun sector of domein over organisatiegrenzen heen documenten en andere ongestructureerde gegevens willen uitwisselen met behulp van CMIS en die (bovenop CMIS) een toepassingsprofiel nodig hebben, worden opgeroepen om dit toepassingsprofiel gezamenlijk voor de gehele sector te definiëren, zoals is gebeurd voor en door gemeenten.
# Het Forum Standaardisatie wordt opgeroepen om de gebruikservaringen met CMIS te verzamelen en te publiceren bij of na opname op de lijst. Denk hierbij in het bijzonder aan praktijkvoorbeelden, waarin CMIS en Digikoppeling en/of SAML gecombineerd worden toegepast. +
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van '''7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies voor COINS:'''
* De standaard heeft zijn ‘end of life’ bereikt. Dit wordt onderschreven door alle geïnterviewde experts en ook actief uitgedragen op de website van de beheerder BIM Loket.
* Er is al een vervangende standaard voor COINS: ICDD, die in combinatie met NTA 8035 wordt gezien als vervanger voor COINS. Ook dit wordt onderschreven door alle geïnterviewde experts en actief uitgedragen door de beheerder van COINS.
* COINS wordt nog maar door twee partijen (Rijkswaterstaat en Provincie Gelderland) toegepast en deze geven aan het gebruik van de standaard af te bouwen.
* Een standaard voor het in samenhang uitwisselen van bouwinformatie heeft toegevoegde waarde en verdient zijn plek op de lijst open standaarden van het Forum Standaardisatie.
Ten aanzien van COINS worden aan het Forum Standaardisatie de volgende aanbevelingen gedaan:
# Start per direct de procedure voor verwijdering van COINS van de lijst open standaarden van het Forum Standaardisatie.
# Nodig BIM Loket per direct uit om '''ICDD en NTA 8035 aan te melden''' voor opname op de lijst open standaarden van het Forum Standaardisatie, en start op basis hiervan de procedure voor aanmelding van de standaard op de ‘Pas toe of leg uit’-lijst. +
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van '''7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies voor COINS:'''
* De standaard heeft zijn ‘end of life’ bereikt. Dit wordt onderschreven door alle geïnterviewde experts en ook actief uitgedragen op de website van de beheerder BIM Loket.
* Er is al een vervangende standaard voor COINS: ICDD, die in combinatie met NTA 8035 wordt gezien als vervanger voor COINS. Ook dit wordt onderschreven door alle geïnterviewde experts en actief uitgedragen door de beheerder van COINS.
* COINS wordt nog maar door twee partijen (Rijkswaterstaat en Provincie Gelderland) toegepast en deze geven aan het gebruik van de standaard af te bouwen.
* Een standaard voor het in samenhang uitwisselen van bouwinformatie heeft toegevoegde waarde en verdient zijn plek op de lijst open standaarden van het Forum Standaardisatie.
Ten aanzien van COINS worden aan het Forum Standaardisatie de volgende aanbevelingen gedaan:
# Start per direct de procedure voor verwijdering van COINS van de lijst open standaarden van het Forum Standaardisatie.
# Nodig BIM Loket per direct uit om '''ICDD en NTA 8035 aan te melden''' voor opname op de lijst open standaarden van het Forum Standaardisatie, en start op basis hiervan de procedure voor aanmelding van de standaard op de ‘Pas toe of leg uit’-lijst. +
D
Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
# Digivaardig & Digiveilig om burgers te informeren over het veilig gebruik van e-mail die afkomstig is van overheden (bijv. m.b.t. het uitvragen van DigiD-gegevens). Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis (hyperlink document).
# Het Nationaal Cyber Security Centrum (NCSC) om via Waarschuwingsdienst.nl melding te doen van relevante spam- en phishingactiviteiten die in naam van overheidsorganisaties worden uitgevoerd.
# Het NCSC om een richtlijn (analoog aan en in aanvulling op de “ICT-Beveiligingsrichtlijnen voor webapplicaties”) over veilig en betrouwbaar e-mailverkeer op te stellen voor overheidsorganisaties. Laat daarin ook de aanbeveling opnemen om, naast DKIM, additioneel SPF voor e-mailverzending in te zetten en beschouw de samenhang met andere standaarden. Laat hierin ook wijzen op het nut van DKIM verificatie door de overheid zelf, om phishing en spoofing gericht tegen overheidspartijen en ambtenaren zichtbaar te maken.
# Beheerders (o.a. ICTU, Logius) van domeinen met een hoog risico op phishing/spam activiteiten (bijv. DigiD, Overheid.nl, MijnOverheid.nl, etc.) om DKIM te gebruiken bij het uitsturen van e-mails.
Het College Standaardisatie beveelt aan om, naast DKIM, additioneel Sender Policy Framework (SPF) voor e-mailverzending in te zetten. SPF is vastgelegd in RFC 4408 van IETF. +
Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
# Digivaardig & Digiveilig om burgers te informeren over het veilig gebruik van e-mail die afkomstig is van overheden (bijv. m.b.t. het uitvragen van DigiD-gegevens). Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis (hyperlink document).
# Het Nationaal Cyber Security Centrum (NCSC) om via Waarschuwingsdienst.nl melding te doen van relevante spam- en phishingactiviteiten die in naam van overheidsorganisaties worden uitgevoerd.
# Het NCSC om een richtlijn (analoog aan en in aanvulling op de “ICT-Beveiligingsrichtlijnen voor webapplicaties”) over veilig en betrouwbaar e-mailverkeer op te stellen voor overheidsorganisaties. Laat daarin ook de aanbeveling opnemen om, naast DKIM, additioneel SPF voor e-mailverzending in te zetten en beschouw de samenhang met andere standaarden. Laat hierin ook wijzen op het nut van DKIM verificatie door de overheid zelf, om phishing en spoofing gericht tegen overheidspartijen en ambtenaren zichtbaar te maken.
# Beheerders (o.a. ICTU, Logius) van domeinen met een hoog risico op phishing/spam activiteiten (bijv. DigiD, Overheid.nl, MijnOverheid.nl, etc.) om DKIM te gebruiken bij het uitsturen van e-mails.
Het College Standaardisatie beveelt aan om, naast DKIM, additioneel Sender Policy Framework (SPF) voor e-mailverzending in te zetten. SPF is vastgelegd in RFC 4408 van IETF. +
Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:
# Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
# Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
# Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
# Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
# Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
# De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:
# Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
# Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
# Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
# Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
# Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
# De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
# Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC.
# Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.
# De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren. Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. +
Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
# Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC.
# Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.
# De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren. Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. +
E
Een punt van aandacht is het bevorderen van het gebruik van de ECLI_NL standaard in het rechtsprekende domein, waaronder Rechtbanken en de Hoven alsmede de Raad van State. De expertgroep adviseert adoptie te stimuleren bij deze partijen. De Raad voor de Rechtspraak kan als nationale ECLI coördinator door het Forum worden gevraagd om adoptie in het juridisch domein (verder) te stimuleren. +
Een punt van aandacht is het bevorderen van het gebruik van de ECLI_NL standaard in het rechtsprekende domein, waaronder Rechtbanken en de Hoven alsmede de Raad van State. De expertgroep adviseert adoptie te stimuleren bij deze partijen. De Raad voor de Rechtspraak kan als nationale ECLI coördinator door het Forum worden gevraagd om adoptie in het juridisch domein (verder) te stimuleren. +
Een punt van aandacht is het bevorderen van het gebruik van de ECLI_NL standaard in het rechtsprekende domein, waaronder Rechtbanken en de Hoven alsmede de Raad van State. De expertgroep adviseert adoptie te stimuleren bij deze partijen. De Raad voor de Rechtspraak kan als nationale ECLI coördinator door het Forum worden gevraagd om adoptie in het juridisch domein (verder) te stimuleren. +
ETSI +
ETSI +
Om de adoptie van de Erfgoedstandaard te bevorderen zijn de volgende adviezen meegegeven:
# Forum Standaardisatie wordt opgeroepen om te vragen om over een jaar na opname van de standaard de voortgang en opvolging van de adoptieadviezen na te gaan bij de beheerorganisatie, met hierin extra aandacht voor inrichten van beheer conform BOMOS en voor financiering voor beheer (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om afstemming met Geonovum voort te zetten en aanbevelingen van Geonovum over te nemen in de doorontwikkeling van de standaard (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om de IMG100.000+ (en VIAG) beroepsverenigingen informatiemanagers te gebruiken voor adoptie van de standaard bij de gemeenten.
# Beheerorganisatie wordt opgeroepen om te zorgen voor een gestandaardiseerde representatie en implementatie van het informatiemodel zodat de standaard makkelijker geadopteerd en geïmplementeerd kan worden. Gebruik bij het documenteren van het model UML en volg de MIM standaard, zoals al is ingezet (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om eerst een REST API beschikbaar te stellen en daarna linked data te implementeren. Dit geeft bijvoorbeeld ICT leveranciers concrete handvatten voor implementatie en ondersteuning van de standaard (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om te zorgen voor voldoende financiering van de benodigde tooling (zoals API) die nodig is om de adoptie van de standaard verder te brengen (dit advies is opgevolgd per april 2023). +
Om de adoptie van de Erfgoedstandaard te bevorderen zijn de volgende adviezen meegegeven:
# Forum Standaardisatie wordt opgeroepen om te vragen om over een jaar na opname van de standaard de voortgang en opvolging van de adoptieadviezen na te gaan bij de beheerorganisatie, met hierin extra aandacht voor inrichten van beheer conform BOMOS en voor financiering voor beheer (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om afstemming met Geonovum voort te zetten en aanbevelingen van Geonovum over te nemen in de doorontwikkeling van de standaard (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om de IMG100.000+ (en VIAG) beroepsverenigingen informatiemanagers te gebruiken voor adoptie van de standaard bij de gemeenten.
