Wat kun je vinden op deze pagina?
- 1 Probleemstelling
- 1.1 Omschrijving
- 1.2 Herkomst
- 1.3 Raakvlakken
- 2 Oplossing
- 2.1 Huidige situatie
- 2.2 Oplossing
- 2.3 Gerelateerde wijzigingen in wet- en regelgeving
- 2.4 Openstaande punten
- 3 Invoering
- 4 Gevolgen
- 4.1 Documentatie
- 4.2 Gemeenten
- 4.3 Afnemers
- 4.4 IND
- 4.5 Caribische landen en Caribisch Nederland
- 4.6 RvIG-systemen
W186 oplegnotitie LO Beveiligingseisen conform IB-richtlijnen
1 Probleemstelling
1.1 Omschrijving
Een tweetal beveiligingseisen in het Logisch Ontwerp BRP en één uit het Logisch Ontwerp BES voldoen niet aan de richtlijnen voor informatiebeveiliging van RvIG.
1.2 Herkomst
De CISO van RvIG, Björn Dijkstra, heeft aangegeven dat alle LO's moeten voldoen aan de IB-richtlijnen..
1.3 Raakvlakken
Er zijn geen raakvlakken met andere LO-wijzigingen.
2 Oplossing
2.1 Huidige situatie
In LO BRP par. 6.4.4.1 én in LO BES, par. B.5.1 staat dat een afnemer of bijhouder bij het maken van een verbinding met BRP-V het zelfde certificaat mag gebruiken in de testomgeving en in de productieomgeving. In par. A.6.2.3 staan de wachtwoordeisen die BRP-V stelt aan wachtwoorden van afnemers en bijhouders. Die zijn verouderd en sluiten nog te veel combinaties van tekens uit.
2.2 Oplossing
De zin in par. 6.4.4.1 van LO BRP en in par. B.5.1. van LO BES die zegt dat certificaten gebruikt worden in zowel de testomgeving als de productieomgeving, wordt geschrapt. De wachtwoordeisen worden bijgewerkt op basis van input van de CISO.
2.3 Gerelateerde wijzigingen in wet- en regelgeving
Er zijn geen relaties met wet- en regelgeving anders dan de IB-richtlijnen van RvIG zelf.
2.4 Openstaande punten
Er zijn geen openstaande punten na implementatie van deze wijziging.
3 Invoering
Vanwege de impact op partijen buiten RvIG wordt deze wijziging pas opgenomen in LO BRP 2025.Q1 en LO BES 2025.Q1. De wijziging wordt al aangekondigd in de werkgroep Implementatie en het Gebruikersoverleg van mei 2024. Zolang huidige certificaten nog geldig zijn, mogen die blijven worden gebruikt in zowel de testomgeving als de productieomgeving. Zodra een certificaat verloopt en moet worden verlengd, moet worden voldaan aan de nieuwe richtlijnen.
4 Gevolgen
4.1 Documentatie
LO BES en LO BRP moeten worden aangepast conform IB-richtlijnen ten aanzien van het gebruik van certificaten en wachtwoordeisen.
4.2 Gemeenten
Gemeenten en afnemers moeten vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.
4.3 Afnemers
Gemeenten en afnemers moeten vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.
4.4 IND
Ook de IND moet vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.
4.5 Caribische landen en Caribisch Nederland
Certificaten die na die datum worden geïnstalleerd door afnemers van PIVA-V mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.
4.6 RvIG-systemen
De RNI moet vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.