Besluit van 11 mei 2023, houdende aanwijzing van de open informatieveiligheidsstandaarden HTTPS en HSTS voor websites en webapplicaties van bestuursorganen (Besluit beveiligde verbinding met overheidswebsites en -webapplicaties)

NOTA VAN TOELICHTING

1. Inleiding

Met dit besluit wordt de toepassing van de informatieveiligheidsstandaarden HTTPS en HSTS verplicht voorgeschreven voor publiek toegankelijke websites1 van bestuursorganen. Het besluit heeft tot doel de beveiliging van deze websites te bevorderen. Gebruikers van overheidswebsites moeten erop kunnen vertrouwen dat informatie-uitwisseling vertrouwelijk verloopt doordat de verbinding met de website beveiligd is, dat de informatie van de website daadwerkelijk afkomstig is van de beheerder van de website en dat de website daadwerkelijk hoort bij de gebruikte domeinnaam.

2. Aanleiding

In februari 2017 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties de Tweede Kamer toegezegd om de toepassing van de HTTPS-standaard bij overheidswebsites te verplichten.2 Het verplicht voorschrijven van deze standaarden is een vervolg op ingezet beleid. Voor de HTTPS- en HSTS-standaard geldt momenteel het zogenaamde «pas toe of leg uit»-beleid voor open standaarden. Dit beleid houdt kort gezegd in dat op het moment dat een bestuursorgaan investeert in een ICT-systeem of -dienst, de relevante standaarden van de «pas toe of leg uit»-lijst van het Forum Standaardisatie dienen te worden toegepast (pas toe). Bestuursorganen hebben de mogelijkheid af te wijken van de opgenomen standaarden indien hiervoor een zwaarwegende reden is (leg uit).

Het Nationaal Beraad Digitale Overheid sprak begin 2016 de ambitie uit om een aantal informatieveiligheidsstandaarden, waaronder de HTTPS-standaard, overal waar relevant, te implementeren. Het Nationaal Beraad was van mening dat de urgentie voor deze standaarden dermate hoog is dat deze direct dienen te worden toegepast. Voor deze standaarden zijn er geen zwaarwegende redenen te noemen om deze niet toe te passen. Bovendien geldt dat een gebrekkige informatiebeveiliging van één overheidspartij negatief afstraalt op de gehele overheid. Hierom werd vrijblijvendheid om zelf een toepassingsmoment te kiezen niet wenselijk geacht.3

Begin 2018 is het Nationaal Beraad opgevolgd door het Overheidsbreed Beleidsoverleg Digitale Overheid (hierna: OBDO).4 Het OBDO besloot begin 2018 het streefbeeld van het Nationaal Beraad uit te breiden, opdat alle overheidswebsites HTTPS en HSTS ondersteunen en deze conform de TLS-richtlijnen van het Nationaal Cyber Security Centrum (hierna: NCSC) zijn geconfigureerd.

Op verzoek van het OBDO toetst het Forum Standaardisatie iedere zes maanden publiek toegankelijke overheidswebsites op de toepassing van de informatieveiligheidsstandaarden waarvoor het OBDO streefbeeldafspraken heeft gemaakt. Uit de meest recente meting van 2022, waarin circa 2.500 websites zijn onderzocht, blijkt dat het streefbeeld voor HTTPS en HSTS niet is gehaald.5 Bij 75% van de getoetste websites wordt HTTPS gebruikt en geconfigureerd volgens de richtlijnen van het NCSC. 75% van de getoetste sites gebruikt HSTS. Nu het huidige beleid niet tot gevolg heeft dat alle bestuursorganen de standaarden hebben geïmplementeerd, worden deze door middel van dit besluit dwingend voorgeschreven.

3. Noodzaak voor verplichtstelling

Met de groei van de afhankelijkheid van het internet zijn de risico’s voor de veiligheid en privacy van bezoekers van websites eveneens toegenomen. Ieder internetgebruik dat bijvoorbeeld niet via HTTPS verloopt geeft informatie over het gedrag van de gebruiker en kan interessant zijn voor derden om te verzamelen. Het is daarom belangrijk dat bestuursorganen hun websites goed beveiligen.

Toepassing van de HTTPS-standaard borgt de vertrouwelijkheid, authenticiteit en integriteit van de berichtenuitwisseling. In combinatie met de HSTS-standaard wordt het moeilijker gemaakt om het berichtenverkeer dat via websites verloopt te onderscheppen.

