Operationeel statuut CERT.nl

De verschillende Computer Emergency Response Teams (CERT's) in Nederland hebben een statuut opgesteld. In het statuut spreken de CERT's af dat op de website van de CERT's alleen relevante en correcte informatie staat. Op deze pagina leest u het statuut.

Note: In artikel 5 staat een verwijzing naar bijlage 1. Deze bijlage werkt tijdelijk niet. Uw aanmelding kunt u mailen naar portal@cert.nl.

(Versie 1.1, 20-02-2018) 0. Inleiding

De domeinnaam "cert.nl" (hierna te noemen: het "Domein") is in het TLD.nl vrijgegeven met het doel deze naam te gebruiken als neutrale plek om verwijzingen te faciliteren naar in Nederland actieve Computer Security Incident Response Teams (CSIRT's). CSIRT's worden ook aangeduid als Computer Emergency Response Teams (CERT's).

Vastgesteld wordt dat er thans in Nederland geen sprake is van één centraal orgaan dat deze rol in coördinerende of operationele zin vervult. De rol van CSIRT voor Nederland is gedistribueerd belegd bij een aantal doelgroepgerelateerde partijen, die ieder een eigen, al dan niet gesloten achterban (constituency) bedienen. Deze partijen kunnen krachtens die functie aanspraak maken op een ingang in het Domein, overeenkomstig de bepalingen van dit statuut. Een partij die over een ingang in het Domein beschikt, wordt in dit statuut een "Deelnemer" genoemd.

1. Web-portal

De belangrijkste functie van het Domein is een generieke toegang tot een portal "www.cert.nl", hierna te noemen de "Portal". De portal is een neutrale plaats waar verwijzingen naar specifieke websites of andere relevante contactgegevens van Deelnemers worden opgenomen. De bedoeling is dat hiermee personen die op zoek zijn naar gegevens over computer- en netwerkincidenten voor het Nederlandse deel van het internet op een snelle manier naar de voor hen relevante organisatie worden verwezen.

Aspirant-Deelnemers die aanspraak maken op een ingang, dienen aan de criteria gesteld onder paragraaf 4 te voldoen, en kunnen dan een ingang krijgen, die in paragraaf 5 is beschreven.

2. Beheersinstantie

Deelnemers hebben besloten uit hun midden NCSC.NL aan te wijzen als Beheerder van de Portal en van het Domein. NCSC.NL is de CERT van de Nederlandse overheid en is als programmabureau ondergebracht bij de Stichting ICTU.

Adresgegevens:

Beheersinstantie "cert.nl"
NCSC.NL
Postbus 117
2501 CC Den Haag
T (070) 751 55 55
E portal@cert.nl

3. E-mail

Het Domein zal niet actief als (inkomend) e-maildomein worden gebruikt. Behoudens eventuele voor de uitvoering van dit statuut benodigde mailadressen en verder de volgens de geldende normen (RFC's) verplichte mailadressen, zullen er geen adressen in het Domein worden gedefinieerd. De aldus verplichte e-mailadressen zullen gerouteerd worden naar een mailbox die beheerd en uitgelezen wordt door de Beheerder.

4. Deelnamecriteria

Een CSIRT dat actief is in Nederland, kan op eigen initiatief of op uitnodiging opgenomen worden in de Portal, indien het voldoet aan de volgende voorwaarden:

  1. het CSIRT vervult een actieve rol op operationeel niveau op het gebied van incident-coördinatie;
  2. het CSIRT kan een eenduidige definitie geven van de doelgroep die het in deze zin bedient;
  3. de hierboven bedoelde doelgroep is op zijn minst voor een deel actief of zichtbaar op het Nederlandse deel van het internet, dat wil zeggen dat de doelgroep beschikt over domeinnamen in het .nl-domein of gebruikmaakt van IP-adressen die volgens de RIPE-database bij Nederlandse providers in registratie zijn;
  4. het CSIRT is een rechtspersoon of valt onder de verantwoordelijkheid van een organisatie die namens het CSIRT in rechte optreedt;
  5. het CSIRT verschaft de beheerorganisatie correct functionerende contactinformatie, bedoeld in paragraaf 5. Opgegeven e-mailadressen, telefoonnummers etc. worden niet uitsluitend automatisch beantwoord.

