Stichting DINL (digitale infrastructuur) is bij monde van directeur Michiel Steltman blij dat de Europese Commissie de eis heeft laten vallen dat alleen cloudleveranciers die onafhankelijk zijn van niet-EU-wetgeving contracten mogen afsluiten met overheden en bedrijven uit de vitale sector.
Het opwerpen van hindernissen of zelfs uitsluiten van Amerikaanse cloud-aanbieders zou veel geld kosten en Europa afsnijden van de laatste technologie. Na scherpe protesten van Europese bedrijven en instellingen heeft de Commissie een nieuwe, meer soepele versie van het European Cybersecurity Scheme (EUCS) opgesteld.
Zo vervalt de eis dat Amerikaanse technologiegiganten een joint venture moeten opzetten met een in de EU gevestigd bedrijf en klantgegevens in de EU moeten opslaan en verwerken om in aanmerking te komen voor het EU-label voor cyberbeveiliging. Cloudleveranciers zijn alleen nog verplicht informatie te verstrekken over de locatie van de opslag en verwerking van de gegevens van hun klanten en over toepasselijke wetgeving.
Tot geruststelling van DINL gaat het laatste voorstel van de Commissie weer strikt over security. Het toevoegen van politieke en juridische eisen, zoals Brussel eerst beoogde, zou het EUCS-label schaden. Steltman merkt op dat de noodzaak tot meer soevereiniteit ook in Nederland breed wordt onderschreven, maar niet op de manier die de Europese Commissie eerst voor ogen had. Steltman: ‘Ook cloudbedrijven die hun security op orde hebben, zouden het label dan toch niet kunnen krijgen.’
De Commissie heeft zich de kritiek van Europese banken, clearing-instellingen, verzekeraars en een aantal startups aangetrokken. Het plan om via pre-certificeringseisen immuniteit voor non-EU wetgeving te garanderen zou met name voor Nederland en België enorme kosten met zich meebrengen. Het European Centre for International Political Economy (Ecipe) berekende dat beide landen relatief het zwaarst worden getroffen als bedrijven voor ‘mission critical data’ en essentiële systemen geen gebruik meer mogen maken van Amerikaanse cloudleveranciers. Het bruto nationaal product van Nederland zou hierdoor met 5,8 procent dalen, terwijl dat van België met 5,4 procent achteruit gaat.
Overheden en bedrijven uit de vitale sector mogen hun data lekker “soepel” 😛 ergens opslaan.
Viel in dit theater steeds vaker te lezen dat de CISO toch een c-level
rol zou moeten hebben omdat security over alle niveaus gaat..
Maar nu dan het EUCS-label depolitiseren.
Alsof je trouwens wetgeving en politiek los kan koppelen van security …
Het woord depolitiseren doet me denken aan de “politionele acties” van Nederland in Indonesie.
Als we het nou zo noemen klinkt het niet zo erg 😉
“Toepasselijke wetgeving” in het land waar Trump de hoogste rechters voordraagt.
Voor, tijdens en na zijn oproep om capitool te bestormen.
Die omslag van EC lijkt toch een “Wir haben es nicht gewußt” ingreep mbt het niet zien aankomen van risicos en kosten van private data opslag.
En kosten zijn erg belangrijk geziens Trumps uitspraak : “val NAVO-landen maar aan als ze niet betalen”
America first, privacy last.