"De standaard security.txt draagt bij aan een veiliger internet doordat meldingen over kwetsbaarheden in een dienst of systeem sneller terecht komen bij de juiste personen binnen een organisatie. Hierdoor kunnen kwetsbaarheden sneller worden verholpen en is de kans kleiner dat cybercriminelen kwetsbaarheden gebruiken.", aldus de expertgroep die zich op verzoek van Forum Standaardisatie gebogen heeft over internetstandaard security.txt.
Op dit moment onderzoekt het Forum Standaardisatie of security.txt opgenomen moet worden in de ‘Pas toe of leg uit’-lijst. Als de betreffende standaard opgenomen wordt op deze lijst, worden Nederlandse overheden en instellingen uit de (semi-) publieke sector verplicht om gebruik te maken van security.txt. Het Digital Trust Center (DTC) ziet graag dat ook de private sector dit voorbeeld volgt zodat het dreigingsberichten gericht aan individuele bedrijven sneller kan bezorgen bij de IT-verantwoordelijke bij wie dit thuishoort.
In oktober 2022 heeft het DTC samen met een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners gedaan om security.txt te gaan gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 77.000.
Pas toe of leg uit-lijst
Forum Standaardisatie adviseert over en doet onderzoek naar het gebruik van (open) standaarden. De open standaarden die op de 'Pas toe of leg uit'-lijst staan zijn verplicht voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties. Voor organisaties in de publieke sector gelden de ‘Pas toe of leg uit’-standaarden als een dringend advies. Op dit moment toetst Forum Standaardisatie of de security.txt-standaard geschikt is om te verplichten voor de overheid. In een expertonderzoek is de standaard getoetst op de criteria voor opname op de Pas toe of leg uit-lijst. De experts concluderen dat security.txt toegevoegde waarde heeft en dat er een lage drempel voor (technische) implementatie is. Ook is er draagvlak en ondersteuning beschikbaar vanuit de Nederlandse overheid. Het advies van de expertgroep is om security.txt op te nemen op de Pas toe of leg uit-lijst.
Consultatie security.txt
Met een openbare consultatie van 11 februari tot en met 12 maart 2023 op internetconsultatie.nl, onderzoekt Forum Standaardisatie of het expertadvies juist en volledig is. In deze periode krijgt iedereen de mogelijkheid om te reageren op de opgestelde adviezen. Hierna zal Forum Standaardisatie het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) adviseren op basis van het expertadvies, reacties uit de openbare consultatie en inzichten van de leden van Forum Standaardisatie. Het OBDO besluit om het advies wel of niet over te nemen.
Relevante links
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.