Het Nederlandse cloud-bedrijfsleven loopt gevaar als de EU haar koers voor cybersecurity-regulering van clouddiensten voortzet. De Online Trust Coalitie (OTC) doet daarom een dringend beroep op de Europese Commissie om de regeldrift te beteugelen. Alles dreigt met starre regels te worden dichtgetimmerd en de Cyber Security Act (CSA) dreigt een bureaucratisch monster te worden.
De OTC, een brede publiek-private samenwerkingsverband waarin overheid, bedrijfsleven en wetenschap, vreest een averechts effect. De ongebreidelde regelgeving zou Europese spelers eerder schaden dan dat ze er baat bij hebben. Vooral kleine cloudproviders, waarvan er veel in Nederland zijn, kunnen de dupe worden.
Volgens Michiel Steltman, spreekbuis van de OTC, koerst Europa de verkeerde kant op. De Europese Commissie heeft het Europese agentschap voor cybersecurity (Enisa) opdracht gegeven regels uit te werken. Steltman constateert bezorgd dat Enisa honderden gedetailleerde regels voorbereidt. Serviceproviders kunnen voor toepassingen die een hoge mate van zekerheid vereisen, straks alleen nog maar opdrachten krijgen als ze aan al die regels voldoen.
Volgens Steltman zijn gedetailleerde regels met een statisch karakter ongeschikt voor de dynamische wereld van de clouddiensten. Dergelijke regels werken misschien goed voor traditionele producten die jarenlang hetzelfde karakter hebben. Maar clouddiensten verbeteren voortdurend, bijna dagelijks worden veiligheidsupdates doorgevoerd. Statische regels gaan daarmee volledig aan hun doel voorbij. Steltman: ‘Die vorm van regulering biedt afnemers en toezichthouders niet de gewenste zekerheid.’
Ineenschrompelen
Overigens baart niet alleen de ontwikkeling van de Enisa-certificering grote zorgen. Ook de politieke druk die lidstaten als Frankrijk uitoefenen, werkt schadelijk. Parijs wil dat diensten waarbij de veiligheid cruciaal is, alleen nog maar lokaal mogen worden geleverd. Datacenters en clouddiensten uit andere lidstaten hebben dan het nakijken. Europese cloud-aanbieders zien hierdoor hun markten ineenschrompelen. Ze zijn dan sterk aangewezen op de eigen thuismarkt. Vooruitlopend op de EU-regels hebben Franse ambtenaren al gedetailleerde eisen en certificeringen ontwikkeld voor clouddiensten. De OTC vreest dat die ook na invoering van de Europese regels blijven voortbestaan.
De oplossing ligt volgens de OTC bij het hanteren van een meer gebruikelijke aanpak in de cloudmarkt, en wel die van een risk-based-benadering van cybersecurity. Ook is in te zetten op Europese harmonisatie en standaardisatie van it-audit-methoden en audit-rapportages. De OTC heeft een reeks oplossingen in een position paper beschreven.