Streefbeeldafspraken

De overheid wil haar websites en e-mail beter beveiligen.
Hiertoe zijn interbestuurlijke afspraken gemaakt om bepaalde moderne Internetstandaarden versneld te adopteren, zogenoemde streefbeeldafspraken.
Deze afspraken zijn na instemming van alle overheidslagen bekrachtigd in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) en haar voorganger, het Nationaal Beraad Digitale Overheid.

Er zijn vier streefbeeldafspraken met verschillende uiterlijke implementatiedeadlines.
Onderdeel van de afspraken is ook de juiste configuratie van de standaarden.
Van websites en e-mail van de overheid wordt vereist dat deze na het verlopen van de deadlines aan de standaarden en juiste configuratie voldoet.

Alle websites van de overheid moeten beveiligd zijn met HTTPS en HSTS, conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC).
Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC.
Voor e-mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het bestrijden van phishing, en dat STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer.
De e-mailstandaarden DMARC en SPF moeten zodanig geconfigureerd zijn dat e-mailspoofing actief wordt bestreden.
Tot slot moeten alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar zijn via IPv6.

Hieronder volgt een chronologisch overzicht van alle afspraken.

Deadline	Afspraak
Eind 2017	Beveiligde websiteverbindingen TLS (in de vorm van HTTPS) wordt toegepast bij alle overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn; Domeinnaambeveiliging DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert. Bestrijden van e-mailspoofing (anti-phishing) E-mailbeveiligingsstandaarden SPF , DKIM en DMARC worden toegepast voor alle overheidsdomeinnamen, of deze nu wel of niet gebruik maken van e-mail.
Eind 2018	Veilige configuratie van beveiligde websiteverbindingen Alle overheidswebsites passen HTTPS en HSTS toe conform de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC), en configureren de TLS-verbinding conform de ICT-beveiligingsrichtlijnen voor Transport Layer Security (NCSC). Dit is een aanvulling op de eerdere afspraak over beveiligde websiteverbindingen. De afspraken gelden dus niet meer alleen voor transactiewebsites.
Eind 2019	Encryptie van e-mailverkeer STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer. Actief bestrijden van e-mailspoofing (anti-phishing) De 'policies' voor SPF en DMARC moeten strikt (actief) geconfigureerd zijn. Zolang deze policies niet strikt zijn ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. Actieve, strikte policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC.
Eind 2021	Bereikbaarheid van websites en e-maildomeinen Alle overheidswebsites en e-maildomeinen van de overheid moeten uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar zijn via IPv6.