Intelligente juridische informatie
 Nederland | 1-800-335-6202

Besluit beveiligde verbinding met overheidswebsites en -webapplicaties

As Enacted (Staatsblad van het Koninkrijk der Nederlanden) Cited authorities 5 Cited in Related
Vincent

Besluit van 11 mei 2023, houdende aanwijzing van de open informatieveiligheidsstandaarden HTTPS en HSTS voor websites en webapplicaties van bestuursorganen (Besluit beveiligde verbinding met overheidswebsites en -webapplicaties)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Op de voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 27 maart 2020, nr. 2020000610; Gelet op artikel 3, tweede en derde lid, van de Wet digitale overheid;De Afdeling advisering van de Raad van State gehoord (advies van 8 april 2020, nr. No.W04.20.0067/I);Gezien het nader rapport van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 8 mei 2023, nr. 23-0000244624; Hebben goedgevonden en verstaan:

Artikel 1 Definities

In dit besluit wordt verstaan onder:a. HSTS:

HTTP Strict Transport Security

, IETF RFC 6797;b. HTTPS:

HyperText Transfer Protocol Secure

, IETF RFC 9110;c. TLS-richtlijnen:

de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), versie 2.1.1, gepubliceerd op https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1; d. Webapplicatie-richtlijnen:

de ICT-Beveiligingsrichtlijnen voor Webapplicaties, versie 2015, gepubliceerd op https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties

Artikel 2 Aanwijzing

Bestuursorganen als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht, beveiligen hun publiek toegankelijke websites en webapplicaties door toepassing van HTTPS en HSTS, met dien verstande dat: a. de standaarden worden geconfigureerd overeenkomstig de instellingen die de status voldoende of goed krijgen in de TLS-richtlijnen; b. een bezoeker wordt doorverwezen naar de HTTPS-versie op de bezochte domeinnaam voordat naar andere domeinnamen wordt doorverwezen overeenkomstig maatregel 5 bij beveiligingsrichtlijn U/WA.05 van de Webapplicatie-richtlijnen; en c. een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) wordt gehanteerd.

Artikel 3 Inwerkingtreding

Dit besluit treedt in werking met ingang van 1 juli 2023

Artikel 4 Citeertitel

Dit besluit wordt aangehaald als: Besluit beveiligde verbinding met overheidswebsites en -webapplicaties.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst. ’s-Gravenhage, 11 mei 2023Willem-AlexanderDe Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen

Uitgegeven de tweede juni 2023 De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius

NOTA VAN TOELICHTING

  1. Inleiding

    Met dit besluit wordt de toepassing van de informatieveiligheidsstandaarden HTTPS en HSTS verplicht voorgeschreven voor publiek toegankelijke websites1 van bestuursorganen. Het besluit heeft tot doel de beveiliging van deze websites te bevorderen. Gebruikers van overheidswebsites moeten erop kunnen vertrouwen dat informatie-uitwisseling vertrouwelijk verloopt doordat de verbinding met de website beveiligd is, dat de informatie van de website daadwerkelijk afkomstig is van de beheerder van de website en dat de website daadwerkelijk hoort bij de gebruikte domeinnaam.

  2. Aanleiding

    In februari 2017 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties de Tweede Kamer toegezegd om de toepassing van de HTTPS-standaard bij overheidswebsites te verplichten.2 Het verplicht voorschrijven van deze standaarden is een vervolg op ingezet beleid. Voor de HTTPS- en HSTS-standaard geldt momenteel het zogenaamde «pas toe of leg uit»-beleid voor open standaarden. Dit beleid houdt kort gezegd in dat op het moment dat een bestuursorgaan investeert in een ICT-systeem of -dienst, de relevante standaarden van de «pas toe of leg uit»-lijst van het Forum Standaardisatie dienen te worden toegepast (pas toe). Bestuursorganen hebben de mogelijkheid af te wijken van de opgenomen standaarden indien hiervoor een zwaarwegende reden is (leg uit).

    Het Nationaal Beraad Digitale Overheid sprak begin 2016 de ambitie uit om een aantal informatieveiligheidsstandaarden, waaronder de HTTPS-standaard, overal waar relevant, te implementeren. Het Nationaal Beraad was van mening dat de urgentie voor deze standaarden dermate hoog is dat deze direct dienen te worden toegepast. Voor deze standaarden zijn er geen zwaarwegende redenen te noemen om deze niet toe te passen. Bovendien geldt dat een gebrekkige informatiebeveiliging van één overheidspartij negatief afstraalt op de gehele overheid. Hierom werd vrijblijvendheid om zelf een toepassingsmoment te kiezen niet wenselijk geacht.3

    Begin 2018 is het Nationaal Beraad opgevolgd door het Overheidsbreed Beleidsoverleg Digitale Overheid (hierna: OBDO).4 Het OBDO besloot begin 2018 het streefbeeld van het Nationaal Beraad uit te breiden, opdat alle overheidswebsites HTTPS en HSTS ondersteunen en deze conform de TLS-richtlijnen van het Nationaal Cyber Security Centrum (hierna: NCSC) zijn geconfigureerd.