# Beheerorganisatie wordt opgeroepen om te zorgen voor een gestandaardiseerde representatie en implementatie van het informatiemodel zodat de standaard makkelijker geadopteerd en geïmplementeerd kan worden. Gebruik bij het documenteren van het model UML en volg de MIM standaard, zoals al is ingezet (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om eerst een REST API beschikbaar te stellen en daarna linked data te implementeren. Dit geeft bijvoorbeeld ICT leveranciers concrete handvatten voor implementatie en ondersteuning van de standaard (dit advies is opgevolgd per april 2023).
# Beheerorganisatie wordt opgeroepen om te zorgen voor voldoende financiering van de benodigde tooling (zoals API) die nodig is om de adoptie van de standaard verder te brengen (dit advies is opgevolgd per april 2023). +
H
Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:
# Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.
# Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).
# Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.
# Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.
# Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.
# Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie. +
Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:
# Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.
# Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).
# Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.
# Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.
# Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.
# Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie. +
I
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies en aanbevelingen voor IFC:'''
# Stimuleer een goede verbinding en afstemming met de andere bouwstandaarden, met name met NLCS.
# Blijf de standaard ontwikkelen in lijn met BGT en IMBOR.
# Stimuleer dat de nieuwe versie van de standaard binnen een beperkte periode wordt geïmplementeerd door de softwareleveranciers en met name de grote marktleiders. Maak daarbij ook gebruik van opdrachtgevers binnen de overheid en de Europese Unie.
# Zorg voor meer kennis van de standaard en benoem de ontwikkelingen en toepassingsvoordelen binnen de overheid.
De hieronder huidige oproep blijft van kracht:
Het College Standaardisatie adviseert overheidsorganisaties om daar waar mogelijk uit te gaan van de zogenaamde ‘coordination view’ binnen IFC. Het Rijksvastgoedbedrijf schrijft de IFC-standaard voor via het Rijksvastgoedbedrijf Bouwwerk Informatie Model Norm. +
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies en aanbevelingen voor IFC:'''
# Stimuleer een goede verbinding en afstemming met de andere bouwstandaarden, met name met NLCS.
# Blijf de standaard ontwikkelen in lijn met BGT en IMBOR.
# Stimuleer dat de nieuwe versie van de standaard binnen een beperkte periode wordt geïmplementeerd door de softwareleveranciers en met name de grote marktleiders. Maak daarbij ook gebruik van opdrachtgevers binnen de overheid en de Europese Unie.
# Zorg voor meer kennis van de standaard en benoem de ontwikkelingen en toepassingsvoordelen binnen de overheid.
De hieronder huidige oproep blijft van kracht:
Het College Standaardisatie adviseert overheidsorganisaties om daar waar mogelijk uit te gaan van de zogenaamde ‘coordination view’ binnen IFC. Het Rijksvastgoedbedrijf schrijft de IFC-standaard voor via het Rijksvastgoedbedrijf Bouwwerk Informatie Model Norm. +
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies en aanbevelingen voor IFC:'''
# Stimuleer een goede verbinding en afstemming met de andere bouwstandaarden, met name met NLCS.
# Blijf de standaard ontwikkelen in lijn met BGT en IMBOR.
# Stimuleer dat de nieuwe versie van de standaard binnen een beperkte periode wordt geïmplementeerd door de softwareleveranciers en met name de grote marktleiders. Maak daarbij ook gebruik van opdrachtgevers binnen de overheid en de Europese Unie.
# Zorg voor meer kennis van de standaard en benoem de ontwikkelingen en toepassingsvoordelen binnen de overheid.
De hieronder huidige oproep blijft van kracht:
Het College Standaardisatie adviseert overheidsorganisaties om daar waar mogelijk uit te gaan van de zogenaamde ‘coordination view’ binnen IFC. Het Rijksvastgoedbedrijf schrijft de IFC-standaard voor via het Rijksvastgoedbedrijf Bouwwerk Informatie Model Norm. +
Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
# Op dit moment is het restant aan IPv4-adressen zeer beperkt. Daardoor kan de interoperabiliteit tussen systemen op relatief korte termijn niet meer gegarandeerd worden. Delen van het internet (in zowel binnen- als buitenland) zullen door het tekort namelijk "IPv6-only" worden. De desbetreffende systemen zijn alleen bereikbaar via IPv6 en kunnen niet communiceren met systemen die alleen IPv4 gebruiken. Dit zal ook de (semi-)publieke sector raken. Het is daarom cruciaal dat de (semi-) publieke sector tijdig investeert in IPv6.
# Toevoeging van IPv6 in combinatie met IPv4 aan de lijst met open standaarden voor 'Pas toe of leg uit' betekent dat nieuw aan te schaffen informatiesystemen met beide versies overweg moet kunnen. IPv4 is op dit moment alom gebruikt. IPv6 is niet backwards compatible met IPv4. De komende periode zullen IPv4 en IPv6 gelijktijdig gebruikt worden. Om interoperabiliteit met zowel de nieuwe IPv6-praktijk als de bestaande IPv4-praktijk te borgen, zijn beide versies van de standaard opgenomen.
# De kern van de IPv6 standaard is gespecificeerd in RFC 2460. Daarnaast betreft de opname een aantal specificaties die een noodzakelijke voorwaarde zijn om IPv6 in de praktijk succesvol te kunnen inzetten en gebruiken, namelijk: RFC 1981, RFC 4443, RFC 4861, RFC 4862, RFC 4291, RFC 4294 en RFC 4213. RFC 4213 is een specificatie voor transitie en co-existentie (o.a. “dual stack”). In deze specificatie wordt ook verwezen naar de relevante specificaties voor IPv4. +
Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
# Op dit moment is het restant aan IPv4-adressen zeer beperkt. Daardoor kan de interoperabiliteit tussen systemen op relatief korte termijn niet meer gegarandeerd worden. Delen van het internet (in zowel binnen- als buitenland) zullen door het tekort namelijk "IPv6-only" worden. De desbetreffende systemen zijn alleen bereikbaar via IPv6 en kunnen niet communiceren met systemen die alleen IPv4 gebruiken. Dit zal ook de (semi-)publieke sector raken. Het is daarom cruciaal dat de (semi-) publieke sector tijdig investeert in IPv6.
# Toevoeging van IPv6 in combinatie met IPv4 aan de lijst met open standaarden voor 'Pas toe of leg uit' betekent dat nieuw aan te schaffen informatiesystemen met beide versies overweg moet kunnen. IPv4 is op dit moment alom gebruikt. IPv6 is niet backwards compatible met IPv4. De komende periode zullen IPv4 en IPv6 gelijktijdig gebruikt worden. Om interoperabiliteit met zowel de nieuwe IPv6-praktijk als de bestaande IPv4-praktijk te borgen, zijn beide versies van de standaard opgenomen.
# De kern van de IPv6 standaard is gespecificeerd in RFC 2460. Daarnaast betreft de opname een aantal specificaties die een noodzakelijke voorwaarde zijn om IPv6 in de praktijk succesvol te kunnen inzetten en gebruiken, namelijk: RFC 1981, RFC 4443, RFC 4861, RFC 4862, RFC 4291, RFC 4294 en RFC 4213. RFC 4213 is een specificatie voor transitie en co-existentie (o.a. “dual stack”). In deze specificatie wordt ook verwezen naar de relevante specificaties voor IPv4. +
J
De expertgroep stelde ten tijde van de toetsing als voorwaarde dat Juriconnect het draft beheerplan voor de standaarden BWB, JCDR en ECLI formaliseerde en publiekelijk beschikbaar maakte. Aan deze voorwaarde is voldaan: op de website van Juriconnect is het beheerplan te vinden van deze standaarden. +
De expertgroep stelde ten tijde van de toetsing als voorwaarde dat Juriconnect het draft beheerplan voor de standaarden BWB, JCDR en ECLI formaliseerde en publiekelijk beschikbaar maakte. Aan deze voorwaarde is voldaan: op de website van Juriconnect is het beheerplan te vinden van deze standaarden. +
De expertgroep stelde ten tijde van de toetsing als voorwaarde dat Juriconnect het draft beheerplan voor de standaarden BWB, JCDR en ECLI formaliseerde en publiekelijk beschikbaar maakte. Aan deze voorwaarde is voldaan: op de website van Juriconnect is het beheerplan te vinden van deze standaarden. +
N
Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
# De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
# Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
# De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
# Het is geen eis om deze standaarden bij ''alle'' inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
# In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden. +
Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
# De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
# Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
# De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
# Het is geen eis om deze standaarden bij ''alle'' inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
# In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden. +
Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
# De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
# Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
# De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
# Het is geen eis om deze standaarden bij ''alle ''inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
# In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden. +
Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
# De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
# Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
# De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
# Het is geen eis om deze standaarden bij ''alle ''inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
# In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden. +
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies voor NLCS:'''
* Er is nog steeds sprake van toegevoegde waarde van de standaard; deze lijkt toe te nemen door de toekomstige uitbreidingen.
