Hoofdstuk: Voorschriften Websites
Dwarsligger

Hoofdstuk
Hoger Menu

Pagina's
Index
DigiToegankelijkheid Inhoud van Archieven Stappen Toegankelijkheid Stop met PDF bestanden Streefbeeldafspraken Toegankelijkheid Verplicht Toegankelijkheids Verklaring Verplichte W3C Standaard WCAG2.1 WCAG 2.1 Verplicht
Streefbeeldafspraken

De overheid wil haar websites en e-mail beter beveiligen.
Hiertoe zijn interbestuurlijke afspraken gemaakt om bepaalde moderne Internetstandaarden versneld te adopteren, zogenoemde streefbeeldafspraken.
Deze afspraken zijn na instemming van alle overheidslagen bekrachtigd in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) en haar voorganger, het Nationaal Beraad Digitale Overheid.

Er zijn vier streefbeeldafspraken met verschillende uiterlijke implementatiedeadlines.
Onderdeel van de afspraken is ook de juiste configuratie van de standaarden.
Van websites en e-mail van de overheid wordt vereist dat deze na het verlopen van de deadlines aan de standaarden en juiste configuratie voldoet.

Alle websites van de overheid moeten beveiligd zijn met HTTPS en HSTS, conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC).
Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC.
Voor e-mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het bestrijden van phishing, en dat STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer.
De e-mailstandaarden DMARC en SPF moeten zodanig geconfigureerd zijn dat e-mailspoofing actief wordt bestreden.
Tot slot moeten alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar zijn via IPv6.

Hieronder volgt een chronologisch overzicht van alle afspraken.

Deadline Afspraak
Eind 2017 Beveiligde websiteverbindingen

TLS (in de vorm van HTTPS) wordt toegepast bij alle overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn;

Domeinnaambeveiliging

DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert.

Bestrijden van e-mailspoofing (anti-phishing)

E-mailbeveiligingsstandaarden SPF , DKIM en DMARC worden toegepast voor alle overheidsdomeinnamen, of deze nu wel of niet gebruik maken van e-mail.

Eind 2018 Veilige configuratie van beveiligde websiteverbindingen

Alle overheidswebsites passen HTTPS en HSTS toe conform de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC), en configureren de TLS-verbinding conform de ICT-beveiligingsrichtlijnen voor Transport Layer Security (NCSC).
Dit is een aanvulling op de eerdere afspraak over beveiligde websiteverbindingen.
De afspraken gelden dus niet meer alleen voor transactiewebsites.

Eind 2019 Encryptie van e-mailverkeer

STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer.

Actief bestrijden van e-mailspoofing (anti-phishing)

De 'policies' voor SPF en DMARC moeten strikt (actief) geconfigureerd zijn.
Zolang deze policies niet strikt zijn ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail.
De configuratie moet op orde zijn.
Actieve, strikte policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC.

Eind 2021 Bereikbaarheid van websites en e-maildomeinen

Alle overheidswebsites en e-maildomeinen van de overheid moeten uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar zijn via IPv6.

Valid HTML Valid CSS Valid i18n
LogIn
Copyright © 2024 Dwarsligger.org.
CMS versie        231027a
Template versie 230324a
Colofoon
Bron: ForumStandaardisatie op 21 december 2020.
Verzonden op:
Samengesteld in:
Pagina Grootte:
Aangemaakt op:
Aangepast op:
28 Feb 2024
24544 µsec.
8761 Bytes
21 dec 2020
21 dec 2020