De toepassing van HTTPS is inmiddels gemeengoed. Uit statistieken van Google blijkt dat van de honderd best bezochte websites ter wereld (samen goed voor 25% van het totale internetverkeer) 97% werkt met HTTPS.6 Bij Googles eigen internetverkeer verloopt, afhankelijk van het land en gebruikte platform, tussen de 87% en 97% via HTTPS. Het wordt bovendien lastig om websites zonder HTTPS te vinden, omdat populaire zoekmachines websites zonder HTTPS lager in de zoekresultaten plaatsen. Daarnaast duiden verschillende browsers tegenwoordig websites zonder HTTPS aan als «onveilig».7

Ook andere overheden zetten in op de toepassing van HTTPS. Zo hanteert het CIO office van de federale overheid van de Verenigde Staten «HTTPS for everything» als uitgangspunt. Zij stellen dat met de groei van de afhankelijkheid van het internet, de risico’s voor de veiligheid en privacy van de gebruikers ook zijn gegroeid en de overheid daarom HTTPS moet toepassen op overheidswebsites, ongeacht het type website of type informatie dat wordt uitgewisseld.8

HTTPS-standaard

Het gebruik van HTTPS zorgt er allereerst voor dat de gegevens die de bezoeker en de website uitwisselen, worden versleuteld (vertrouwelijkheid). Hierdoor is het voor derden die gegevens onderscheppen, niet mogelijk om deze gegevens uit te lezen. Het gaat hier onder meer om de webcontent, URL's, cookies en andere gevoelige (meta)data.9 Ook als er informatie wordt gedeeld via formulieren, wordt deze versleuteld verzonden, zodat een derde niet mee kan kijken.

Daarnaast stelt HTTPS de bezoeker in staat om te controleren of daadwerkelijk contact wordt gelegd met de website die hoort bij de gebruikte domeinnaam (authenticiteit). Door HTTPS kan worden voorkomen dat met een vervalste website (spoofing) of via een kwaadwillende tussenpersoon informatie wordt uitgewisseld.10

Tot slot waarborgt HTTPS dat een kwaadwillende de gegevens tussen de bezoeker en de website onderweg niet kan aanpassen of zaken (bijvoorbeeld malware) kan toevoegen (integriteit). Een bezoeker kan erop vertrouwen dat de informatie die wordt verschaft via de website of de doorverwijzing naar bijvoorbeeld een andere website, niet door anderen dan de beheerder van de website kan worden aangepast.

De toepassing van HTTPS is voor bezoekers van websites te herkennen aan de weergave van het kenmerkende slotje in de adresbalk van de browser. Alleen als alle overheidswebsites HTTPS toepassen kan een bezoeker van een overheidswebsite het ontbreken van een slotje interpreteren als een aanwijzing dat hij of zij zich waarschijnlijk niet op een legitieme overheidswebsite bevindt. Overigens is een slotje geen garantie dat het om een legitieme overheidswebsite gaat. Naast de aanwezigheid van het slotje zal de bezoeker ook op andere kenmerken, met name de domeinnaam, moeten letten om een legitieme overheidswebsite te herkennen.

HSTS-standaard

De HSTS-standaard is een complementaire standaard die ervoor zorgt dat een internetbrowser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.11 Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van het webverkeer te onderscheppen of te manipuleren.

4. Inhoud van het voorstel

Dit besluit verplicht bestuursorganen de open standaarden HTTPS en HSTS toe te passen op al hun voor publiek toegankelijke websites en webapplicaties conform de aanbevolen configuratie van het NCSC zoals opgenomen in de TLS-richtlijnen en Webapplicatie-richtlijnen. Voor de open standaarden gaat het om de versies IETF RFC 9110 (HTTPS) en 6797 (HSTS).12

Grondslag

De HTTPS- en HSTS-standaard voldoen beide aan deze voorwaarden. Het Forum Standaardisatie heeft deze standaarden in 2017 getoetst en opgenomen op de «pas toe of leg uit»-lijst met open standaarden.13 Bij inwerkingtreding van dit besluit zal voor deze open standaarden niet langer de «pas toe of leg uit»-verplichting gelden voor overheidsorganisaties die onder de reikwijdte van dit besluit vallen.

Ingevolge artikel 3, derde lid, van de Wdo dient in de algemene maatregel van bestuur in ieder geval te worden bepaald: het functionele toepassingsbereik van de aangewezen standaard, de organen waarvoor de verplichting tot toepassing van een aangewezen standaard geldt en de datum waarop de verplichting tot toepassing van een aangewezen standaard ingaat.

Bestuursorganen

De verplichting tot toepassing van de standaarden geldt voor bestuursorganen als bedoeld in artikel 1:1, eerste lid, onder a, van de Algemene wet bestuursrecht. Bij deze zogeheten a-bestuursorganen gaat het om de organen van rechtspersonen die krachtens publiekrecht zijn ingesteld. Voorbeelden van a-bestuursorganen zijn organen van de Staat (mits niet uitgezonderd), provincies, gemeenten, en waterschappen.

Andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid vallen niet onder deze verplichting. Het gaat om b-bestuursorganen zoals bedoeld in artikel 1:1, eerste lid, onder b Algemene wet bestuursrecht, organen als bedoeld in artikel 1:1, tweede lid, Algemene wet bestuursrecht, en rechtspersonen met een wettelijke taak als bedoeld in artikel 1.1 van de Comptabiliteitswet 2016.

Omdat vooral a-bestuursorganen elektronische diensten verlenen en in dat verband besluiten jegens burgers en bedrijven nemen, zijn beveiligde verbindingen van essentieel belang. Daarnaast geldt voor de a-bestuursorganen dat de verplichtstelling van HTTPS en HSTS voor hun websites door middel van een algemene maatregel van bestuur het sluitstuk is op ingezet beleid. Andere instrumenten, zoals de «pas toe of leg uit»-lijst14 en zogeheten streefbeeldafspraken15, zijn al eerder ingezet. Dit geldt niet voor andere organen zoals bedoeld in artikel 3, eerste lid, van de Wet digitale overheid. Deze organen vielen niet onder het reeds gevoerde beleid. De bestaande monitoring door het Forum Standaardisatie beperkt zich ook tot a-bestuursorganen.

Daarnaast is bij de consultatie van het concept-besluit niet getoetst of er voldoende draagvlaak is om de verplichting toe te passen op andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid. Evenmin is daar in de voorbereidingsfase door de belanghebbenden en/of hun vertegenwoordigers uit het veld om verzocht. Verplichtstelling voor andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid, is op dit moment daarom disproportioneel. Dit wil overigens niet zeggen dat toepassing van de standaarden op hun websites niet verstandig is. In samenspraak met vertegenwoordigers uit het veld, zal de regering zich beraden of het op een later moment opportuun is om een besluit tot verplichting te nemen voor andere organen zoals bedoeld in artikel 3, eerste lid, Wet digitale overheid.

Functionele toepassingsbereik

De verplichting tot toepassing van de standaarden ziet op alle publiek toegankelijke websites en webapplicaties van a-bestuursorganen. Een website is een samenhangende verzameling van webpagina’s met inhoud bestaande uit tekst, foto’s en video’s. Webapplicaties zijn programma’s die draaien op een webserver. Een voorbeeld van een webapplicatie is webmail. Voor websites en webapplicaties is kenmerkend dat deze draaien op een webserver en kunnen worden benaderd via een webbrowser of andere cliënt die HTTP ondersteunt.

Voor het functionele toepassingsbereik van de verplichting is de inhoud en functionaliteit van de website niet relevant. Dit betekent concreet dat de verplichting geldt voor zowel websites (eventueel na inloggen) waar informatie wordt uitgewisseld met een bezoeker (bijvoorbeeld door middel van een applicatie of formulieren) als websites waar (statische) informatie wordt weergegeven. Webapplicaties en Web application programming interfaces (API’s) vallen dus ook onder deze verplichting. Intranetsites die niet publiekelijk bereikbaar zijn vanaf internet, vallen buiten het toepassingsbereik van de verplichting. Dat wil overigens niet zeggen dat toepassing van de standaarden daar niet verstandig is.

Door het verplicht voorschrijven van HTTPS en HSTS voor alle websites zijn bestuursorgaan niet afhankelijk van bijvoorbeeld de inschatting van webbeheerders van wat precies beschouwd moet worden als gevoelige informatie. De mate van gevoeligheid van informatie kan per situatie verschillen. Vergissingen over wanneer HTTPS op zijn plaats is, worden voorkomen door een algeheel voorschrift HTTPS voor alle websites te gebruiken.

Gelet op het doel van de verplichting dient de reikwijdte van de verplichting materieel ingevuld te worden. Het eigendom van de domeinnaam en het beheer van de website zijn daarbij niet relevant. Doorslaggevend is of de website gebruikt wordt in het kader van de uitvoering van een publieke taak door een bestuursorgaan.

De verplichting tot toepassing van de standaarden heeft ook betrekking op zogeheten parking pages en redirects. Een parking page is een «lege» website waarop veelal wordt aangekondigd wie de eigenaar is en welke informatie daar zal verschijnen. Een redirect is een domeinnaam die doorverwijst naar een andere website op een andere domeinnaam. Een voorbeeld hiervan is https://www.minbzk.nl dat doorverwijst naar https://www.rijksoverheid.nl/ministeries/ministerie-van-binnenlandse-zaken-en-koninkrijksrelaties. Toepassing van de standaarden kan achterwege blijven in het geval dat een domeinnaam wel is geregistreerd, maar er nog geen pagina beschikbaar is gesteld. Aangezien er dan nog geen pagina is om te bezoeken, hoeft die ook niet beveiligd te worden.

