LegalizeBesluit van 11 mei 2023, houdende aanwijzing van de open informatieveiligheidsstandaarden HTTPS en HSTS voor websites en webapplicaties van bestuursorganen (Besluit beveiligde verbinding met overheidswebsites en -webapplicaties)
Op de voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 27 maart 2020, nr. 2020-0000110583;
Gelet op artikel 3, tweede en derde lid, van de Wet digitale overheid;
De Afdeling advisering van de Raad van State gehoord (advies van 8 april 2020, nr. No.W04.20.0067/I);
Gezien het nader rapport van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 8 mei 2023, nr. 2023-0000244567;
Hebben goedgevonden en verstaan:
Artikel 1. Definities
In dit besluit wordt verstaan onder:
- a. HSTS: «HTTP Strict Transport Security», IETF RFC 6797;
- b. HTTPS: «HyperText Transfer Protocol Secure», IETF RFC 9110;
- c. TLS-richtlijnen: de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), versie 2.1.1, gepubliceerd op https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1;
- d. Webapplicatie-richtlijnen: de ICT-Beveiligingsrichtlijnen voor Webapplicaties, versie 2015, gepubliceerd op https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties
Artikel 2. Aanwijzing
Bestuursorganen als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht, beveiligen hun publiek toegankelijke websites en webapplicaties door toepassing van HTTPS en HSTS, met dien verstande dat:
- a. de standaarden worden geconfigureerd overeenkomstig de instellingen die de status voldoende of goed krijgen in de TLS-richtlijnen;
- b. een bezoeker wordt doorverwezen naar de HTTPS-versie op de bezochte domeinnaam voordat naar andere domeinnamen wordt doorverwezen overeenkomstig maatregel 5 bij beveiligingsrichtlijn U/WA.05 van de Webapplicatie-richtlijnen; en
- c. een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) wordt gehanteerd.
Artikel 3. Inwerkingtreding
Dit besluit treedt in werking met ingang van 1 juli 2023
Artikel 4. Citeertitel
Dit besluit wordt aangehaald als: Besluit beveiligde verbinding met overheidswebsites en -webapplicaties.
Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.