Het conflict tussen Nederland en Frankrijk over het cybersecurity-certificeringsschema voor clouddiensten (EUCS) is afgelopen maand verder opgelopen. Tot woede van een groep kleinere landen onder leiding van Nederland probeert de regering in Parijs niet-Europese cloudleveranciers uit te sluiten van het hoogste niveau van zekerheid op gebied van cyberveiligheid.
Om voor het niveau ‘hoog’ in aanmerking te komen, moeten aanvragers van zo’n certificaat bewijzen dat geen niet-Europese actoren toegang hebben tot de data. Simpel gezegd mogen betrokken providers uitsluitend werken met Europese entiteiten en Europese medewerkers. Alleen EU-wetgeving mag op die data van toepassing zijn. Data kunnen alleen in Europese datacenters worden opgeslagen.
Volgens Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland), zijn onder druk van Frankrijk politieke thema’s in het certificeringsschema geslopen die daar absoluut niet in thuis horen. Hij vindt dat zulke grote politieke kwesties de cybersecurity-wetgeving verre te boven gaan.
Eurocommissaris Thierry Breton probeert via het EUCS, het eerste stelsel van certificaten dat onder de Europese Cybersecurity Act valt, zijn doel van Europese technische soevereiniteit door te drukken. Hij wordt in dat streven van harte ondersteund door president Macron. Ook Spanje en Italië behoren tot het Franse blok.
Impact-analyse
De voorgestelde immuniteit-bepalingen stellen partijen die gebruik maken van de clouddiensten van grote Amerikaanse spelers als AWS, Microsoft en Google voor grote problemen, aldus Steltman. ‘Ofwel komen ze niet voor de certificering in aanmerking, of ze moeten gaan investeren in ingrijpende migraties.’ De DINL-directeur vreest dat de Nederlandse markt hierdoor minder goed gaat functioneren. Daarom dringt Nederland aan op een impact-analyse. Maar Frankrijk probeert zelfs dit voorstel te saboteren, aldus Steltman.
De Europese Commissie heeft tot nog toe weinig oor voor de kritiek die met name vanuit de Online Trust Coalitie op het EUCS klinkt. Aanvankelijk leek het certificeringsprogramma dat het vertrouwen in clouddiensten moet bevorderen, vrij onschuldig uit te pakken. Volgens Simon Besteman, directeur van de Dutch Cloud Community (DCC), was het zelfs een gelopen race. Voorgesteld werden drie niveaus van veiligheid, namelijk laag, substantieel en hoog. Eerst zag het er naar uit dat cloud-aanbieders daarmee wel konden werken. Alleen voor een aantal vitale sectoren en de overheid zou ‘hoog’ absolute noodzaak worden. Maar inmiddels is het denken hierover veranderd.
Volgens Besteman zullen cloud-aanbieders die alleen maar een ‘laag’ certificaat hebben, niet meer aan de wensen van de markt voldoen. In de praktijk zullen klanten altijd voor het hoogste veiligheidsniveau kiezen, stelt hij. Met name kleinere en middelgrote cloud-aanbieders krijgen het moeilijk als de Fransen hun plannen weten door te drukken. Want anders dan in Frankrijk dat een consolidatie van de cloudmarkt nastreeft, zijn er in Nederland nog veel mkb in de cloudsector. Ook hikken de cloud-aanbieders aan tegen de hoge kosten van certificering. Besteman schat die compliance al gauw op 250.000 euro per jaar; een behoorlijke last voor kleinere partijen. Elk jaar moeten 550 controles worden uitgevoerd. Werk dat voor andere certificaten als ISO 27001 is gedaan, is niet mee te nemen naar EUCS. Je zult alles opnieuw moeten doorlopen. Dat vereist snel ten minste twee fte’s per bedrijf. Daarnaast is een auditor nodig. De certificering is nu nog vrijwillig.
Koppeling
Michiel Steltman verwacht dat straks ook een koppeling tussen de nieuwe richtlijn voor netwerk- en informatieveiligheid NIS2 en EUCS wordt gelegd. ‘De kans is reëel dat op den duur ook in kritieke sectoren als de zorg, voedingsmiddelenindustrie en energiesector een hoog EUCS-certificaat verplicht wordt.‘
Kortom, er zitten veel haken en ogen aan de Franse voorstellen die door de Europese Commissie worden gesteund. Inmiddels is ook het ministerie van Economische Zaken en Klimaat ervan doordrongen dat de sector veel schade ondervindt van de voorstellen. Ook de Nederlandse europarlementariër Bart Groothuis (VVD), rapporteur van NIS2, is tegen een politisering van het Europese certificeringsprogramma.
Volgens Steltman zijn de tegenstellingen tussen het Nederlandse blok en Frankrijk zo groot dat van een impasse kan worden gesproken. Maar uiteindelijk zullen er wel Europese certificeringen moeten komen, vindt Steltman. Want er is op dit gebied duidelijkheid nodig. Niemand zit te wachten op een oerwoud aan regels en certificaten dat ontstaat als individuele lidstaten alles zelf gaan regelen. Dat belemmert de expansie van Nederlandse bedrijven naar andere markten in Europa. Een certificaat dat toegang geeft tot de hele EU-markt moet er echt komen, besluit hij.
Zag toch iedereen aankomen dat Amerikaanse cloudaanbieders momenteel, met de Amerikaanse wetgeving, gevoelige gegevens niet voldoende afschermt. Met name tegen toegang door de Amerikaanse overheid zelf.
Patiëntgegevens, juridische gegevens, staatsgevoelige informatie, etc, dat hoort niet thuis in de Amerikaanse cloud zolang dat niet goed geregeld is. Daar wordt al heel lang door diverse partijen voor gewaarschuwd. Logisch dat je dan geen certificering ‘hoog’ krijgt.