Onrust over nieuwe EU-certificering clouddiensten

Dit artikel delen:

Amerikaanse cloudgiganten zijn boos over de voorlopige versie van een Europese certificering voor clouddiensten. Volgens die opzet, waaraan een nieuwe categorie is toegevoegd, kunnen ze namelijk niet voldoen aan de allerhoogste norm omdat die bedrijven een hoofdkantoor buiten de EU hebben. Daardoor voldoen ze niet aan de aangescherpte eisen voor data-soevereiniteit.

Dat Europees certificeringsprogramma voor clouddiensten wordt ontwikkeld als onderdeel van de nieuwe Europese Cloud Act. Op dit moment is die certificering niet verplicht, maar met het aanscherpen van Europese ict-beveiligingsregels (NIS2) gaat deze op termijn mogelijk wel verplicht worden voor het leveren van clouddiensten aan bedrijven en organisaties in vitale sectoren.

In die nieuwe versie voor de EU-certificering voor clouddiensten is een nieuwe sub-categorie opgenomen voor het hoogste vertrouwelijkheidsniveau. Er waren al drie niveaus: ‘basis’, ‘substantieel’ en ‘hoog’. Daar is in het voorstel ‘hoog+’ bijgekomen. Die categorie stelt de hoogste eisen aan data-soevereiniteit. Leveranciers van clouddiensten met een hoofdkantoor buiten de EU zijn uitgesloten van die certificering.

Het belangrijkste verschil tussen de niveaus ‘hoog’ en ‘hoog+’ betreft de juridische controle op de leverancier van clouddiensten. 'Hoog+' vereist dat de clouddienst alleen wordt beheerd door bedrijven die in de EU zijn gevestigd, waarbij geen enkele entiteit van buiten de EU effectieve controle heeft over clouddienstverlener. Het is in het leven groepen om het risico te verkleinen dat ‘bevoegdheden van buiten de EU de EU-regels -normen en -waarden ondermijnen’.

Invloed

Naast dat het hoofdkantoor van het cloudbedrijf in een EU-land gevestigd moet zijn, mag de aanbieder van clouddiensten niet direct of indirect onderworpen zijn aan de ‘effectieve controle’ van buitenlandse bedrijven. Dat verwijst naar bedrijven die internationaal op een manier verweven zijn waardoor rechten, contracten of andere middelen direct of indirect een beslissende invloed hebben op de bedrijfsvoering.

Computable sprak onlangs met een betrokkene van een grote Amerikaanse clouddienstverlener die betrokken is bij Enisa, het Europees Agentschap voor netwerk- en informatiebeveiliging. Hij vertelde dat grote techspelers van buiten de EU zich zorgen maken over de consequenties van de nieuwe categorie in de EU-certificering van clouddiensten.

Heet hangijzer

De uitbreiding van het certificeringsprogramma is overigens al langer een heet hangijzer voor aanbieders van clouddiensten. Vorig jaar onthulde de in EU-beleid gespecialiseerde nieuwsdienst Euractiv dat Nederland en andere kleine lidstaten overhoop liggen met grote lidstaten als Frankrijk, Spanje en Italië over data-soevereiniteit.

Nederland zou vanuit eerlijk concurrentie-oogpunt de uitsluiting van Amerikaanse techbedrijven geen goede ontwikkeling vinden. Frankrijk is met eurocommissaris en oud-Atos-topman Thierry Breton een voorstander van de toevoeging van de extra categorie zodat Europese klanten clouddiensten af kunnen nemen die volledig voldoen aan Europese standaarden en buiten de inmenging van niet Europese invloeden vallen.

Op 26 mei 2023 komt de nieuwe opzet van de cloudcertificering aan bod tijdens een bijeenkomst van de technische commissie van Enisa in Athene. Daarbij zijn ook afgevaardigden van de Amerikaanse cloudaanbieders aanwezig.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2023-05-22T16:36:00.000Z Pim van der Beek


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.