* De standaard heeft sinds de plaatsing op de ‘Pas toe of leg uit’-lijst geleid tot een hogere adoptie van de standaard. Dit heeft geresulteerd in meer gebruikers en daarmee ook meer draagvlak.
* Er is sprake van een open standaardisatieproces, maar er is ruimte voor verbetering. Op dit moment vormt de openbare consultatie (nog) geen onderdeel van het standaardisatieproces.
* Gezien de ontwikkelingen die zijn gericht op uitbreiding (stedelijk spoor), verbinding met GWSW, IMKL en BGT, en verrijking (3D ontwikkelingen), heeft NLCS nog meer dan voldoende toekomstperspectief.
* Alle betrokkene experts waren vol lof en enthousiasme over de standaard, ook degene die in het verleden kritisch zijn geweest. De experts van ProRail hebben hun overwegingen om de standaard niet te hanteren duidelijk toegelicht.
Ten aanzien van NLCS worden aan het Forum Standaardisatie de volgende aanbevelingen gedaan:
# De standaard handhaven op de ‘Pas toe of leg uit’-lijst.
# Gelet op de ontwikkelingen i.r.t. IFC en de opmerkingen van ProRail is het verstandig om '''binnen vijf jaar een evaluatie van de standaard te doen.'''
De hieronder huidige adoptie adviezen blijven van kracht, het gaat om de volgende oproepen:
# Het BIM Loket wordt opgeroepen om begin 2018 de vastgestelde en gepubliceerde beheerdocumentatie onder de aandacht te brengen bij (potentieel) gebruikers van NLCS.
# Semipublieke organisaties en waterschappen worden opgeroepen om deel te nemen aan de overlegstructuur van NLCS.
# Het BIM Loket wordt opgeroepen om inzichtelijk te maken welke partijen gebruik maken van de NLCS.
# Het BIM Loket wordt opgeroepen om een ‘implementatie best practice’ op te stellen voor zowel kleine als grote(re) organisaties.
# Het BIM Loket wordt opgeroepen om de interactie tussen (potentieel) gebruikers (opdrachtgevers en opdrachtnemers) en leveranciers te verhogen door bijvoorbeeld gebruikersbijeenkomsten te organiseren.
# De Vereniging van Nederlandse Gemeenten (VNG), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) CUMELA Nederland, MKB INFRA en Kabel- en Leiding Overleg (KLO) worden opgeroepen om meer bekendheid te geven aan het nut en de noodzaak voor NLCS. Het BIM Loket kan hierbij ondersteunen.
# Het Forum Standaardisatie wordt opgeroepen om bij opname van de standaard op de ‘Pas toe of leg uit’-lijst duidelijk te stellen waar de verplichting voor deze, en soortgelijke, standaarden ligt.
* De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond.''' Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies voor NLCS:'''
* Er is nog steeds sprake van toegevoegde waarde van de standaard; deze lijkt toe te nemen door de toekomstige uitbreidingen.
* De standaard heeft sinds de plaatsing op de ‘Pas toe of leg uit’-lijst geleid tot een hogere adoptie van de standaard. Dit heeft geresulteerd in meer gebruikers en daarmee ook meer draagvlak.
* Er is sprake van een open standaardisatieproces, maar er is ruimte voor verbetering. Op dit moment vormt de openbare consultatie (nog) geen onderdeel van het standaardisatieproces.
* Gezien de ontwikkelingen die zijn gericht op uitbreiding (stedelijk spoor), verbinding met GWSW, IMKL en BGT, en verrijking (3D ontwikkelingen), heeft NLCS nog meer dan voldoende toekomstperspectief.
* Alle betrokkene experts waren vol lof en enthousiasme over de standaard, ook degene die in het verleden kritisch zijn geweest. De experts van ProRail hebben hun overwegingen om de standaard niet te hanteren duidelijk toegelicht.
Ten aanzien van NLCS worden aan het Forum Standaardisatie de volgende aanbevelingen gedaan:
# De standaard handhaven op de ‘Pas toe of leg uit’-lijst.
# Gelet op de ontwikkelingen i.r.t. IFC en de opmerkingen van ProRail is het verstandig om '''binnen vijf jaar een evaluatie van de standaard te doen.'''
De hieronder huidige adoptie adviezen blijven van kracht, het gaat om de volgende oproepen:
# Het BIM Loket wordt opgeroepen om begin 2018 de vastgestelde en gepubliceerde beheerdocumentatie onder de aandacht te brengen bij (potentieel) gebruikers van NLCS.
# Semipublieke organisaties en waterschappen worden opgeroepen om deel te nemen aan de overlegstructuur van NLCS.
# Het BIM Loket wordt opgeroepen om inzichtelijk te maken welke partijen gebruik maken van de NLCS.
# Het BIM Loket wordt opgeroepen om een ‘implementatie best practice’ op te stellen voor zowel kleine als grote(re) organisaties.
# Het BIM Loket wordt opgeroepen om de interactie tussen (potentieel) gebruikers (opdrachtgevers en opdrachtnemers) en leveranciers te verhogen door bijvoorbeeld gebruikersbijeenkomsten te organiseren.
# De Vereniging van Nederlandse Gemeenten (VNG), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) CUMELA Nederland, MKB INFRA en Kabel- en Leiding Overleg (KLO) worden opgeroepen om meer bekendheid te geven aan het nut en de noodzaak voor NLCS. Het BIM Loket kan hierbij ondersteunen.
# Het Forum Standaardisatie wordt opgeroepen om bij opname van de standaard op de ‘Pas toe of leg uit’-lijst duidelijk te stellen waar de verplichting voor deze, en soortgelijke, standaarden ligt.
* De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
Additionele Forum-adviezen ten aanzien van de adoptie van de standaard:
Het oproepen van het ministerie van EZ de kwaliteit en de duurzaamheid van het beheer te borgen door:
# Afstemming met de beheerders van de in de NTA gebruikte standaarden, structureel onderdeel te maken van het beheerproces. Min. EZ wordt gevraagd hierover, een half jaar na opname, te rapporteren aan Forum Standaardisatie.
# Voor het eindigen van het programma Ondernemingsdossier in 2016, een onderzoek uit te voeren naar het toekomstige beheer van de standaard, voordat in 2016 wordt besloten de markt het beheer van de standaard over te laten nemen.
Het oproepen van het ministerie van EZ de vergoeding die moet worden betaald voor het verkrijgen van de standaard af te kopen voor minimaal de opstartfase van de standaard (tot 2016).
Het oproepen van het ministerie van EZ een implementatieplan op te stellen, waarin concrete acties en beschikbare middelen worden benoemd die overheden en marktpartijen ondersteunen bij de implementatie van de standaard. Min. EZ wordt gevraagd hierover, een half jaar na opname, te rapporteren aan Forum Standaardisatie.
Het oproepen van het ministerie van EZ om de ontwikkelingen rondom het ‘Omgevingsloket’, dat momenteel ook wordt uitgerold binnen gemeenten, te volgen en hier zo nodig afstemming in te zoeken.
Tot slot wordt het ministerie van EZ opgeroepen om, in overeenstemming met VNG Realisatie, in de volgende versie van de NTA aanvullend de taxonomie van de StUF standaard op te nemen. Zodat die versie volledig StUF-compliant zal zijn. Deze volgende versie van de NTA dient ter toetsing te worden voorgelegd aan Forum en College.
Het oproepen van NEN om de procesafspraken, die gelden bij het beheren en doorontwikkelen van de NTA, onderdeel te maken van de documentatie van de NTA zelf. Specifiek gaat het om de vermelding van de geldigheidsduur van de NTA en de procesafspraken die gelden voor kleine en grote wijzigingen aan de NTA. +
Additionele Forum-adviezen ten aanzien van de adoptie van de standaard:
Het oproepen van het ministerie van EZ de kwaliteit en de duurzaamheid van het beheer te borgen door:
# Afstemming met de beheerders van de in de NTA gebruikte standaarden, structureel onderdeel te maken van het beheerproces. Min. EZ wordt gevraagd hierover, een half jaar na opname, te rapporteren aan Forum Standaardisatie.
# Voor het eindigen van het programma Ondernemingsdossier in 2016, een onderzoek uit te voeren naar het toekomstige beheer van de standaard, voordat in 2016 wordt besloten de markt het beheer van de standaard over te laten nemen.
Het oproepen van het ministerie van EZ de vergoeding die moet worden betaald voor het verkrijgen van de standaard af te kopen voor minimaal de opstartfase van de standaard (tot 2016).
Het oproepen van het ministerie van EZ een implementatieplan op te stellen, waarin concrete acties en beschikbare middelen worden benoemd die overheden en marktpartijen ondersteunen bij de implementatie van de standaard. Min. EZ wordt gevraagd hierover, een half jaar na opname, te rapporteren aan Forum Standaardisatie.
Het oproepen van het ministerie van EZ om de ontwikkelingen rondom het ‘Omgevingsloket’, dat momenteel ook wordt uitgerold binnen gemeenten, te volgen en hier zo nodig afstemming in te zoeken.
Tot slot wordt het ministerie van EZ opgeroepen om, in overeenstemming met VNG Realisatie, in de volgende versie van de NTA aanvullend de taxonomie van de StUF standaard op te nemen. Zodat die versie volledig StUF-compliant zal zijn. Deze volgende versie van de NTA dient ter toetsing te worden voorgelegd aan Forum en College.
