De Nederlandse overheid moet blijven inzetten op verplichte toepassing van de standaarden STIX en TAXII, maar dan wel in de moderne versie 2.1. Dat is de kern van het expertadvies dat InnoValor Advies op 19 januari heeft uitgebracht aan het Forum Standaardisatie.
Volgens de experts sluiten de huidige, verplichte versies niet langer aan bij de praktijk en dreigen zij de effectiviteit van cyberdreigingsinformatie-uitwisseling te ondermijnen.
STIX (Structured Threat Information Expression) en TAXII (Trusted Automated eXchange of Indicator Information) zijn internationale open standaarden voor het gestructureerd vastleggen en uitwisselen van informatie over cyberdreigingen. Ze worden wereldwijd gebruikt door overheden, CERT’s en securityleveranciers. In Nederland staan STIX 1.2.1 en TAXII 1.1.1 al jaren op de Pas toe of leg uit-lijst. Die status betekent dat overheden deze standaarden verplicht moeten toepassen, tenzij zij gemotiveerd kunnen uitleggen waarom niet.
Volgens de expertgroep is het nu tijd voor een update. In de markt en bij organisaties zoals het Nationaal Cyber Security Centrum (NCSC) is versie 2.1 al de facto standaard. De oudere 1.x-versies gelden als verouderd, worden nauwelijks nog ondersteund door leveranciers en zijn complex in gebruik. STIX en TAXII 2.1 zijn juist ontworpen met eenvoud en automatisering in gedachten, onder meer door een JSON-gebaseerd datamodel en een REST-architectuur voor gegevensuitwisseling.
Duidelijker toepassingsgebied
Naast de versie-update adviseren de experts ook een inhoudelijke aanscherping van het functioneel toepassingsgebied. Waar eerder werd gesproken over het “uitwisselen” van dreigingsinformatie, stellen zij nu voor dit te wijzigen in “het verstrekken en/of verkrijgen van informatie over cyberdreigingen tegen netwerk- en informatiesystemen”. Die nuance is belangrijk: uitwisseling suggereert wederkerigheid, terwijl in de praktijk ook eenzijdige informatievoorziening vaak voorkomt. De aangepaste formulering sluit beter aan bij de huidige wetgeving, waaronder de Cyberbeveiligingswet en de NIS2-richtlijn.
Volgens het advies versterken STIX en TAXII 2.1 de digitale weerbaarheid van de overheid aanzienlijk. Door dreigingsinformatie machineleesbaar en gestandaardiseerd aan te bieden, kunnen organisaties deze direct integreren in hun security tooling, zoals SIEM-, XDR- of NDR-oplossingen. Dit maakt snellere detectie en respons mogelijk en verkleint de kans dat cruciale dreigingsinformatie versnipperd raakt of te laat wordt opgepakt.
Internationale basis en Nederlandse regie
De standaarden worden ontwikkeld en beheerd door Organization for the Advancement of Structured Information Standards, een onafhankelijke non-profitorganisatie die bekendstaat om haar open standaardisatieproces. De experts zijn positief over dit beheer, maar benadrukken dat nationale regie essentieel is. Zij adviseren het NCSC om een duidelijke regierol op zich te nemen als Nederlands aanspreekpunt, kennis te delen en actief deel te nemen aan internationale besluitvorming binnen OASIS.
Ook voor gemeenten en waterschappen is dit relevant. Hoewel de adoptie daar nog achterblijft, zien experts een groeiende behoefte aan gestructureerde dreigingsinformatie, zeker nu steeds meer decentrale overheden werken aan de inrichting van eigen SOC’s.
Het Forum Standaardisatie zal het expertadvies nu ter openbare consultatie aanbieden. Op basis van de reacties en het definitieve advies besluit het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of STIX en TAXII 2.1 officieel de verplichte standaard worden. Als dat gebeurt, zet de overheid een belangrijke stap richting snellere, consistenter en effectievere cyberdreigingsinformatie-uitwisseling.