5. Vorm van de ingang

Een CSIRT dat opgenomen wil worden in het Domein, dient daartoe een elektronische aanvraag in te dienen die (a) uitsluitend conform een vastgesteld template, en (b) uitsluitend naar een daarvoor bestemd adres ingevuld en verstuurd kan worden. Bijlage 1 bevat een template dat voor dit doel ingevuld kan worden. De aanvraag bevat in ieder geval de volgende informatie:

  1. naam van het CSIRT
  2. naam van de rechtspersoon
  3. doelgroepdefinitie
  4. verwijzings-URL of een generiek e-mailadres
  5. contactpersoon [onzichtbaar]
  6. overige aw-gegevens [onzichtbaar]

In overleg kunnen tevens optionele gegevens worden opgenomen, zoals een logo en een PGP-sleutel.

6. Besluit over deelnemen

Toetsing van een aanvraag aan de deelnamecriteria geschiedt door Deelnemers gezamenlijk. Een aanvraag als bedoeld onder paragraaf 5 wordt na ontvangst door de Beheerder elektronisch voorgelegd aan de daarvoor in het leven geroepen maillijst van Deelnemers. Iedere Deelnemer heeft vervolgens het recht om op dezelfde lijst een gemotiveerd bezwaar te plaatsen. Indien de omstandigheden dit vereisen, zal de Beheerder via de discussielijst een elektronische stemming organiseren. Een dergelijke stemming zal uiterlijk binnen vier weken beginnen en twee weken duren. Indien een elektronische stemming wordt gehouden, wordt een aanvraag gehonoreerd, indien de helft of minder van de tot dan toe geregistreerde Deelnemers een tegenstem uitbrengt.

Stemmen worden uitgebracht door de contactpersoon, bedoeld in paragraaf 5 onder g.

Een besluit over toelating kan niet worden genomen dan wel worden geblokkeerd doordat deelnemers die binnen eenzelfde constituency opereren en bloc stemmen dan wel zich van stemming onthouden.

Behoudens de gang naar de burgerlijke rechter is tegen de uitslag van de stemming geen beroep mogelijk.

Verwijderen van een deelnemer is alleen mogelijk na een klacht bij de Beheerder. Deze klacht moet aangeven op welke wijze een Deelnemer niet of niet langer aan de deelnamecriteria voldoet. Als de Beheerder constateert dat deze klacht grond heeft, neemt hij contact op met de desbetreffende Deelnemer. Als twee weken na het indienen van de klacht het probleem niet is weggenomen, worden de overige Deelnemers per e-mail op de hoogte gesteld. Als twee weken daarna het probleem nog niet is verholpen, wordt de betreffende Deelnemer verwijderd.

De Beheerder kan gegevens die verifieerbaar onjuist zijn tijdelijk van de portal verwijderen.

De verwijderde Deelnemer is te allen tijde gerechtigd opnieuw een verzoek tot deelname te doen.

7. Opmaak website

De Beheerder verzorgt de opmaak van de website, inclusief de manier waarop door Deelnemers geleverde gegevens worden weergegeven. De opmaak voldoet zoveel mogelijk aan de toegankelijkheidseisen van het World Wide Web Consortium (W3C), zoals beschreven op de website. De Beheerder kan te allen tijde inhoud die voor de website wordt aangeleverd, niet opnemen als deze in strijd is met het recht dan wel in strijd is met de zorgvuldigheid die in het maatschappelijk verkeer betamelijk is.

8. Wijziging statuut

Dit statuut kan alleen worden gewijzigd bij meerderheid van stemmen in een vergadering van Deelnemers, waarbij ten minste 25% van de Deelnemers vertegenwoordigd is door haar contactpersoon, bedoeld in paragraaf 5 onder g. Een contactpersoon kan zich laten vervangen door een ander lid van het eigen CSIRT.

Een besluit tot wijziging kan niet worden genomen dan wel worden geblokkeerd doordat deelnemers die binnen eenzelfde constituency opereren en bloc stemmen dan wel zich van stemming onthouden.

9. Overige bepalingen

Een Deelnemer verklaart zich akkoord met dit statuut.