Security.txt verplicht voor overheidsorganisaties

Onlangs is de internetstandaard security.txt toegevoegd aan de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie, een adviescommissie met deskundigen van overheidsorganisaties, het bedrijfsleven en de wetenschap. Gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties zijn nu verplicht om deze open standaard toe te passen. Voor alle andere organisaties in de publieke sector geldt een dringend advies om security.txt op hun webserver te plaatsen.

De standaard beschrijft een tekstbestand genaamd security.txt via welk organisaties contactinformatie kunnen publiceren op hun webserver. Beveiligingsonderzoekers en ethische hackers kunnen dankzij deze informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden, wat het verhelpen van kwetsbaarheden kan versnellen.

Begin 2023 is een meting gedaan met Internet.nl waaruit naar voren kwam dat nog geen vijfde van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethische hackers. De overheid geeft hierin het goede voorbeeld”, zegt Theo Peters, lid van Forum Standaardisatie en CTO bij VNG Realisatie.

De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van het Nationaal Cyber Security Centrum (NCSC). Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op dat ook te doen. Het NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.

In oktober 2022 deden het Digital Trust Center (DTC) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000.

Het Digital Trust Center gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen bij een ernstige cyberdreiging en juicht dan ook toe dat bedrijven dit eenvoudige security.txt-bestand aan de webserver toevoegen.

Gerelateerde artikelen

Florence Mottay is CISO of the Year 2025

Florence Mottay is CISO of the Year 2025

Florence Mottay, CISO bij Zalando, heeft gisteravond de CISO of the Year Award gewonnen. Zij dankt de prijs onder meer aan haar continue inspanningen om de cybersecurity van haar organisatie te verbeteren en haar succesvolle communicatie met bestuur en medewerkers.

Groei machine-identiteiten maakt organisaties kwetsbaarder

Groei machine-identiteiten maakt organisaties kwetsbaarder

Het aantal security-incidenten gerelateerd aan machine-identiteiten neemt sterk toe nu die identiteiten flink in omvang groeien door AI-adoptie en cloud-innovaties. Een belangrijke oorzaak zijn beveiligingscertificaten met een kortere houdbaarheid.

NS wint Europese Cyber Award

NS wint Europese Cyber Award

De Nederlandse Spoorwegen hebben de European Cyber Award gewonnen. Het bedrijf heeft blijk gegeven van een uitzonderlijke vooruitziende visie en leiderschap op het gebied van cyberbeveiliging en digitale transformatie.

DORA belastend voor CISO’s

DORA belastend voor CISO’s

De Europese Digital Operational Resilience Act (DORA) moet organisaties weerbaarder maken. Dat gaat, zeker in de financiële sector, gepaard met een hoge belasting van CISO’s én hoge kosten, waarvan CISO’s weer vinden dat deze niet voldoende zijn om de doelstellingen qua weerbaarheid te halen. Hierop duiden de uitkomsten van een enquête in opdracht van Rubrik.