Oplegnotitie Open Standaarden, lijsten
Content
| Vergadering: | Forum Standaardisatie woensdag 8 februari 2023 |
|---|---|
| Agendapunt: | 3 |
| Documentnummer: | FS-20230208.3-Oplegnotitie-Open-Standaarden-Lijsten |
| Aan: | Forum Standaardisatie |
| Van: | Stuurgroep Open Standaarden |
| Datum: | Woensdag 8 februari 2023 |
| Versie: | 1.0 |
| Bijlage: |
FS-20230208.3A-Intakeadvies-Versiewijziging-NEN3610 FS-20230208.3B-onderhoud-lijst-aanbevolen-standaarden FS-20230208.3D-Gespreksnotitie-regierol-standaarden-STIXTAXII-in-Nederland |
| Opstellers: |
Hans Laagland Han Zuidweg (3B. Onderhoud op de lijst aanbevolen standaarden en 3E. Acties voor doorontwikkeling van de lijst open standaarden) |
| Rechten: | CC0 publieke domein verklaring |
Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van dit PDF bestand niet garanderen.
Samenvatting
Ter besluitvorming
Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:
- A. toetsen of de standaard NEN3610 (onderdeel van Geo-standaarden) in de nieuwe versie (NEN 3610: 2022 nl) geschikt is om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (betere gegevensuitwisseling)
- B. 1) de standaarden vast te stellen die in aanmerking komen voor verwijdering van de lijst aanbevolen standaarden.
2) in te stemmen met de start van een gecombineerde toetsingsprocedure ter verwijdering van de onder punt 1 genoemde standaarden van de lijst aanbevolen standaarden.
Ter toelichting
- C. Voortgang lopende procedures
- Veiliger internet:
- a. Nederlands profiel bij OpenID Connect 1.0 (authenticatie) lopende procedure: verplichten aan de overheid (‘pas toe of leg uit’-verplichting)
- b. txt (security- en policy-contactinformatie) lopende procedure: verplichten aan de overheid (‘pas toe of leg uit’-verplichting)
- Betere gegevensuitwisseling:
- c. OAS (beschrijven van REST APIs) lopende procedure: verplichten aan de overheid (‘pas toe of leg uit’-verplichting) in nieuwe versie
- Veiliger internet:
- D. Regierol standaarden STIX TAXII in Nederland (n.a.v. Evaluatie)
- E. Acties voor de doorontwikkeling van de lijst open standaarden
- F. Europese Aanbesteding Toetsingsprocedures (Bureau Forum Standaardisatie)
Ter besluitvorming
Ad A. Intakeadvies versiewijziging NEN 3610 (betere gegevensuitwisseling)
[Bijlage: FS-20230208.3A-Intakeadvies-Versiewijziging-NEN-3610]
Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:
toetsen of de standaard NEN 3610 (onderdeel van Geo-standaarden) in de nieuwe versie (NEN 3610:2022 nl) geschikt is om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (betere gegevensuitwisseling)
Advies
De Stuurgroep Open Standaarden adviseert het Forum Standaardisatie om te toetsen of de standaard NEN 3610 (onderdeel van Geo-standaarden) in de nieuwe versie (NEN 3610:2022 nl) geschikt is om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting). NEN 3610 is een basismodel voor geo-informatie en geeft regels voor het eenduidig beschrijven, uitwisselen en op het web publiceren van geo-informatie.
De indiener Geonovum verzoekt om de geclusterde Geo-standaarden te actualiseren met de nieuwe versie van NEN 3610 op de ‘pas toe of leg uit’-lijst. NEN 3610:2011/A1:2016 (NEN 3610:2011 nl) maakt deel uit van de geclusterde Geo-standaarden op de ‘pas toe of leg uit’-lijst en is niet de actuele versie. De nieuwe versie (NEN 3610:2022 nl) is beter toegespitst op de huidige eisen binnen het geo-werkveld en sluit aan bij de huidige (technische) ontwikkelingen en richtlijnen rond informatiemodellering.
Geonovum bezit het predicaat ‘uitstekend beheer’ voor een groot deel van de substandaarden binnen de registratie Geo-standaarden. Hierdoor is een toetsingsprocedure voor een versiewijziging in beginsel niet nodig is. Het predicaat 'uitstekend beheer' is echter niet van toepassing op NEN 3610 omdat Geonovum de standaard NEN 3610 niet beheert.
Een beperkt expertonderzoek is aangewezen om de standaard in de nieuwe versie te toetsen aan de criteria voor opname op de lijst verplichte standaarden, met extra aandacht voor de punten die naar voren zijn gekomen tijdens het intakegesprek.
