• No results found

FS-20200304.5C-Duiding-en-maatregelen-Monitor-open-standaarden-2019

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "FS-20200304.5C-Duiding-en-maatregelen-Monitor-open-standaarden-2019"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 5 pagina )

Hele tekst

(1)

1

Notitie

FORUM STANDAARDISATIE

Duiding en maatregelen Monitor Open standaarden 2019

Versie 20 februari 2020

Inleiding

Interoperabiliteit, leveranciersonafhankelijkheid, kostenbesparingen, innovatie, een vloeiende uitwisseling van vindbare en toegankelijke gegevens, veilig en betrouwbaar digitaal verkeer voor en vanuit een herkenbare en eenduidige overheid. Om dit te bereiken moeten in ieder geval ook open standaarden gebruikt worden en toetst Forum Standaardisatie welke hiervoor geschikt zijn.

Na een intake, een expertbijeenkomst en een openbare consultatie kan plaatsing volgen op de ‘pas toe of leg uit’-lijst. Sinds 2008 zijn de standaarden op deze lijst voor overheidsorganisaties

verplicht om te gebruiken. Afwijken van deze verplichting mag, mits met een geldige reden die terug te vinden is in het jaarverslag.

Jaarlijks onderzoekt ICTU in opdracht van het Forum Standaardisatie hoe het staat met het gebruik van de standaarden op de ‘pas toe of leg uit’-lijst en de naleving van de verplichting tot uitleggen. Bijgaand treft u het rapport van het laatste onderzoek aan: de Monitor Open

Standaarden 2019.

Uit het rapport blijkt dat de adoptie van de ‘pas toe of leg uit’- standaarden groeit (‘pas-toe’), maar nog niet voldoende worden gebruikt om alle voordelen ervan te kunnen realiseren. Verder wordt er ook niet uitgelegd (‘leg-uit’)

Dit strookt niet met de streefbeeldafspraken die het OBDO gemaakt heeft en met de ‘pas toe of leg uit’- verplichting. Het niet gebruiken van de ‘pas toe of leg uit’ standaarden brengt bijvoorbeeld veiligheidsrisico’s met zich mee. Verder brengt het de reputatie van de overheid in gevaar. Met name ten aanzien van leveranciers die zien dat de uitvraag van open standaarden vaak wel met de mond wordt beleden, maar dat er als het erop aankomt er te vaak gekozen wordt voor ICT van concullega’s die de standaarden niet allemaal

In deze notitie staan onder het kopje “Duiding” de hoofdpunten uit de Monitor Open Standaarden 2019. Vervolgens onder het kopje “Maatregelen”, ter besluitvorming, welke maatregelen het Forum Standaardisatie aan het OBDO adviseert, zodat de adoptie van de standaarden een verdere impuls krijgt.

(2)

2 Nota Bene: Met betrekking tot sommige onderzoeksresultaten en maatregelen is het goed voor het OBDO om te weten wat aanpalend al aan acties is ingezet. Met name de toezeggingen in de Kabinetsreactie op het rapport Inventarisatie Standaardisatie. Dit zal in deze notitie worden aangegeven als ter kennisname aan het OBDO.

Duiding

De Monitor Open Standaarden 2019 bestaat uit vier onderdelen. Hieronder per onderdeel de onderzoeksvraag, het onderzoeksresultaat en de duiding van Forum Standaardisatie (Duiding FS).

Voor meer gedetailleerde informatie, zoals grafieken, tabellen, de methode of over het hoe en waarom: zie (de managementsamenvatting van) het rapport en de bijlagen.

1. Vragen overheidsorganisaties om de relevante open standaarden in aanbestedingen?

Uit de Monitor Open Standaarden 2019 blijkt nu dat:

- in 6% van de aanbestedingen alle Open Standaarden (in de figuur afgekort met OSn) worden uitgevraagd;

- in 83% procent van de aanbestedingen een deel van de relevante aanbestedingen, vanaf 2019 aangeduid met “op de goede weg”;

- In totaal wordt dus in 89% minstens om één van de relevante standaarden uitgevraagd (was 85%), dat percentage is dus weer verder gegroeid.

In de figuur hiernaast bovenstaande resultaten vergeleken met voorgaande jaren.