    Op verzoek van het OBDO toetst het Forum Standaardisatie iedere zes maanden publiek toegankelijke overheidswebsites op de toepassing van de informatieveiligheidsstandaarden waarvoor het OBDO streefbeeldafspraken heeft gemaakt. Uit de meest recente meting van 2022, waarin circa 2.500 websites zijn onderzocht, blijkt dat het streefbeeld voor HTTPS en HSTS niet is gehaald.5 Bij 75% van de getoetste websites wordt HTTPS gebruikt en geconfigureerd volgens de richtlijnen van het NCSC. 75% van de getoetste sites gebruikt HSTS. Nu het huidige beleid niet tot gevolg heeft dat alle bestuursorganen de standaarden hebben geïmplementeerd, worden deze door middel van dit besluit dwingend voorgeschreven.

  3. Noodzaak voor verplichtstelling

    Met de groei van de afhankelijkheid van het internet zijn de risico’s voor de veiligheid en privacy van bezoekers van websites eveneens toegenomen. Ieder internetgebruik dat bijvoorbeeld niet via HTTPS verloopt geeft informatie over het gedrag van de gebruiker en kan interessant zijn voor derden om te verzamelen. Het is daarom belangrijk dat bestuursorganen hun websites goed beveiligen.

    Toepassing van de HTTPS-standaard borgt de vertrouwelijkheid, authenticiteit en integriteit van de berichtenuitwisseling. In combinatie met de HSTS-standaard wordt het moeilijker gemaakt om het berichtenverkeer dat via websites verloopt te onderscheppen.

    De toepassing van HTTPS is inmiddels gemeengoed. Uit statistieken van Google blijkt dat van de honderd best bezochte websites ter wereld (samen goed voor 25% van het totale internetverkeer) 97% werkt met HTTPS.6 Bij Googles eigen internetverkeer verloopt, afhankelijk van het land en gebruikte platform, tussen de 87% en 97% via HTTPS. Het wordt bovendien lastig om websites zonder HTTPS te vinden, omdat populaire zoekmachines websites zonder HTTPS lager in de zoekresultaten plaatsen. Daarnaast duiden verschillende browsers tegenwoordig websites zonder HTTPS aan als «onveilig».7

    Ook andere overheden zetten in op de toepassing van HTTPS. Zo hanteert het CIO office van de federale overheid van de Verenigde Staten «HTTPS for everything» als uitgangspunt. Zij stellen dat met de groei van de afhankelijkheid van het internet, de risico’s voor de veiligheid en privacy van de gebruikers ook zijn gegroeid en de overheid daarom HTTPS moet toepassen op overheidswebsites, ongeacht het type website of type informatie dat wordt uitgewisseld.8

    HTTPS-standaard

    Het gebruik van HTTPS zorgt er allereerst voor dat de gegevens die de bezoeker en de website uitwisselen, worden versleuteld (vertrouwelijkheid). Hierdoor is het voor derden die gegevens onderscheppen, niet mogelijk om deze gegevens uit te lezen. Het gaat hier onder meer om de webcontent, URL's, cookies en andere gevoelige (meta)data.9 Ook als er informatie wordt gedeeld via formulieren, wordt deze versleuteld verzonden, zodat een derde niet mee kan kijken.

    Daarnaast stelt HTTPS de bezoeker in staat om te controleren of daadwerkelijk contact wordt gelegd met de website die hoort bij de gebruikte domeinnaam (authenticiteit). Door HTTPS kan worden voorkomen dat met een vervalste website (spoofing) of via een kwaadwillende tussenpersoon informatie wordt uitgewisseld.10

    Tot slot waarborgt HTTPS dat een kwaadwillende de gegevens tussen de bezoeker en de website onderweg niet kan aanpassen of zaken (bijvoorbeeld malware) kan toevoegen (integriteit). Een bezoeker kan erop vertrouwen dat de informatie die wordt verschaft via de website of de doorverwijzing naar bijvoorbeeld een andere website, niet door anderen dan de beheerder van de website kan worden aangepast.

    De toepassing van HTTPS is voor bezoekers van websites te herkennen aan de weergave van het kenmerkende slotje in de adresbalk van de browser. Alleen als alle overheidswebsites HTTPS toepassen kan een bezoeker van een overheidswebsite het ontbreken van een slotje interpreteren als een aanwijzing dat hij of zij zich waarschijnlijk niet op een legitieme overheidswebsite bevindt. Overigens is een slotje geen garantie dat het om een legitieme overheidswebsite gaat. Naast de aanwezigheid van het slotje zal de bezoeker ook op andere kenmerken, met name de domeinnaam, moeten letten om een legitieme overheidswebsite te herkennen.

    HSTS-standaard

    De HSTS-standaard is een complementaire standaard die ervoor zorgt dat een internetbrowser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.11 Door HTTPS samen met HSTS te gebruiken wordt het gebruik van...

Om verder te lezen

PROBEER HET UIT
Navigatie-index

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT