PID TLS 1.2 2015 NEDU v1.0
Transcript of PID TLS 1.2 2015 NEDU v1.0
www.nedu.nl
Project Initiation Document
TLS 1.2
Opsteller(s) NEDU Bureau
Datum 20 oktober 2015
Versie 1.0-versie ODA
Status Concept
ALV NEDU 20151028-007.2a
www.nedu.nl 2 - 24
0 Management samenvatting
Doelstellingen De begeleiding van het sectorbreed, gestructureerd, gecontroleerd en tijdig
doorvoeren van de overgang op TLS 1.2 zoals beschreven in het door ALV NEDU
vastgestelde issue TC024. Door voor NEDU-leden te communiceren over de
wijzigingen, testfaciliteiten beschikbaar te stellen waar NEDU-leden de
aanpassingen die ze decentraal hebben doorgevoerd op basis van issue TC024
kunnen testen tegen de centrale systemen alsmede het doorlopen van de
testen op een zodanige manier te faciliteren dat de leden een grote mate van
zekerheid hebben dat zij compliant zijn voor de overgang naar TLS 1.2.
Scope De scope van dit project is:
Het organiseren, begeleiden en faciliteren van de GAT Testen met de centrale systemen voor NEDU-leden in het kader van TLS 1.2 en het rapporteren over de voortgang.
In scope van de bij het vorige punt beschreven GAT testen zijn de volgende centrale systemen: Productie Installatie Register (PIR), Portaal, AS2 Teststraat, Portal P4 (PP4), Centraal Stuursignaal Gas (CSS), Toegankelijk Meetdata Register (TMR) en Contact Personen Register (CPR).
De Market readiness van de NEDU-leden in het kader van TLS 1.2 te toetsen en hierover te rapporteren.
Het communiceren over aard van aanpassingen en voortgang van het project.
Advies uitvaardigen aan de ALV NEDU over de definitieve overgang naar TLS 1.2 en het uitfaseren van TLS 1.0.
Buiten scope van dit project valt:
Aanpassingen in systemen en processen van de marktpartijen die met de centrale systemen van EDSN1 werken.
De wijzigingen in de centrale systemen zoals beheerd door EDSN.
De marktpartijen zijn zelf verantwoordelijk voor het doorvoeren van de benodigde wijzigingen in hun systemen en het testen daarvan.
Testen van aanpassingen aan de centrale systemen. Deze zijn onderdeel van het CMF project TLS 1.2.
NEDU besteedt het testen uit aan EDSN. Het Testen betreft het coordineren
van de sector testen over de in scope zijnde systemen heen ten behoeve van
NEDU-leden in een Gebruikers Acceptatie Test (GAT). Indien uit de GAT
bevindingen komen die opgelost en (her-)getest moeten worden dan vallen
deze werkzaamheden niet binnen de scope van dit project maar binnen het
CMF project TLS 1.2. Dit is in lijn met het door de ALV NEDU vastgestelde
document Generieke Testafspraken 2.0. (20150513-008.2) zoals opgesteld voor
de Sector Releases.
Project
resultaten
Het projectresultaat is dat alle door NEDU erkende marktrollen zodanig zijn
geïnformeerd, gemotiveerd en gefaciliteerd dat uiterlijk per 1 juni 2016 de
energiesector als geheel TLS 1.2 als beveiligingsstandaard heeft ingevoerd en
het advies aan de ALV NEDU gegeven kan worden om TLS 1.0 uit te faseren.
1 Het betreft hier de systemen in het CMF landschap en bij GTS
www.nedu.nl 3 - 24
Toelichting
Alle betrokken marktpartijen die NEDU lid zijn worden in kaart gebracht en
geïnformeerd. Hun voortgang wordt gemonitord via market readiness. Voor de
marktpartij ODA’s waarvoor de overgang wel impact heeft maar niet een door
NEDU erkende marktpartij is, geldt voor NEDU in principe geen
resultaatverplichting maar een inspanningsverplichting. Een
inspannigsverplichting omdat het functioneren van ODA’s niet van invloed mag
zijn op NEDU-leden. De ODA’s vormen geen onderdeel van het
projectresultaat. Overige niet NEDU-leden vormen geen onderdeel van dit
project. Hiervoor is geen inspannings- noch een resultaatverplichting.
Periode Startdatum 01-11-2015
Geplande einddatum 01-09-2016 (projectclosure in ALV na
zomerreces)
Doorlooptijd 10 maanden
Uitgangs-
punten
De belangrijkste uitgangspunten bij de planning zijn:
De onderliggende PID wordt op 28 oktober vastgesteld door de ALV NEDU
Marktpartijen die nog niet over zijn op TLS 1.2 kunnen zelf inplannen wanneer zij overgaan met als uiterste invoerdatum 1 juni 2016. Overigens kan TLS 1.2 tot 1 maart niet worden afgedwongen.
EDSN heeft TLS 1.2 conform het issue TC024 geïmplementeerd en beschikbaar gesteld uiterlijk 1 maart 2016.
TLS 1.0 wordt na 1 juni 2016 uitgefaseerd per besluit van de ALV NEDU, welke onderdeel is van het besluit om op die datum definitief over te gaan op TLS 1.2.
Beschikbaarheid (test) faciliteiten per 1 maart 2016, geleverd door EDSN.
Kosten
structuur
De kostenbegroting is gebaseerd op de producten voor de TLS 1.2 die door
NEDU worden opgeleverd:
- Het Master Testplan (alsmede GAT-plan)
- Communicatie- en market readiness plan inclusief informatiesessies
Financiering Het project TLS 1.2 wordt uitgevoerd onder voorbehoud van financiering.