Configuratie

Concreet betekent het toepassen van HTTPS dat partijen een TLS-certificaat installeren op hun website. Deze certificaten zijn er in meerdere versies en kunnen met verschillende beveiligingsopties worden toegepast. Dit besluit schrijft geen specifiek type TLS-certificaat voor. Zowel domeinvalidatie-, organisatievalidatie- als uitgebreide validatie-certificaten zijn geschikt om het gewenste beveiligingsniveau te halen. Deze certificaten bieden dezelfde beveiliging maar verschillen in aanvraagproces en in de wijze waarop de gegevens van de eigenaar en certificaatverstrekker worden weergegeven.

Een slechte TLS-configuratie biedt geen goed beveiligde verbinding. De TLS-richtlijnen en de Webapplicaties-richtlijnen van het NCSC geven aan met welke beveiligingsinstellingen de standaarden dienen te worden toegepast voor een veilig resultaat. Daarbij geldt dat dit besluit een minimumeis betreft. Het staat bestuursorganen vrij om strengere beveiligingsinstellingen toe te passen indien zij dit nodig achten.

Dit besluit verwijst naar specifieke versies van de ICT-beveiligingsrichtlijnen van het NCSC. Gekozen is voor een statische verwijzing boven een dynamische verwijzing, om te zorgen dat de inhoud van de verplichting bepaald blijft worden door de regering. Indien het NCSC de richtlijnen wijzigt, dan wijzigt de verplichting op grond van dit besluit niet automatisch mee. In dat geval zal bekeken worden of aanpassing van dit besluit nuttig en noodzakelijk is. Met het NCSC zijn afspraken gemaakt om onder meer te zorgen dat de richtlijnen permanent beschikbaar zijn op de met de verwijzing aangeduide locatie, ook ingeval de richtlijnen door het NCSC worden aangepast. Bestuursorganen die HTTPS en HSTS toepassen, doen er overigens verstandig aan om eventuele wijzigingen in de ICT-beveiligingsrichtlijnen van het NCSC actief te volgen.

Webapplicatie-richtlijnen

De ICT-beveiligingsrichtlijnen voor Webapplicaties van het NCSC zijn gericht op websites waarmee gevoelige of vertrouwelijke informatie wordt uitgewisseld, bijvoorbeeld door middel van contactformulieren en entreepagina’s die daarbij horen. Dit besluit gaat verder en verplicht het toepassen van deze beveiligingsrichtlijnen voor alle via internet toegankelijke websites van bestuursorganen ongeacht de inhoud of functionaliteit van de website. Dit sluit aan bij de reikwijdte van de streefbeeldafspraak van het OBDO met betrekking tot het toepassen van deze standaarden.

TLS-richtlijnen

Het NCSC maakt in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) onderscheid tussen vier configuratieniveaus: «goed», «voldoende», «uit te faseren» en «onvoldoende». Het NCSC stelt dat van «uit te faseren»-instellingen bekend is dat deze fragiel zijn met het oog op de doorontwikkeling van aanvalstechnieken. Dit houdt in dat het risico bestaat dat deze instellingen in de nabije toekomst de status «onvoldoende» krijgen.

Om die reden adviseert het NCSC organisaties «uit te faseren»-configuraties te verwijderen zodra de mogelijkheid zich daartoe aandient en hier niet afwachtend mee om te gaan. Een voorbeeld van een uit te faseren instelling is het gebruik van de verouderde TLS-versies 1.0 en 1.1. Een reden om deze nog niet uit te faseren is bijvoorbeeld dat websites voorzien van de verouderde TLS-versies bezocht kunnen worden door gebruikers met (zwaar) verouderde besturingssystemen en browsers, waar de softwarevereisten van de meer recente (en veiliger) TLS-versies ook meer recente besturingssystemen en browsers vereisen om te functioneren.

Het NCSC noemt mede daarom geen deadline voor de uit te faseren instellingen en laat dit aan individuele organisaties. Een aantal recente ontwikkelen maakt dat dit besluit wel een dergelijke deadline geeft (zie onder paragraaf 8). Na inwerkingtreding van dit besluit dient TLS geconfigureerd te zijn op ten minste niveau «voldoende».

