Direct naar content

U bent hier:

  1. Zoeken
  2. Regeling
Zoek opnieuw

Regeling veiligheid en integriteit telecommunicatieGeraadpleegd op 07-05-2024.
Geldend van 06-10-2021 t/m heden

Inhoudsopgave

Regeling veiligheid en integriteit telecommunicatie

Geraadpleegd op 07-05-2024.
Geldend van 06-10-2021 t/m heden

Origineel opschrift en aanhef

Regeling van de Minister van Economische Zaken en Klimaat van 1 oktober 2021, nr. WJZ/ 20056324, houdende nadere regels betreffende de veiligheid en integriteit van openbare elektronische communicatienetwerken en -diensten (Regeling veiligheid en integriteit telecommunicatie)

Artikel 1

In deze regeling wordt verstaan onder:

  • a. netwerkaanbieder: aanbieder van een openbaar mobiel elektronisch communicatienetwerk die beschikt over vergunningen voor het gebruik van geharmoniseerd radiospectrum als bedoeld in artikel 2, onder 25, van Richtlijn (EU) 2018/1972 van het Europees parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek van elektronische communicatie (PbEU 2018, L 321) die zijn verleend met toepassing van een veiling, als bedoeld in artikel 3.10, eerste lid, aanhef en onderdeel f, van de wet;

  • b. kritieke onderdelen: door de Minister aan de netwerkaanbieder als zodanig aangemerkte en bekendgemaakte onderdelen van een openbaar elektronisch communicatienetwerk of bijbehorende faciliteiten;

  • c. aanpalende onderdelen: onderdelen van een openbaar elektronisch communicatienetwerk of bijbehorende faciliteiten die zich op eenzelfde netwerksegment bevinden als de kritieke onderdelen;

  • d. netwerksegment: onderdeel van een openbaar elektronisch communicatienetwerk dat fysiek of logisch als een afgescheiden compartiment van een openbaar elektronisch communicatienetwerk kan worden beschouwd;

  • e. beheeromgevingen: werkstations en personele en ondersteunende middelen die worden ingezet voor configuratie en beheer van kritieke onderdelen, aanpalende onderdelen of beveiligingselementen;

  • f. beveiligingselementen: beveiligingsmiddelen die ten behoeve van de in de eerste kolom van de bijlage bedoelde beheersmaatregelen worden ingezet.

  • g. te beschermen kritieke gegevens: door de Minister aan de netwerkaanbieder als zodanig aangemerkte en bekendgemaakte gegevens ter bescherming van de nationale veiligheid.

Artikel 2

  • 1 De beheersmaatregelen in deze regeling zijn van toepassing op de kritieke onderdelen, aanpalende onderdelen, beveiligingselementen en beheeromgevingen van de netwerkaanbieder.

  • 2 In afwijking van het bepaalde in het eerste lid zijn de beheersmaatregelen, genoemd in de eerste kolom, onder categorie C, nummers 1 en 2, van de bijlage, van toepassing op een door de netwerkaanbieder op grond van een onderbouwde risicoafweging te kiezen deel van zijn openbaar elektronisch communicatienetwerk of bijbehorende faciliteiten. Het door de netwerkaanbieder te kiezen deel omvat in ieder geval de mobile core en alle beheertoegang, zowel door intern personeel als door derde partijen tot kritieke onderdelen, aanpalende onderdelen en beveiligingselementen.

  • 3 In afwijking van het bepaalde in het eerste lid is de beheersmaatregel, genoemd in de eerste kolom, onder categorie B, nummer 5, van de bijlage, van toepassing op het transport van te beschermen kritieke gegevens ongeacht het netwerkonderdeel waarover dat transport plaatsvindt.

Artikel 3

  • 1 De netwerkaanbieder voldoet op uiterlijk 1 oktober 2022 aan de beheersmaatregelen, genoemd in de eerste kolom van de bijlage, door implementatie van de implementatievereisten, genoemd in de tweede kolom van de bijlage.

  • 2 In afwijking van het eerste lid kan de Minister op aanvraag van de netwerkaanbieder ontheffing verlenen van één of meer implementatievereisten van een beheersmaatregel, indien de netwerkaanbieder naar het oordeel van de Minister heeft aangetoond dat met een door de netwerkaanbieder genoemde alternatieve uitvoeringswijze voor de desbetreffende beheersmaatregel tenminste een vergelijkbaar beveiligingsniveau wordt bereikt.

  • 3 De Minister beslist binnen twaalf weken na ontvangst van een aanvraag als bedoeld in het tweede lid. Indien de Minister niet binnen twaalf weken een besluit op de aanvraag kan nemen, stelt de Minister de aanvrager daarvan in kennis en noemt daarbij een termijn waarbinnen de beschikking wel tegemoet kan worden gezien.

  • 4 De ontheffing wordt onder voorschriften of beperkingen verleend.

Artikel 4

Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst.

Origineel slotformulier en ondertekening

Deze regeling zal met de bijlage en de toelichting in de Staatscourant worden geplaatst.

’s-Gravenhage, 1 oktober 2021

De Minister van Economische Zaken en Klimaat,

S.A. Blok

Bijlage

Beheersmaatregelen en implementatievereisten als bedoeld in artikel 3, eerste lid.

Beheersmaatregel

Implementatievereisten

Categorie A: Veilige configuratie van technische apparatuur

 

1. Het minimaliseren en afschermen van de functionaliteit van technische systemen conform erkende practices en richtlijnen.

a. Functies en software applicaties die niet

noodzakelijk zijn voor de correcte werking van een systeem of netwerkelement worden verwijderd of gedeactiveerd.

b. Het gebruik van netwerkpoorten, -protocollen en -diensten is slechts toegestaan als daaraan een gevalideerde bedrijfstoepassing ten grondslag ligt.

c. Besturingssystemen, software omgevingen en

netwerkapparaten worden, voor zover beschikbaar, geconfigureerd conform CIS benchmarks.

2. Het verifiëren en uitrollen van kritieke security patches voor software die wordt toegepast in de technische infrastructuur.

a. Door leveranciers ter beschikking gestelde kritieke security patches worden structureel op instanties van de betreffende software uitgerold.

b. Een kritieke security patch wordt slechts dan geïnstalleerd als de integriteit en de bron waarvan deze afkomstig is met succes zijn geverifieerd.

c. Bij het verifiëren en uitrollen van kritieke security patches wordt een zo kort mogelijke doorlooptijd gerealiseerd.

d. Indien de in onderdeel c bedoelde doorlooptijd niet haalbaar is, worden tijdelijk compenserende mitigaties getroffen om de risico’s zoveel mogelijk te beperken.

3. Het actief en geautomatiseerd beschermen van beheerwerkstations die voor beheerdoeleinden worden ingezet tegen malware.

a. Op beheerwerkstations zijn mechanismen actief die kwaadaardige malware geautomatiseerd detecteren en deactiveren.

b. De onder a bedoelde mechanismen worden geautomatiseerd actueel gehouden.

4. Het door middel van een gestructureerd proces reguleren en tot een minimum beperken van toegang voor beheerdoeleinden van apparatuur en software van de netwerkaanbieder.

a. Voor toegang om beheerwerkzaamheden te verrichten wordt uitsluitend gebruik gemaakt van persoonsgebonden accounts die specifiek voor dat doel zijn uitgegeven.

b. Toegangsrechten van beheerpersoneel worden beperkt tot functies en gegevens die de desbetreffende medewerker aantoonbaar nodig heeft ter vervulling van de rol of taak.

c. Alle accounts en toegangsrechten die voor beheerdoeleinden zijn uitgegeven, worden periodiek op juistheid en noodzaak geëvalueerd en geactualiseerd.

d. Alle beheertoegang vereist Multi Factor Authenticatie. De beheertoegang is herleidbaar naar individuele medewerkers.

5. Het onderhouden van een actuele inventaris van technische assets en het actief toezien op het voorkomen van toelating van ongeautoriseerde hardware en software in de technische infrastructuur.

a. Er is een actuele inventaris van hardware en software assets die geautoriseerd in bedrijf zijn in de technische infrastructuur van de netwerkaanbieder.

b. In de inventaris van hardware en software assets zijn zowel de functionele beschrijvingen als de eigenaren van alle technische assets geregistreerd.

c. De netwerkaanbieder ziet er actief op toe dat zich in de technische infrastructuur geen ongeautoriseerde apparatuur bevindt.

d. De netwerkaanbieder ziet er actief op toe dat in de technische infrastructuur geen ongeautoriseerde software applicaties actief zijn.

Categorie B: Veilige configuratie van netwerken

 

1. Het structureel opdelen van de technische netwerkinfrastructuur in fysiek of logisch afgescheiden zones waarvan de buitengrenzen actief worden beschermd.

a. De technische infrastructuur is aan de hand van door de netwerkaanbieder vastgestelde criteria, classificaties of vertrouwensniveaus in fysiek of logisch afgescheiden segmenten opgedeeld.

b. De netwerkaanbieder onderhoudt een actueel overzicht van alle technische koppelingen met betrekking tot netwerksegmenten onderling en met betrekking tot externe technische netwerken.

c. De netwerkaanbieder hanteert een eenduidig beleid ten aanzien van verkeersstromen die op de grens met externe technische infrastructuren zijn toegestaan.

d. Het onder c bedoelde beleid en de uitvoering ervan worden periodiek op juistheid en volledigheid geëvalueerd en geactualiseerd.

2. Het uitsluitend verlenen van toegang tot apparatuur en software van de netwerkaanbieder aan derde partijen die uitbestede beheertaken verrichten via een afgeschermde virtual desktop omgeving.

a. Alle beheertoegang door personeel van derde partijen verloopt via een specifiek voor dat doel ingerichte virtual desktop omgeving.

b. Toegang tot de virtual desktop omgeving wordt uitsluitend verleend vanaf werkstations die conform security richtlijnen van de netwerkaanbieder zijn geconfigureerd en die configuratie voorafgaand technisch is geverifieerd.

c. Toegang tot de virtual desktop omgeving vereist Multi Factor Authenticatie (MFA), niet zijnde het gebruik van SMS, waarbij de authenticatiemiddelen aan individuele medewerkers van de derde partij worden uitgereikt.

d. De virtual desktop omgeving beperkt de toegang tot systemen en netwerkelementen waarop de derde partij beheerwerkzaamheden moet verrichten.

3. Het gericht beschermen met cryptografische technieken van netwerkverbindingen die voor beheerdoeleinden worden ingezet.

a. Op netwerkverbindingen waarover beheertaken worden verricht, wordt zowel de vertrouwelijkheid als de integriteit van de gegevensuitwisseling cryptografisch beschermd met een beveiligingssterkte van minimaal 112 bits.

b. De cryptografische sleutels die voor de versleuteling worden ingezet, worden per sessie, per vastgestelde tijdeenheid of per vastgesteld aantal datablokken vernieuwd.

c. Bij gebruik van (3)TDES worden maximaal 2^20 datablokken met dezelfde cryptografische sleutels vercijferd.

d. Gebruik van (3)TDES wordt uiterlijk 31 december 2023 uitgefaseerd.

4. Het uitsluitend verrichten van bedrijfsinterne beheertaken vanaf afgescheiden beheerwerkstations met geminimaliseerde communicatievoorzieningen.

a. Bedrijfsinterne beheerwerkstations van waaraf beheerwerkzaamheden worden verricht, worden gescheiden van reguliere werkplekken.

b. De netwerkaanbieder ziet er op toe dat bedrijfsinterne beheerwerkstations geen toegang hebben tot openbare communicatienetwerken en – diensten.

5. Het cryptografisch beschermen van te beschermen kritieke gegevens bij transport door technische infrastructuren.

a. Te beschermen kritieke gegevens worden bij transport met minimaal 112 bits sterkte versleuteld.

b. De cryptografische sleutels die voor de versleuteling, bedoeld in onderdeel a, worden ingezet, worden

per sessie, per vastgestelde tijdeenheid of per

vastgesteld aantal datablokken vernieuwd.

c. Gebruik van (3) TDES wordt uiterlijk 31 december 2023 uitgefaseerd en tot die tijd wordt bij dit gebruik verzekerd dat maximaal 2^20 datablokken met dezelfde sleutel worden vercijferd.

d. Met uitzondering van signaleringsverkeer ziet de netwerkaanbieder erop toe dat de versleuteling, bedoeld in onderdeel a, in alle gevallen end-to-end is.

Categorie C: Bewaking van technische infrastructuur

 

1. Het onderhouden van voorzieningen voor near real-time detectie van mogelijke beveiligingsincidenten die een passende risico-gedreven doorsnede van de technische infrastructuur bestrijken en de netwerkaanbieder aantoonbaar in staat stellen om de aanwezigheid van geavanceerde dreigingsactoren waar te nemen.

a. De technische infrastructuur van de netwerkaanbieder wordt actief bewaakt met security monitoring oplossingen die geautomatiseerd en in real-time melding maken van mogelijke security incidenten.

b. Alarmen en waarnemingen afkomstig uit de security monitoring, bedoeld in onderdeel a, worden tijdig en vervolgens structureel geanalyseerd en opgevolgd.

c. Security monitoring oplossingen zijn aantoonbaar geconfigureerd om bijvoorbeeld lateral movement technieken, data exfiltratie en misbruik van accounts met hoge toegangsrechten te detecteren.

d. Configuraties van security monitoring oplossingen worden structureel getoetst op het vermogen om geavanceerde dreigingsactoren waar te nemen.

2. Het onderhouden van voorzieningen om historische manifestaties van geavanceerde dreigingen en aanvalsvectoren in de technische infrastructuur op te sporen.

a. De netwerkaanbieder onderhoudt een structurele historie van systeem- en netwerkdata met een retentietijd van minimaal drie maanden.

b. De data, bedoeld in onderdeel a, omvatten in elk geval een selectie van logbestanden van systemen en netwerkelementen, DNS en netflow-gegevens en packet captures van netwerkverkeer die de netwerkaanbieder met risicoafwegingen kan onderbouwen.

c. De netwerkaanbieder beschikt over analytische oplossingen waarmee de data, bedoeld in onderdeel a, met gebruik van dreigingsindicatoren kunnen worden doorzocht.

3. Het actief toetsen van de technische infrastructuur op mogelijke kwetsbaarheden en het structureel opvolgen van bevindingen die daaruit voortvloeien.

a. De netwerkaanbieder verzamelt structureel rapportages over kwetsbaarheden in de hardware en software die in de technische infrastructuur worden ingezet.

b. De netwerkaanbieder past een combinatie van geautomatiseerde vulnerability scans, penetratietesten en red team oefeningen toe om kwetsbaarheden in de technische infrastructuur op te sporen.

c. De netwerkaanbieder hanteert een structurele en geformaliseerde proces om kwetsbaarheden die door middel van de activiteiten, bedoeld in onderdeel b, aan het licht zijn gekomen te analyseren, prioriteren en indien noodzakelijk deze op te lossen.

Categorie D: Security assurance op software en beheerdiensten

 

1. Het opleggen van vergelijkbare beveiligingsverplichtingen aan beheerdienstverleners die uitbestede beheertaken verrichten in de technische infrastructuur en in de fysieke werkomgeving van de netwerkaanbieder.

a. De netwerkaanbieder komt contractueel met de beheerdienstverlener overeen dat in de technische en fysieke werkomgeving die voor dienstverlening aan de netwerkaanbieder worden ingezet beveiligingsmaatregelen worden getroffen die overeenkomen met de op dat moment geldende beveiligingsmaatregelen van de netwerkaanbieder.

