security.txt verplicht voor overheid

Per 25 mei 2023 is security.txt toegevoegd aan de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.

Waarom security.txt?

security.txt afbeeldingDe standaard beschrijft een tekstbestand genaamd security.txt waarin je contactinformatie kan publiceren op je webserver. Beveiligingsonderzoekers en ethische hackers kunnen dankzij deze informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Dit kan het verhelpen van de kwetsbaarheden versnellen. En dat geeft cybercriminelen minder kans om er misbruik van te maken.
De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO) , die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt leidt ethische hackers direct naar de juiste ingang voor deze procedure.

Gebruik binnen de overheid

Begin 2023 is een meting gedaan met Internet.nl. Daaruit kwam naar voren dat bijna 20% van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld”, aldus Theo Peters (CTO bij VNG Realisatie en lid van Forum Standaardisatie). De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van NCSC. Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. NCSC heeft daarvoor een Handreiking security.txt  met uitleg gepubliceerd.

Gebruik door bedrijfsleven

In oktober 2022 deden het Digital Trust Center (DTC) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners  om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000 . DTC gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen (notificeren) bij een ernstige cyberdreiging en juicht de verplichting voor overheden toe. “Hopelijk helpt de erkenning door Forum Standaardisatie om de acceptatie van deze eenvoudige maatregel die bijdraagt aan een digitaal veiliger ondernemend bedrijfsleven verder te vergroten.”, aldus Projectleider Notificatiedienst Kim van der Veen.   Heb je vragen over de verplichting van security.txt? Of heb je vragen over hoe je de open standaard toepast? Kom naar het open spreekuur. Onze experts zitten klaar om je te helpen.
Programma Data en deelname
Datum: Woensdag 7 juni
Starttijd: 14.00 uur
Deelnamelink: Open de video-vergaderruim
(bron)
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein