Nederland en België worden relatief het zwaarst getroffen als bedrijven voor ‘mission critical data’ en essentiële systemen straks geen gebruik meer mogen maken van Amerikaanse cloudleveranciers. Het bruto nationaal product van Nederland daalt hierdoor met 5,8 procent, terwijl dat van België 5,4 procent daalt. Ook Denemarken, Ierland en Zweden zien als kleinere landen met een hoge mate van digitalisering hun economische output fors omlaag gaan.
Dit blijkt uit een analyse die het European Centre for International Political Economy (Ecipe) heeft gemaakt van de impact van de EU-plannen om uit veiligheidsoverwegingen de toegang tot bepaalde clouddiensten aan banden te leggen. Met name bedrijven die onder de nieuwe NIS2-richtlijn als ‘essentieel’ of ‘belangrijk’ worden gezien, zullen zich dan tot Europese cloudaanbieders moeten wenden.
Volgens Michiel Steltman, directeur Stichting DINL (digitale infrastructuur), komt dit plan duidelijk uit de Franse koker. Hij zegt dat de noodzaak tot meer soevereiniteit ook in Nederland breed wordt onderschreven, maar niet op deze manier. DINL is een samenwerking van en spreekbuis voor de partijen in de Nederlandse digitale infrastructuur.
Belangenbehartigers uit de branche zijn van mening dat onder leiding van eurocommissaris Thierry Breton politieke spelletjes worden gespeeld. Breton leidde van 2009 tot 2019 Atos. Bekend is dat hij veel te laat het belang van de cloud inzag waardoor Atos in de problemen raakte.
Steltman is behoorlijk geschrokken van de Ecipe-analyse. Als de EU-plannen doorgaan, wordt de toegang van Europa tot geavanceerde technologie en innovatie die toch vooral uit de Verenigde Staten komt, aanzienlijk beperkt.
Schade
Nog niet zeker is waartoe de EU uiteindelijk besluit. Ecipe ontwikkelde hiertoe drie scenario’s. Zelfs bij een ‘lichte versie’ waarin alleen een klein aantal sectoren en zeer kritische ‘use cases’ van Amerikaanse cloudleveranciers worden uitgesloten, is de schade aanzienlijk. Afhankelijk van het scenario wordt het jaarlijkse verlies van het bruto nationaal product geraamd op 29 miljard tot 610 miljard euro.
De EU ontwikkelt een EU Cloud Scheme (EUCS), een cybersecurity-raamwerk voor clouddiensten. De verwachting is dat vanuit NIS2 EUCS certificering impliciet (vanwege ketens) of expliciet verplicht zal worden.
Steltman: ‘Het European Union Agency for Cybersecurity – Enisa – wil via pre-certificeringseisen immuniteit voor non-EU wetgeving garanderen. Dat betekent dat clouds waarin niet-Europese diensten, zoals datacenters en iaas, zijn verwerkt in het strengste EUCS-niveau, niet in aanmerking komen voor certificering. Dat komt omdat eerst moet worden bewezen dat er op geen enkele manier non-EU control mogelijk is. En dat bewijs uit het ongerijmde kan volgens toezichthouders en auditors niet of zeer moeilijk worden geleverd.’
Verzet tegen Franse route
Volgens Steltman heeft vooral ‘Parijs’ zich ingespannen om de beperkingen die vooral de grote Amerikaanse cloudbedrijven treffen, het cybersecurity raamwerk voor clouddiensten ‘in te fietsen’. De EU ‘verkoopt’ deze restricties als vrijwillig. Maar onvermeld blijft dat de Europese Commissie via een algemene maatregel van bestuur het EU Cloud Scheme (EUCS) met één hamerslag verplicht kan stellen.
Europarlementariër Bart Groothuis (VVD) doorziet het Franse spel, dat de economie van Europa met honderden miljarden kan schaden. Hij vindt dat de Europese Commissie hiermee ver buiten zijn bevoegdheden treedt. Groothuis heeft daarom enkele amendementen ingediend op de Cybersecurity Act (CSA) die de macht van de Commissie op dit gebied inperken. Ook de Nederlandse regering verzet zich tegen de ‘Franse route’.
Volgens Steltman moeten Thierry Breton en zijn medestanders afstappen van hun geloof in de zero-sum game: dat je met strenge regulering en weren van sommige spelers het marktaandeel van andere spelers kunt vergroten. Hij noemt daarbij geen namen. Maar als Microsoft Azure, AWS en Google Cloud bepaalde klanten niet meer kunnen bedienen, zullen op grote schaal Europese datacenters moeten worden bijgebouwd met alle gevolgen voor het energieverbruik. Ook speelt het Europese cloudspelers zoals OVHcloud in de kaart.
