Nederland en België worden relatief het zwaarst getroffen als bedrijven voor ‘mission critical data’ en essentiële systemen straks geen gebruik meer mogen maken van Amerikaanse cloudleveranciers. Het bruto nationaal product van Nederland daalt hierdoor met 5,8 procent, terwijl dat van België 5,4 procent daalt. Ook Denemarken, Ierland en Zweden zien als kleinere landen met een hoge mate van digitalisering hun economische output fors omlaag gaan.
Dit blijkt uit een analyse die het European Centre for International Political Economy (Ecipe) heeft gemaakt van de impact van de EU-plannen om uit veiligheidsoverwegingen de toegang tot bepaalde clouddiensten aan banden te leggen. Met name bedrijven die onder de nieuwe NIS2-richtlijn als ‘essentieel’ of ‘belangrijk’ worden gezien, zullen zich dan tot Europese cloudaanbieders moeten wenden.
Volgens Michiel Steltman, directeur Stichting DINL (digitale infrastructuur), komt dit plan duidelijk uit de Franse koker. Hij zegt dat de noodzaak tot meer soevereiniteit ook in Nederland breed wordt onderschreven, maar niet op deze manier. DINL is een samenwerking van en spreekbuis voor de partijen in de Nederlandse digitale infrastructuur.
Belangenbehartigers uit de branche zijn van mening dat onder leiding van eurocommissaris Thierry Breton politieke spelletjes worden gespeeld. Breton leidde van 2009 tot 2019 Atos. Bekend is dat hij veel te laat het belang van de cloud inzag waardoor Atos in de problemen raakte.
Steltman is behoorlijk geschrokken van de Ecipe-analyse. Als de EU-plannen doorgaan, wordt de toegang van Europa tot geavanceerde technologie en innovatie die toch vooral uit de Verenigde Staten komt, aanzienlijk beperkt.
Schade
Nog niet zeker is waartoe de EU uiteindelijk besluit. Ecipe ontwikkelde hiertoe drie scenario’s. Zelfs bij een ‘lichte versie’ waarin alleen een klein aantal sectoren en zeer kritische ‘use cases’ van Amerikaanse cloudleveranciers worden uitgesloten, is de schade aanzienlijk. Afhankelijk van het scenario wordt het jaarlijkse verlies van het bruto nationaal product geraamd op 29 miljard tot 610 miljard euro.
De EU ontwikkelt een EU Cloud Scheme (EUCS), een cybersecurity-raamwerk voor clouddiensten. De verwachting is dat vanuit NIS2 EUCS certificering impliciet (vanwege ketens) of expliciet verplicht zal worden.
Steltman: ‘Het European Union Agency for Cybersecurity – Enisa – wil via pre-certificeringseisen immuniteit voor non-EU wetgeving garanderen. Dat betekent dat clouds waarin niet-Europese diensten, zoals datacenters en iaas, zijn verwerkt in het strengste EUCS-niveau, niet in aanmerking komen voor certificering. Dat komt omdat eerst moet worden bewezen dat er op geen enkele manier non-EU control mogelijk is. En dat bewijs uit het ongerijmde kan volgens toezichthouders en auditors niet of zeer moeilijk worden geleverd.’
Verzet tegen Franse route
Volgens Steltman heeft vooral ‘Parijs’ zich ingespannen om de beperkingen die vooral de grote Amerikaanse cloudbedrijven treffen, het cybersecurity raamwerk voor clouddiensten ‘in te fietsen’. De EU ‘verkoopt’ deze restricties als vrijwillig. Maar onvermeld blijft dat de Europese Commissie via een algemene maatregel van bestuur het EU Cloud Scheme (EUCS) met één hamerslag verplicht kan stellen.
Europarlementariër Bart Groothuis (VVD) doorziet het Franse spel, dat de economie van Europa met honderden miljarden kan schaden. Hij vindt dat de Europese Commissie hiermee ver buiten zijn bevoegdheden treedt. Groothuis heeft daarom enkele amendementen ingediend op de Cybersecurity Act (CSA) die de macht van de Commissie op dit gebied inperken. Ook de Nederlandse regering verzet zich tegen de ‘Franse route’.
Volgens Steltman moeten Thierry Breton en zijn medestanders afstappen van hun geloof in de zero-sum game: dat je met strenge regulering en weren van sommige spelers het marktaandeel van andere spelers kunt vergroten. Hij noemt daarbij geen namen. Maar als Microsoft Azure, AWS en Google Cloud bepaalde klanten niet meer kunnen bedienen, zullen op grote schaal Europese datacenters moeten worden bijgebouwd met alle gevolgen voor het energieverbruik. Ook speelt het Europese cloudspelers zoals OVHcloud in de kaart.
Steltman: ‘Beter is het om de energie te richten op de kansenkant: het succesvol maken van projecten als Gaia-X, het helpen van EU-aanbieders om meer schaal te krijgen, en het vergroten van awareness aan de vraagkant. Want als cio’s en overheden minder vanzelfsprekend voor non-EU diensten hadden gekozen dan hadden we dit hele probleem niet gehad.’