Het oproepen van NEN om de procesafspraken, die gelden bij het beheren en doorontwikkelen van de NTA, onderdeel te maken van de documentatie van de NTA zelf. Specifiek gaat het om de vermelding van de geldigheidsduur van de NTA en de procesafspraken die gelden voor kleine en grote wijzigingen aan de NTA. +
O
OAuth 2.0 moet worden toegepast met [https://forumstandaardisatie.nl/open-standaarden/nl-gov-assurance-profile-oauth-20 NL GOV Assurance profile for OAuth 2.0,] het profiel dat is ontwikkeld voor toepassing bij de Nederlandse overheid. +
OAuth 2.0 moet worden toegepast met [https://forumstandaardisatie.nl/open-standaarden/nl-gov-assurance-profile-oauth-20 NL GOV Assurance profile for OAuth 2.0,] het profiel dat is ontwikkeld voor toepassing bij de Nederlandse overheid. +
Bij de opname op de 'pas toe of leg uit'-lijst deed het College Standaardisatie de volgende oproepen ten aanzien van de adoptie van de standaard:
# Het opnieuw onderschrijven dat burgers en bedrijven mogen eisen dat een overheidsorganisatie een officebestand in ODF aanlevert en dat zij het recht hebben documenten in ODF aan te leveren.
# Het door Bureau Forum Standaardisatie laten uitwerken van een plan voor het voortzetten van de ondersteunende activiteiten rondom de adoptie van ODF (o.a. het actualiseren van de ‘[http://www.noraonline.nl/images/noraonline/c/c1/NOiV_handreiking_open_documentstandaarden1.pdf Handreiking Open Documentformaten voor de Overheid]’) van het programmabureau ‘Nederland Open in Verbinding’. Dit gebeurd samen met partijen in de community (zoals de [https://nlnet.nl/project/opendocsoc/ OpenDoc Society] en de ODF gebruikersgroep voor overheden) Het uitgangspunt hierbij moet zijn dat het Forum Standaardisatie een faciliterende rol heeft en dat de activiteiten zoveel mogelijk een plaats krijgen bij de diverse community-partijen.
# Het oproepen van verantwoordelijke ministeries om in regelgeving te verwijzen naar standaarden op de lijst voor ‘pas toe of leg uit’ (en niet naar producten van specifieke leveranciers) en waar nodig bestaande regelgeving hier op aan te passen.
# Het oproepen van standaardisatie-organisatie OASIS om het versiebeheer van ODF zodanig in te richten dat onduidelijkheid over verschillende versies kan worden weggenomen.
+
Bij de opname op de 'pas toe of leg uit'-lijst deed het College Standaardisatie de volgende oproepen ten aanzien van de adoptie van de standaard:
# Het opnieuw onderschrijven dat burgers en bedrijven mogen eisen dat een overheidsorganisatie een officebestand in ODF aanlevert en dat zij het recht hebben documenten in ODF aan te leveren.
# Het door Bureau Forum Standaardisatie laten uitwerken van een plan voor het voortzetten van de ondersteunende activiteiten rondom de adoptie van ODF (o.a. het actualiseren van de ‘[http://www.noraonline.nl/images/noraonline/c/c1/NOiV_handreiking_open_documentstandaarden1.pdf Handreiking Open Documentformaten voor de Overheid]’) van het programmabureau ‘Nederland Open in Verbinding’. Dit gebeurd samen met partijen in de community (zoals de [https://nlnet.nl/project/opendocsoc/ OpenDoc Society] en de ODF gebruikersgroep voor overheden) Het uitgangspunt hierbij moet zijn dat het Forum Standaardisatie een faciliterende rol heeft en dat de activiteiten zoveel mogelijk een plaats krijgen bij de diverse community-partijen.
# Het oproepen van verantwoordelijke ministeries om in regelgeving te verwijzen naar standaarden op de lijst voor ‘pas toe of leg uit’ (en niet naar producten van specifieke leveranciers) en waar nodig bestaande regelgeving hier op aan te passen.
# Het oproepen van standaardisatie-organisatie OASIS om het versiebeheer van ODF zodanig in te richten dat onduidelijkheid over verschillende versies kan worden weggenomen.
+
Bij de opname heeft het College Standaardisatie de beheerder opgeroepen om een viertal aanvullende acties uit te voeren, namelijk:
# Een lijst met leveranciers op te stellen die de standaard ondersteunen;
# Een community met gebruikers vorm te geven die op termijn ook bij kunnen dragen aan de financiering van het beheer;
# Binnen een jaar na opname ervoor te zorgen dat de waardelijsten ook onderdeel worden van de standaard en de nieuwe versie van de standaard opnieuw aan te melden bij het Forum;
# Het initiatief Schema.org en de relatie met OWMS in de gaten te houden. Het Forum te informeren als er hieromtrent relevante ontwikkelingen zijn.
Het Forum Standaardisatie heeft op 7 oktober 2020 groen licht gegeven voor het starten van [https://forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf een verwijderingsprocedure van OWMS] van de ‘pas toe of leg uit’-lijst. Op 2 februari 2023 stemde het OBDO in met het niet meer verplichten of aanbevelen van OWMS aan de overheid. +
Bij de opname heeft het College Standaardisatie de beheerder opgeroepen om een viertal aanvullende acties uit te voeren, namelijk:
# Een lijst met leveranciers op te stellen die de standaard ondersteunen;
# Een community met gebruikers vorm te geven die op termijn ook bij kunnen dragen aan de financiering van het beheer;
# Binnen een jaar na opname ervoor te zorgen dat de waardelijsten ook onderdeel worden van de standaard en de nieuwe versie van de standaard opnieuw aan te melden bij het Forum;
# Het initiatief Schema.org en de relatie met OWMS in de gaten te houden. Het Forum te informeren als er hieromtrent relevante ontwikkelingen zijn.
Het Forum Standaardisatie heeft op 7 oktober 2020 groen licht gegeven voor het starten van [https://forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf een verwijderingsprocedure van OWMS] van de ‘pas toe of leg uit’-lijst. Op 2 februari 2023 stemde het OBDO in met het niet meer verplichten of aanbevelen van OWMS aan de overheid. +
P
Aan overheidsorganisaties waaronder ook gemeenten, provincies en waterschappen:
* Zorg voor voldoende bestuurlijke aandacht voor toegankelijkheid en maak duidelijk dat toegankelijkheid en PDF/UA een organisatieverantwoordelijkheid zijn. Benoem dat toegankelijkheid en PDF/UA bijdragen aan een inclusieve maatschappij;
* Benoem in een organisatie naast een “information security officer” en “privacy officer” ook een “accessibility officer”. Dit geeft meer belang aan het onderwerp en bestendigt aandacht voor toegankelijkheid in de organisatie;
Aan “shared service organisations” (SSO’s) van de overheid, en aan overheidsorganisaties die grote contracten met leveranciers van kantoorsoftware hebben:
* Ga met leveranciers gesprek om de marktondersteuning voor PDF/UA te verbeteren. Er is vooral gebrek aan software waarmee je PDF/UA kan exporteren uit gangbare kantoorapplicaties. Met name shared service organisaties (SSO’s) en overheidsorganisaties die grote contracten hebben met leveranciers van kantoorsoftware kunnen druk uitoefenen op de markt.
Aan het Forum Standaardisatie en OBDO:
* Toegankelijkheid is niet alleen een zorg van ICT- en communicatie-professionals, maar ook van juristen en inkoop. Doe een “call to action” aan deze beroepsgroepen;
* Faciliteer op de website van het Forum Standaardisatie een [https://www.forumstandaardisatie.nl/beslisboom/beslisboom-open-standaarden beslisboom] die organisaties helpt beslissen welke documentstandaard toegepast moet worden op welk soort informatie. Hierbij moeten niet publiceren en publiceren in formaten anders dan PDF (met name html) ook onderbouwde opties worden.
* Verwijs bij de standaarden met betrekking tot digitale toegankelijkheid, die al op de pas-toe-of-leg-uit lijst staan, naar PDF-UA;
* Beoordeel over een jaar nogmaals of de standaard PDF/UA niet moet worden opgenomen op de pas-toe-of-leg-uit lijst.
+
R
* Aan Forum Standaardisatie om duidelijkheid te geven over de samenhang tussen verschillende standaarden –met name de samenhang tussen StUF en standaarden gerelateerd aan API’s– eventueel door het publiceren van een beslisboom.<br />
* Aan Logius (beheerder Digikoppeling) om expliciet aandacht te geven aan de samenhang en transitie van Digikoppeling en REST API Design Rules.<br />
* Aan Logius als beheerorganisatie om te waken voor een evenredige vertegenwoordiging van verschillende disciplines (zoals ontwikkelaars, ontwerpers, architecten en beleidsmakers) in de werkgroep bij het ontwikkel- en beheerproces van de standaard.<br />
* Aan de Werkgroep API Design Rules van het Kennisplatform API's om te werken aan verdere inhoudelijke ontwikkeling van de standaard om deze volwassener te maken en openstaande technische ‘issues’ weg te werken. Het Kennisplatform API's heeft toegezegd hier zo snel mogelijk mee aan de slag te gaan.
