Oplegnotitie Adoptie Open Standaarden

Content

Vergadering: Forum Standaardisatie woensdag 9 maart 2022

Agendapunt: 4

Documentnummer: FS-20220309.4

Aan: Forum Standaardisatie

Van: Stuurgroep Open Standaarden

Bijlagen:

Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Samenvatting

Ter bespreking

  • A. Eindmeting streefbeeldafspraak IPv6 (voor duurzame bereikbaarheid)
  • B. Resultaten en ervaringen IPv6TeamOverheidNL – presentatie door Joost Tholhuijsen
  • C. Agendering IV-meting en Monitor OS, sponsorschap door Forumleden, en aanwezigheid
  • D. Analyse per organisatie Monitor OS 2021, voorbeeldpresentatie en open spreekuur

Ter kennisname

  • E. Wijziging van de ‘leg uit’-verplichting voor rijksoverheidsorganisaties
  • F. API’s voor een betere, snellere gegevensuitwisseling en samenwerking
    • Ondertekening intentieovereenkomst API Strategie
    • Masterclasses API’s
    • Bijeenkomst Kennisplatform API’s
  • G. IPv6 voor duurzame bereikbaarheid
    • IPv6-cursussen voor overheids-ICT’ers
    • Internet access providers en IPv6
    • IPv6 voor Microsoft Exchange Online
    • Bijeenkomst Platform Internetstandaarden en voormalige IPv6 Task Force
  • H. Standaarden voor veiliger internet
    • Meten en voorgenomen streefbeeldafspraak RPKI
    • Internationale bijeenkomst veilige mailstandaarden (MESSEU)
    • Standaardisatie-strategie EU
    • EU-onderzoek naar DNS-misbruik

Ter bespreking

Ad A. Eindmeting streefbeeldafspraak IPv6

Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:

  1. Om via het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) de koepels (CIO Rijk, Manifestgroep, Klein Lef, VNG, IPO en Unie van Waterschappen) dringend op te roepen om achterblijvende overheidsorganisaties direct aan te spreken op het niet nakomen van de overheidsbrede streefbeeldafspraak voor IPv6;
    • Daarbij in het bijzonder de achterblijvende regionale samenwerkingen (Equalit, RID De Liemers, Samenwerking Kempengemeenten, ICT NML, Syntrophos, Dienst Dommelvallei, De Connectie en ICT Gouwe-IJssel) aan te spreken;
    • En daarbij achterblijvende overheden die Microsoft Office 365 (Exchange Online) gebruiken te wijzen op de mogelijkheid om IPv6 te laten activeren;
  2. Om het ministerie van Binnenlandse Zaken en Koninkrijksrelaties te verzoeken om een verplichting van IPv6 voor websites en e-mail te realiseren via een algemene maatregel van bestuur (AMvB) op grond van de in behandeling zijnde Wet digitale overheid (Wdo);
  3. Om het OBDO te informeren over de sterk groeiende afhankelijkheid van Microsoft Office 365 Exchange Online dat ondertussen op meer dan 30% van de gemeten kern-domeinnamen van de overheid wordt gebruikt. (Dit is bijvangst van de uitgevoerde meting en is een bevinding die verder losstaat van de streefbeeldafspraak IPv6.)

Hieronder volgt de toelichting.

Meetresultaten

Overheidsbreed zijn afspraken gemaakt om moderne internetstandaarden versneld te adopteren. Op 8 april 2020 is door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) afgesproken dat alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar moeten zijn via IPv6. Forum Standaardisatie meet op verzoek van OBDO halfjaarlijks de implementatievoortgang van deze afspraak.

Voorliggende meting dateert van begin januari 2022. Met de meting zijn 559 overheidsdomeinnamen die ook in eerdere metingen centraal stonden getoetst. Daarnaast is een vergelijking gemaakt met de meetresultaten van een bredere selectie van circa 2250 overheidsdomeinnamen. Uit de meting blijkt dat het streefbeeld van volledige IPv6-adoptie voor websites en e-mailsystemen van de overheid, ondanks een eindsprint in het laatste kwartaal van 2021, niet is gehaald.