Deze ontwikkelingen zijn:

• 1. De makers van de meest gebruikte browsers: Chrome (Google), Firefox (Mozilla), Safari (Apple) en IE/EGDE (Microsoft) hebben de ondersteuning van TLS-versie 1.0 en 1.1 gestopt in 2020. Dit betekent concreet dat overheidswebsites die niet ten minste zijn voorzien van TLS-versie 1.2 (NCSC-niveau «voldoende») sedertdien niet meer via die browsers bezocht kunnen worden.

• 2. De ondersteuning voor de tweede generatie PKIoverheid-certificaten, die door veel overheidsorganisaties gebruikt worden,16 is per 25 maart 2020 gestopt. De softwarevereisten voor de derde generatie PKIoverheid-certifcaten of PKIo Extended Validation-certificaten, waar deze organisaties op zijn overgaan, zijn gemiddeld strikter dan de softwarevereisten voor TLS-versie 1.2.17 Waar veel organisaties momenteel nog oudere TLS-versies ondersteunen om websitebezoekers met (zwaar) verouderde software tegemoet te komen, kan dit door dit besluit niet meer.

• 3. De verwachte impact van de deadline is beperkt. Wereldwijd is het aantal websites dat TLS-versie 1.2 ondersteunt reeds hoog. Uit wekelijkse testen van Mozilla blijkt bovendien dat er van de één miljoen geteste populaire websites wereldwijd die TLS toepassen, in nog maar 0,6% van de gevallen alleen TLS-versies 1.0 en 1.1 worden toegepast. De overige websites bieden daarnaast allemaal ten minste TLS-versie 1.2 aan.18 Exacte cijfers van websites van bestuursorganen zijn niet bekend, maar de impact van het uitfaseren van TLS-versies 1.0 en 1.1 is hier naar verwachting eveneens beperkt. Mede om die reden hebben veel organisaties reeds TLS-versies 1.0 en 1.1 uitgefaseerd of zijn daar nu mee bezig. Een paar voorbeelden zijn: www.digid.nl, www.s-hertogenbosch.nl, www.promovendum.nl en www.snsbank.nl. Deze sites gebruiken alleen nog TLS-versie 1.2 en hoger.

Gebruikers met software die al jaren niet meer geüpdatet wordt, kunnen door de genoemde ontwikkelingen en inwerkingtreding van dit besluit geen overheidswebsite meer bezoeken. Zoals gezegd is deze groep naar verwachting erg klein en wordt bovendien steeds kleiner.

Dienst Publiek en Communicatie van het ministerie van Algemene Zaken houdt de bezoekersstatistieken bij van ruim 500 overheidswebsites. Daaruit blijkt dat bij 0,3% van de bezoeken in 2019, besturingssystemen en browsers gebruikt werden, die niet in staat zijn TLS 1.2 te ondersteunen. Deze besturingssystemen zijn dermate verouderd dat hier geen moderne browsers voor beschikbaar zijn.

In alle andere gevallen wordt TLS 1.2 reeds door de software van de bezoekers ondersteund, of is eenvoudig en kosteloos de gebruikte browser te updaten naar een versie die TLS 1.2 wel ondersteunt.

Bovendien lopen bezoekers met verouderde software zelf een steeds groter beveiligingsrisico door met de verouderde software internet te gebruiken. Door deze groep tegemoet te blijven komen met verouderde beveiligingsopties op overheidswebsites, houdt de overheid een ongewenste situatie in stand. De overheid geeft hen door dit besluit een belangrijk signaal, dat het van belang is om actuele en geüpdatete software te gebruiken.

5. Verhouding tot andere regelgeving en beleid

Regelgeving

Ingevolge artikel 32, eerste lid, van de Algemene verordening gegevensbescherming dienen passende technische en organisatorische maatregelen te worden getroffen om persoonsgegevens te beveiligen. De maatregel kan omvatten de versleuteling van persoonsgegevens. Voor zover via een website persoonsgegevens worden uitgewisseld (bijvoorbeeld door middel van formulieren) is de Autoriteit persoonsgegevens van oordeel dat organisaties verplicht zijn HTTPS toe te passen.19 Dit besluit geeft concrete invulling aan deze algemene beveiligingsverplichting en gaat verder dan waartoe de verordening verplicht, nu de beveiligingsplicht uit hoofde van dit besluit zal gelden voor ieder type informatie dat via de website uitgewisseld wordt.

