Er gebeurt nogal wat in Europa op het gebied van digitale transformatie en zoals dat hoort treden allerlei processen in werking om hier als samenleving goed mee om te kunnen gaan. Denk aan vraagstukken over een open en transparante economie, onze soevereiniteit en vrije marktwerking, inclusief de nodige regelgeving.
Vanuit de Online Trust Coalitie volgen wij de ontwikkelingen op de voet, vooral omdat de CSA1 ook de oprichting van een Europees cybersecurity certificeringssysteem (EUCS) beoogt. Dit schema gaat een gemeenschappelijk kader bieden voor de evaluatie en certificering van de cybersecurity van ICT-producten en diensten. Deze schema’s worden ontwikkeld door de European Cybersecurity Certification Group (ECCG), en de Europese Unie Agencie for Cybersecurity (ENISA) biedt de technische en wetenschappelijke ondersteuning die nodig is voor de ontwikkeling van deze schema’s2.
Zoals gezegd gaan deze cybersecurity-certificeringskaders een gestandaardiseerde aanpak bieden voor cybersecuritybeoordeling en -certificering. Als het goed is zal dit de cybersecurity in het algemeen verbeteren, het vertrouwen van consumenten vergroten, de handel vergemakkelijken en garanties bieden dat cybersecuritymaatregelen zijn genomen. Precies daar ligt de overlap met het werkveld van de Online Trust Coalitie. Wij willen immers een eenduidige, efficiënte methode beschikbaar maken waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn.
De ontwikkeling van het EUC-schema is begin 2020 gestart en een eerste concept is in december 2020 voor publieke consultatie aangeboden. Na de publieke consultatie is het in het schema opgenomen normenkader ingrijpend herzien en zijn het normenkader en de methodologie voor de conformiteitsbeoordeling door ENISA ter beoordeling aan CEN (European Committe for Standardization) en CENELEC voorgelegd. Los hiervan heeft ENISA in opdracht van de Europese Commissie een bijlage aan het schema toegevoegd. Deze bijlage bevat een vijftal aanvullende bepalingen die clouddiensten -die tegen assurance level “High” gecertificeerd worden- moeten beschermen tegen de invloed van niet-Europese regelgeving. Dit zijn de zogenoemde INL-criteria: Immunity for Non-EU Law.
Over deze INL-criteria worden momenteel stevige gesprekken gevoerd vanwege de implicaties op de marktwerking in de landen van de Europese Unie. Vaak wordt in dit kader de vergelijking gemaakt met de implementatie van de AVG, waar bedrijven en organisaties in de beleving vrij plotseling voor voldongenen feiten werden geplaatst. De vraag in het kader van de EUCS is nu in hoeverre het haalbaar is om de controle en het eigenaarschap -de soevereniteit dus- van clouddiensten al op korte termijn in Europa te plaatsen en welk controlesysteem hiervoor nodig is. De visie hierop gaat de komende periode vanuit Europa gedefinieerd worden.
Na de ENISA -meeting eind mei verwachten wij meer informatie hierover te kunnen geven. Vandaar ook dat wij 30 mei een webinar organiseren rond het onderwerp. Meld je vooral aan, als je dit nog niet gedaan hebt. Aanmelden kan via deze link.
In aanloop naar de FIC heeft Bart Groothuis een videoboodschap ingesproken over dit onderwerp. Bekijk die video via deze link
Ondertussen nemen we je graag mee in recente publicaties over de EUCS- met eigen interpretaties – die interessant zouden kunnen zijn: