Volledige cloudsoevereiniteit is moeilijk te realiseren. Bovendien is het geen wettelijke norm. Twee instanties, – de Nederlandse Rijksinspectie Digitale Infrastructuur en de Duitse BSI – laten hier in recente publicaties hun licht over schijnen.
Rijksinspectie Digitale Infrastructuur (RDI)
De Rijksinspectie Digitale Infrastructuur (RDI) stelt in een paper dat digitale weerbaarheid via de Cyberbeveiligingswet het echte doel moet zijn, niet Europese of nationale cloudsoevereiniteit. Organisaties moeten vooral digitale autonomie bereiken: grip op hun afhankelijkheden, data, processen en continuïteit.
De herkomst van de cloudleverancier is minder relevant dan de mate van regie, vindt de RDI. Een niet‑Europese cloud kan acceptabel zijn als risico’s beheerst zijn; een Nederlandse cloud kan onacceptabel zijn als grip ontbreekt. Zo stelt de Rijksinpectie, die sinds dit jaar toezicht houdt op de Cyberbeveiligingswet. Deze implementatie van NIS2 verplicht organisaties om grip te hebben op hun digitale afhankelijkheden.
Volgens de RDI moet de digitale autonomie centraal staan:
• Heeft de organisatie zelf regie op welke clouddiensten op welke wijze worden ingezet en met welk doel;
• En op welke wijze worden de risico’s beheerd.
De inspectie noemt drie thema’s uit de Cyberbeveiligingswet die extra relevant zijn bij het gebruik van clouddiensten:
1. Risicoanalyse en beveiliging van informatiesystemen;
2. Beveiliging van de toeleveranciersketen;
3. Effectiviteit van beleid en procedures.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Ook in Duitsland trekt de autonomie van de cloud veel aandacht. Het Duitse federale bureau voor informatiebeveiliging (BSI) heeft criteria gepubliceerd om de soevereiniteit van clouddiensten te beoordelen. Dat helpt met name beheerders van kritieke infrastructuur en diensten. Want voor hen is het lastig een oordeel te vormen over oplossingen van niet-Europese cloudproviders.
Het BSI stelt dat op dit gebied veel beloftes worden gedaan, maar dat de criteria vaak onduidelijk zijn. ‘Is een cloudoplossing soeverein als deze technisch veilig binnen de EU wordt beheerd? Of onafhankelijk is van de infrastructuur van een Amerikaans bedrijf?’ Volgens het BSI is technische it-beveiliging één ding, maar technische soevereiniteit is niet altijd een perfect op elkaar afgestemde reeks vereisten.
Veel discussie is er over de dreiging dat leveranciers permanent toegang kunnen houden tot de systemen en gegevens van hun klanten. Dit roept de vraag op naar digitale soevereiniteit, met name als het gaat om clouddiensten.
Met de C3A (Criteria enabling Cloud Computing Autonomy) heeft het BSI een actiekader gepresenteerd dat de soevereiniteitskenmerken van clouddiensten transparant maakt. De C3A-criteriacatalogus biedt transparantie, richtlijnen en de mogelijkheid om clouddiensten te selecteren op basis van criteria die relevant zijn voor de specifieke toepassing. De C3A dienen als leidraad voor actie en creëren transparantie, maar hebben geen wettelijke werking.
De C3A kunnen worden gebruikt door zowel cloudproviders als cloudklanten. Cloudproviders kunnen via een audit aantonen dat ze aan de criteria voldoen. Cloudklanten kunnen het raamwerk gebruiken om de vereisten voor hun eigen gebruikssituatie te identificeren en zo hun gewenste mate van soevereiniteit te bepalen. Het BSI zal in een volgende stap een richtlijn voor C3A-audits publiceren.