Trend bereikbaarheid van websites en e-mail overheid over internetstandaard IPv6
 

Maart 2019

September 2019

Maart 2020

September 2020

Maart 2021

September 2021

Januari 2022

IPv6-bereikbaarheid

overheidswebsites

48%

56%

64%

69%

79%

80%

89%

IPv6-bereikbaarheid

overheidsmail

17%

17%

17%

20%

40%

46%

61%

Adviezen en acties

Omdat het streefbeeld niet is gehaald, zijn aanvullende acties nodig om op korte termijn alsnog aan de doelstelling te kunnen voldoen. Het voorliggend advies en de daarin opgenomen acties zijn gebaseerd op de paragrafen “2.6. Leveranciersafhankelijkheid” en “2.7. Handelingsperspectief en adviezen” uit de bijgaande “Eindmeting IPv6-bereikbaarheid overheid, januari 2022”.

Mogelijke toekomstige streefbeeldafspraak

Een toekomstige stap kan ook nog zijn om een aanvullende overheidsbrede streefbeeldafspraak te maken dat overheidsnetwerken voor een bepaalde einddatum (bijv. eind 2024) voorzien moeten zijn van IPv6-connectiviteit. Dit zou ervoor zorgen dat o.a. werkplekken en mobiele apparaten van de overheid via IPv6 kunnen verbinden met websites en andere internetdiensten die via IPv6 beschikbaar zijn. Omdat nog geen ervaring is opgedaan met het meten hiervan en er dus ook geen nulmeting is uitgevoerd, is deze actie nu geen onderdeel van het voorliggende advies.

Ad B. Resultaten en ervaringen IPv6TeamOverheidNL – presentatie

Met het passeren van de einddatum van 1 januari 2022 voor het streefbeeld van bereikbaarheid van de overheid via IPv6, stopt het IPv6TeamOverheidNL vanaf 31 maart 2022 zijn activiteiten. Het team heeft de afgelopen jaren een groot aantal overheidsorganisaties ondersteund bij het implementeren van de moderne internetstandaard IPv6. In deze presentatie vertelt Joost Tholhuijsen over de resultaten en ervaringen, en ook stilstaan bij de nog openstaande uitdagingen voor de Nederlandse overheid.

Ad C. Agendering IV-meting en Monitor OS, sponsorschap door Forumleden, en aanwezigheid

Vraag aan ieder Forumlid om:

  1. een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en IV-meting onder zijn/haar achterban;
  2. een update te geven over hun sponsorschap;
  3. kennis te nemen van het overzicht van de aanwezigheid.

Hieronder volgt de toelichting per punt.

  1. In de bijlage treft u een overzicht aan van de huidige stand van zaken, voor zover bekend, met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).
    • De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.
      • Monitor 2021: voor verspreiding kunt u gebruikmaken van de laatste monitor en daarin opgenomen managementsamenvatting zoals binnenkort beschikbaar op de pagina over de Monitor Open Standaarden op de website van Forum Standaardisatie.
      • IV-meting medio 2021: voor de verspreiding van de laatste meting van september 2021 kunt u gebruikmaken van het nieuwsbericht “Overheid kwetsbaar door onvoldoende ondersteuning informatieveiligheidstandaarden” waarin ook wordt verwezen naar het achterliggende rapport.
    • Daarnaast hebben de leden van het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component. Tevens herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.
  2. De Forumleden zijn ook sponsor van een of meerdere Forum-onderwerpen. Dit is eveneens weergegeven in bijgaand overzicht.
  3. Tevens is een overzicht bijgevoegd van de aanwezigheid van de Forumleden bij Forum-vergaderingen sinds 13 juni 2018.

Ad D. Analyse per organisatie Monitor OS 2021, voorbeeldpresentatie en open spreekuur

De Monitor Open Standaarden gaat over het gebruik van de open standaarden op de ‘pas toe of leg uit’- lijst. De vraag die in het rapport centraal staat is: wat is het gebruik van deze standaarden in de praktijk? Maar om hieraan waarde te hechten, gaat aan deze vraag nog een andere vraag vooraf: Waarom is het gebruik van deze standaarden eigenlijk belangrijk?

Bewust kiezen voor open standaarden gaat over vlot stromend, openbaar toegankelijk, vrij, inclusief en veilig digitaal verkeer willen. Anders gezegd, we willen interoperabiliteit, leveranciersonafhankelijkheid, veiligheid, datakwaliteit, inclusie en openbaarheid. Open standaarden gaan dus over ICT-kwaliteit, over de inrichting van de digitale publieke ruimte. Ze zijn een vertaling van publieke waarden in de techniek. En dat is geen neutraal maar een waardevol gebeuren. Hierin ligt de motivatie om open standaarden te gebruiken én waarom wij denken dat het goed is dat het Forum Standaardisatie jaarlijks het gebruik onderzoekt. In 2021 alweer voor de tiende keer.