+
* Aan Forum Standaardisatie om duidelijkheid te geven over de samenhang tussen verschillende standaarden –met name de samenhang tussen StUF en standaarden gerelateerd aan API’s– eventueel door het publiceren van een beslisboom.<br />
* Aan Logius (beheerder Digikoppeling) om expliciet aandacht te geven aan de samenhang en transitie van Digikoppeling en REST API Design Rules.<br />
* Aan Logius als beheerorganisatie om te waken voor een evenredige vertegenwoordiging van verschillende disciplines (zoals ontwikkelaars, ontwerpers, architecten en beleidsmakers) in de werkgroep bij het ontwikkel- en beheerproces van de standaard.<br />
* Aan de Werkgroep API Design Rules van het Kennisplatform API's om te werken aan verdere inhoudelijke ontwikkeling van de standaard om deze volwassener te maken en openstaande technische ‘issues’ weg te werken. Het Kennisplatform API's heeft toegezegd hier zo snel mogelijk mee aan de slag te gaan.
+
Aan NLnet Labs om advies en documentatie over het gebruik van RPKI te communiceren. Dit geldt voor zowel het faciliteren van online documentatie als het adviseren van het gebruik van RPKI.
Aan experts van de standaard RPKI om het Forum Standaardisatie actief te informeren over beschikbare vervolgstappen op het gebied van Route Origin Validation. De experts monitoren het speelveld van RPKI en zullen het Forum Standaardisatie actief informeren bij nieuwe ontwikkelingen.
Aan Rijkswaterstaat om in de verlenging van de Rijksbrede internetdiensten (het ON2013 raamcontract: https://on2013.nl/) toepassing van RPKI van leveranciers te vereisen.
Aan het Forum Standaardisatie om te monitoren op de juiste toepassing van de standaard, met name op het publiceren van ROA’s en het valideren met het principe “invalid = reject”.<br />
Het Platform Internetstandaarden wordt opgeroepen om monitoring van RPKI publicaties te faciliteren via het platform internet.nl
Aan RIPE NCC om in gesprek te gaan met partijen over de invulling en intensiveren van cursussen over RPKI met partijen die hierin geïnteresseerd zijn.<br /> +
Aan NLnet Labs om advies en documentatie over het gebruik van RPKI te communiceren. Dit geldt voor zowel het faciliteren van online documentatie als het adviseren van het gebruik van RPKI.
Aan experts van de standaard RPKI om het Forum Standaardisatie actief te informeren over beschikbare vervolgstappen op het gebied van Route Origin Validation. De experts monitoren het speelveld van RPKI en zullen het Forum Standaardisatie actief informeren bij nieuwe ontwikkelingen.
Aan Rijkswaterstaat om in de verlenging van de Rijksbrede internetdiensten (het ON2013 raamcontract: https://on2013.nl/) toepassing van RPKI van leveranciers te vereisen.
Aan het Forum Standaardisatie om te monitoren op de juiste toepassing van de standaard, met name op het publiceren van ROA’s en het valideren met het principe “invalid = reject”.<br />
Het Platform Internetstandaarden wordt opgeroepen om monitoring van RPKI publicaties te faciliteren via het platform internet.nl
Aan RIPE NCC om in gesprek te gaan met partijen over de invulling en intensiveren van cursussen over RPKI met partijen die hierin geïnteresseerd zijn.<br /> +
S
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
* Oproep aan gebruikende organisaties voor het opstellen van een handreiking voor de implementatie/het gebruik van S/MIME bij de meest voorkomende e-mailapplicaties. Bijvoorbeeld opname op internet.nl.
* Oproep aan gebruikende organisaties om een businesscase op te stellen. Dit helpt organisaties die nadenken over mogelijk gebruik van de standaard.
* Oproep aan softwareleveranciers om bij webmail-omgevingen meer ondersteuning van S/MIME te bieden. +
''Adviezen over SAML die in opdracht van het Forum Standaardisatie zijn uitgebracht''
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS_49-04-05A_Expertadvies_adoptie_SAML.pdf Expertadvies adoptie SAML 2.0] (3 april 2014)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180314.3C%20Evaluatie%20SAML%202.0.pdf Evaluatie SAML 2.0] (29 januari 2018)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180314.3%20Oplegnotitie%20Lijsten%20Open%20Standaarden.pdf Oplegnotitie Forum Standaardistaie Evaluatie SAML 2.0] (14 maart 2018)
''Advisering van het Forum Standaardisatie aan eID over SAML''
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/09.%20FS%2042-02-05C%20Notitie%20eID%20en%20Forum%20Standaardisatie.pdf Adviesrol Forum Standaardisatie bij eID-stelsel] (5 februari 2013)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/11.%20FS%2043-04-06D%20Adviesrol_FS_eID-stelsel.pdf Invulling adviesrol Forum Standaardisatie t.b.v. eID-stelsel NL] (29 maart 2013)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%2045-09-07C%2020130822_Notitie_reactie_eID_v09.pdf Reactie op 'Ontwerp op hoofdlijnen van de werking van het eID Stelsel NL] ' (22 augustus 2013)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20170614.3%20Oplegnotitie%20Adoptie%20Open%20Standaarden.pdf Review Uniforme Set van Eisen - eID] (14 juni 2017)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20181212.4E%20Notitie%20eID%20over%20OIDC.pdf Routeringsvoorziening en OIDC koppelvlak] (7 november 2018) +
''Adviezen over SAML die in opdracht van het Forum Standaardisatie zijn uitgebracht''
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS_49-04-05A_Expertadvies_adoptie_SAML.pdf Expertadvies adoptie SAML 2.0] (3 april 2014)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180314.3C%20Evaluatie%20SAML%202.0.pdf Evaluatie SAML 2.0] (29 januari 2018)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180314.3%20Oplegnotitie%20Lijsten%20Open%20Standaarden.pdf Oplegnotitie Forum Standaardistaie Evaluatie SAML 2.0] (14 maart 2018)
''Advisering van het Forum Standaardisatie aan eID over SAML''
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/09.%20FS%2042-02-05C%20Notitie%20eID%20en%20Forum%20Standaardisatie.pdf Adviesrol Forum Standaardisatie bij eID-stelsel] (5 februari 2013)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/11.%20FS%2043-04-06D%20Adviesrol_FS_eID-stelsel.pdf Invulling adviesrol Forum Standaardisatie t.b.v. eID-stelsel NL] (29 maart 2013)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%2045-09-07C%2020130822_Notitie_reactie_eID_v09.pdf Reactie op 'Ontwerp op hoofdlijnen van de werking van het eID Stelsel NL] ' (22 augustus 2013)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20170614.3%20Oplegnotitie%20Adoptie%20Open%20Standaarden.pdf Review Uniforme Set van Eisen - eID] (14 juni 2017)
* [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20181212.4E%20Notitie%20eID%20over%20OIDC.pdf Routeringsvoorziening en OIDC koppelvlak] (7 november 2018) +
Bij de opname op de "Pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan:
# de bancaire sector om initiatief te nemen voor implementatieondersteuning en voor verdere standaardisatie;
# SEPA Nederland om operationele aspecten van de migratie te verbeteren en ervoor te zorgen dat ervaringen worden gedeeld.
# de Nederlandse overheid om de betrokkenheid van Nederland bij de (door-) ontwikkeling van de SEPA-standaarden te vergroten. Dit kan middels een afvaardiging van de Nederlandse overheid in het Stakeholder Forum of het voordragen van een Nederlands onafhankelijk lid in het Scheme Management Committee. Het ministerie van Financiën lijkt voor beide activiteiten de meest aangewezen partij.
Deze activiteiten zijn opgepakt en ingevuld. +
SHA-2 vervangt MD5 op de lijst met gangbare standaarden. MD5 wordt afgeraden i.v.m. beveiligingsproblemen. +
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
# Het ministerie van Infrastructuur en Milieu wordt opgeroepen om te onderzoeken of het mogelijk is om het gebruik van SIKB0101 verplicht te stellen voor de elektronische uitwisseling van (milieuhygiënische) bodemgegevens tussen bedrijven en overheden, tussen burgers en overheden en tussen overheden onderling. De digitale levering van gegevens uit door derden uitgevoerd onderzoek zou bijvoorbeeld kunnen worden geborgd in toekomstige wet- en regelgeving, zoals de herziene Wet bodembescherming en de Omgevingswet.
# Het ministerie van Infrastructuur en Milieu wordt opgeroepen om ervoor te zorgen dat XML-bestanden worden geaccepteerd in het digitale berichtenverkeer in verband met vergunningsprocessen en Omgevingsloket Online en Activiteitenbesluit Internet Module hierop aan te passen (deze ondersteunen nu alleen PDF-bestanden).
# VNG en IPO worden opgeroepen om gemeenten en provincies aan te sporen om onderling afspraken te maken over het aanleveren – conform SIKB0101 – van informatie voor het Bodemloket en zo het Bodemloket een impuls te geven.
# Het Bureau Forum Standaardisatie en SIKB worden opgeroepen om gezamenlijk te kijken hoe ze kunnen samenwerken om SIKB0101 onder de aandacht te brengen en adoptie van de standaard te bevorderen. +
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
# Het ministerie van Infrastructuur en Milieu wordt opgeroepen om te onderzoeken of het mogelijk is om het gebruik van SIKB0101 verplicht te stellen voor de elektronische uitwisseling van (milieuhygiënische) bodemgegevens tussen bedrijven en overheden, tussen burgers en overheden en tussen overheden onderling. De digitale levering van gegevens uit door derden uitgevoerd onderzoek zou bijvoorbeeld kunnen worden geborgd in toekomstige wet- en regelgeving, zoals de herziene Wet bodembescherming en de Omgevingswet.