Beleid

In een aantal gevallen wordt het gebruik van HTTPS en HSTS reeds voorgeschreven. Zo dienen bestuursorganen die gebruik maken van DigiD, volgens de Norm ICT-beveiligingsassessments DigiD gebruik te maken van HTTPS en HSTS.20 Ook in de Baseline Informatiebeveiliging Overheid (hierna: BIO21) wordt het gebruik van HTTPS en HSTS voorgeschreven. In deze circulaire staat dat voor beveiliging van websiteverkeer de open standaarden tegen afluisteren gelden die op de «pas toe of leg uit»-lijst van het Forum staan.» In beide gevallen sluit dit aan bij de reikwijdte van dit besluit.

6. Gevolgen

Overheden

Dit besluit brengt voor a-bestuursorganen de verplichting mee de open standaarden HTTPS en HSTS te hanteren voor publiek toegankelijke websites. Voor wat betreft de financiële gevolgen van deze verplichting is relevant dat deze open standaarden momenteel al door de bestuursorganen (moeten) worden gehanteerd. Dit betekent dat de bestuursorganen die de betreffende open standaarden reeds hebben geïmplementeerd geen financiële gevolgen ondervinden van het verplicht stellen van de standaarden. Voor het geval het orgaan de standaarden nog niet hanteert, zijn de implementatiekosten hiervan per website ingeschat.

In 2015 heeft het Forum Standaardisatie voor het Nationaal Beraad Digitale Overheid een inschatting gemaakt van de kosten van het implementeren van HTTPS op een gemiddelde website.22 Kort gezegd kan dit in het meest gunstige geval zonder kosten, of afhankelijk van de situatie en keuzes van de bestuursorganen zelf, voor een bedrag van een paar honderd euro per website per twee à drie jaar.

Een aantal leveranciers van domeinen en websites past HTTPS en HSTS toe zonder extra kosten. De Dienst Publiek en Communicatie van het ministerie van Algemene Zaken zorgt er bijvoorbeeld voor dat HTTPS voor alle websites op het Platform Rijksoverheid Online beschikbaar is en veilig is geconfigureerd en brengt daarvoor geen aanvullende kosten in rekening.

Een aantal bestuursorganen maakt gebruik van een eigen webserver. In dat geval zijn, naar inschatting van Forum Standaardisatie, de eenmalige kosten voor het configureren van HTTPS en HSTS op de webserver maximaal € 400, en de jaarlijkse kosten voor het beheren en aanpassen van HTTPS- en HSTS-configuratie op de webserver en voor het beheer van het sleutelmateriaal eveneens maximaal € 400.

Er zijn, zoals gezegd, drie soorten TLS-certificaten: domeinvalidatie, organisatievalidatie en uitgebreide validatie. Deze certificaten bieden dezelfde beveiliging maar verschillen in aanvraagproces en in de wijze waarop de gegevens van de eigenaar en certificaatverstrekker worden weergegeven. In die situaties dat er nog geen verplichting of beleid bestaat om een specifiek type certificaat toe te passen, is het aan bestuursorganen zelf welk type certificaat zij willen toepassen. Hierdoor zijn de potentiële kosten vanaf € 0,– (in geval van een gratis domeinvalidatie-certificaat) tot circa € 600,– voor drie jaar.

Burgers en Bedrijven

De verplichting om HTTPS en HSTS toe te passen op overheidswebsites heeft geen financiële gevolgen voor burgers en bedrijven. Alle gangbare courante versies van de internetbrowsers, zoals Chrome, Safari, Firefox en Internet Explorer, ondersteunen de standaarden reeds. Burgers en bedrijven hoeven niets te doen om van het voordeel van een veilige, privacybeschermende verbinding met een overheidswebsite te kunnen profiteren.

7. Uitvoering, toezicht en handhaving

Het toezicht op de naleving vindt plaats overeenkomstig het bepaalde in hoofdstuk 6 van de Wdo. Ingevolge het vierde en vijfde lid van artikel 3 Wdo kunnen nadere maatregelen door de minister worden genomen.

Het Forum Standaardisatie meet jaarlijks in hoeverre de standaarden op de «pas toe of leg uit»-lijst worden toegepast. Door de minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen open standaarden worden hierin meegenomen.23 De uitkomsten van de meting worden besproken in het Forum Standaardisatie en het OBDO en vervolgens aan de Tweede Kamer overgelegd. Op deze wijze wordt transparant welke specifieke organen al dan niet voldoen aan de verplichting.

Het belang dat burgers, bedrijven en bestuursorganen zelf hebben bij de toepassing van de standaarden, alsook de bestaande monitoring en het beoogde toezichtsmechanisme, acht de regering afdoende om te borgen dat de verplichting wordt nageleefd door bestuursorganen.