Mooie maar abstracte woorden over het waarom, maar nu terug naar de Monitor Open Standaarden en de toepassing van open standaarden in de praktijk. Wat betekenen de onderzoeksresultaten nu voor uw organisatie? De onderstaande drie zaken zijn bedoeld om het goede gesprek daarover op weg te helpen.

Analyse per organisatie Monitor Open Standaarden 2021

In deze analyse op twee kantjes staat voor een aantal grote organisaties wat de Monitor Open Standaarden aantreft in 2021. Wellicht staat uw organisatie erbij en kunt u ermee uit de voeten. Staat uw organisatie er niet bij, zoek dan in het onderzoeksrapport en aarzel ook niet om contact op te nemen met het Bureau Forum Standaardisatie.

Voorbeeldpresentatie over open standaarden

Om de onderzoeksresultaten verder te communiceren kunt u deze presentatie gebruiken als voorzet om te zorgen voor meer ‘pas toe of leg uit’ binnen uw organisatie. Als voorbeeld is hier het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties genomen.

Open spreekuur open standaarden

Vanaf woensdag 9 maart is er om de week op woensdag om 14.00 uur een open spreekuur over open standaarden. Iedereen is welkom via deze Webex-link, aanmelden vooraf is niet nodig. Voor mensen met vragen, een mening, tips en tops.

Ter kennisname

Ad E. Wijziging van de ‘leg uit’-verplichting voor rijksoverheidsorganisaties

De toelichting op de bedrijfsvoerings-paragraaf van de Rijksbegrotingsvoorschriften is gewijzigd. Dat heeft gevolgen voor de verplichting tot uitleggen voor rijksoverheidsorganisaties. De tekst is nu als volgt.

Toelichting paragraaf 2: Rijksbrede bedrijfsvoeringsonderwerpen

In deze verplichte paragraaf wordt aandacht besteed aan de rijksbrede bedrijfsvoerings-onderwerpen op verzoek van de Staten-Generaal of naar aanleiding van de toezeggingen van het kabinet aan de Staten-Generaal.

Voor het jaar 2021 dient in deze paragraaf, indien van toepassing, aandacht te worden besteed aan de onderstaande rijksbrede bedrijfsvoerings-onderwerpen. [tekst weggelaten]:

[tekst weggelaten]

Gebruik open standaarden en open source software dient in deze paragraaf te worden vermeld wanneer is afgeweken (het 'comply of explain’-beginsel) van artikel 3, eerste lid van de Instructie rijksdienst bij aanschaf van ICT-diensten of ICT-producten. Deze instructie geldt bij de aankoop, inhuur en ontwikkeling van ICT-diensten of producten vanaf € 50.000 of meer, ook bij grote ICT-projecten. De Tweede Kamer wil dat de overheid meer gebruik maakt van open standaarden en open source software. Voor wat betreft de toepassing van open standaarden schrijft de Instructie Rijksdienst voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het Forum Standaardisatie (www.forumstandaardisatie.nl) en dat over de mate van naleving verantwoording wordt afgelegd. Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst en houden redenen in van bijzonder gewicht. Afwijking van de voorgeschreven toepassing dient conform de Rijksinstructie in het jaarverslag te worden toegelicht en gemotiveerd. Hierbij wordt ten minste ingegaan op de resultaten van de Monitor Open Standaarden van het Forum Standaardisatie voor zover de organisatie hierin is beoordeeld (pas toe of leg uit).

Ad F. API’s voor een betere, snellere gegevensuitwisseling en samenwerking

Ondertekening intentieovereenkomst API Strategie

Op 25 januari 2022 organiseerde het Kennisplatform API’s een online event dat in teken stond van de API Strategie. Tijdens deze bijeenkomst werd de intentieovereenkomst van de API Strategie gepresenteerd. Larissa Zegveld van Forum Standaardisatie en Rob van de Velde van Geonovum gaven een aftrap op de lancering van de intentieovereenkomst. Ondertekenaars van deze overeenkomst willen dat de digitale overheid gegevens en data veiliger en efficiënter uitwisselt, door applicaties zoveel mogelijk te scheiden van de data en deze data bij de bron te bewaren. Zo krijgen burgers, bedrijven en ketenpartners van de overheid toegang tot consistente data, zonder zich zorgen te hoeven maken over de complexiteit van de achterliggende systemen. Om deze data-uitwisseling mogelijk te maken, zijn goede platformen, API’s en verplichte standaarden onmisbaar.