Steltman: ‘Beter is het om de energie te richten op de kansenkant: het succesvol maken van projecten als Gaia-X, het helpen van EU-aanbieders om meer schaal te krijgen, en het vergroten van awareness aan de vraagkant. Want als cio’s en overheden minder vanzelfsprekend voor non-EU diensten hadden gekozen dan hadden we dit hele probleem niet gehad.’
Steggelen over Nationaal belang bijv OVHcloud vs Europees belang bij Gaia-X. Beperkingen infietsen..
En ondertussen massaal naar de Amerkaanse hyperscalers..
Ook bijzonder argument over het energieverbruik. Je wilt je data in Europa houden maar de datacenters niet 😉
En die “innovatie die toch vooral uit de Verenigde Staten” zou moeten komen.
Visie ?
Volgens mij hebben de 3 major cloud providers inmiddels ook EU entiteiten zodat dit geneuzel helemaal niet nodig is. If you can’t beat them…. Join them….
Je kunt dan NU instappen, je tijd en geld niet verstoken aan allerlei onderzoeken, ontwikkeling van zaken die er al lang zijn. Bij AWS geld: what happens in the region, stays in the region. ALLES blijft op de plek waar jij zegt waar het moet staan.
De Europese Unie is compleet geschift en begint zich tegenwoordig met bullshit bezig te houden die het geen zak aan gaat.en dat alles over de rug van iedere Europese burger
Ik begin me af te vragen waar de loyaliteit van een lobbyist ligt als verhuizing van eigen servers vanuit de MER naar één van de datacenter in Nederland innovatief is. Want PUE ligt door efficiëntie in de koeling lager terwijl data portabiliteit hoger en goedkoper is. Je bent vrij om te gaan maar door de verhuiskosten (egress cost) wordt je economisch gegijzeld. Belangenbehartigers uit de branche die de Nederlandse belangen aan de hoogste bieder verkopen moeten eerst nog eens de geschiedenis bekijken.
Politieke spelletjes van Veel Vergeten Data (VVD) partij met voorspellingen over het BNP zijn dan ook weinig geloofwaardig doordat de tertaire sector conjunctuurgevoelig is. Mocht Michiel Steltman eerdere reactie over een data escrow vergeten zijn, voor het MKB is bedrijfsadministratie mission critical terwijl toegankelijkheid nog weleens onzeker is door de ’trias politica’ van uitbestedingen. Risico’s in de toeleveringsketen zorgen ervoor dat terugkeer van mission critical data al enige tijd gaande is.
‘If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security’ – Caspar Bowden
Non-EU control is oppermachtig in de toeleveringsketens als we kijken naar een te grote afhankelijkheid van Amerikaanse Big Tech. Dit werd al pijnlijk duidelijk in 2014 maar desondanks werd er nauwelijks over gestapt op open source, voormijn ook niet de heilige graal als het om de intellectuele rechten gaat maar wel perfect voor reversed engineering. Want beter goed gejat dan slecht bedacht zijn we achterop geraakt in de digitale transformatie door gemakszucht.
Het stimuleren van Europese Cloud infrastructuur en bewustwording lijkt een veelbelovende benadering te zijn om de uitdagingen van de EU-plannen aan te pakken. Dit vraagt om visie, collectieve inzet en verantwoordelijkheid, in Europees verband. Kan Europa dat wel? Deze vraag zou centraal moeten staan, en tot die tijd heeft Europa geen alternatief in de snel groeiende digitale wereldeconomie.
Wat is een Europese cloud infrastructuur Jan-Paul? We hebben in Nederland een prima digitale delta voor een multi- of hybride cloud strategie alleen missen we een overkoepelende goverance om het breiwerk efficiënt te laten functioneren. Eén Europese Economische Ruimte gaat al scheef op belastingen als we kijken naar de nationale belangen van staatskisten die zich niet vanzelf vullen. De Franse route hierin lijkt me meer te bieden dan Steltman c.s. beloven doordat illusie dat geavanceerde technologie en innovatie vooral uit de Verenigde Staten komt misplaatst is.
Scorebord laat zien dat Amerika op de vijfde plaats staat, zeker als het gaat om innovatie in de digitale infrastructuur. Politieke spelletjes en economische regels spelen belangenbehartigers teveel op de man, de ‘mission critical data’ van een Europese industrie gaat om IoT. De visie van Steltman c.s. gaat om een status quo uit de vorige eeuw want de cloud gaat om het netwerk, niet de datacentra.