b. De netwerkaanbieder komt contractueel met de beheerdienstverleners overeen dat kwetsbaarheden en vermoedens van beveiligingsincidenten in de werkomgeving, bedoeld in onderdeel a, terstond worden gemeld aan het beveiligingsaanspreekpunt van de netwerkaanbieder.

c. Voor zover uitbestede beheertaken geheel of gedeeltelijk buiten Nederland worden verricht, brengt de netwerkaanbieder structureel in kaart in hoeverre de door de overheid vastgestelde en richting netwerkaanbieder gecommuniceerde juridische of politieke context van het land waar vandaan de beheertaken worden verricht tot specifieke beveiligingsrisico’s kan leiden en treft vervolgens passende maatregelen om deze te beheersen.

2. Het opleggen van de contractuele verplichting aan toeleveranciers dat bij de ontwikkeling en levering van software oplossingen gangbare beveiligingspractices worden toegepast.

De netwerkaanbieder komt contractueel met de softwareleveranciers overeen dat:

a. een Secure Software Development Life-Cycle (SSDLC) wordt toegepast die aantoonbaar conformeert aan een erkende standaard of richtlijn;

b. software, inclusief generieke componenten, op het moment van ingebruikname volledig is gepatcht, voldoet aan door de netwerkaanbieder vastgestelde hardening vereisten en is opgewaardeerd naar versies waar nog actief support op wordt verleend;

c. terstond melding wordt gemaakt van kwetsbaarheden in de geleverde software en dat wordt voorzien, conform vastgestelde oplostijden en al naar gelang de ernst van de kwetsbaarheid, in updates of patches om die kwetsbaarheden te verhelpen.

3. Het uitsluitend in productie nemen van software die met succes een onafhankelijke beveiligingsevaluatie of penetratietest heeft ondergaan.

a. Op softwareproducten wordt voorafgaand aan uitrol een passende technische beveiligingsevaluatie of penetratietest verricht, door de netwerkaanbieder of door een onafhankelijke derde partij.

b. De netwerkaanbieder legt de verplichting op aan de softwareleveranciers dat wordt aangetoond dat productiesoftware die in de infrastructuur van de netwerkaanbieder wordt uitgerold overeenkomstig is aan de geëvalueerde software, bedoeld in onderdeel a.

c. De netwerkaanbieder stuurt actief op opvolging van bevindingen uit de beveiligingsevaluatie, bedoeld in onderdeel a, en neemt het software product in gebruik op voorwaarde dat eventuele bevindingen, die naar hun aard dusdanig ernstig en/of urgent zijn, dienen te worden opgelost.

4. Het structureel beoordelen van beheerdienstverleners en softwareleveranciers op naleving van contractuele beveiligingsafspraken.

a. De netwerkaanbieder toetst structureel en met passende instrumenten de naleving van contractuele beveiligingsafspraken.

b. Indien er tekortkomingen worden geconstateerd, komt de netwerkaanbieder met de desbetreffende beheerdienstverlener of softwareleverancier een verbeterplan met tijdlijnen overeen.

Categorie E: Human resource security

 

1. Het gericht uitvoeren van een programma om het beveiligingsbewustzijn van bedrijfsintern beheerpersoneel te verhogen.

a. De netwerkaanbieder voert voor beheerpersoneel een gericht bewustzijnsprogramma uit met betrekking tot spear-phishing.

b. De netwerkaanbieder verricht periodiek onaangekondigde spear-phishing campagnes om te toetsen of het personeel die campagnes herkent en conform interne beleidsregels reageert.

2. Het structureel screenen van personeel van derde partijen die uitbestede beheertaken verrichten alvorens hen toegang wordt verleend tot apparatuur en software van de netwerkaanbieder.

Personeel van een derde partij dat uitbestede beheertaken verricht:

a. is op persoonsgegevensniveau bij de netwerkaanbieder bekend en geadministreerd;

b. heeft voorafgaand aan het verkrijgen van toegang aantoonbaar een passend en schriftelijk bekrachtigde achtergrondonderzoek ondergaan.
Naar boven