De intentieovereenkomst is ondertekend door Forum Standaardisatie, Geonovum, Kadaster, Logius, RvIG, SVB en VNG. Namens Forum Standaardisatie tekende Larissa Zegveld de intentieovereenkomst en Rob van de Velde namens Geonovum.

Bovendien hebben de bestuurders van deze organisaties een online video statement gemaakt. Het online event was met circa 80 bezoekers zeer goed bezocht en zorgde achteraf op sociale media voor veel aandacht. Tevens is er een blog ‘API’s zijn de toekomst, ook voor bestuurders!’ van Larissa Zegveld in iBestuur gepubliceerd en hebben diverse nieuwssites over de ondertekening bericht.

Masterclasses API’s

Tijdens het online event van 25 januari 2022 zijn ook twee Masterclasses API’s gehouden. DUO presenteerde een API die het mogelijk maakt om diplomagegevens uit te wisselen binnen Europa. VNG en Informatiehuis Water presenteerde technische ontwikkeling in het domein rondom API’s.

Bijeenkomst Kennisplatform API’s

Op 24 november 2021 organiseerde het Kennisplatform API’s met alle werkgroepen (API Keten Architectuur, API Design Rules, Beveiliging, Strategie en Beleid) een bijeenkomst. De Werkgroep (API) Strategie en Beleid, die vanuit het Bureau Forum Standaardisatie wordt geleid behandelde de laatste stand van zaken rondom de intentieovereenkomst van de Nederlandse API Strategie. Tevens werd aansluitend een paneldiscussie gehouden waarin Theo Peters (VNG), Willem Kossen (BKWI) en Jasper Roes (Kadaster) aan de hand van een aantal stellingen hun visie gaven op de toekomst van API's.

Ook is er een startsein gegeven voor lancering van twee nieuwe werkgroepen: de werkgroep Geo Extensie, die gaat over uitwisselen van geo-informatie via API’s en de werkgroep Signing en Encryptie, die gaat over hoe je tot een betere beveiliging en meer vertrouwen komt in gegevens die via APIs uitgewisseld worden.

Ad G. IPv6 voor duurzame bereikbaarheid

IPv6-cursussen voor overheids-ICT’ers

In samenwerking met IPv6 team NL Overheid heeft Bureau Forum Standaardisatie ervoor gezorgd dat ongeveer 100 medewerkers van de Nederlandse overheid (o.a. van gemeente Apeldoorn, gemeente Rotterdam, VNG, DICTU, SSC-ICT en NCSC) hebben deelgenomen aan de cursussen "IPv6 Fundamentals" en “IPv6 security”. Deze cursussen werden door RIPE NCC (uitgifte-instantie van IP-adressen in o.a. Europa) in het kader van een pilot kosteloos aangeboden. Bureau Forum Standaardisatie heeft met RIPE NCC afgesproken dat in 2022 in ieder geval nog 50 medewerkers van de overheid kunnen deelnemen aan deze cursussen.

Internet access providers en IPv6

Voor de verdere adoptie van IPv6 in Nederland is het ook cruciaal dat internet access providers IPv6 aanbieden aan hun klanten zodat zij thuis en op kantoor IPv6-connectiviteit hebben. Nu ligt het percentage internetverbindingen met IPv6 in Nederland op ongeveer 33% (ter vergelijking: DE: 52%, BE: 62%, FR: 43%, VS: 48%). Door IPv6 Team Overheid NL is op 9 december 2021 een presentatie over IPv6 gegeven aan het Overleg Platform Telecom van EZK (een dertigtal deelnemers van voornamelijk telecom providers). Daarbij is een oproep gedaan om IPv6 te ondersteunen. De vraag ligt nog open welke eventuele vervolgstappen de overheid (bijv. EZK i.s.m. Forum Standaardisatie en/of Platform Internetstandaarden) ter verdere stimulering van IPv6 richting internet access providers kan zetten.

