Hoge drempels voor clouddiensten leveren niet de gewenste zekerheid over veiligheid

De Online Trust Coalitie uit zorgen aan EU en doet aanbevelingen om haar koers voor cybersecurity regulering te wijzigen

Wat staat er tegenwoordig niet in de cloud? Bijna alles wat we digitaal doen in ons dagelijks leven, maar ook grote technologieën als AI, IoT en big data ‘draaien’ op clouddiensten. Zekerheid over de betrouwbaarheid, waaronder de veiligheid van clouddiensten is dan ook essentieel. Om dat te waarborgen zet de Europese Commissie in op geharmoniseerde regulering van cybersecurity voor clouddiensten, en heeft het EU cyber security agency ENISA het mandaat gegeven om dat uit te werken. De Online Trust Coalitie (OTC) uit haar zorgen en doet aanbevelingen aan de Europese Commissie om de door ENISA ingezette koers te wijzigen. Zij is van mening dat deze koers de cloud markt niet versterkt maar juist in gevaar kan brengen. De aanbevelingen kunnen de gewenste zekerheid brengen en de Europese digitale markt versterken.

Volgens Michiel Steltman van OTC is de ingeslagen weg zorgelijk; “ENISA ontwikkelt momenteel honderden gedetailleerde regels waaraan cloud serviceproviders zullen moeten voldoen om in aanmerking te komen voor het bieden van toepassingen die een hoog niveau van zekerheid vereisen. Maar statische, gedetailleerde regels zijn ongeschikt voor clouddiensten. Clouddiensten zijn aan continue optimalisering onderhevig, denk alleen al aan de veiligheidsupdates die dagelijks plaatsvinden, die zijn niet te vatten in statische regels die in principe gemaakt zijn voor producten. Die vorm van regulering biedt afnemers en toezichthouders niet de gewenste zekerheid. Daarbij moeten cloud serviceproviders nog steeds zekerheid geven over het voldoen aan andere reguleringen, terwijl de extra kosten voor de op handen zijnde ENISA certificering jaarlijkse op minimaal €200.000,- worden geschat.’’

Digitale Europese markt in gevaar

Naast deze zorgen over regulering is bij de ontwikkeling van de ENISA-certificering ook sprake van politieke druk vanuit enkele lidstaten om soevereiniteitsbepalingen in de schema’s op te nemen, waaronder eisen voor datalokalisatie. Dit betekent concreet dat diensten waarvoor een hoge mate van zekerheid wordt vereist alleen nog vanuit datacenters en clouddiensten in de betreffende lidstaat mogen worden geleverd. Daarmee dreigen markten in andere lidstaten, ook voor Europese cloud aanbieders, onbereikbaar te worden. En wordt het gebruik van diensten van niet Europese spelers de-facto uitgesloten. Vooruitlopend op deze EU regels heeft recent Frankrijk ook eigen gedetailleerde eisen en certificeringen ontwikkeld voor cloud services, waarbij de zorg bestaat dat die met de invoering van de Europese regels ook in stand zullen blijven.

Risk-based benadering de oplossing

De oplossing ligt volgens de OTC bij het hanteren van een meer gebruikelijke aanpak in de Cloud markt: die van risk-based benadering van cybersecurity, en inzet op Europese harmonisatie standaardisatie van IT audit methoden en audit rapportages. Een aanpak die ruimte laat voor innovaties en providers meer vrijheden geeft om risico’s naar eigen inzicht te beheersen, en ook beter aansluit bij andere, bestaande, reguleringen, zoals GDPR en DORA.

Ook roept de OTC de EU op om er op toe te zien dat Europese lidstaten geen eigen regels en beperkingen invoeren die de doelen van de Europese eengemaakte digitale markt in de weg kunnen staan. De OTC heeft deze oplossingen beschreven in een position paper, dat maandag 29 november is aangeboden aan het Europees Parlement, de Europese Commissie en ENISA.

Lees hier het Position Paper

Over de OTC

De Online Trust Coalitie staat voor een brede beschikbaarheid van eenduidige, efficiënte en toegankelijke methoden waarmee Cloud Service Providers (CSP’s) de betrouwbaarheid, conformiteit en veiligheid van hun diensten kunnen bewijzen. En waarmee cloud consumenten, d.w.z. gebruikers of klanten van een clouddienst en andere belanghebbenden de zekerheden krijgen die zij nodig hebben. De missie van OTC is het ontwikkelen en bevorderen van methoden en standaarden voor assurance, oftewel de wijze waarop vertrouwen wordt geboden, gevraagd, verstrekt en onderbouwd.

De Online Trust Coalitie (OTC) is een publiekprivate samenwerking bestaande uit organisaties vanuit de overheid, het bedrijfsleven, de wetenschap, de samenleving en NGO’s en is een initiatief van het ministerie van Economische Zaken en Klimaat.

Deel pagina met

Deelnemer worden van de Online Trust Coalitie?

Werk mee aan het vormgeven van methoden waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn en die het validatieproces van de afnemers ondersteunen.