# Het ministerie van Infrastructuur en Milieu wordt opgeroepen om ervoor te zorgen dat XML-bestanden worden geaccepteerd in het digitale berichtenverkeer in verband met vergunningsprocessen en Omgevingsloket Online en Activiteitenbesluit Internet Module hierop aan te passen (deze ondersteunen nu alleen PDF-bestanden).
# VNG en IPO worden opgeroepen om gemeenten en provincies aan te sporen om onderling afspraken te maken over het aanleveren – conform SIKB0101 – van informatie voor het Bodemloket en zo het Bodemloket een impuls te geven.
# Het Bureau Forum Standaardisatie en SIKB worden opgeroepen om gezamenlijk te kijken hoe ze kunnen samenwerken om SIKB0101 onder de aandacht te brengen en adoptie van de standaard te bevorderen. +
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
# Aan de SIKB om – nog meer dan nu - zorg te dragen dat met name kleine partijen ondersteuning krijgen.
# Aan de SIKB om de betrokkenheid van de archeologische sector te verbeteren door een steviger vertegenwoordiging van systeemleveranciers/ontwikkelaars in het CCvD datastandaarden te realiseren.
# Aan VNG om SIKB0102 compliant software op te nemen in de gemeentelijke software catalogus.
# Aan de organisatoren van de Reuvensdagen (De Stichting Reuvens, de Programmacommissie en het organiserend team), de RCE, DANS en de SIKB om de komende jaren tijdens de Reuvensdagen aandacht te besteden aan ontwikkelingen en implementaties van SIKB0102. Dit kan bijvoorbeeld met gerichte call for papers of call for sessions aan de belanghebbenden op dit onderwerp.
# Aan de RCE om het Archeologisch Basis Register (ABR) samen met het archeologisch werkveld door te ontwikkelen met gebruikmaking van een goed, participatief model.
# Aan de SIKB / het CCvD datastandaarden om de monitoring van de adoptie op te pakken met een nulmeting in 2015 en daarna iedere 2 jaar een voortgangsmeting. De meting moet niet alleen aandacht besteden aan de partijen die wel gebruik maken van de standaard maar ook de partijen die dat niet doen.
# Aan de SIKB om voor de langere termijn de wijze van financiering van SIKB0102 duurzaam in richten. +
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
# Aan de SIKB om – nog meer dan nu - zorg te dragen dat met name kleine partijen ondersteuning krijgen.
# Aan de SIKB om de betrokkenheid van de archeologische sector te verbeteren door een steviger vertegenwoordiging van systeemleveranciers/ontwikkelaars in het CCvD datastandaarden te realiseren.
# Aan VNG om SIKB0102 compliant software op te nemen in de gemeentelijke software catalogus.
# Aan de organisatoren van de Reuvensdagen (De Stichting Reuvens, de Programmacommissie en het organiserend team), de RCE, DANS en de SIKB om de komende jaren tijdens de Reuvensdagen aandacht te besteden aan ontwikkelingen en implementaties van SIKB0102. Dit kan bijvoorbeeld met gerichte call for papers of call for sessions aan de belanghebbenden op dit onderwerp.
# Aan de RCE om het Archeologisch Basis Register (ABR) samen met het archeologisch werkveld door te ontwikkelen met gebruikmaking van een goed, participatief model.
# Aan de SIKB / het CCvD datastandaarden om de monitoring van de adoptie op te pakken met een nulmeting in 2015 en daarna iedere 2 jaar een voortgangsmeting. De meting moet niet alleen aandacht besteden aan de partijen die wel gebruik maken van de standaard maar ook de partijen die dat niet doen.
# Aan de SIKB om voor de langere termijn de wijze van financiering van SIKB0102 duurzaam in richten. +
Om de adoptie van SKOS te bevorderen zijn de volgende adviezen meegegeven:
# Platform Linked Data Nederland wordt opgeroepen om de mogelijkheid en de behoefte te onderzoeken van een duurzaam register van alle publiek beschikbare KOS.
# Platform Linked Data Nederland wordt opgeroepen om aandacht te vragen voor SKOS via publicatie van artikelen in dagbladen /vakbladen/online/etc. De opname op de lijst is een goed moment om dat samen met Bureau Forum Standaardisatie op te pakken.
# Platform Linked Data Nederland wordt opgeroepen om te toetsen of opname van SKOS in de NORA mogelijk is.
# Platform Linked Data Nederland wordt opgeroepen om trainingen te verzorgen die de implementatie en het gebruik van SKOS moeten bevorderen.
# Platform Linked Data Nederland en Bureau Forum Standaardisatie worden opgeroepen om te kijken hoe de voortgang en de mate van adoptie inzichtelijk gemaakt kan worden.
# Forum standaardisatie wordt opgeroepen om de relatie tot RDF op de lijst te verduidelijken. +
Om de adoptie van SKOS te bevorderen zijn de volgende adviezen meegegeven:
# Platform Linked Data Nederland wordt opgeroepen om de mogelijkheid en de behoefte te onderzoeken van een duurzaam register van alle publiek beschikbare KOS.
# Platform Linked Data Nederland wordt opgeroepen om aandacht te vragen voor SKOS via publicatie van artikelen in dagbladen /vakbladen/online/etc. De opname op de lijst is een goed moment om dat samen met Bureau Forum Standaardisatie op te pakken.
# Platform Linked Data Nederland wordt opgeroepen om te toetsen of opname van SKOS in de NORA mogelijk is.
# Platform Linked Data Nederland wordt opgeroepen om trainingen te verzorgen die de implementatie en het gebruik van SKOS moeten bevorderen.
# Platform Linked Data Nederland en Bureau Forum Standaardisatie worden opgeroepen om te kijken hoe de voortgang en de mate van adoptie inzichtelijk gemaakt kan worden.
# Forum standaardisatie wordt opgeroepen om de relatie tot RDF op de lijst te verduidelijken. +
Waarschuwing van NCSC over mogelijke kwetsbaarheden door onveilige SNMP-configuratie d.d. 1 nov 2012. Zie: https://www.ncsc.nl/actueel/nieuwsberichten/netwerken-kwetsbaar-door-onveilige-snmp-configuratie.html +
Het Forum en Nationaal Beraad gaf in 2016 ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:
# Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
# NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
# Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
# Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
# VNG wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
# Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
# De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
# Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
# NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard MTA-STS in de gaten te houden en wanneer MTA-STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.
Bij de uitbreiding van het functioneel toepassingsgebied in 2018 werden de volgende aanvullende adviezen gedaan:
# Het OBDO wordt opgeroepen de ondersteuning van STARTTLS in combinatie met DANE door leveranciers nader te laten onderzoeken en als vertegenwoordiger van de Nederlandse overheid de leveranciers om betere ondersteuning te vragen.
# Het Forum Standaardisatie wordt opgeroepen om over een jaar de stand van zaken rond de alternatieve technologie MTA-STS te evalueren.
# Het Forum Standaardisatie wordt opgeroepen om de infographic over e-mailbeveiligingsstandaarden uit te breiden om zodoende de relatie van STARTTLS en DANE met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven.
# Organisaties die STARTTLS en DANE toepassen worden opgeroepen de standaarden te implementeren volgens de adviezen van het NCSC.
# SIDN wordt opgeroepen om DANE voor mail onderdeel te maken van de incentiveregeling op basis van de Registrar Scorecard.
# VNG-Realisatie wordt opgeroepen om de GEMMA Softwarecatalogus aan te passen als het OBDO instemt met uitbreiding van het functioneel uitbreidingsgebied van STARTLS en DANE met uitgaande e-mail-servers. Daarmee krijgen gemeenten beter inzicht in de toepassing van deze standaarden.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
Het Forum en Nationaal Beraad gaf in 2016 ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:
# Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
# NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
# Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
# Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
# VNG wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
# Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
# De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
# Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
# NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard MTA-STS in de gaten te houden en wanneer MTA-STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.
Bij de uitbreiding van het functioneel toepassingsgebied in 2018 werden de volgende aanvullende adviezen gedaan:
# Het OBDO wordt opgeroepen de ondersteuning van STARTTLS in combinatie met DANE door leveranciers nader te laten onderzoeken en als vertegenwoordiger van de Nederlandse overheid de leveranciers om betere ondersteuning te vragen.
# Het Forum Standaardisatie wordt opgeroepen om over een jaar de stand van zaken rond de alternatieve technologie MTA-STS te evalueren.
# Het Forum Standaardisatie wordt opgeroepen om de infographic over e-mailbeveiligingsstandaarden uit te breiden om zodoende de relatie van STARTTLS en DANE met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven.
# Organisaties die STARTTLS en DANE toepassen worden opgeroepen de standaarden te implementeren volgens de adviezen van het NCSC.
# SIDN wordt opgeroepen om DANE voor mail onderdeel te maken van de incentiveregeling op basis van de Registrar Scorecard.
# VNG-Realisatie wordt opgeroepen om de GEMMA Softwarecatalogus aan te passen als het OBDO instemt met uitbreiding van het functioneel uitbreidingsgebied van STARTLS en DANE met uitgaande e-mail-servers. Daarmee krijgen gemeenten beter inzicht in de toepassing van deze standaarden.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
Ten aanzien van de adoptie van STIX 1.2.1 en TAXII 1.1.1 worden de volgende adviezen gegeven:
# Het Forum Standaardisatie roept het NCSC op om samen met betrokkenen een leidraad op te stellen, al dan niet als onderdeel van een bestaand kennisproduct, ten behoeve van het eenduidig gebruik van de standaarden. De toepassing van STIX en TAXII zal veel effectiever zijn als ook op het vlak van semantiek standaardisatie plaatsvindt. De leidraad moet dit borgen. Onderdeel van de leidraad dient ook te zijn dat bij het gebruik van STIX en TAXII de toepassing van CybOx wordt geadviseerd.
# Het Forum Standaardisatie adviseert het NCSC om mede in de context van het Nationaal Detectie Netwerk (een samenwerking van onder andere het NCSC voor het beter en sneller waarnemen van digitale gevaren en risico's) kennisbijeenkomsten te organiseren voor het verspreiden van kennis over en ervaring met het gebruik van STIX en TAXII.
# Het Forum Standaardisatie roept betrokkenen bij SOC’s (security operations centres) en CERT’s (computer emergency response teams) binnen de overheid en publieke sector op om kennis op te doen over de meerwaarde en toepassing van de uitwisseling van gestructureerde dreigingsinformatie met STIX en TAXII.
# Het Forum Standaardisatie roept overheden die STIX en TAXII toepassen op om informatie over de meerwaarde van het gebruik voor hen en best practices te delen.
# Het Forum Standaardisatie roept VNG op om in de GGI (gemeentelijke gemeenschappelijke infrastructuur) STIX en TAXII toe te passen in het SOC (security operations center). +
Ten aanzien van de adoptie van STIX 1.2.1 en TAXII 1.1.1 worden de volgende adviezen gegeven:
# Het Forum Standaardisatie roept het NCSC op om samen met betrokkenen een leidraad op te stellen, al dan niet als onderdeel van een bestaand kennisproduct, ten behoeve van het eenduidig gebruik van de standaarden. De toepassing van STIX en TAXII zal veel effectiever zijn als ook op het vlak van semantiek standaardisatie plaatsvindt. De leidraad moet dit borgen. Onderdeel van de leidraad dient ook te zijn dat bij het gebruik van STIX en TAXII de toepassing van CybOx wordt geadviseerd.
# Het Forum Standaardisatie adviseert het NCSC om mede in de context van het Nationaal Detectie Netwerk (een samenwerking van onder andere het NCSC voor het beter en sneller waarnemen van digitale gevaren en risico's) kennisbijeenkomsten te organiseren voor het verspreiden van kennis over en ervaring met het gebruik van STIX en TAXII.
# Het Forum Standaardisatie roept betrokkenen bij SOC’s (security operations centres) en CERT’s (computer emergency response teams) binnen de overheid en publieke sector op om kennis op te doen over de meerwaarde en toepassing van de uitwisseling van gestructureerde dreigingsinformatie met STIX en TAXII.
# Het Forum Standaardisatie roept overheden die STIX en TAXII toepassen op om informatie over de meerwaarde van het gebruik voor hen en best practices te delen.
# Het Forum Standaardisatie roept VNG op om in de GGI (gemeentelijke gemeenschappelijke infrastructuur) STIX en TAXII toe te passen in het SOC (security operations center). +
T
Aan Forum Standaardisatie:<br />
Behoud de oudere versie TLS 1.2 eveneens op de lijst onder de voorwaarde dat deze door het NCSC niet als onveilig worden aangemerkt.
Aan overheidsorganisaties:<br />
Controleer regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.
Aan NCSC:
* Actualiseer de richtlijnen voor veilige TLS-configuratie en neem daar ook TLS 1.3 in op.
* Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep kan de vraagbaakfunctie worden vormgegeven via de schakelorganisaties van NCSC (zoals VNG/IBD).
* Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus TLS wijzigt.
Aan Logius/PKIoverheid:
* Breng de geactualiseerde NCSC-richtlijn actief onder de aandacht bij de uitgifte van certificaten aan de gebruikers van PKIoverheid.
Aan Platform Internetstandaarden:
* Ondersteun ook TLS 1.3 in de testen van Internet.nl. +
Aan Forum Standaardisatie:<br />
Behoud de oudere versie TLS 1.2 eveneens op de lijst onder de voorwaarde dat deze door het NCSC niet als onveilig worden aangemerkt.
Aan overheidsorganisaties:<br />
Controleer regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.
Aan NCSC:
* Actualiseer de richtlijnen voor veilige TLS-configuratie en neem daar ook TLS 1.3 in op.
* Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep kan de vraagbaakfunctie worden vormgegeven via de schakelorganisaties van NCSC (zoals VNG/IBD).
* Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus TLS wijzigt.
Aan Logius/PKIoverheid:
* Breng de geactualiseerde NCSC-richtlijn actief onder de aandacht bij de uitgifte van certificaten aan de gebruikers van PKIoverheid.
Aan Platform Internetstandaarden:
* Ondersteun ook TLS 1.3 in de testen van Internet.nl. +
V
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond. '''Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies, en adoptie adviezen voor VISI. '''
1. Geef BIM Loket aan dat opname van VISI op de ‘Pas toe of leg uit’-lijst alleen behouden blijft als uiterlijk 3 jaar na dit advies, dus op '''1 september 2024''', het aantal softwareleveranciers dat VISI gecertificeerd is (volledig VISI of VISI-light) en VISI verifieerbaar en actief ondersteunen, is verbeterd, en dat de toegankelijkheid tot de standaard is verbeterd door:
* verbetering van de documentatie,
* invoering meerdere certificeringsniveaus, waaronder een VISI-light-certificering,
* en andere door BIM Loket nader te bepalen maatregelen, waaronder bijvoorbeeld een vastgestelde API voor berichtuitwisseling conform vaste berichtdefinities.
2. Vraag BIM Loket om halfjaarlijks aan het Bureau Forum Standaardisatie over voorgaande te rapporteren, en treed met Bureau Forum Standaardisatie in overleg hierover.
3. Mochten de bovengenoemde data niet worden gehaald, start dan de procedure tot verwijdering van VISI van de lijst open standaarden van het Forum Standaardisatie. Deze procedure bestaat uit de volgens fases: intake en gesprek met BIM Loket, consultatie bij experts, advies aan het Bureau Forum Standaardisatie en eventuele verwijdering van de Lijst Open Standaarden van het Forum Standaardisatie. Hierbij wordt door Bureau Forum Standaardisatie uiteraard redelijkheid en billijkheid betracht.
4. Ken '''niet''' het predicaat ‘uitstekend beheer’ toe aan het BIM Loket, vanwege de tekortkoming op beheer. Start de procedure voor de toekenning van het predicaat ‘uitstekend beheer’ nadat de zaken onder punt 1 zijn afgehandeld.
Het hele onderzoek is terug te lezen in het [[/www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden|evaluatierapport van de bouwstandaarden]].
De hieronder huidige adviezen blijft van kracht:
* Brancheondernemingen en -vertegenwoordigers worden opgeroepen om het gebruik van VISI in de burger en utiliteitsbouw (B&U)-sector een impuls te geven door VISI meer te promoten in deze sector. Bijvoorbeeld door het inzichtelijk maken van de status van adoptie van VISI.
* CROW wordt opgeroepen om het VISI-netwerk te mobiliseren om de toegevoegde waarde van VISI te benadrukken, VISI aan te bevelen en het gebruik van de standaard te stimuleren.
* Het Forum Standaardisatie wordt opgeroepen om met name bij gemeenten en provincies het gebruik van VISI (en bouwstandaarden) onder de aandacht te brengen via de leden van het Forum.
* CROW en Bouw Informatie Raad (BIR) worden aanbevolen om de voortgang van de inzet van de adoptie-instrumenten en de mate van adoptie inzichtelijk te maken.
In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond. '''Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
'''Hieronder de conclusies, en adoptie adviezen voor VISI. '''
1. Geef BIM Loket aan dat opname van VISI op de ‘Pas toe of leg uit’-lijst alleen behouden blijft als uiterlijk 3 jaar na dit advies, dus op '''1 september 2024''', het aantal softwareleveranciers dat VISI gecertificeerd is (volledig VISI of VISI-light) en VISI verifieerbaar en actief ondersteunen, is verbeterd, en dat de toegankelijkheid tot de standaard is verbeterd door:
* verbetering van de documentatie,
* invoering meerdere certificeringsniveaus, waaronder een VISI-light-certificering,
* en andere door BIM Loket nader te bepalen maatregelen, waaronder bijvoorbeeld een vastgestelde API voor berichtuitwisseling conform vaste berichtdefinities.
2. Vraag BIM Loket om halfjaarlijks aan het Bureau Forum Standaardisatie over voorgaande te rapporteren, en treed met Bureau Forum Standaardisatie in overleg hierover.
3. Mochten de bovengenoemde data niet worden gehaald, start dan de procedure tot verwijdering van VISI van de lijst open standaarden van het Forum Standaardisatie. Deze procedure bestaat uit de volgens fases: intake en gesprek met BIM Loket, consultatie bij experts, advies aan het Bureau Forum Standaardisatie en eventuele verwijdering van de Lijst Open Standaarden van het Forum Standaardisatie. Hierbij wordt door Bureau Forum Standaardisatie uiteraard redelijkheid en billijkheid betracht.
4. Ken '''niet''' het predicaat ‘uitstekend beheer’ toe aan het BIM Loket, vanwege de tekortkoming op beheer. Start de procedure voor de toekenning van het predicaat ‘uitstekend beheer’ nadat de zaken onder punt 1 zijn afgehandeld.
Het hele onderzoek is terug te lezen in het [[/www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden|evaluatierapport van de bouwstandaarden]].
De hieronder huidige adviezen blijft van kracht:
* Brancheondernemingen en -vertegenwoordigers worden opgeroepen om het gebruik van VISI in de burger en utiliteitsbouw (B&U)-sector een impuls te geven door VISI meer te promoten in deze sector. Bijvoorbeeld door het inzichtelijk maken van de status van adoptie van VISI.
* CROW wordt opgeroepen om het VISI-netwerk te mobiliseren om de toegevoegde waarde van VISI te benadrukken, VISI aan te bevelen en het gebruik van de standaard te stimuleren.
* Het Forum Standaardisatie wordt opgeroepen om met name bij gemeenten en provincies het gebruik van VISI (en bouwstandaarden) onder de aandacht te brengen via de leden van het Forum.
* CROW en Bouw Informatie Raad (BIR) worden aanbevolen om de voortgang van de inzet van de adoptie-instrumenten en de mate van adoptie inzichtelijk te maken.
W
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
# De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen.
# Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise.
# Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG.
# Gebruikers (en met name de organisaties die Rijk2Air, Govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen. +
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
# De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen.
# Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise.
# Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG.
# Gebruikers (en met name de organisaties die Rijk2Air, Govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen. +
De 'pas-toe-of-leg-uit' verplichting voor Webrichtlijnen geldt voor web gebaseerde diensten die een overheidsorganisatie aanbiedt aan burgers, bedrijven en andere overheden. De 'pas-toe-of-leg-uit' verplichting geldt niet voor intranetten en websites die alleen binnen een overheidsorganisatie worden gebruikt. Toegankelijkheid van intranetten is daarom niet onbelangrijk. Door interne websites niet universeel toegankelijk te maken kan een organisatie bepaalde (groepen) werknemers uitsluiten. Ook kan het moeilijker worden voor gebruikers om informatie te vinden en hergebruiken. Het is daarom zeer aan te bevelen om ook voor intranetten, interne websites en web applicaties de Webrichtlijnen toe te passen. +
De 'pas-toe-of-leg-uit' verplichting voor Webrichtlijnen geldt voor web gebaseerde diensten die een overheidsorganisatie aanbiedt aan burgers, bedrijven en andere overheden. De 'pas-toe-of-leg-uit' verplichting geldt niet voor intranetten en websites die alleen binnen een overheidsorganisatie worden gebruikt. Toegankelijkheid van intranetten is daarom niet onbelangrijk. Door interne websites niet universeel toegankelijk te maken kan een organisatie bepaalde (groepen) werknemers uitsluiten. Ook kan het moeilijker worden voor gebruikers om informatie te vinden en hergebruiken. Het is daarom zeer aan te bevelen om ook voor intranetten, interne websites en web applicaties de Webrichtlijnen toe te passen. +
De 'pas-toe-of-leg-uit' verplichting voor Webrichtlijnen geldt voor web gebaseerde diensten die een overheidsorganisatie aanbiedt aan burgers, bedrijven en andere overheden. De 'pas-toe-of-leg-uit' verplichting geldt niet voor intranetten en websites die alleen binnen een overheidsorganisatie worden gebruikt. Toegankelijkheid van intranetten is daarom niet onbelangrijk. Door interne websites niet universeel toegankelijk te maken kan een organisatie bepaalde (groepen) werknemers uitsluiten. Ook kan het moeilijker worden voor gebruikers om informatie te vinden en hergebruiken. Het is daarom zeer aan te bevelen om ook voor intranetten, interne websites en web applicaties de Webrichtlijnen toe te passen. +
s
Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de
‘pas toe of leg uit’-lijst:
# aan de koepel- en netwerkorganisaties binnen de overheid, zoals CIO-Rijk, het Centrum Informatiebeveiliging en Privacybescherming (CIP), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) en Vereniging van Nederlandse Gemeenten (VNG), om binnen een jaar een campagne te starten naar de leden en de leveranciers om security.txt te implementeren, en om de leden ondersteuning te bieden bij de implementatie.
# aan Rijksoverheidorganisaties om voortaan op hun domeinnamen te verwijzen naar de centrale security.txt die door NCSC wordt beheerd indien zij gebruik (willen) maken van het centrale CVD-beleid van de Rijksoverheid. NCSC heeft een [https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt Handreiking security.txt] met uitleg gepubliceerd.
# aan Shared Service Organizations (SSO) van de Rijksoverheid (zoals DPC, SSC-ICT, en DICTU) om te zorgen dat de domeinnamen die zij beheren, verwijzen naar de centrale door NCSC beheerde security.txt.
# aan NCSC en DTC (indieners van de standaard) om security.txt voor langere termijn te promoten en ondersteuning te bieden aan overheidsorganisaties. Een van de middelen is het publiceren van een factsheet over inhoudelijke implementatie security.txt voor (semi) overheidsorganisaties, met daarin opgenomen een nadere uitwerking van de volgende adviezen:
## richt een [https://www.ncsc.nl/onderwerpen/cvd-beleid/cvd-beleid-opstellen CVD-beleid] in (conform BIO overheidsmaatregel 16.1.3.1).
## host op een goed beheerde plek een centrale security.txt en laat individuele applicaties en sites van de organisatie middels HTTP(S) redirect (expliciet toegestaan in de standaard) doorverwijzen.
## bij een gefaseerde implementatie is het inrichten van een security.txt op hoofddomeinen de eerste prioriteit.
## security.txt kan niet worden gebruikt om eenzijdig voorwaarden op te leggen aan de melder van een kwetsbaarheid.
## naast het up-to-date houden van security.txt (in het bijzonder de contactgegevens), dienen ook de contactgegevens in WHOIS, DNS (SOA) en andere plekken up-to-date gehouden te houden worden.
## hoe aan te sluiten bij bestaande standaard tooling (zodat geautomatiseerde melders geen nieuwe standaarden hoeven te implementeren), wanneer voor het melden van een kwetsbaarheid in plaats van een e-mailadres wordt verwezen naar een webformulier of API
# aan NCSC en Logius om security.txt op te nemen in respectievelijk de eerstvolgende versie van de 'ICT-beveiligingsrichtlijnen voor webapplicaties' en eerstvolgende versie van het ‘DigiD Normenkader’.
# aan Forum Standaardisatie om voortaan het gebruik van security.txt op domeinnamen van de overheid structureel te meten en daarover te rapporteren, in de marge van de metingen Informatieveiligheidstandaarden. De tool Internet.nl bevat de mogelijkheid voor meting van security.txt.
Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de
‘pas toe of leg uit’-lijst:
# aan de koepel- en netwerkorganisaties binnen de overheid, zoals CIO-Rijk, het Centrum Informatiebeveiliging en Privacybescherming (CIP), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) en Vereniging van Nederlandse Gemeenten (VNG), om binnen een jaar een campagne te starten naar de leden en de leveranciers om security.txt te implementeren, en om de leden ondersteuning te bieden bij de implementatie.
# aan Rijksoverheidorganisaties om voortaan op hun domeinnamen te verwijzen naar de centrale security.txt die door NCSC wordt beheerd indien zij gebruik (willen) maken van het centrale CVD-beleid van de Rijksoverheid. NCSC heeft een [https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt Handreiking security.txt] met uitleg gepubliceerd.
# aan Shared Service Organizations (SSO) van de Rijksoverheid (zoals DPC, SSC-ICT, en DICTU) om te zorgen dat de domeinnamen die zij beheren, verwijzen naar de centrale door NCSC beheerde security.txt.
# aan NCSC en DTC (indieners van de standaard) om security.txt voor langere termijn te promoten en ondersteuning te bieden aan overheidsorganisaties. Een van de middelen is het publiceren van een factsheet over inhoudelijke implementatie security.txt voor (semi) overheidsorganisaties, met daarin opgenomen een nadere uitwerking van de volgende adviezen:
## richt een [https://www.ncsc.nl/onderwerpen/cvd-beleid/cvd-beleid-opstellen CVD-beleid] in (conform BIO overheidsmaatregel 16.1.3.1).
## host op een goed beheerde plek een centrale security.txt en laat individuele applicaties en sites van de organisatie middels HTTP(S) redirect (expliciet toegestaan in de standaard) doorverwijzen.
## bij een gefaseerde implementatie is het inrichten van een security.txt op hoofddomeinen de eerste prioriteit.
## security.txt kan niet worden gebruikt om eenzijdig voorwaarden op te leggen aan de melder van een kwetsbaarheid.
## naast het up-to-date houden van security.txt (in het bijzonder de contactgegevens), dienen ook de contactgegevens in WHOIS, DNS (SOA) en andere plekken up-to-date gehouden te houden worden.
## hoe aan te sluiten bij bestaande standaard tooling (zodat geautomatiseerde melders geen nieuwe standaarden hoeven te implementeren), wanneer voor het melden van een kwetsbaarheid in plaats van een e-mailadres wordt verwezen naar een webformulier of API
# aan NCSC en Logius om security.txt op te nemen in respectievelijk de eerstvolgende versie van de 'ICT-beveiligingsrichtlijnen voor webapplicaties' en eerstvolgende versie van het ‘DigiD Normenkader’.
# aan Forum Standaardisatie om voortaan het gebruik van security.txt op domeinnamen van de overheid structureel te meten en daarover te rapporteren, in de marge van de metingen Informatieveiligheidstandaarden. De tool Internet.nl bevat de mogelijkheid voor meting van security.txt.