Wat staat er tegenwoordig niet in de cloud? Bijna alles wat we digitaal doen in ons dagelijks leven, maar ook grote technologieën als AI, IoT en big data ‘draaien’ op clouddiensten. Zekerheid over de betrouwbaarheid, waaronder de veiligheid van clouddiensten is dan ook essentieel. Om dat te waarborgen zet de Europese Commissie in op geharmoniseerde regulering van cybersecurity voor clouddiensten, en heeft het EU cyber security agency ENISA het mandaat gegeven om dat uit te werken. De Online Trust Coalitie (OTC) uit haar zorgen en doet aanbevelingen aan de Europese Commissie om de door ENISA ingezette koers te wijzigen. Zij is van mening dat deze koers de cloud markt niet versterkt maar juist in gevaar kan brengen. De aanbevelingen kunnen de gewenste zekerheid brengen en de Europese digitale markt versterken.
Volgens Michiel Steltman van OTC is de ingeslagen weg zorgelijk; “ENISA ontwikkelt momenteel honderden gedetailleerde regels waaraan cloud serviceproviders zullen moeten voldoen om in aanmerking te komen voor het bieden van toepassingen die een hoog niveau van zekerheid vereisen. Maar statische, gedetailleerde regels zijn ongeschikt voor clouddiensten. Clouddiensten zijn aan continue optimalisering onderhevig, denk alleen al aan de veiligheidsupdates die dagelijks plaatsvinden, die zijn niet te vatten in statische regels die in principe gemaakt zijn voor producten. Die vorm van regulering biedt afnemers en toezichthouders niet de gewenste zekerheid. Daarbij moeten cloud serviceproviders nog steeds zekerheid geven over het voldoen aan andere reguleringen, terwijl de extra kosten voor de op handen zijnde ENISA certificering jaarlijkse op minimaal €200.000,- worden geschat.’’
Digitale Europese markt in gevaar
Naast deze zorgen over regulering is bij de ontwikkeling van de ENISA-certificering ook sprake van politieke druk vanuit enkele lidstaten om soevereiniteitsbepalingen in de schema’s op te nemen, waaronder eisen voor datalokalisatie. Dit betekent concreet dat diensten waarvoor een hoge mate van zekerheid wordt vereist alleen nog vanuit datacenters en clouddiensten in de betreffende lidstaat mogen worden geleverd. Daarmee dreigen markten in andere lidstaten, ook voor Europese cloud aanbieders, onbereikbaar te worden. En wordt het gebruik van diensten van niet Europese spelers de-facto uitgesloten. Vooruitlopend op deze EU-regels heeft recent Frankrijk ook eigen gedetailleerde eisen en certificeringen ontwikkeld voor cloud services, waarbij de zorg bestaat dat die met de invoering van de Europese regels ook in stand zullen blijven.
Risk-based benadering de oplossing
De oplossing ligt volgens de OTC bij het hanteren van een meer gebruikelijke aanpak in de Cloud markt: die van risk-based benadering van cybersecurity, en inzet op Europese harmonisatie standaardisatie van IT-audit methoden en audit rapportages. Een aanpak die ruimte laat voor innovaties en providers meer vrijheden geeft om risico’s naar eigen inzicht te beheersen, en ook beter aansluit bij andere, bestaande, reguleringen, zoals GDPR en DORA.
Ook roept de OTC de EU op om erop toe te zien dat Europese lidstaten geen eigen regels en beperkingen invoeren die de doelen van de Europese eengemaakte digitale markt in de weg kunnen staan. De OTC heeft deze oplossingen beschreven in een position paper, dat maandag 29 november is aangeboden aan het Europees Parlement, de Europese Commissie en ENISA.
Lees hier het Position Paper