Afgelopen week sprak Michiel Steltman (directeur DINL) in het Financieele Dagblad (FD) over de koers van de Europese Commissie en ENISA (Europees Agentschap voor netwerk- en informatiebeveiliging) met betrekking tot de regulering van de cyber security voor clouddiensten. In het artikel roept Steltman beide partijen op om het plan dat er nu ligt te wijzigen, omdat dit plan onder andere leidt tot enorme overheadkosten voor cloudproviders.
Gedetailleerde EU-regels ongeschikt voor clouddiensten
Het eerst punt van zorg richt zich op de koers die het Europese Cyber Security Agency (ENISA) inzet voor certificering van cloud services. Met haar mandaat vanuit de Cyber Security Act (CSA) ontwikkelt ENISA het EU Cloud Services Schema (EUCS). Dat omvat honderden gedetailleerde regels waaraan cloud service providers zullen moeten voldoen om in aanmerking te komen voor levering binnen toepassingen, die een hoog niveau van zekerheid vereisen. De ondertekenaars van de brief laten weten dat “zo’n aanpak met statische, gedetailleerde regels ongeschikt voor clouddiensten, omdat die juist continue veranderen.”
Verder geven ze aan dat Europese cloud service providers, naast de nieuwe ENISA-regels, ook te maken met reguleringen zoals GDPR en DORA. Die vereisen andere vormen van zekerheid, zoals audits op de effectiviteit van security maatregelen. Verder schatten de cloud service providers, die het EUCS hebben geëvalueerd, de jaarlijkse kosten voor certificering op minstens € 200.000,-.
Europese druk data-lokalisatie
Ook blijkt uit de brief dat er bij de ontwikkeling van de ENISA-certificering sprake is van forse politieke druk vanuit enkele lidstaten om ook eisen omtrent data-lokalisatie in de regels op te nemen. De consequentie is dat diensten waarvoor een hoge mate van zekerheid wordt vereist, alleen nog vanuit datacenters en clouddiensten in de betreffende lidstaat mogen worden geleverd. Daarbij wordt ook gebruik van de diensten van niet-Europese spelers uitgesloten, stellen ze.
Het gevolg is dat de geschetste ontwikkelingen leiden tot enorme overhead en kosten voor cloud service providers, zonder dat er voor afnemers en toezichthouders daadwerkelijk meer zekerheid over de veiligheid van clouddiensten ontstaat. Daarnaast werpen de regels in de praktijk zulke hoge drempels op dat de markten in andere lidstaten ook voor Europese cloud aanbieders onbereikbaar dreigen te worden.
Wegnemen drempels van clouddiensten binnen EU
Er wordt daarom door de initiatiefnemers een beroep gedaan op de Europese Commissie en het ENISA om integraal te kiezen voor een risk-based benadering van cyber security, die ruimte laat voor innovaties, en providers meer vrijheden geeft om risico’s naar eigen inzicht te beheersen zodat deze aansluiten bij andere reguleringen zoals GDPR en DORA. Verder wordt betoogd dat de EU en ENISA eerst politieke oplossingen uit moeten werken voor soevereiniteits-en autonomie problemen, voordat men specifieke gedetailleerde regels wil invoeren die forse impact hebben op de markt en internationale politieke verhoudingen.
Daarnaast wordt de EU verzocht om de drempels voor het leveren van clouddiensten binnen de EU weg te nemen. Hierbij moeten lidstaten opgeroepen worden om geen eigen regels en beperkingen in te voeren die de doelen van de Europese digitale markt in de weg staan. De bezorgde partijen uit de sector die zich achter de brief scharen willen daarom graag zo snel mogelijk met de Europese Commisie en ENISA in gesprek, zodat mogelijke afbraak bij cloud service providers – als gevolg van het huidige voorstel – wordt voorkomen.