Belang van de standaard: betere gegevensuitwisseling
NEN 3610 draagt bij aan betere gegevensuitwisseling doordat NEN 3610 regels geeft voor het eenduidig beschrijven, uitwisselen en op het web publiceren van geo-informatie. De standaard zorgt ervoor dat alle geo-domeinen dezelfde systematiek gebruiken om informatiemodellen met locatiegebonden informatie (geo-informatie) te beschrijven. NEN 3610 is daarmee kaderstellend in het geo-domein voor informatiemodellen die als basis dienen voor implementatie in ICT- en webomgeving voor informatie-uitwisseling en publicatie via en op het web.
Hoe is het proces verlopen?
Op 30 augustus 2022 heeft Geonovum de standaard NEN 3610 in de nieuwe versie (2022 nl) aangemeld bij het Bureau Forum Standaardisatie om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting). Op dinsdag 1 november 2022 heeft het intakegesprek plaatsgevonden.
Over de standaard
NEN 3610:2022 nl geeft regels voor het eenduidig beschrijven, uitwisselen en op het web publiceren van geo-informatie. De toepassing beperkt zich tot informatieobjecten die direct (door middel van coördinaten) of indirect (via een geografische identificator zoals bijvoorbeeld een adres) herleidbaar zijn tot een locatie ten opzichte van de aarde (geo-informatie). Herleidbaar betekent dat de locatie als informatie bij de informatieobjecten is geregistreerd.
Het doel van de standaard is het vergroten van interoperabiliteit in de uitwisseling en het gebruik van geo-informatie. De focus ligt op semantische afstemming in Nederland en aansluiting op internationale standaarden. De nieuwe versie zorgt ervoor dat alle sectoren, waaronder overheden, ook met deze nieuwe onwikkelingen dezelfde systematiek gebruiken om informatiemodellen met locatiegebonden informatie (geo-informatie) te beschrijven.
De aanpassingen van NEN 3610:2022 nl ten opzichte van NEN 3610:2011 nl zijn in hoofdlijnen de volgende:
- een nieuw semantisch basismodel dat is opgesteld conform de richtlijnen van de standaard MIM (Metamodel Informatiemodellering) en de NEN 2660-norm (deel 1 en deel 2) (regels voor informatiemodellering van de gebouwde omgeving)
- betere aansluiting op ontwikkelingen van technische uitwisselformaten
- betere aansluiting op ontwikkelingen van LinkedData techniek.
NEN 3610:2022 nl is, binnen bepaalde grenzen, backward compatible met de vorige versie van de standaard. De impact hiervan zal tijdens de expertbijeenkomst verder getoetst te worden.
Ad B. Onderhoud op de lijst aanbevolen standaarden
[Bijlage: FS-20230208.3B-onderhoud-lijst-aanbevolen-standaarden]
Vraag aan Forum Standaardisatie om in te stemmen met:
- de standaarden vast te stellen die in aanmerking komen voor verwijdering van de lijst aanbevolen standaarden.
- in te stemmen met de start van een gecombineerde toetsingsprocedure ter verwijdering van de onder punt 1 genoemde standaarden van de lijst aanbevolen standaarden.
Samenvatting
In de vergadering van 20 april 2022 onderschreef het Forum Standaardisatie de acties die voortkwamen uit het onderzoek van Paul Dam over de doorontwikkeling van de lijsten open standaarden. Een van deze acties is om een actiever onderhoud te plegen op de lijst aanbevolen standaarden en standaarden te verwijderen die op de lijst geen toegevoegde waarde meer hebben. Hiervoor is een concept lijst verwijderbare standaarden samengesteld.
De Stuurgroep Open Standaarden vraagt de leden van het Forum Standaardisatie om de concept lijst standaarden ter verwijdering te bespreken, waar nodig aan te passen en vast te stellen.
Als het Forum instemt, behandelen wij de door het Forum vastgestelde groep standaarden in één procedure volgens de gebruikelijke stappen, waarin wij wel iedere standaard afzonderlijk op hoofdlijnen beoordelen tegen de criteria die het Forum Standaardisatie voor de lijst hanteert.
Hoe is het proces verlopen?
Bureau Forum Standaardisatie identificeerde standaarden die in aanmerking komen ter verwijdering en stelde een concept lijst verwijderbare standaarden samen. Hiervoor hanteerde het Bureau dezelfde criteria die in de intakes en toetsingsprocedures gebruikt worden.
