Onderzoek naar potentiële impact van PUA-Criteria uit de EUCS op de Nederlandse Cloudmarkt
De OTC heeft in het voorjaar van 2023 een rapport uitgebracht op verzoek van het Ministerie van Economische Zaken en Klimaat. De OTC houdt zich al langere tijd bezig met de ontwikkelingen rondom de European Cybersecurity Certification Scheme for Cloud Services. Afgelopen maand is er een Briefingpaper over de soevereiniteitsbepalingen rondgestuurd naar deelnemers van de OTC. In 2022 vroeg het Ministerie EZK daarom al aan de OTC om een onderzoek te starten naar de verwachtte effecten van Bijlage J uit de EUCS. Dit rapport is nu ook publiek toegankelijk.
Bijlage J
In deze bijlage werden de zogenaamde ‘INL-bepalingen’ omschreven (Immunity for Non-EU Law). Later werden die hernoemd naar de ‘PUA-Criteria’ (Protection of European Data against unlawful access). Deze bepalingen/criteria beschrijven extra vereisten om Clouddiensten van het hoogste Assurance Level te beschermen tegen onwettige (niet in overeenkomst met EU-wetgeving) toegang. In deze hoedanigheid zullen de criteria naar verwachting een significante impact hebben op de Europese markt voor Cloud Services, doordat Cloudproviders van buiten de EU eigenlijk uit de markt voor EU Clouddiensten geweerd worden. Daarnaast zal ook de impact op EU Cloudproviders die niet-EU diensten afnemen groot zijn.
Non-Paper
De Nederlandse overheid ziet de toevoeging van deze PUA-Criteria als politieke disussie die een Economisch Impact Assessment vereist. Dit perspectief is gepubliceerd in een Non-Paper, wat is ondertekend door een aantal andere lidstaten. Voorlopig ziet de Europese Commissie de noodzaak van een Economisch Impact Assessment nog niet en daarom is de OTC gevraagd om een onderzoek te verrichten onder Nederlandse proffesionele gebruikers en providers van Clouddiensten. Het doel van dit onderzoek is om in te schatten of er een grote impact verwacht kan worden van de PUA-Criteria.
Survey
In 2022 is het onderzoek gestart met interviews onder Clouddienstproviders en in 2023 is het onderzoek afgerond na interviews met Clouddienstgebruikers. Parallel aan dit onderzoek is door de Autoriteit Consument & Markt een rapport geubliceerd. Dit rapport (“Market study into cloud services”) is ook opgenomen in het onderzoek van de OTC.
Lees de volledige “Survey of the potential impact of PUA/INL criteria in the EUCS on the Dutch Cloud market” via deze link
