Managed hosting door True

Cloud-sector bezorgd om nieuwe securityregels EU

Met EUCS-certificering krijgen marktpartijen er jaarlijks een tijdrovende en kostbare audit bij

 

compliance

De nieuwe regels die de EU binnenkort wil invoeren om het Europese internet veilig te houden, hebben te grote gevolgen voor aanbieders van cloud- en onlinediensten. Reeds bestaande certificeringen zijn waarschijnlijk niet voldoende en nieuwe audits gaan zoveel geld en tijd kosten, dat veel bedrijven uit de sector de toegang tot belangrijke markten wordt ontzegd. Belangenorganisaties Dutch Cloud Community (DCC) en stichting Digitale Infrastructuur Nederland (DINL) vinden dat het anders moet.

DCC en DINL zijn kritisch over het zogeheten European Cybersecurity Certification Scheme for Cloud Services (EUCS), een nieuw Europees raamwerk en certificering voor clouddiensten. EUCS wordt in de komende maanden vastgesteld.

Hoewel de certificeringen waarschijnlijk vrijwillig zijn, verwachten de belangenorganisaties dat voor bepaalde toepassingen en marktpartijen alsnog een verplichting ontstaat zodra een andere nieuwe richtlijn wordt ingevoerd: de NIS2. De eerste versie van deze Network and Information Security Directive is in Nederland al actief onder de naam Wet Beveiliging Netwerk- en Informatiesystemen (WBNI).

Geen andere keuze

"Dit moet anders en beter, want het slaat door"

De certificering van EUCS gaat plaatsvinden volgens drie levels: Basic, Substantial en High. De belangenorganisaties verwachten dat vooral cloudbedrijven met klanten in kwetsbare sectoren geen andere keuze hebben dan zich te certificeren voor level High. Dat niveau telt 575 controlepunten, waaronder bepalingen die zich richten op soevereiniteit en uitsluiting van niet-EU-personeel. De certificering geldt niet alleen voor hostingpartijen, cloud service providers (csp) en saas-aanbieders, maar ook voor hun toeleveranciers en ketenpartners met toegang tot de systemen.

Wat volgens de DCC en DINL ook niet helpt, is dat bedrijven hun huidige certificeringen en audits niet mogen hergebruiken om te voldoen aan het nieuwe EUCS. Toezichthouder Agentschap Telecom, belast met de uitvoering van de nieuwe certificering, kan dergelijke rapporten dus niet gebruiken. Het gevolg is dat partijen er jaarlijks een tijdrovende en kostbare audit bij krijgen. Huidige certificeringen zullen meestal nodig blijven, om te voldoen aan wensen uit de markt en aan eisen van andere toezichthouders, zoals die in de zorg en in de financiële wereld.

Pragmatisch

'Dit moet anders en beter, want het slaat door', schrijft DCC-directeur Simon Besteman in een blog mede namens DINL. Samen met het ministerie van Economische Zaken, de Online Trust Coalitie (OTC) en het Agentschap Telecom (AT) proberen de belangenorganisaties het EUCS 'zo pragmatisch mogelijk vorm te geven, om zo het werk niet onmogelijk te maken voor de mkb-bedrijven uit de branche', aldus de directeur.

De belangenpartijen hebben hun zorgen kenbaar gemaakt bij Enisa, het Europese agentschap voor cybersecurity. Enisa heeft het EUCS ontwikkeld naar aanleiding van de Cybersecurity Act (CSA) die het Europees Parlement in 2019 aannam. Volgens Besteman pleiten de partijen voor afzwakking van de soevereiniteitseisen, voor harmonisering en het herbruikbaar maken van bepaalde audits volgens standaard normenkaders.

De verwachting is dat het nieuwe raamwerk en de certificering voor clouddiensten rond 2024 worden uitgerold.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7368569). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.