Uit een meting blijkt dat vier op de tien overheidsdomeinnamen op dit moment nog niet voldoen aan de verplichte informatieveiligheidsstandaarden voor websites en e-mail. Als de Rijksoverheid geen aanvullende maatregelen treft en het tempo opschroeft, zal het nog tot 2030 duren voordat de regering aan de gemaakte adoptieafspraken voldoet. Overheidsorganisaties doen er goed aan om een plan van aanpak op te stellen en de verplichte veiligheidsstandaarden zo snel mogelijk te implementeren.
Van de gemeten domeinnamen voldeed 56% aan alle verplichte websitestandaarden en 50% aan de e-mailstandaarden. Over beide sets standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadline eind 2021 is verlopen. Ten opzichte van de vorige meting is de groei in volledige adoptie van deze standaarden over de gehele overheid respectievelijk 3 en 6 procentpunt. In dit groeitempo voldoen overheidswebsites pas in 2030 aan de huidige adoptieafspraken.
De ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken en Klimaat (EZK) laten ten opzichte van de vorige meting een grote stijging in adoptie zien. De gerichte aanpak van deze ministeries, die is gebaseerd op de aanpak van de ministeries van Volksgezondheid, Welzijn en Sport (VWS) en Algemene Zaken (AZ), kan worden gebruikt als voorbeeld van een effectieve aanpak. Bij een aantal lokale overheden is een volledige adoptie inclusief nog niet verplichte standaarden te zien. Dit betreft de gemeenten Aalten, Bergen (L), Bergen op Zoom, Bronckhorst, Doesburg, Doetinchem, Staphorst en Zuidplas.
Het Forum Standaardisatie adviseert aan iedere overheidsorganisatie om een plan van aanpak te maken om de verplichte standaarden effectief te implementeren. Daarnaast is het advies van het Forum Standaardisatie aan iedere overheidsorganisatie om regie op internetdomeinen te organiseren en daarbij in te zetten op een groeistop en idealiter inkrimping van het domeinnaamportfolio. In december deed de staatssecretaris BZK per brief, via de koepelorganisaties, een oproep aan alle overheden om zo snel mogelijk de informatieveiligheidstandaarden te implementeren. Het gebruik van HTTPS en HSTS voor een beveiligde verbinding met overheidswebsites wordt per 1 juli van dit jaar wettelijk verplicht. Dit is er op gericht dat ook de achterblijvers deze verplichte standaarden implementeren.
Nieuw in deze meting is dat er ook gekeken is naar de leveranciersafhankelijkheid in relatie tot het achterblijven op adoptie. Bij 34% van de mailservers wordt een nameserver van Microsoft Office 365 gebruikt zonder IPv6 ondersteuning. Van de mailservers is 44% niet ondertekend met DNSSEC, de twee grootste mailleveranciers Microsoft Office 365 en Google Mail hebben hierin samen een aandeel van 36 procentpunt. De beweging naar cloudoplossingen van deze leveranciers kan daarom leiden tot een afname in adoptiegraad, aangezien deze cloudoplossingen de verplichte standaarden niet volledig ondersteunen.
Het advies van Forum Standaardisatie is om de ondersteuning van verplichte open standaarden onderdeel te maken van het leveranciersmanagement van individuele overheidsorganisaties. Gebruik daarnaast de collectieve slagkracht van de overheid om grotere leveranciers en techgiganten te bewegen naar adoptie van alle verplichte standaarden, bijvoorbeeld via Strategisch Leveranciersmanagement (SLM) Rijk. In dat kader hebben ministeries van Justitie en Veiligheid (JenV) en Binnenlandse Zaken en Koninkrijksrelaties (BZK) op 22 mei een reactie naar Microsoft gestuurd over de gebrekkige ondersteuning van DANE en IPv6. Deze briefwisseling is geïnitieerd door SLM Rijk en Forum Standaardisatie.