STIX en TAXII versie 2.1 verplicht voor Nederlandse overheden
De standaarden STIX en TAXII versie 2.1 zijn vanaf 1 juli 2026 toegevoegd aan de 'Pas toe of leg uit'-lijst. Hierdoor zijn Nederlandse gemeenten, provincies, het rijk, waterschappen en alle uitvoeringsorganisaties verplicht om deze versies toe te passen. Voor andere organisaties in de publieke sector geldt een dringend advies om STIX en TAXII versie 2.1 te gebruiken. Ook is het functioneel toepassingsgebied van de standaarden bijgewerkt.
De twee standaarden zijn op verzoek van het Nationaal Cyber Security Centrum (NCSC) toegevoegd aan de lijst van Forum Standaardisatie. STIX en TAXII vormen de basis voor het delen van dreigingsinformatie. Met deze standaarden kan informatie over cyberdreigingen en -aanvallen op een gestructureerde en machine-leesbare manier worden beschreven en in realtime worden gedeeld. Hierdoor kunnen overheidsorganisaties sneller en effectiever beveiligingsmaatregelen treffen.
Vervangt verouderde versie
De opname vervangt de eerdere versie van STIX en TAXII die al op de lijst stond. De 1.*-versies zijn verouderd en worden nog maar in beperkte mate toegepast of ondersteund door leveranciers. Veel organisaties, waaronder het NCSC, maken al gebruik van versie 2.1. Een belangrijke verbetering in versie 2.1 is de manier waarop het delen van dreigingsinformatie technisch wordt gefaciliteerd.
Het functioneel toepassingsgebied is eveneens aangepast. Het begrip ‘uitwisselen’ is gewijzigd in ‘verstrekken en/of verkrijgen’, omdat ‘uitwisselen’ ook als wederzijdse communicatie kan worden opgevat. Dat is niet strikt noodzakelijk als een organisatie alleen dreigingsinformatie afneemt van een leverancier. Verdere wijzigingen zijn doorgevoerd om het toepassingsgebied beter te laten aansluiten bij de huidige wetgeving en het huidige taalgebruik.