De nieuwe regels die de EU binnenkort wil invoeren om het Europese internet veilig te houden, hebben te grote gevolgen voor aanbieders van cloud- en onlinediensten. Reeds bestaande certificeringen zijn waarschijnlijk niet voldoende en nieuwe audits gaan zoveel geld en tijd kosten, dat veel bedrijven uit de sector de toegang tot belangrijke markten wordt ontzegd. Belangenorganisaties Dutch Cloud Community (DCC) en stichting Digitale Infrastructuur Nederland (DINL) vinden dat het anders moet.
DCC en DINL zijn kritisch over het zogeheten European Cybersecurity Certification Scheme for Cloud Services (EUCS), een nieuw Europees raamwerk en certificering voor clouddiensten. EUCS wordt in de komende maanden vastgesteld.
Hoewel de certificeringen waarschijnlijk vrijwillig zijn, verwachten de belangenorganisaties dat voor bepaalde toepassingen en marktpartijen alsnog een verplichting ontstaat zodra een andere nieuwe richtlijn wordt ingevoerd: de NIS2. De eerste versie van deze Network and Information Security Directive is in Nederland al actief onder de naam Wet Beveiliging Netwerk- en Informatiesystemen (WBNI).
Geen andere keuze
De certificering van EUCS gaat plaatsvinden volgens drie levels: Basic, Substantial en High. De belangenorganisaties verwachten dat vooral cloudbedrijven met klanten in kwetsbare sectoren geen andere keuze hebben dan zich te certificeren voor level High. Dat niveau telt 575 controlepunten, waaronder bepalingen die zich richten op soevereiniteit en uitsluiting van niet-EU-personeel. De certificering geldt niet alleen voor hostingpartijen, cloud service providers (csp) en saas-aanbieders, maar ook voor hun toeleveranciers en ketenpartners met toegang tot de systemen.
Wat volgens de DCC en DINL ook niet helpt, is dat bedrijven hun huidige certificeringen en audits niet mogen hergebruiken om te voldoen aan het nieuwe EUCS. Toezichthouder Agentschap Telecom, belast met de uitvoering van de nieuwe certificering, kan dergelijke rapporten dus niet gebruiken. Het gevolg is dat partijen er jaarlijks een tijdrovende en kostbare audit bij krijgen. Huidige certificeringen zullen meestal nodig blijven, om te voldoen aan wensen uit de markt en aan eisen van andere toezichthouders, zoals die in de zorg en in de financiële wereld.
Pragmatisch
‘Dit moet anders en beter, want het slaat door’, schrijft DCC-directeur Simon Besteman in een blog mede namens DINL. Samen met het ministerie van Economische Zaken, de Online Trust Coalitie (OTC) en het Agentschap Telecom (AT) proberen de belangenorganisaties het EUCS ‘zo pragmatisch mogelijk vorm te geven, om zo het werk niet onmogelijk te maken voor de mkb-bedrijven uit de branche’, aldus de directeur.
De belangenpartijen hebben hun zorgen kenbaar gemaakt bij Enisa, het Europese agentschap voor cybersecurity. Enisa heeft het EUCS ontwikkeld naar aanleiding van de Cybersecurity Act (CSA) die het Europees Parlement in 2019 aannam. Volgens Besteman pleiten de partijen voor afzwakking van de soevereiniteitseisen, voor harmonisering en het herbruikbaar maken van bepaalde audits volgens standaard normenkaders.
De verwachting is dat het nieuwe raamwerk en de certificering voor clouddiensten rond 2024 worden uitgerold.
Nu moeten de cloud-providers opeens laten zien dat ze betrouwbaar zijn en daar hebben ze problemen mee? Omdat het ze geld en moeite gaan kosten?
Omdat opeens de klant, de veiligheid van de gegevens en de omgeving belangrijk zijn?
Eh… is dit misschien een indicatie van een vigerende cowboycultuur in die sector? Snelle jongens, effe snel centen opstrijken om vervolgens onder luid gekakel in een grote stofwolk met zakken vol geld met de noorderlicht te verdwijnen?
Waarom zien deze cloudproviders dit niet als een kans om op kwaliteit en betrouwbaarheid te concurreren? Ja, het kost geld, maar als de klant veiligheid hoog op de lijst van eisen heeft staan, zal dezelfde klant er ook geld voor over moeten hebben.