Financiële
resultaten
Projectbegroting
Niet openbaar
Risico’s
Top 3
Bedreiging Mitigerende maatregel
Certificatenwissel:
Het project Certificatenwissel heeft
veel overeenkomsten met TLS 1.2
waardoor integratie voor de hand ligt.
Het project loopt echter 2 maanden
achter op TLS 1.2 waardoor het een
groot afbreukrisico is dat beide
projecten 1 juni niet halen.
SSR NEDU heeft al besloten dat TLS 1.2
en Certificatenwissel alleen
geïntegreerd kunnen worden als het
issue Certificatenwissel is vastgesteld.
Voor integratie van beide projecten
moeten de acceptatiecriteria worden
vastgesteld.
Besluitvorming: De besluitvorming
binnen de sector verloopt traag. Dit
vormt een risico op de planning en
Besluiten tijdig voorleggen en waar
nodig/mogelijk besluiten nemen op
lager niveau in de project organisatie
www.nedu.nl 4 - 24
daarmee het behalen van de uiterste
invoerdatum.
en vooraf laten toetsen. Hiervoor
dienen mandaten aan de SSR-NEDU
gegeven te worden door management
bij exception.
Onbekendheid met project: De sector
is bekend met grotere lopende
projecten zoals Sector Release. De
impact van kleine projecten als TLS
1.2 kan door de onbekendheid
worden onderschat.
Door middel van market readiness en
voorlichting partijen informeren.
Verantwoordelijkheid voor het tijdig
invoeren bij de decentrale partijen ligt
buiten scope project.
0.1 Documenthistorie
Versie Datum Auteur Opmerking
0.1 15-09-2014 NEDU Bureau Interne versie NEDU Bureau
0.2 24-09-2015 NEDU Bureau Interne versie NEDU Bureau
0.4 06-10-2015 NEDU Bureau Interne versie NEDU Bureau
0.5 08-10-2015 NEDU Bureau Versie EDSN
0.6 09-10-2015 NEDU Bureau Versie SSR NEDU
0.61 09-10-2015 NEDU Bureau Versie SSR NEDU aanpassing begroting
0.9 15-10-2015 NEDU Bureau Versie SSR NEDU na verwerking commentaar
0.99 20-10-2015 NEDU Bureau Versie ALV NEDU
www.nedu.nl 5 - 24
Inhoud
0 Management samenvatting ................................................................................................ 2
0.1 Documenthistorie ............................................................................................................... 4
1 Inleiding en achtergrond ..................................................................................................... 6
2 Projectdefinitie ................................................................................................................... 7
2.1 Projectdoelstellingen .......................................................................................................... 7
2.2 Scope ................................................................................................................................... 7
2.3 Projectresultaten ................................................................................................................ 8
2.4 Uitgangspunten en afhankelijkheden ................................................................................. 9
3 Planning ............................................................................................................................ 10
3.1 Planning ............................................................................................................................ 10
4 Projectkader ...................................................................................................................... 11
4.1 Projectaanpak ................................................................................................................... 11
5 Projectorganisatie ............................................................................................................. 12
5.1 Organogram ...................................................................................................................... 12
5.2 Escalatieniveaus ................................................................................................................ 17
6 Projectbeheersing ............................................................................................................. 18
6.1 Toleranties ........................................................................................................................ 18
6.2 Voortgangsrapportage ...................................................................................................... 18
6.3 Overleg .............................................................................................................................. 18
6.4 Uitzonderingsprocedure ................................................................................................... 18
6.5 Changeprocedure TLS 1.2 ................................................................................................. 19
6.6 Acceptatiecriteria .............................................................................................................. 19
6.7 Besluitvorming .................................................................................................................. 20
6.8 Communicatie ................................................................................................................... 20
7 Projectrisico’s .................................................................................................................... 22
www.nedu.nl 6 - 24
1 Inleiding en achtergrond
De benodigde wijzigingen voor de invoering van TLS 1.2 wordt beschreven in het issue dat door de
Technische Commissie binnen de NEDU is beschreven, ingepland met een invoerdatum 1 juni 2016
door de SPC en goedgekeurd door de ALV NEDU (ALV NEDU 20150401-013.2. Het issue dat ten
grondslag ligt aan dit PID is TC024: Overgang op TLS 1.2 (bijlage III ).
De NEDU zal zich richten op alle aspecten rondom begeleiding van de sector testen, de market
Readiness en communicatie. EDSN krijgt van NEDU de opdracht om te faciliteren bij het testtraject
door de marktpartijen. EDSN wordt hierbij aangestuurd door een projectmanager van het NEDU
Bureau
www.nedu.nl 7 - 24
2 Projectdefinitie
2.1 Projectdoelstellingen
De begeleiding van het sectorbreed, gestructureerd, gecontroleerd en tijdig doorvoeren van de
overgang op TLS 1.2 zoals beschreven in het door ALV NEDU vastgestelde issue TC024. Door voor
NEDU-leden te communiceren over de wijzigingen, testfaciliteiten beschikbaar te stellen waar NEDU-
leden de aanpassingen die ze decentraal hebben doorgevoerd op basis van issue TC024 kunnen
testen tegen de centrale systemen alsmede het doorlopen van de testen op een zodanige manier te
faciliteren dat de leden een grote mate van zekerheid hebben dat zij compliant zijn voor de overgang
naar TLS 1.2.
De SSR-NEDU krijgt de bevoegdheid om alle besluiten te nemen die noodzakelijk zijn voor de uitvoering van de bovenstaande opdracht binnen de kaders van de hiertoe door de ALV NEDU (SSR NEDU SR2015 opdrachtomschrijving ALV NEDU 20141029-012.2) vastgelegde sectorafspraken en de bijbehorende PID:
Issuedocument TC024 en wijzigingen hierop beheren via het changeproces
De testkaders bewaken
Acceptatiecriteria monitoren
Budget bewaken
Sturen op de uiterste invoeringsdatum (1 juni 2016) van TLS 1.2
Advies uitbrengen aan de ALV NEDU over de definitieve overgang naar TLS 1.2 en daarmee de uitfasering TLS 1.0.
Beschrijving van de opdracht
Het coördineren van TLS 1.2 middels het toetsen van de market readiness, het (laten) ontwikkelen
van testfaciliteiten(gereed 1 maart 2016) die voldoet aan het ingangsdocument issue TC024 en het
faciliteren van testen door marktpartijen, begeleiden van changetraject en communicatie.
2.2 Scope
De scope van dit project is:
Het organiseren, begeleiden en faciliteren van de GAT Testen met de centrale systemen door marktpartijen in het kader van de TLS 1.2 en het rapporteren over de voortgang.
In scope van de bij het vorige punt beschreven GAT testen zijn de volgende centrale systemen: Productie Installatie Register (PIR), Portaal, AS2 Teststraat, Portal P4 (PP4), Centraal Stuursignaal Gas (CSS), Toegankelijk Meetdata Register (TMR) en Contact Personen Register (CPR).
De Market readiness van de marktpartijen in het kader van TLS 1.2 te toetsen en hierover te rapporteren.
Het communiceren over aard van aanpassingen en voortgang van het project.
Advies uitvaardigen aan de ALV NEDU over de definitieve overgang naar TLS 1.2 en het uitfaseren van TLS 1.0.
De scope van het project beperkt zich tot de invoering van TLS 1.2 zoals beschreven in TC024:
Overgang op TLS 1.2 (versie 1.2).
www.nedu.nl 8 - 24
Buiten scope van dit project valt:
Aanpassingen in systemen en processen van de marktpartijen die met de centrale systemen van EDSN2 werken.
De wijzigingen in de centrale systemen zoals beheerd door EDSN.
De marktpartijen zijn zelf verantwoordelijk voor het doorvoeren van de benodigde wijzigingen in hun systemen en het testen daarvan.
Testen van aanpassingen aan de centrale systemen. Deze zijn onderdeel van het CMF project TLS 1.2.
De marktpartijen zijn zelf verantwoordelijk voor het invoeren van TLS 1.2 en het updaten van software van hun systemen waar nodig, ook zijn zij zelf verantwoordelijk voor de (beveiligings)risico’s of bouwen van workarounds.
NEDU besteedt het testen uit aan EDSN. Het Testen betreft het coordineren van de sector testen
over de in scope zijnde systemen heen ten behoeve van NEDU-leden in een Gebruikers Acceptatie
Test (GAT). Indien uit de GAT bevindingen komen die opgelost en (her-)getest moeten worden dan
vallen deze werkzaamheden niet binnen de scope van dit project maar binnen het CMF project TLS
1.2. Dit is in lijn met het door de ALV NEDU vastgestelde document Generieke Testafspraken 2.0.
(20150513-008.2) zoals opgesteld voor de Sector Releases.
De invoering van TLS 1.2 heeft impact op EDSN en alle door NEDU erkende marktrollen:
Netbeheerders
Leveranciers
Programmaverantwoordelijken
Meetverantwoordelijken
Landelijke Netbeheerders
Het heeft ook impact op de volgende niet-NEDU marktpartij die van invloed is op NEDU-leden in de portal P4:
ODA’s
2.3 Projectresultaten
Het projectresultaat is dat alle door NEDU erkende marktrollen zodanig zijn geïnformeerd,
gemotiveerd en gefaciliteerd dat uiterlijk per 1 juni 2016 de energiesector als geheel TLS 1.2 als
beveiligingsstandaard heeft ingevoerd en het advies aan de ALV NEDU gegeven kan worden om TLS
1.0 uit te faseren.
Alle betrokken marktpartijen die NEDU lid zijn worden in kaart gebracht en geïnformeerd. Hun
voortgang wordt gemonitord via market readiness. Voor de marktpartij ODA’s waarvoor de overgang
wel impact heeft maar niet een door NEDU erkende marktpartij is, geldt voor NEDU in principe geen
resultaatverplichting maar een inspanningsverplichting. Een inspannigsverplichting omdat het
functioneren van ODA’s niet van invloed mag zijn op NEDU-leden. De ODA’s vormen geen onderdeel
van het projectresultaat. Overige niet NEDU-leden vormen geen onderdeel van dit project. Hiervoor
2 Het betreft hier de systemen in het CMF landschap en bij GTS
www.nedu.nl 9 - 24
is geen inspannings- noch een resultaatverplichting.
Marktpartijen hebben de invoering van TLS 1.2 kunnen testen vanaf 1 maart 2016 en er is een
volledig beeld is van de market readiness van partijen bij de invoering, zodat die gecontroleerd kan
verlopen.
2.4 Uitgangspunten en afhankelijkheden
De belangrijkste uitgangspunten bij de planning zijn:
De onderliggende PID wordt op 28 oktober vastgesteld door de ALV NEDU.
Marktpartijen die nog niet over zijn op TLS 1.2 kunnen zelf inplannen wanneer zij overgaan met als uiterste invoerdatum 1 juni 2016. Overigens kan TLS 1.2 tot 1 maart niet worden afgedwongen.
EDSN heeft TLS 1.2 conform het issue TC024 geïmplementeerd en beschikbaar gesteld uiterlijk 1 maart 2016.
TLS 1.0 wordt na 1 juni 2016 uitgefaseerd per besluit van de ALV NEDU, welke onderdeel is van het besluit om op die datum definitief over te gaan op TLS 1.2.
Beschikbaarheid (test) faciliteiten per 1 maart 2016, geleverd door EDSN.
Het TLS 1.2 moet ondersteund worden in de software die door de marktpartijen gebruikt wordt voor
de uitwisseling van berichten. Door ondersteuning te bieden bij het testen en de bewustwording, via
market readiness uitvragen, van het feit dat TLS 1.2 invloed heeft op decentrale software kan de
invoer gecontroleerd en tijdig verlopen.
www.nedu.nl 10 - 24
3 Planning
3.1 Planning In de onderstaande tabel is een globale planning opgenomen van de activiteiten die door het project zullen worden uitgevoerd. Het project zal de planning in overleg met de stuurgroep verder detailleren.
Sep
tem
ber
Okt
obe
rN
ove
mbe
rD
ecem
ber
Janu
ari
Feb
ruar
iM
aart
A
pril
Mei
Juni
Wee
knum
mer
3738
3940
4142
4344
4546
4748
4950
5152
531
23
45
67
89
1011
1213
1415
1617
1819
2021
2222
2324
25
Pro
ject
brie
f TL
S 1.
2
Uit
vraa
g pr
oje
ctm
anag
ers
Ops
telle
n P
ID
Go
edke
uri
ng P
ID in
ALV
SSR
NED
U
Nie
uw
sbri
ef
Vo
orl
icht
ings
sess
ie
Rea
dine
ssui
tvra
ag1
23
4
Ops
telle
n T
estp
lan
Inri
chti
ng t
este
n
Voo
rber
eidi
ng t
este
n
Test
en
Uit
erst
e in
voer
datu
m 1
.2
2016
www.nedu.nl 11 - 24
4 Projectkader
In dit hoofdstuk staan de activiteiten en producten toegelicht, die onderdeel uitmaken van de
invoering TLS 1.2.
4.1 Projectaanpak
Het project bestaat uit de volgende fasen:
Prefase:
1. Verkenningsfase: augustus-september 2015
Projectbrief
Acceptatie SSR NEDU -opdracht
Hoofdfase:
De volgende “T” momenten zijn er:
T1 = 28 oktober 2015
Uiterste datum invoering = 1 juni 2016
2. Initiatiefase
Project Initiatiedocument (PID): september-oktober
Testplan
Uitvraag naar projectmanager (technisch manager)
Vaststelling PID (inclusief Testen) en start project 28 oktober 2015
3. Uitvoeringsfase november 2015-1 juni 2016
Voorlichting: Algemene voorlichting TLS 1.2, monitoring via Market Readiness
Technische monitoring periode maart 2016-20 mei 2016
Market readiness uitvragen voortgang
Market readiness finale uitvraag
Acceptatiecriteria toetsen en advies uitbrengen ALV NEDU
Advies Definitieve overgang naar TLS 1.2 en Uitfasering TLS 1.0 (ALV NEDU)
4. Afsluitfase
Nazorg: juni—augustus 2016
www.nedu.nl 12 - 24
5 Projectorganisatie
5.1 Organogram
Voor de TLS 1.2 2015 is de volgende Governance ingesteld.
Tester (EDSN)
QA (NB)
PMO (NB)
Projectmanager (NB)
Sector Plannings
Commissie
TechnisheCommissie
FinanciëleCommissie
SSR-NEDU
CommunicatieMarket
Readiness (NB)
Project Manager
(EDSN)
NB = NEDU Bureau
ALV
www.nedu.nl 13 - 24
Verantwoordelijkheden, taken en bevoegdheden
Stuurgroep SSR NEDU
Namen Verantwoordelijkheden, taken en bevoegdheden
Voorzitter: Oelfier den Haselaar
Secretaris: Mirjam van der Horst
Rol : Opdrachtgever = ALV NEDU
Opdrachtnemer= SSR NEDU Voorzitter Stuurgroep Eindverantwoordelijk voor project Projectmanagement Opdrachtgever voor EDSN - Testen
NEDU Bureau Opdrachtnemer
Projectmanagement – Mirjam van der
Horst
Rol: PM en secretaris Stuurgroep Verantwoordelijk voor het beschikbaar stellen
van de benodigde resources.
EDSN Opdrachtnemer Testen:
Projectmanager – Ronald Houtsma
Rol : Agendalid Stuurgroep overleg inzake TLS. Verantwoordelijk voor het beschikbaar stellen
van de benodigde resources Testteam.
Deelnemers
Namens Netbeheerders:
Erik van der Voort Enexis
Jeroen Alderlieste Alliander
Thijs Kavelaars Stedin
Ben van den Berg Enexis
Namens Leveranciers:
Mark Halstein Nuon
Jolanda van Maurik Eneco
Jos Rensen Essent
Namens Landelijke
Netbeheerder:
Joost de Geus - Tennet
Ruud van der Meer -
GTS
Namens EDSN:
Bjorn Kaldenberg
MV-ers en PV-ers zijn
uitgevraagd voor 2015 en zullen
opnieuw uitgevraagd worden in
2016.
SSR-NEDU TLS 1.2:
TLS 1.2 wordt opgenomen in de SSR-NEDU van de SR2015 en SR2016. TLS 1.2 vormt een vast agendapunt in de reguliere SSR-NEDU SR2015 vergadering. TLS 1.2 gaat mee naar de overgang van SR2015 naar SR2016 en zal bestuurd worden als een apart project.
www.nedu.nl 14 - 24
Algemene taak en verantwoordelijkheid De SSR NEDU krijgt van de NEDU het mandaat om TLS
1.2 uit te voeren binnen de kaders van de
deliverables:
1. NEDU proces
2. Changeprocedure
3. Doorlooptijden en rapportage
4. Testkaders
5. Testplan
6. Budget
7. Separaat gemandateerde Go
Mandatering De SSR-NEDU is gemandateerd door de ALV NEDU om,
na een positief vrijgave advies van de ALV, een Go te
geven voor de definitieve overgang naar TLS 1.2 per 1
juni 2016 en daarmee de uitfasering van TLS 1.0.
Escalatie:
Er geldt dat de SSR-NEDU slechts gemandateerd is
voor het geven van een Go. Indien de SSR-NEDU
adviseert voor een No-Go dan escaleert zij direct aan
de ALV NEDU en komt de ALV NEDU binnen 24 uur
bijeen om een beslissing te nemen.
Projectmanager NEDU
Algemene taak en
verantwoordelijkheid
Verantwoordelijk voor het project TLS 1.2. Is eindverantwoordelijk
voor het project en neemt deel aan de stuurgroep.
Verantwoordelijk voor het bewaken van de scope, de kosten, de
planning en kwaliteit van het project.
Taken projectmanager:
- Inrichten projectmanagement Market Readiness, Communicatie
(opdracht uitzetten), QA (organiseren), Testen en PMO
- Projectrapportage
- Deelname stuurgroep
- Opstellen PID
- Changemanagement begeleiden
- Managen projectteam
- Escalatiekanaal voor alle onderliggende projectactiviteiten
- Beheren urenregistratie NEDU en EDSN
- Beheren contract derden (communicatie)
- Monitoring en bewaken kwaliteit project deliverables
- Opstellen en realiseren market readiness plan
- Voorleggen vrijgave advies aan de stuurgroep
- Voorlichting sessies
- Projectrapportage aanleveren aan de stuurgroep
Rapporteert en escaleert aan:
- Stuurgroep SSR-NEDU inzake TLS 1.2
www.nedu.nl 15 - 24
Projectmanager EDSN
Algemene taak en
verantwoordelijkheid
Verantwoordelijk voor de opzet, aanpak en uitvoering van alle
testsoorten. Aan NEDU-kant betreft dit de GAT3
Testen is uitbesteed aan EDSN
Testmanager vanuit EDSN Projecten
Verantwoordelijk voor de teststrategie, -opzet, -aanpak en -uitvoering
van de acceptatie Testen.
Taken:
- Het aansturen en coordineren van de EDSN inzet van mensen
- Opstellen, laten goedkeuren en daarna beheren van het acceptatie
testplan
- Inrichten en beheren issuemanagement
- Voortgangsrapportage
- Opstellen vrijgaveadvies op basis van acceptatie criteria t.b.v. van de
project manager NEDU
- Een bijdrage leveren aan de inhoudelijke communicatie t.b.v.
voorlichting TLS
- Eerst escalatiekanaal voor testteam / markt
Rapporteert en escaleert aan:
- Projectmanager NEDU
3 Overige testsoorten (zoals een FAT) behoren niet tot de scope van deze PID. GAT gaat er vanuit dat de sector de systemen
test op gebruikers acceptatie. Die testen worden gecoordineerd uitgevoerd. Alleen bij specifieke bevindingen vanuit de sector
gaat EDSN nog testen (vb hertesten op reproduceerbaarheid e.d). Er vinden dus geen eigenstandige testen vanuit EDSN /
CMF meer plaats ten tijde van de GAT.
www.nedu.nl 16 - 24
Tester (coordineren van de GAT)
Algemene taak en
verantwoordelijkheid
Verantwoordelijk voor het inrichten van de tooling om testscenario’s
uit te voeren.
Taken:
- Coördineren van de testinspanningen van de sector.
- Coördineert de uitvoering en is het eerste aanspreekpunt voor de
markt tijdens de uitvoering van de GAT.
- Op operationeel en tactisch niveau aansturen van de Gebruikers
Acceptatie Test.
- Bepalen van de teststrategie.
- Opstellen van de detailplanning en bewaken van de voortgang en
uitvoering van de test.
- Creeren en beheren testtooling om communicatie via endport TLS
1.2 te testen.- Inrichten en beheren van test ondersteunende tooling
richting de markt.
- Het analyseren en hertesten van de door de sector aangedragen
bevindingen. Het uitzetten en laten oplossen van deze bevindingen bij
de betreffende SI(‘s).
-Na uitfasering restpunten overdragen aan EDSN beheer
Rapporteert en escaleert aan:
- Testmanager
Testers vanuit de markt
- Uitvoeren van de voor TLS 1.2 ingerichte testtool
- Opstellen issuerapporten
- ‘Rapporteert’ aan EDSN projectmanager
www.nedu.nl 17 - 24
PMO en projectcontrol
Algemene taak en
verantwoordelijkheid
Verantwoordelijk voor het opzetten, uitvoeren en beheren van de
projectrapportages en projectdocumentatiestructuur.
Taken:
- Ondersteunen bij het opzetten en verwerken van de project
financiën. Controle op uitputting budget.
- Aanleveren en opstellen van de financiële voortgangsrapportage
- Inrichten, uitvoeren en bijhouden van de project rapportages i.o.v.
de NEDU projectmanager
- Archiveren projectdocumentatie
- Inrichting urenregistratie
-Aanleveren projectinformatie Dashboard
Rapporteert en escaleert aan:
- Projectmanager NEDU
5.2 Escalatieniveaus
Escalatie binnen het project geschiedt conform de in hoofdstuk 5.1 aangegeven lijnen. Wanneer
verder geëscaleerd dient te worden, dan verloopt dit conform het NEDU governance model.
Escalatie verloopt dan altijd naar hogere manager in de eigen organisatie.
Communicatie
Algemene taak en
verantwoordelijkheid
Verantwoordelijk voor het opzetten en beheren van de
projectcommunicatie naar de relevante marktpartijen en
medewerkers van deze marktpartijen voor alle relevante project
onderwerpen. Communicatie wordt uitbesteed aan externe
communicatie-adviseur.
Taken:
- Opstellen en realiseren beknopt communicatieplan na goedkeuring
PID
Schrijven van nieuwsberichten
- Ondersteuning bij Informatiebijeenkomsten
- Ondersteuning bij Market Readiness activiteiten
Rapporteert aan:
- Projectmanager NEDU
www.nedu.nl 18 - 24
6 Projectbeheersing
6.1 Toleranties
Controle van de voortgang is de verantwoordelijkheid van de projectmanager. De projectmanager
rapporteert voorafgaand aan iedere Stuurgroep vergadering schriftelijk aan de Stuurgroep. De
rapportage zal 5 werkdagen voorafgaand aan de vergadering van SSR NEDU verspreid worden door
de secretaris van de SSR NEDU.
Indien een afwijking van de plannen naar verwachting groter is dan het afgesproken budget dan wel
de tolerantie, wordt daarover apart gerapporteerd aan de Stuurgroep. Mandaat voor de toleranties
van de stuurgroep is als volgt:
- Doorlooptijd plus of min 0% - Scope plus of min 0% - Kosten plus of min 10% (contingency) - Kwaliteit plus of min 0%
Voor gebruik toleranties is goedkeuring stuurgroep nodig. De ALV wordt achteraf geinformeerd.
6.2 Voortgangsrapportage
De projectmanager rapporteert voorafgaand aan iedere Stuurgroep vergadering schriftelijk aan de
stuurgroep middels het hoofdpuntenrapport (reguliere voortgangsrapportage, kwalitatief en
kwantitatief).
Om de projectmanager in staat te stellen voortgangsrapportages op te stellen is het noodzakelijk dat
projectmedewerkers regelmatig de bestede tijd, de nog te besteden tijd rapporteren. De uren van
NEDU en EDSN medewerkers worden op wekelijkse basis gerapporteerd in Clockwise. Externe inhuur
geeft wekelijks een overzicht budgetuitnutting en rapporteert in principe ook in Clockwise.
PMO informeert de projectmanager maandelijks over geschreven uren, en signaleert bij over- of
onder uitputting.
6.3 Overleg
Om het project beheersbaar en controleerbaar te laten verlopen zijn de volgende overlegvormen en
frequentie afgesproken;
• Stuurgroep SSR-NEDU: volgens kalender.
• Projectteam: tweewekelijks, indien nodig wekelijks.
6.4 Uitzonderingsprocedure
De uitzonderingsprocedure treedt in werking als van een fase of van het project verwacht wordt dat
het niet binnen de afgesproken tolerantiegrenzen ten aanzien van tijd, geld, scope en kwaliteit blijft.
Zodra de projectmanager dit op basis van aangeleverde informatie verwacht, meldt de
Projectmanager dit d.m.v. afwijkingsrapport aan de Stuurgroep. In onderling overleg wordt de
aanleiding en oorzaak besproken. Daarna wordt besloten tot één van de volgende situaties:
de Stuurgroep treft maatregelen ter voorkoming/opheffing van de aanleiding.
de Stuurgroep besluit geen actie te ondernemen, omdat het denkt dat de overschrijding van de tolerantie niet plaats zal vinden.
er wordt goedkeuring gevraagd aan de ALV NEDU voor verruiming van de toleranties.
er wordt goedkeuring gevraagd voor het doen van concessies ten aanzien van tijd, geld, kwaliteit of omvang van het op te leveren resultaat (bereik). Goedkeuring wordt gevraagd aan de ALV NEDU.
www.nedu.nl 19 - 24
6.5 Changeprocedure TLS 1.2
Naast de uitzonderingen procedure bestaat ook een Changeprocedure4 (zoals die geldt ten tijde van
goedkeuring PID). Het ingangsdocument betreft TC024 Overgang TLS 1.2.
Een aanpassing in de sectorafspraken (= change) wordt pas in behandeling genomen als wordt voldaan aan de volgende (nog nader te specificeren) criteria:
De wijziging aan TLS 1.2 (TC024) is een blocking issue voor de sector. Het proces kan niet worden uitgevoerd op de manier waarop het is ontworpen.
Toets van het blocking issue aan de Acceptatie criteria die zijn gesteld.
Check uitvoeren of de change nog kan worden geabsorbeerd qua planning en kosten (zowel NEDU als EDSN)5, nadat o.b.v. bovenstaande criteria een akkoord is gegeven
Na akkoord van de SSR-NEDU o.b.v. bovenstaande checks, wordt het changevoorstel ter goedkeuring voorgelegd aan de Technische Commissie (TC) die inhoudelijk verantwoordelijk is/zijn voor het issue/proces waarop het voorstel een wijziging aanbrengt. De betrokken TC legt het changevoorstel na akkoord SSR-NEDU ter vaststelling voor aan de ALV NEDU. Na vaststelling in de ALV NEDU zal de change worden vastgelegd TC024 Overgang op TLS 1.2. Interpretatieverschillen: De TC krijgen het mandaat om interpretatieverschillen in de documentatie nader toe te lichten in een FAQ lijst. Er is alleen sprake van een interpretatieverschil, indien de benodigde (tekstuele) aanpassing niet leidt tot systeemaanpassing of aanpassing van de berichten.
6.6 Acceptatiecriteria
De hieronder beschreven criteria gelden voor de TLS 1.2, die uiterlijk 1 juni 2016 geïmplementeerd
moet zijn. Deze criteria hebben betrekking op alle NEDU marktrollen.
Indien een NO-GO besluit wordt genomen en de uiterste invoerdatum van TLS 1.2 dient te worden
uitgesteld dan voldoen de markt niet meer aan de door de overheid voorgeschreven veiligheidsnorm
van uitwisseling gegevens. Het gaat echter niet ten koste van marktpartijen die wel al communiceren
op TLS 1.2 niveau door het onderhandelingsprotocol. Uitstel betekent in feite dat het uitzetten van
endpoint TLS 1.0 wordt uitgesteld.
Er is een aantal leidende uitgangspunten voor de Go Live criteria:
1. We gaan niet live in geval van onacceptabele effecten voor de sector als geheel.
2. We gaan live als minimaal 66% van het marktaandeel per marktrol gereed is (dit moet via
een apart ALV besluit?).
Het kan voorkomen dat individuele partijen op 1 juni niet klaar zijn, maar dat het merendeel
(>66%) betrokken marktpartijen wel over is op het vernieuwde protocol en eventuele
onacceptabele effecten binnen de gestelde grenzen vallen. Dan kan de ALV alsnog besluiten
TLS 1.0 vanaf 1 juni uit te faseren.
4 Vastgesteld in de SSR NEDU van 27-03-2014. 5 Deze check wordt gedaan op basis van een impact analyse door het project. Het project zal deze analyse alleen uitvoeren op volledig
ingevulde change formulieren.
www.nedu.nl 20 - 24
Details van de onacceptabele effecten
Voor de TLS 1.2 zullen dezelfde generieke acceptatie criteria worden gebruikt als tijdens voorgaande
releases. Deze generieke acceptatiecriteria worden apart aan de ALV NEDU aangeboden en zullen na
vaststelling in de ALV NEDU als bijlage worden opgenomen.
6.7 Besluitvorming
Besluitvorming tot uitfasering TLS 1.0 vindt plaats in de ALV NEDU, waarbij zij wordt geadviseerd
door de SSR-NEDU. Zij hanteert hiervoor de Go Live rapportage die wordt verzorgd door de
voorzitter van de SSR-NEDU. De Go Live rapportage die bestaat uit:
- status van de criteria (lees: inschatting van impact)
- inschatting van de duur van de benodigde tijd voor partijen om na 1 juni over te gaan op TLS
1.2
- advies voor Go/No Go
Op de Go/No Go momenten wordt uitspraak gedaan over de impact per criterium en over de
eventuele benodigde oplostijd. De Go/No Go beslismomenten worden in het detailplanning
themarelease verder uitgewerkt.
6.8 Communicatie
Communicatiedoelstellingen:
De leden van NEDU en de projectmanagers van de marktpartijen informeren over de opzet en
voortgang van het project TLS 1.2 om zo tijdig, voor 1 juni 2016, het project te realiseren. Hiertoe is
in de initiatiefase een eerste uitvraag gedaan om een gedegen adressenbestand aan te leggen zodat
alle marktrollen bereikbaar zijn voor communicatiedoeleinden en status Market Readiness.
Communicatiematrix:
Doelgroep Niveau
communicatie
middelen onderwerpen
Leden NEDU Urgentie creëren en
informeren
Nieuwsbrief NEDU
voortgang
ODA’s (geen NEDU-
lid)
Informeren Nieuwsbrief NEDU
voortgang
(Technisch)
Projectmanager
marktpartijen
Informeren
werkafspraken
Nieuwsbrief NEDU
FAQ
mijnNEDU
Online vragenlijst
Voorlichtingsbijeenkomsten
Uitvragen market
readiness
Testen
Voor de nieuwsbrieven zal gebruik gemaakt worden van de tool MailChimp. Nieuwsbrieven komen
één keer per maand uit: november, december, januari, februari, maart, april, mei en de laatste in
juni. In de nieuwsbrief zullen ook de resultaten worden weergegeven van de tooling; “in hoeverre is
markt gereed voor een gedegen overgang naar TLS 1.2”.
Informatiebijeenkomsten
www.nedu.nl 21 - 24
Een algemene kick off bijeenkomst wordt georganiseerd voor alle (technische) projectmanagers van
de marktpartijen direct na het ALV NEDU akkoord van 28 oktober.
De (technisch) projectmanagers (en/of testmanagers) van de marktpartijen worden met
voorlichtingsbijeenkomsten geïnformeerd over de aanpak van het Project en het Testen. Deze
bijeenkomsten hebben als doel om kennis uit te wisselen en de (technisch) projectmanagers en/of
testmanagers zo van voldoende kennis te voorzien om te kunnen participeren in de testen. De Kick
off bijeenkomst is bedoeld als gezamenlijk startpunt van de Gebruikersacceptatietest.
Indien nodig, de marktpartijen blijven achter bij de invoering van het protocol TLS 1.2 dan zal medio
april nog een bijeenkomst worden georganiseerd die specifiek ingaat op uitdagingen die de
decentrale partijen ondervinden bij de invoering. Het karakter van de bijeenkomst is specifiek.
Voorlopige planning
Onderwerp Tijdstip
Voorlichting algemeen December 2015
Voorlichting specifiek April 2016
Market readiness uitvraag
De market readiness zal worden uitgevraagd door online vragenlijsten te versturen naar de
projectmanagers van de marktpartijen. De vragenlijsten worden opgemaakt in SurveyMonkey
waardoor zowel individuele resultaten als totaal resultaten worden gemonitord.
Voorlopige planning:6
Datum resultaten onderwerp
Week 43 Week 46 Actie: Aanleggen en projectmanagerslijst betrokken marktrollen en
de vraag met welk protocol de partij werkt (TLS 1.2 of TLS 1.0)
Week 46 Week 48 Market readiness (MR): Contactgegevens projectmanagers NEDU-
leden checken. Zijn de juiste personen in beeld? Toegang tot
mijnNEDU. Zijn partijen ingelezen op de documentatie.
Contactgegevens ODA-partijen via Beheer EDSN. Op basis hiervan
uitvraag.
Maandelijks
in 2016
+1week Market readiness : Een toets op de decentrale voortgang. Aan de
hand van het door tooling vastgestelde status wordt een MR
uitgestuurd naar de partijen die op dat moment nog niet over zijn
naar TLS 1.2. Partijen die over zijn naar TLS 1.2 krijgen een MR ter
bevestiging status
medio mei +1 week Market Readiness: Status Resultaten overgang TLS 1.2. Elke
marktpartij krijgt een mailing met de bevestiging dat zij TLS 1.2
gebruikt of TLS 1.0 gebruikt. Indien status niet correct is kan nog
aangegeven worden door marktpartij waarom niet. Op basis deze
uitvraag wordt advies aan ALV NEDU gegeven voor uitfaseren TLS 1.0
per 1 juni 2016.
6 Afhankelijk van de status en fase van het project worden de definitieve datums voor de uitvragen vastgesteld. Daarnaast is het mogelijk
om enquêtes toe te voegen indien noodzakelijk.
www.nedu.nl 22 - 24
7 Projectrisico’s
De volgende tabel geeft een overzicht van de tot nu toe onderkende bedreigingen ten aanzien van
het project met voorgestelde tegenmaatregelen, de kans van optreden en de mate van negatief
effect op het project (aangegeven op een schaal van 1 tot 5). De laatste kolom geeft het risico aan
(kans*effect). Op deze wijze kan gefundeerd worden afgewogen welke bedreigingen de meeste
aandacht of hulpbronnen verdienen.
Na T1 zal met het projectteam en een kleine groep stakeholders een risicoanalyse worden gehouden.
Tijdens het project wordt deze lijst voortdurend bijgehouden in een Risicologboek, met een
uitgebreidere beschrijving van de risico’s. Toevoeging van bedreigingen of andere wijzigingen
worden vermeld in het eerstvolgende Hoofdpuntenrapport.
Nr. Bedreiging Tegenmaatregel Kans Effect Risico
1 Parallel lopende Projecten:
Naast de TLS 1.2 vinden
verschillende andere projecten
parallel plaats. Hierdoor kan druk
ontstaan op middelen (mensen en
systemen). Dit vormt een risico op
de planning.
Heldere specificaties
vooraf. 4 3 12
2 Besluitvorming:
De besluitvorming binnen de sector
verloopt traag. Dit vormt een risico
op de planning en daarmee op het
behalen van 1 juni 2016 als uiterste
invoerdatum TLS 1.2.
Besluiten tijdig
voorleggen en waar
nodig/mogelijk besluiten
nemen op lager niveau in
de project organisatie en
laten toetsen.
Mogelijkheid inbouwen
om besluitvorming te
versnellen.
3 5 15
3 Onbekendheid met project:
Lage prioriteit van TLS 1.2 bij de
marktpartijen door onbekendheid
met het issue of dat de inspanningen
decentraal onderschat worden. De
inspanning verschilt per marktpartij.
Door middel van market
readiness en voorlichting
partijen market ready te
krijgen.
Verantwoordelijkheid van
het tijdig aanpassen van
systemen en software van
marktpartijen ligt buiten
scope project.
3 5 15
4 Certificatenwissel. Het project heeft
veel overeenkomst met TLS 1.2
waardoor integratie voor de hand
ligt. Het project loopt echter 2
maanden achter op TLS 1.2
waardoor het een groot
afbreukrisico is dat beide projecten 1
juni niet halen
SSR NEDU heeft al
besloten dat TLS 1.2 en
Certificatenwissel alleen
geïntegreerd kunnen
worden als het issue
Certificatenwissel is
vastgesteld. Voor ex-post
integratie moeten nieuwe
4 4 16
www.nedu.nl 23 - 24
Nr. Bedreiging Tegenmaatregel Kans Effect Risico
criteria worden
vastgesteld.
5 Partijen die niks doen. Partijen die
ondanks herhaalde oproepen geen
actie te ondernemen om over te
gaan op TLS 1.2
Door behalen
acceptatiecriteria wordt
de overgang wel definitief
maar kunnen deze
partijen voor een
beperkte set van de
systemen gebruik maken
van de webgui.
3 3 9
6 Testfaciliteit is niet gereed op 1
maart 2016 waardoor de
marktpartijen te weinig tijd heeft om
TLS 1.2 te testen aan de centrale
systemen.
Nauwe samenwerking PM
NEDU en EDSN waarin
voor elke vertraging
direct mitigerend
maatregel genomen kan
worden en
terugkoppeling naar SSR
NEDU.
2 4 8
www.nedu.nl 24 - 24
guratie- en wijzigingsbeheer (indien nodig)
Configuratiebeheer is noodzakelijk om een goed overzicht te hebben over de status van de op te
leveren (deel)producten. Activiteiten binnen configuratiebeheer zijn: - bepalen welke producten vastgelegd worden (in principe alle producten waarvoor een
productbeschrijving bestaat); - status bijhouden van producten en administreren waar zich een product bevindt en welke
versie het betreft; - regelmatig controleren van administratieve gegevens met de werkelijkheid; - overdracht eindproducten naar operationele configuratiebeheer database.
Geaccordeerde (deel)producten zijn onderworpen aan formeel wijzigingsbeheer. Dat wil zeggen dat
er geen wijzigingen meer aan deze producten mogen plaatsvinden zonder expliciete besluitvorming.
Activiteiten binnen wijzigingsbeheer zijn: - beoordelen van projectkwesties (Project Issues) die de status van aandachtspunten (Request
for Change) of afwijking van de specificaties (Off-Specification) hebben gekregen; - bepalen van de impact van projectaandachtspunten op tijd, geld, kwaliteit, scope, Business
Case en risico’s; - zo nodig initiëren van vervolgacties waarin aanpassingen gecontroleerd worden doorgevoerd.