Een zee aan verplichtstellingen voor beveiligingsstandaarden, maar geen dwang of sancties

Wellicht dat de Rijksinspectie voor Digitale Infrastructuur deze keer wel een verschil kan maken

Rood waarschuwingssymbool boven een laptop

Een groot deel van de gemeentelijke websites voldoet niet aan de verplichte beveiligingsstandaarden. Probleem is niet een gebrek aan regelgeving, maar de naleving en handhaving daarvan. Na het nog maar eens verplicht stellen van HTTPS vorig jaar middels de 'Wet digitale overheid' (Wdo), komen daar straks via de Cyberbeveiligingswet weer nieuwe verplichtingen overheen. Wellicht dat toezicht en handhaving door de RDI deze keer wel een verschil gaat maken.

Het is onwenselijk dat een groot deel van de gemeentelijke websites niet voldoet aan de voor de overheden verplichte beveiligingsstandaarden. Dat zei staatssecretaris voor Digitalisering Alexandra van Huffelen, zojuist opgevolgd door Zsolt Szabó, in antwoord op vragen van kamerlid Barbara Kathmann. Overheidsdiensten hebben een voorbeeldfunctie als het gaat om informatiebeveiliging, en een veilige website is daar onderdeel van.

10 duizend websites

Aanleiding voor de kamervragen van Kathmann waren de uitkomsten van een inventarisatie gedaan door Digital Insights Platform (DIP). Daaruit bleek dat slechts 28 procent van alle gemeentelijke websites voldoet aan de verplichte beveiligingsstandaarden. De Nederlandse gemeenten blijken hun primaire websites wel redelijk op orde te hebben. Uit het rapport 'Meting Informatieveiligheidstandaarden overheid mei 2023' eind vorig jaar gepubliceerd door Forum Standaardisatie bleek dat 54 procent van de gemeentelijke websites aan de beveiligingseisen voldeed. De grootste problemen zitten volgens DIP bij de vele – soms wel honderden – andere websites die gemeenten daarnaast optuigen. Daarbij moet je denken aan meer thematische sites rondom specifieke aandachtspunten, samenwerkingsverbanden, projecten, evenementen, initiatieven en publicaties. Alles bij elkaar blijken de 342 Nederlandse gemeenten meer dan 10 duizend websites te hebben, waarvan een aanzienlijk deel vergeten en verwaarloosd is.

Belangrijke oorzaak van dit gebrek aan overzicht en regie is dat moderne tooling het heel gemakkelijk maakt om snel zelf een website te bouwen en te publiceren. Bovendien voelen individuele ambtenaren en afdelingen zich kennelijk ook vrij om dat op eigen houtje te doen. Volgens DIP ligt de oorzaak niet in een gebrek aan regelgeving, maar in de naleving en handhaving daarvan.

Een zee aan verplichtstellingen

In haar antwoord verwees de staatssecretaris inderdaad naar de beveiligingsstandaarden die al "verplicht" zijn gesteld via de 'pas toe of leg uit'-lijst (ptolu). Naar de Baseline Informatiebeveiliging Overheid (BIO), waar de ptolu-standaarden deel van uitmaken. En naar het halfjaarlijkse Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), waarin voor de belangrijkste internet-beveiligingsstandaarden van de ptolu-lijst eerder al concrete Streefbeeldafspraken met "harde" deadlines zijn vastgelegd.

Met de inwerkingtreding van de nieuwe 'Wet digitale overheid' (Wdo) vorig jaar, heeft de overheid nu bovendien de mogelijkheid om de toepassing van moderne internetstandaarden bij (semi-)overheidsinstanties verplicht te stellen. Via het 'Besluit beveiligde verbinding met overheidswebsites en -webapplicaties' geldt deze verplichting vanaf juli vorig jaar voor de web-beveiligingsstandaarden HTTPS en HSTS [1].

Adoptie gestokt

Van de beveiligingsstandaarden voor het web is HTTPS (voor de versleuteling van de verbinding) de belangrijkste. Bovendien zijn de kosten voor het aanzetten – zeker vergeleken met de implementatie van sommige andere verplichte beveiligingsstandaarden – uiterst beperkt. In de Toelichting op bovengenoemd Besluit staat dat Forum Standaardisatie eerder de benodigde investering inschatte tussen de 0 en 400 euro per website per jaar. Tegelijkertijd berichtten we vorige maand op deze site dat de adoptie van HTTPS aan serverzijde is gestokt. Volgens de EFF komt dat door verouderde en verlaten servers, door servers die omwille van de performance of hun beperkte content/functionaliteit niet versleutelen, door mobiele apparaten die toch niet altijd HTTPS ondersteunen, en doordat beheerders om hun eigen privacy en veiligheid te beschermen geen certificaat willen aanvragen.

Een andere inschatting van Forum Standaardisatie destijds was dat overheidssites in het huidige groeitempo (dat wil zeggen: zonder aanvullende maatregelen) pas over 10 jaar aan de adoptie-afspraken zouden voldoen. Vandaar dat de regering aangaf zich regulier te zullen beraden op de vraag voor welke andere standaarden een verplichting nodig is, waarbij DNSSEC de eerstvolgende lijkt te zijn.

Domeinportfoliobeheer

Kortom: regelgeving is er inderdaad genoeg, maar van dwang of sanctie is geen enkele sprake. De staatssecretaris gaf in haar antwoorden daarom aan te zullen onderzoeken hoe het toezicht op de wettelijk verplichte standaarden steviger kan worden ingericht. Daarbij is ook een rol weggelegd voor de toekomstige Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, die ook in de BIO2 verwerkt zal worden. Als onderdeel van de Cyberbeveiligingswet zal de Rijksinspectie voor Digitale Infrastructuur (RDI) belast worden met toezicht op en de handhaving van de informatieveiligheid bij overheidsorganisaties.

Het probleem van de vergeten en verwaarloosde sites wordt hopelijk op korte termijn sterk verminderd door het Register Internetdomeinen Overheid (RIO) [1]. Daarin zijn nu de domeinnamen van alle rijksoverheidsdiensten opgenomen. Aan de registraties van de andere overheden wordt nog gewerkt.

Een overzicht van de prestaties van onder andere de verschillende overheidssectoren vind je op Basisbeveiliging.nl, een project mede-gesponsord door SIDN fonds.

Kaart van Nederland die met kleuren de prestaties van de Nederlandse gemeentes op het gebied van de adoptie van beveiligingsstandaarden laat zien.