8. Inwerkingtreding

Dit besluit treedt in werking op 1 juli 2023 en heeft onmiddellijke werking. Aangezien bestuursorganen zichzelf eerder hebben verbonden aan de streefbeeldafspraak om vóór 2019 te voldoen aan de standaarden, en gelet op de ontwikkelingen genoemd in paragraaf 4, is er geen noodzaak voor overgangsrecht.

9. Advies en consultatie

Internetconsultatie

In totaal zijn 13 consultatiereacties binnengekomen. Daarvan zijn 11 reacties openbaar. De reacties zijn afkomstig van overheden (de Provincie Fryslân en de Dienst Publiek en Communicatie van het ministerie van AZ) en private organisaties (Open State Foundation, IIA Nederland, secubeter.nl, FYN Software en RedOps). Daarnaast hebben zes personen een reactie ingebracht.

De noodzaak van het verplicht stellen van de standaarden HTTPS en HSTS wordt door nagenoeg alle respondenten onderschreven. Ook wordt het functionele toepassingsbereik van de verplichting breed onderschreven en is er voldoende draagvlak om de verplichting toe te passen op zogeheten a-bestuursorganen.

Verschillende reacties bevatten ook voorstellen om bijvoorbeeld andere open standaarden of aanvullende beveiligingsmaatregelen verplicht voor te schrijven. In het onderstaande wordt nader ingegaan op de meest voorkomende voorstellen, voor zover deze niet al zijn afgedekt door de in het besluit genoemde ICT-beveiligingsrichtlijnen van het NCSC. Het gaat achtereenvolgens om «HSTS-preloading», minimale HSTS-geldigheidsduur, dynamische verwijzing naar ICT-richtlijnen van NCSC, PKIoverheid-certificaten en andere open standaarden.

«HSTS-preloading»

In meerdere reacties wordt gesuggereerd «HSTS-preloading» op te nemen in het besluit. «HSTS-preloading» zorgt ervoor dat een website altijd, ook de eerste keer, wordt bezocht via HTTPS. Ondanks dat toepassing van «HSTS-preloading» in bepaalde gevallen interessant kan zijn, is het naar mening van de regering niet wenselijk om tot verplichting hiervan over te gaan. Bestuursorganen moeten hierover van geval tot geval een eigen (risico)afweging kunnen maken. Het NCSC heeft op dit moment geen publicatie die «HSTS-preloading» beschrijft en is ook niet voornemens om hier een publicatie of nieuwsbericht aan te wijden. Ook maakt «HSTS-preloading» nu geen onderdeel uit van de opname van HSTS op de «pas toe of leg uit»-lijst van Forum Standaardisatie.

«HSTS-preloading» is vooral interessant voor de meest gevoelige websites. Websites die HSTS toepassen met een voldoende lange HSTS-geldigheidsperiode (zie ook de paragraaf Minimale HSTS-geldigheidsduur hieronder) dekken de bulk van het risico al af. «HSTS-preloading» dicht ook het (kleine) restrisico af.

Beheerders die «HSTS-preloading» voor een bepaald domein willen inschakelen, moeten dit uiterst bedachtzaam doen. Het kan gevolgen hebben voor de toegankelijkheid van bepaalde (sub)domeinen en is niet snel terug te draaien.

Minimale HSTS-geldigheidsduur

Enkele reacties bevatten een aanbeveling voor de HSTS-geldigheidsperiode («max-age») van websites. Deze periode die de websitebeheerder instelt, bepaalt tot hoe lang na het laatste websitebezoek de browser van de gebruiker bij een opvolgend bezoek direct via HTTPS de website zal verbinden.

In één reactie wordt aanbevolen om de «HSTS max-age»-instelling op minimaal 1 jaar te zetten. In een andere reactie wordt gepleit voor een geldigheidsperiode van ruim 1 jaar.

De regering acht een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) voldoende veilig. Bestuursorganen kunnen zelf de afweging maken om al dan niet een langere geldigheidsduur te hanteren. Bij implementatie is het raadzaam om de geldigheidsduur stapsgewijs te verhogen.

Volgens het NCSC is een levensduur van zes maanden tot een jaar gebruikelijk.24 Een langere geldigheidsduur heeft als voordeel dat ook infrequentere bezoekers beschermd zijn.

Dynamische verwijzing naar ICT-richtlijnen van NCSC

Meerdere reacties hebben betrekking op de statische verwijzing naar een bepaalde versie van de beveiligingsstandaarden en de ICT-beveiligingsrichtlijnen van het NCSC. Het besluit verwijst naar de ICT-beveiligingsrichtlijnen van het NCSC voor een veilige configuratie van de standaarden. Door ontwikkelingen in de stand van de techniek kunnen bepaalde beveiligingsmaatregelen van de een op de andere dag onvoldoende worden geacht. Bestuursorganen moeten dan snel handelen. Ook zullen de richtlijnen daaraan worden aangepast. Het is volgens de geconsulteerden onwenselijk dat het langere tijd duurt voordat dit besluit is aangepast. Zij stellen daarom een dynamische verwijzing naar de ICT-beveiligingsrichtlijnen van het NCSC voor dan wel een meer abstracte, en daarom duurzame, verplichting om beveiligingsmaatregelen te treffen.

De regering heeft een dynamische verwijzing naar de ICT-beveiligingsrichtlijnen van het NCSC nadrukkelijk overwogen en heeft geconstateerd dat een dynamische verwijzing juridisch niet mogelijk is, en ook niet noodzakelijk is.

Artikel 3 van de Wet digitale overheid (WDO) schrijft voor dat de standaarden worden aangewezen bij algemene maatregel van bestuur. De wetgever heeft het niet mogelijk gemaakt om de aanwijzing daarvan door te delegeren aan de minister. Een dynamische verwijzing in de algemene maatregelen van bestuur naar de ICT-beveiligingsrichtlijnen van het NCSC zou materieel neerkomen op subdelegatie aan de Minister van Justitie en Veiligheid. De minister zou dan de facto voorschrijven welke beveiligingsmaatregelen bestuursorganen moeten toepassen.

Een dynamische verwijzing naar de ICT-beveiligingsrichtlijnen van het NCSC is hier evenwel niet noodzakelijk. Dit besluit schrijft namelijk een minimumnorm voor en belet bestuursorganen niet om meer en verdergaande beveiligingsmaatregelen te treffen. Evenmin doet dit besluit af aan andere wettelijke en beleidsmatige verplichtingen om bepaalde beveiligingsmaatregelen toe te passen. Bestuursorganen kunnen en moeten inspelen op actuele ontwikkelingen. Het is raadzaam om daarvoor de actuele adviezen van het NCSC in de gaten te houden.

Een meer abstracte normstelling zou afdoen aan de concrete meerwaarde van dit besluit. Uit hoofde van verschillende wettelijke en beleidsmatige kaders, waaronder de Algemene verordening gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO)25, geldt namelijk reeds een meer algemene verplichting voor bestuursorganen om, rekening houdende met de stand van de techniek, passende beveiligingsmaatregelen te treffen.

Overigens leert de ervaring dat de ICT-beveiligingsrichtlijnen van het NCSC relatief stabiel zijn. De vorige versie van de TLS-richtlijn is vijf jaar van kracht geweest en de vorige versie van de Webapplicatie-richtlijn drie jaar. In geval van wijziging van de ICT-beveiligingsrichtlijnen van het NCSC zal er een proces tot aanpassing van het onderhavige besluit in gang worden gezet.

PKIoverheid-certificaten

Een reactie bevat het voorstel om als eis op te nemen dat overheidsorganisaties PKIoverheid-certificaten moeten gebruiken. Naar mening van de regering valt het buiten de scope van dit besluit om het gebruik van bepaalde certificaten voor te schrijven. Waar nodig, is dit elders al voldoende geborgd. Bovendien is inmiddels de uitgifte en de ondersteuning van PKIo-webcertificaten gestopt.26

Andere open standaarden

Verschillende respondenten stellen voor om ook andere open standaarden, zoals DNSSEC, IPv6, CAA, NEN 7510 en ISO 27001, verplicht voor te schrijven. DNSSEC («Domain Name System Security Extensions»), een standaard voor domeinnaambeveiliging, wordt het meest genoemd.

Met uitzondering van NEN 7510 en CAA, staan de genoemde standaarden op de «pas toe of leg uit»-lijst van Forum Standaardisatie.27 CAA is hiervoor aangemeld. Alleen voor DNSSEC is ook reeds een zogenaamde streefbeeldafspraak met uiterste implementatiedatum gemaakt.28

Nadat het besluit voor verplichte toepassing van de informatieveiligheidsstandaarden HTTPS en HSTS in werking is getreden, zal de regering zich regulier beraden voor welke standaard(en) het opportuun is om ook een besluit tot verplichting te nemen. De in deze consultatie ontvangen reacties op dit punt zullen hierbij worden meegenomen.

Autoriteit persoonsgegevens

Het ontwerpbesluit is tevens voorgelegd aan de Autoriteit persoonsgegevens. De Autoriteit heeft op 17 oktober 2019 advies uitgebracht over het ontwerpbesluit.29

De Autoriteit heeft geen opmerkingen gemaakt over het ontwerpbesluit.

Adviescollege toetsing regeldruk

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen