Streefbeeldafspraken

In 2015 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) streefbeeldafspraken opgesteld. In 2017 zijn deze afspraken bevestigd en in 2018 zijn ze aangescherpt. Hieronder volgt een beknopt overzicht van alle afspraken.

Alle websites van de overheid moeten beveiligd zijn met HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor e-mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phishing en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phishing van mail actief wordt bestreden.

Deadline

Afspraak*

Eind 2017

Beveiligde verbindingen van websites

TLS / HTTPS worden toegepast bij alle overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn;

Domeinnaambeveiliging

DNSSEC validatie wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert.

Anti-phishing voor email

SPF, DKIM en DMARC, deze ‘e-mail’ standaarden worden toegepast voor alle overheidsdomeinnamen of deze nu wel of niet gebruik maken van e-mail.

Eind 2018

HTTPS, HSTS en TLS conform de NCSC richtlijn: beveiligde verbindingen van websites

De afspraak is dat alle overheidswebsites HTTPS, HSTS en TLS inclusief de veilige configuratie conform NCSC uiterlijk eind 2018 hebben ingevoerd. Dit als aanvulling op de al bestaande adoptie-impuls. Dit is herbevestigd in het Digiprogramma 2018 waar staat dat uiterlijk eind 2018 alle overheidswebsites voorzien zijn van HTTPS, HSTS en TLS. De afspraken gelden dus niet meer alleen voor transactiewebsites.

Eind 2019

Encryptie van mailverkeer

Voor uiterlijk eind 2019 is er een streefbeeldafspraak voor de adoptie en configuratie van een aantal informatieveiligheidstandaarden specifiek voor e-mail: STARTTLS en DANE, SPF en DMARC.

Het instellen van strikte policies voor deze emailstandaarden.

Het instellen van strikte policies voor SPF en DMARC. Zolang dat niet is ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. Actieve policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC.

Eind 2021

Bereikbaarheid van ICT-systemen op het Internet

Alle overheidswebsites en e-maildomeinen dienen uiterlijk eind 2021 een IPv6 en IPv4 adressering van ICT-systemen op het Internet te hebben.

* Deze afspraken staan beschreven in: Streefbeeld afspraak voorgelegd mei 2015, Bevestiging afspraak streefbeeld uiterlijk eind 2017, Opname HTTPS, HSTS en TLS conform NCSC op de lijst inclusief de aanvulling van de streefbeeldafspraak, Bevestiging realisatiedatum in het Digiprogramma 2018 , OBDO notitie: instemmen met aanvullende streefbeeld afspraak voor e-mailstandaarden en OBDO-notitie: Overheidsbrede streefbeeldafspraak IPv6 (bijlage 1C).