IPv6 voor Microsoft Exchange Online

IPv6TeamOverheidNL heeft afspraken met Microsoft gemaakt om vanaf medio januari 2022 voor overheidsorganisaties, die gebruik maken van Microsoft Office 365 Exchange Online, automatisch e-mailverkeer via IPv6 te activeren. Onlangs heeft Microsoft laten weten toch (nog) niet te kunnen voldoen aan de gemaakte afspraak. Via IPv6TeamOverheidNL is er contact met Microsoft om dit alsnog te regelen. IPv6TeamOverheidNL heeft ondertussen Bureau Forum Standaardisatie geïnformeerd en daarnaast is ook Strategisch Leveranciers Management Rijk (SLM Rijk) op de hoogte gesteld.

Bijeenkomst Platform Internetstandaarden en voormalige IPv6 Task Force

Op 17 februari vond de eerste bijeenkomst van het Platform Internetstandaarden van dit jaar plaats. De online bijeenkomst stond geheel in het teken van IPv6, daarom waren ook de voormalige IPv6 Task Force deelnemers uitgenodigd. Onder voorzitterschap van Gerben Klein Baltink, gingen ruim 30 deelnemers en (gast)sprekers met elkaar in gesprek over de adoptie van IPv6. Cijfers, ambities, plannen, activiteiten, ervaringen, uitdagingen. Het kwam allemaal aan bod in de presentaties van RIPE NCC, SIDN, Total Webhosting Solutions (TWS), KPN, VodafoneZiggo, Forum Standaardisatie en IPv6TeamOverheidNL. De inmiddels volwassen technologie en inspanningen van de deelnemers ten spijt, lijkt de groei in Nederland te stagneren en blijft het nodig aandacht te houden voor verdere adoptie.

Ad H. Standaarden voor veiliger internet

Meten en voorgenomen streefbeeldafspraak RPKI

Platform Internetstandaarden werkt aan het toevoegen van een nieuwe test voor de open standaard RPKI (t.b.v. beveiliging van internet-routering) aan Internet.nl. Met behulp van de nieuwe test wil Bureau Forum Standaardisatie een nulmeting voor RPKI op overheidsdomeinnamen gaan uitvoeren. Deze nulmeting kan mede als basis dienen voor het maken van een streefbeeldafspraak voor RPKI, zodat niet alleen de verwerving maar ook het gebruik van RPKI actief gestimuleerd wordt. Een en ander sluit aan bij de ambitie over RPKI die het Forum Standaardisatie in de vergadering van 9 juni 2021 heeft uitgesproken.

Internationale bijeenkomst veilige mailstandaarden (MESSEU)

Samen met collega's van de Duitse overheid heeft Bureau Forum Standaardisatie op 20 januari 2022 de zevende (virtuele) bijeenkomst van het internationale kennisnetwerk "Modern E-mail Security Standards for EU governments" (MESSEU) georganiseerd. Verschillende landen, zoals Duitsland, Denemarken, Nederland, en ook het Joint Research Centre van de Europese Commissie deelden hun ervaringen en plannen. Er waren nieuwe deelnemers uit o.a. Tsjechië en Zwitserland aanwezig.

Standaardisatie-strategie EU

In de onlangs gepubliceerde “EU Strategy on Standardisation” komen moderne internetstandaarden expliciet terug (en daarnaast verschillende andere relevante zaken zoals de oprichting van een “High-Level Forum” en een “EU excellence hub”). De manier waarop moderne internetstandaarden hierin worden genoemd sluit aan bij de “EU Cyber Security Strategy” van eind 2020. Hieronder volgt een relevant citaat:

“The Commission will monitor the deployment of internationally agreed key internet standards and make this data and related good practices available on an EU internet standards monitoring website. The Commission will also propose possible policy measures to foster the deployment of key internet standards such as IPv6.”

EU-onderzoek naar DNS-misbruik

De Europese Commissie heeft recentelijk het onderzoeks-document “Study on Domain Name System (DNS) abuse” gepubliceerd. Daarin worden o.a. verschillende concept-aanbevelingen met betrekking tot de open standaarden DNSSEC en SPF/DMARC gedaan, ook aan de lidstaten. Relevante citaten:

“ Require registrars to support DNSSEC signing for registrants. Domain administrators (registrants) should have easy access to DNSSEC signing of domain names within the TLD.”

en

“22. Intensify efforts to continuously measure the adoption of Sender Policy Framework (SPF) and Domain-based Message Authentication Reporting and Conformance (DMARC) protocols. Correct and strict SPF and DMARC rules can mitigate email spoofing and provide the first line of defence against Business Email Compromise (BEC) scams.”

Documentatie-type