Besluit beveiligde verbinding met overheidswebsites en -webapplicaties

Reactie

Naam Provincie Fryslân (J.P. Kloosterman)
Plaats Leeuwarden
Datum 3 september 2019

Vraag1

Wilt u reageren op Besluit beveiligde verbinding met overheidswebsites en -webapplicaties? Dan kunt u hier uw reactie geven. U kunt dat doen door een bericht achter te laten of door een document te downloaden.
TLS versie 1.2 als minimum te eisen is heel goed, al wil ik voorstellen om het toekomst vaster op te schrijven. Verwijzen naar de laatste stand van zaken zoals die door het NCSC "nu" van toepassing zijn verklaard. Eigenlijk zouden we TLS 1.3 nu al moeten verplichten, maar dat wordt nog niet volledig ondersteund.

Ik wil daarnaast voorstellen om meer richting te gaan geven als het gaat om het gebruik van domein beveiligingscertificaten overheidsdomeinen. Het liefst zie ik de eis dat overheidsinstanties PKI overheidscertificaten moeten gebruiken. Afgezien van de prijs is verder geen argument om het niet te doen.

Vraag2

Wat vindt u van het toepassingsbereik van de verplichting om de beveiligingsstandaarden toe te passen? Moeten meer of minder organisaties onder deze wettelijke verplichting vallen?
Meer, juist omdat er steeds meer gebruik wordt gemaakt van de cloud door overheidsinstanties. Die moeten dus ook gaan voldoen aan de eisen.

Vraag3

De beveiligingsstandaarden moeten ingesteld worden conform de richtlijnen van het Nationaal Cyber Security Centrum. Wat vindt u van het idee om te bepalen dat de instellingen die in de richtlijn de kwalificaties 'uit te faseren' krijgen, op termijn (bv. 1 juli 2020) verwijderd moeten worden?
Goed idee en laat er ook op worden gecontroleerd.