Na bespreking van de concept lijst verwijderbare standaarden in de Stuurgroep Open Standaarden op 17 november 2022 volgde een schriftelijke commentaarronde onder de leden van het Forum Standaardisatie die tot 17 januari 2023 duurde. De bijlage bevat de concept lijst van standaarden ter verwijdering en schriftelijke reacties van Forumleden op het voorstel.
Ter toel\ichting
Ad C. Voortgang lopende procedures
[Bijlage: geen]
Veiliger internet
Nederlands profiel bij OpenID Connect 1.0 (authenticatie): tweede expertbijeenkomst
Forum Standaardisatie toetst of de standaard van Logius NL GOV Assurance Profile for OIDC 1.0 geschikt is om te verplichten aan de overheid via plaatsing op de ‘pas toe of leg uit’-lijst. NL GOV Assurance Profile for OIDC 1.0 draagt bij aan veiliger internet doordat authenticatieservices (zoals DigiD) de identiteit van een eindgebruiker controleren op een gestandaardiseerde wijze.
Uit expertadvies (najaar 2021) en reacties uit de openbare consultatie (winter 2022) kwamen drie aandachtspunten naar voren, namelijk ‘toegevoegde waarde (overlap met SAML)’, ‘draagvlak (marktondersteuning) (voorbeeldimplementatie)’ en samenhang met het internationale iGOV-profiel voor OIDC. In overleg met de indiener Logius (7 april 2022) is besloten een tweede expertbijeenkomst te houden als aanloop naar een Forumadvies. De tweede expertbijeenkomst adresseert de genoemde aandachtspunten.
De tweede expertbijeenkomst heeft plaatsgevonden op 6 oktober. Tijdens de tweede expertbijeenkomst hebben de experts de oplossingsrichtingen uit het adviesrapport voor de criteria ‘toegevoegde waarde’ en ‘draagvlak’ besproken, alsook de resultaten uit de hackathon van 14 en 15 september van Logius op de toepasbaarheid van het OIDC-profiel. De uitkomsten van de tweede expertbijeenkomst worden verwerkt in een Forumadvies.
De toetsingsprocedure voor NL GOV Assurance Profile for OIDC 1.0 is de voortzetting van de aanmelding van de standaard door Logius op 15 oktober 2020 voor opname op de ‘Pas toe of leg uit’-lijst. In de toetsingsprocedure is er aandacht voor opmerkingen die het Forum Standaardisatie heeft uitgesproken na het akkoord op het Intakeadvies van NL GOV Assurance Profile for Open ID Connect 1.0.
security.txt (security- en policy-contactinformatie)
Forum Standaardisatie toetst of de standaard security.txt geschikt is om te verplichten aan de overheid (‘pas toe of leg uit’-verplichting). De standaard beschrijft op een uniforme wijze, hoe een kwetsbaarheid gemeld kan worden aan een organisatie met diensten/ systemen die verbonden zijn met het internet.
National Cyber Security Centrum (NCSC) en Digital Trust Center (DTC) hebben de standaard security.txt 2 juni 2022 aangemeld bij het Bureau Forum Standaardisatie. Het Forum Standaardisatie heeft op 28 september 2022 besloten om security.txt in procedure te nemen. De expertbijeenkomst heeft plaatsgevonden op 19 januari 2023. Inzet is een Forumadvies op de vergadering van Forum Standaardisatie op 12 april 2023.
Betere gegevensuitwisseling
OpenAPI Specification (beschrijven van REST APIs)
Forum Standaardisatie toetst of de standaard OpenAPI Specification (OAS) in de nieuwe versie (3.1) geschikt is om te blijven verplichten aan de overheid (‘pas toe of leg uit’-verplichting). OAS is een standaard voor het beschrijven van REST API’s; een Application Programming Interface (API) draagt bij aan het uitwisselen van informatie tussen applicaties.
Logius heeft OAS in de nieuwe versie 3.1 op 10 augustus 2022 aangemeld bij het Bureau Forum Standaardisatie. Het Forum Standaardisatie heeft op 7 december 2022 besloten om de versiewijziging van OAS in procedure te nemen. De expertbijeenkomst is in voorbereiding.
Ad D. Regierol standaarden STIX TAXII in Nederland (n.a.v. Evaluatie)
[Bijlage: FS-20230208.3D-Gespreksnotitie-regierol-standaarden-STIXTAXII-in-Nederland]
Het gesprek is gestart met de directie van Nationaal Cyber Security Centrum (NCSC) over het invullen van de sturende rol (regierol) in Nederland door NCSC voor de standaarden STIX en TAXII (standaarden voor cyberdreigingsinformatie) van de ‘pas toe of leg uit’-lijst van Forum Standaardisatie. Het ontbreken van de regierol is de hoofduitkomst van het Evaluatierapport Veilig Internet (2022) in opdracht van Forum Standaardisatie waarin de open standaarden STIX en TAXII zijn geëvalueerd. Dit gesprek geeft opvolging aan de aanbeveling uit het Evaluatierapport Veilig Internet (2022).
Het NCSC staat in beginsel open voor het oppakken van de regierol. Wel wil NCSC eerst in kaart brengen de nadere uitwerking van de regierol en de betekenis ervan voor het NCSC. Het Bureau Forum Standaardisatie heeft hiervoor het NCSC voorzien van nadere informatie over de invulling van de regierol, over het belang van regierol in Nederland en over het belang van STIX en TAXII in het algemeen.
Wij sturen in de bijlage de initieel gespreksnotitie van Bureau Forum Standaardisatie aan het NCSC over het ontbreken van regierol in Nederland op de open standaarden STIX en TAXII.
Ad E. Acties voor de doorontwikkeling van de lijst open standaarden
[Bijlage: geen]
In de vergadering van 20 april 2022 onderschreef het Forum Standaardisatie de acties die voortkwamen uit het onderzoek van Paul Dam over de doorontwikkeling van de lijsten open standaarden. Hieronder volgt een overzicht van de voortgang.
Opname ‘andersoortige standaarden’ op de lijst aanbevolen standaarden
In de vergadering van 29 september 2022 stemde het Forum Standaardisatie ermee in om een ‘andersoortige standaard’ als proof of concept in procedure te nemen voor plaatsing op de lijst aanbevolen standaarden. Het doel van deze pilot procedure is om ervaring op te doen met het toetsen van ‘andersoortige standaarden’ zoals principes, baselines en richtlijnen, en om vast te stellen of de huidige toetsingsprocedure hiervoor geschikt is.
Op dit moment loopt er een Europese Aanbesteding voor de begeleiding van de toetsingsprocedures voor de lijsten open standaarden (het contract met Lost Lemon liep af in 2022). Zodra deze Europese Aanbesteding een nieuwe opdrachtnemer heeft opgeleverd, nemen wij MANRS en NL Design System in procedure als proof of concept voor ‘andersoortige standaarden’ op de lijst aanbevolen standaarden. De Internet Society heeft aangegeven MANRS aan te melden in het kader van de proof of concept.
Gangbare standaarden minder op de voorgrond op de lijst aanbevolen standaarden
In de vergadering van 20 april 2022 gaf het Forum Standaardisatie opdracht aan BFS om gangbare standaarden op de lijst aanbevolen standaarden minder op de voorgrond te laten treden. Bureau Forum Standaardisatie verwacht het Forum Standaardisatie in april 2023 een voorstel voor te leggen van standaarden die als ‘gangbaar’ op de lijst aangemerkt kunnen worden.
Indeling van de ‘pas toe of leg uit’-lijst
In de vergadering van 20 april 2022 stemde het Forum Standaardisatie in met een betekenisvollere benaming van de indeling van de ‘pas toe of leg uit’-lijst. Deze nieuwe benaming is inmiddels ingevoerd en zichtbaar op de website van het Forum Standaardisatie. De nieuwe benamingen richten zich op het doel van de standaard (bijvoorbeeld veilig internet) in plaats van het proces of de techniek (bijvoorbeeld stelselstandaarden of REST API).
Ad F. Europese Aanbesteding Toetsingsprocedures (Bureau Forum Standaardisatie)
Op dit moment loopt er een Europese Aanbesteding voor de begeleiding van de toetsingsprocedures voor de lijsten open standaarden (het contract met de huidige partij liep af in 2022). Dit betekent dat er geen nieuwe procedures starten voor mutaties van standaarden voor de Lijst Open Standaarden. Mutaties kunnen wel worden aangemeld. De planning van Europese Aanbesteding Toetsingsprocedures gaat uit van een nieuwe partij in de tweede helft april 2023.
De huidige lopende procedures vinden doorgang. Dit betreft NL GOV AP OIDC (‘pas toe of leg uit’-verplichting), security.txt (‘pas toe of leg uit’-verplichting), OAS (nieuwe versie verplichten via ‘pas toe of leg uit’-verplichting), en ‘onderhoud op de lijst aanbevolen standaarden’ (standaarden te verwijderen van de Lijst Aanbevolen Standaarden).