“Pleidooi voor brede toepassing IPv6 vindt maar beperkt gehoor”

De Rijksinspectie Digitale Infrastructuur (RDI, tot vorig jaar bekend als het Agentschap Telecom) houdt zich de laatste jaren ook bezig met digitale weerbaarheid. Dat in de rol van toezichthouder op Europese regelgeving, waaronder eIDAS, NIS(2) [Wbni], en de nieuwe Cyber Resilience Act en AI Act. Ook het 'Digital Europe'-programma bevat voor hen relevante onderdelen.

BGP/RPKI en IPv6

Wat betreft de moderne internetstandaarden lag de nadruk bij de RDI de afgelopen 2 jaar op BGP/RPKI en IPv6. Aanleiding daarvoor was het Stratix-rapport ‘Internetinfrastructuur: standaardisatie, techniek en geopolitiek’ (gepubliceerd in december 2022). Daarin worden BGP route hijacking, IP spoofing en de trage adoptie van IPv6 als belangrijke problemen specifiek gerelateerd aan internet-(beveiligings-)standaarden benoemd.

In 2023 werd de RDI dan ook lid van het Platform Internetstandaarden – meest bekend van de Internet.nl-testportaal – en Forum Standaardisatie. Daarnaast neemt de RDI ook deel aan de Anti-DDOS-Coalitie en de bijeenkomsten van de Netherlands Network Operator Group (NLNOG). Zo verzorgde de RDI vorige zomer samen met de Dutch Cloud Community (DDC, de Nederlandse internetdienstverleners) een informatiesessie rondom het thema ‘DDoS resiliency’.

Metingen Internet Cleanup Foundation

Helaas moest de RDI in zijn laatste jaarbericht concluderen dat hun “pleidooi voor het breed toepassen van IPv6 beperkt gehoor vindt.” Tegelijkertijd geven zij in datzelfde bericht aan “daar aandacht voor te blijven vragen”.

“Standaardisatie en het toepassen van standaarden hebben een vaste plek in de programmering van de RDI,” aldus een woordvoerder. “Iedere 2 à 3 jaar kiezen we een thema ten aanzien van standaardisatie dat we extra aandacht geven in ons toezicht. Daarbij spelen we in op ontwikkelingen die er op dat moment rondom dat thema spelen. Aankomende tijd zetten we vooral in het op aandacht vragen voor internetstandaarden bij organisaties onder ons toezicht.”

Daarbij wil de RDI komend jaar aan de slag met de uitkomsten van de metingen gedaan door de Internet Cleanup Foundation (ICF). De doelstelling van de ICF is om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie op internet te verhogen. Daartoe voeren zij onder andere metingen (scans) uit op de internet-presence van organisaties in de kritieke sectoren, waarvan de uitkomsten vervolgens worden gepubliceerd op de basisbeveiliging.nl website. De RDI sponsort de ICF de komende 3 jaren met een bedrag van 20.000 euro per jaar.

Figuur 1: De digitale veiligheid van organisaties in de Nederlandse energiesector. Deze maken deel uit van de kritieke infrastructuur. [bron: Basisbeveiliging]

Digitale weerbaarheid

De RDI zal de uitkomsten van de ICF-metingen evalueren en bekijken of deze op termijn gebruikt kunnen worden in hun toezicht, met name waar het gaat om de inschatting van risico's ten aanzien van digitale weerbaarheid. Hierbij gaat het specifiek om bedrijven en organisaties die onderdeel uitmaken van de kritieke infrastructuur en onder de NIS(2)-wetgeving vallen.

“De kaarten van de ICF laten zien in welke mate sectoren/organisaties standaarden hebben toegepast. Bij die organisaties die minder scoren, gaan onze inspecteurs in gesprek over het belang van het toepassen van standaarden en vragen door waarom die nog niet of onvoldoende worden toegepast.”

Daarnaast besteedt de RDI tijdens de inspecties bij aanbieders van internetdiensten en netwerken aandacht aan standaarden en protocollen. Hier betreft het internet- en netwerkdiensten aan consumenten via xDSL, kabel of glasvezel. Daarvoor geldt dat aanbieders onder de nieuwe Telecommunicatiewet en het Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten aan strengere eisen moeten voldoen voor wat betreft hun zorg- en meldplicht. “We benadrukken hierbij het belang van de implementatie van internetstandaarden zoals die in de ‘pas toe of leg uit’-lijst zijn beschreven. Daarbij bekijken we jaarlijks welke focus we aanbrengen.”