In de bijlagen van de Monitor Open Stanaarden 2019 staat een overzicht van de onderzochte aanbestedingen, met daarbij aangegeven het percentage waarin om de relevante open standaarden is gevraagd. 6% scoort dus maar 100%.

Duiding FS: In combinatie met de overige percentages levert dit de conclusie op dat een standaard gemiddeld 50% kans maakt om in een aanbesteding daadwerkelijk gevraagd te worden. Dat is nog steeds te weinig.

(3)

3 Figuur: uitvraag percentages in opeenvolgende versies van de Monitor Open Standaarden1

2. Leggen overheidsorganisaties afwijkingen correct uit in het jaarverslag?

Monitor Open Standaarden 2019: Nee, dit gebeurt structureel niet of nauwelijks.

Duiding FS: Uitleggen moet, vooral daar waar niet is uitgevraagd (zie punt 1).

3. Passen beheerorganisaties de relevante open standaarden toe in generieke overheidsvoorzieningen?

Monitor Open Standaarden 2019: In de meeste gevallen voldoen de onderzochte

voorzieningen aan de meeste ervoor relevante standaarden: aan 69% wordt voldaan, aan 15% voldoet de voorziening deels of is dit gepland en in 16% van de gevallen wordt op dit moment niet voldaan aan een relevante open standaard.

Duiding FS: Een paar voorzieningen en standaarden verdienen extra aandacht (zie maatregelen).

4. Wat is, bezien per standaard, verder nog bekend over het gebruik van de standaarden op de ‘pas toe of leg uit’- lijst?

Monitor Open Standaarden 2019: Dat verschilt per standaard of per domein standaarden.

Grofweg is van de helft van de standaarden over het gebruik veel bekend en over de andere helft weinig.

Duiding FS: Als over een standaard of over een set standaarden jaar op jaar weinig (meer) naar voren komt over het gebruik, dan ligt hierin een aanleiding om nut en noodzaak van de

‘pas toe of leg uit’- status nader ter discussie te stellen. Wellicht is het dan tijd om de

1 Het eerder gemaakte onderscheid “cruciaal en niet-cruciaal” komt vanaf 2019 niet meer voor in de weergave van de resultaten.

(4)

4 standaard van de ‘pas toe of leg uit’-lijst te halen.

5. Een speciale categorie in dit onderdeel van het Monitoronderzoek zijn de

informatieveiligheidsstandaarden, die onder ander helpen om phishing tegen te gaan. Over het gebruik van deze standaarden zijn in het OBDO streefbeeld afspraken gemaakt; drie

overheidsbrede afspraken over uiterste implementatiedata. Het Forum Standaardisatie voert medio 2015 metingen uit naar het gebruik van de afgesproken standaarden op 550

overheidsdomeinnamen.

Uit de laatste IV-meting (winter 2019) blijkt dat het gebruik van de meeste standaarden enorm is toegenomen; de toepassingsgraad van de meeste standaarden is inmiddels ruim boven de 90%. Opvallend is dat de webstandaarden gemiddeld beter worden toegepast dan de mailstandaarden (92% vs 77%).

Duiding FS: Voor een paar standaarden blijft de adoptie echter rond circa de helft steken, terwijl het streefbeeld was om die eind 2019 op orde te hebben. Forum standaardisatie waarschuwt voor risico op schade door phishing/spoofing en afluisteren en manipulatie van e- mail van de overheid.

Maatregelen

Gelet op bovenstaande duiding, adviseert Forum Standaardisatie aan het OBDO:

1. Agendering van de Monitor Open Standaarden 2019 - inclusief de IV-meting- in de gremia in onderstaande tabel;

2. Dat via deze gremia (conform de toezegging van de Minister van BZK aan de Kamer) gesproken wordt over de manier waarop de pas-toe-of-leg-uit standaarden vervlochten kunnen worden in reeds bestaande processen en kaders rond:

a. ICT-opdrachtgeverschap en contractmanagement;

b. Aanschaf en inkoop;

c. Informatiebeveiliging en bedrijfsvoering d. Toezicht en handhaving

ICT opdrachtgeverschap en contractmanagement

Aanschaf en inkoop Informatiebeveiliging

en bedrijfsvoering Toezicht en handhaving Gemeenten College van

dienstverleningszaken, x/x/2020

PM PM PM

Rijk CIO-beraad: 11/7/2020, x/x/2020

OBDO: 23/4/2019, x/x/2020

CTO-raad: 22/5/2020

ICIA (strategie rijkinkoopbeleid) 28/11/2019

ICBR

Rijksbreed overleg CISO’s

ADR - loopt

Provincies PM PM CIBO: 10/9/2019,

x/x/2020 PM

Uitvoeringsorganisaties Manifestgroep, x/x/2020 IMO (directeuren inkoop

uitvoeringsorganisaties Rijk)

6/2/2020 en daarna over een half jaar

PM PM

Waterschappen PM PM CERT-WM [RG+BK

geweest?] PM

Alle PM PM PM PM

(5)

5 Tabel: spreken over vervlechting, monitor & iv-meting [TER AANVULLING VOOR OBDO, OF IN OBDO]

3. Dat de leden van het OBDO binnen hun cirkel van invloed opdracht geven aan de hiervoor verantwoordelijke afdelingen om het nalaten van het gebruik van de relevante open standaarden uit te leggen in het jaarverslag vanaf 2020;

4. Dat de leden van het OBDO om het gebruik van standaarden te vergroten

- instemmen met het streefbeeld rond de bereikbaarheid van overheidsdienstverlening via IPv6;

- binnen hun cirkel van invloed opdracht geven om phishingmails te stoppen voordat het de eindgebruiker bereikt, door hun ICT-dienstverlener opdracht te geven een

invoeringstraject in te zetten om een verscherpte DMARC policy te implementeren. Hierbij kan desgewenst gebruik gemaakt worden van de voorbeeldopdracht.

Referenties

Download het nu ( PDF - 5 pagina - 606.03 KB )

GERELATEERDE DOCUMENTEN

FS-20201209.4C-Rapport-Monitor-Open-standaarden-2020

Bij de resterende 4 aanbestedingen (6%; vorig jaar 11%) - waarbij één of meer open standaarden relevant waren - werd om geen enkele open.. standaard gevraagd en was in

FS-20201209.4C-Rapport-Monitor-Open-standaarden-voorzieningen-2020

Concluderend moeten voor Berichtenbox voor bedrijven nog de volgende standaarden (volledig) worden geïmplementeerd: HTTPS/HSTS, IPv4 en IPv6 en TLS.. 3.3

FS-20201209.4C1-Duiding-en-maatregelen-monitor-open-standaarden-2020

1. De naleving van de pas toe of leg uit verplichting in aanbestedingen: a) worden de relevante open standaarden van de pas-toe-of-leg-uit lijst uitgevraagd; en b) wordt er

FS-20201209.4C3-Opzet-Monitor-Open-standaarden-2021

Begin 2021 overleggen ICTU, BFS en BZK over de stappen in het voortraject (overleg door BZK en BFS met een aantal betrokken partijen) en over de aanpak van het onderzoek. h) Op

FS-20190313.02B-Kamerbrief-bij-aanbieding-Monitor-Open-Standaarden-2018

In het Wetsvoorstel Digitale Overheid is daarom een grondslag opgenomen voor het verplichtstellen van nader te bepalen open standaarden.. Dit zou het sluitstuk van

FS-20190313.06A-Opzet-Monitor-Open-standaarden-2019

8) In 2019 zullen (net als in 2018) de gebruiksgegevens van de standaarden van de ‘pas toe of leg uit’ lijst verzameld worden door het Bureau Forum Standaardisatie, daar

Rapport-Monitor-Open-standaarden-2018-OBDO

• maar er zijn ook meer relevant geachte standaarden NIET uitgevraagd: het gemiddelde aantal niet-gevraagde standaarden ligt per aanbesteding dit jaar op 4,7 (vorig jaar: 3,4). 11

FS-20191211.05A1-Rapport-Monitor-Open-standaarden-2019-v1.0

Bij de resterende 8 aanbestedingen (11%; vorig jaar 15%) - waarbij één of meer open standaarden relevant waren - werd om geen enkele open standaard gevraagd (bij 3 aanbestedingen)