Basisbeveiliging

Lire cet article via Google en français. Diesen Artikel über Google auf Deutsch lesen. Read this article via Google in English.

De website basisbeveiliging.nl maakt de online veiligheid van belangrijke organisaties transparant.

Over het project

Basisbeveiliging laat zien of belangrijke organisaties de digitale basisveiligheid op orde hebben. Dat is noodzakelijk voor beschikbaarheid, integriteit en vertrouwelijkheid van online dienstverlening. Bijvoorbeeld een veilige website, e-mail en bestandsoverdacht.

De kaarten op deze site tonen per doelgroep met stoplichtkleuren hoe het ervoor staat. Deze informatie wordt dagelijks bijgewerkt en meetresultaten kunnen tot op detail bekeken en vergeleken worden. De gemeten veiligheidseisen zijn gangbaar. Hier aan voldoen wordt vaak intern en / of extern vereist.

Basisbeveiliging.nl is onderdeel van het landelijke securitybeleid van de overheid en meet en publiceert de digitale basisveiligheid van de overheid, zorg, onderwijs, politieke partijen, cybersecuritybedrijven, nutsbedrijven enzovoorts.

Elke Nederlander vertrouwt op de veiligheid van deze organisaties. Juist deze organisaties gebruiken basisbeveiliging om zichzelf een spiegel voor te houden: zo zien ze hoe veilig ze zijn en wat ze nog moeten doen om dit op niveau te brengen.

Dit project is gestart in 2016 tijdens de conferentie “in het hoofd van de hacker“. Hierop werd een kaart gepresenteerd over de toepassing van versleuteling op gemeentesites. Dit heeft geleid tot 150 verbeteringen in het eerste weekend na publicatie. Het SIDN Fonds heeft het project ondersteund als potential in 2017.

Sinds 2022 is het project onderdeel van het landelijke overheidsbeleid. Het project is terug te vinden in het Actieplan Nederlandse Cybersecuritystrategie 2022-2028 van de NCTV, de Werkagenda Waardengedreven Digitaliseren van BZK en diverse kamerbrieven. Wij werken samen met het Centrum voor Informatiebeveiliging en Privacybescherming.
Bekijk alle referenties hier >>

Transparant en met beleid gemeten

Basisbeveiliging publiceert veiligheidsmetingen op een weloverwogen manier. Deze overwegingen zijn gebundeld in onze code of conduct. Nieuwe organisaties en domeinen worden verzameld tijdens pizza sessies of worden aangeleverd door externen in een spreadsheet. Wanneer een organisatie eenmaal op basisbeveiliging staat kunnen er ad-hoc domeinen aan worden toegevoegd.

Basisbeveiliging werkt volgens het volgende proces:

Twee maanden voordat een organisatie wordt gemeten ontvangen zij een vooraankondiging. Welke domeinen van organisaties precies worden gemeten staat in het domeinenbeleid. Alle metingen die op deze domeinen worden uitgevoerd zijn gebundeld in het meetbeleid. Omdat het onmogelijk is om alle beslissingen in IT-infrastructuur over een kam te scheren kunnen organisaties uitzonderingen verklaren. Dit heet “pas toe of leg uit”. Een groot deel van deze verklaringen wordt automatisch toegevoegd door geautomatiseerde uitzonderingen op het meetbeleid. Een goede verklaring voldoet aan een aantal eisen. Wat precies wel en niet gepubliceerd wordt staat omschreven in het publicatiebeleid. De scans die worden uitgevoerd wijzen zo duidelijk mogelijk terug naar basisbeveiliging, waar mogelijk direct naar de scaninfo pagina. Alle metingen en publicaties vallen onder deze disclaimer.

Certificatenregen en Certificaatregister

Jaarlijks deelt de Internet Cleanup Foundation certificaten uit aan organisaties die groen staan op basisbeveiliging.nl. Dit is het baseline cybersecurity certificaat, dat ieder jaar opnieuw speciaal wordt ontworpen en ontwikkeld. Dit gebeurt op een vast moment, een week voor de start van de “cyber-maand” van het jaar. In 2025 is dat 22 tot en met 26 september.

Alle gecertificeerde organisaties staan in het Certificaatregister. Het certificaat en de inhoud van 2024 is te zien op de pagina Achtergrondinformatie certificaat 2024. In 2024 kregen 100 organisaties krijgen baseline cybersecurity certificaat.

Impact en scope

Door haar publicaties is Basisbeveiliging de drijvende kracht achter het oplossen van tienduizenden online kwetsbaarheden. Daarnaast heeft het project geholpen om veel kosten te besparen door vergeten IT-systemen zichtbaar te maken, waardoor ze opgeruimd konden worden.

In augustus 2024 meet Basisbeveiliging 16 doelgroepen met in totaal 9202 Nederlandse organisaties en 145061 domeinen.

Sector	Doelgroep	Sinds	Organisaties	Domeinen
TOTAAL			9202	145061
Overheid	Gemeenten	Mar 2016	343	28993
Overheid	Provincies	Okt 2018	12	2282
Overheid	Centrale Overheid	Okt 2018	763	40936
Overheid	Waterschappen	Okt 2018	22	1380
Overheid	Veiligheidsregio’s	Okt 2018	25	719
Zorg	Ziekenhuizen	Jul 2021	87	10448
Zorg	Gemeentelijke Gezondheidsdienst (GGD)	Jul 2021	27	1255
Zorg	Geestelijke Gezondheidszorg (GGZ)	Jul 2024	414	2555
Onderwijs	Universiteiten	Mar 2024	18	9380
Onderwijs	Hogescholen	Mar 2024	36	4949
Onderwijs	Middelbaar onderwijs	Apr 2024	56	1743
Onderwijs	Voortgezet onderwijs	Apr 2024	878	5508
Onderwijs	Primair onderwijs	Mei 2024	6157	21020
Politiek	Landelijke Politieke Partijen	Okt 2023	26	3113
Cybersecurity	Cyber security bedrijven	Dec 2023	160	4912
Kritieke Infra	Energie	Aug 2024	178	5868

Updates van het project

Aan basisbeveiliging.nl wordt veel gesleuteld. Zo worden nieuwe functionaliteiten toegevoegd of grote hoeveelheden domeinen. Dit zijn de meest recente updates van het project. Bekijk alle updates op de updatespagina.

Helpdesk

Vragen die regelmatig binnenkomen krijgen een helpdeskartikel. Dit is een overzicht van de meest recente helpdeskartikelen. Een volledig overzicht staat op de helpdesk pagina.