Door de ingewikkeldheid van de plannen en de ondoorzichtige werkwijze van de Europese Commissie is het verzet tegen de soevereiniteit-vereisten die bepaalde aanbieders de toegang tot Amerikaanse clouddiensten ontzeggen, pas laat op gang gekomen.
De pijn zit ‘m in het EU Cloud Scheme (EUCS), een cybersecurity-raamwerk van het agentschap Enisa dat certificeringen instelt voor clouddiensten. Voorlopig zal dat op vrijwillige basis gaan. Maar verwacht wordt dat vanuit de veiligheidsrichtlijn NIS2 EUCS certificering impliciet (vanwege ketens) of expliciet verplicht zal worden.
Dat kan in principe van de ene dag op de andere gebeuren, zonder inmenging van het Europees Parlement. Bepaalde overheidsdiensten, nutsbedrijven, banken en andere aanbieders van kritieke infrastructuur kunnen dan niet meer in zee gaan met Amerikaanse cloudbedrijven.
Loopje nemen
Europarlementariër Bart Groothuis (VVD) vindt het kwalijk dat via het EUCS in het verborgene een hoog politiek spel wordt gespeeld. Hij zegt: ‘Cybersecurity-regels horen computers veiliger te maken. En niet Amerikaanse bedrijven buiten te sluiten op de Europese cloudmarkt. De Europese Commissie gaat zijn boekje te buiten.’ Eerder verweet hij de Commissie al op die manier aan te sturen op een handelsoorlog en op een oneigenlijke manier industriepolitiek te voeren. Volgens hem worden Europese ondernemers zo afgesneden van ai, Big Data en andere Amerikaanse technologieën, wat tot grote schade zou leiden.
Het Europees Parlement nam de vorige maand een amendement van Groothuis aan om in deze kwestie betrokken te worden, ook vanwege de geopolitieke belangen. Groothuis vindt dat de hele procedure bij Enisa moet worden weggehaald. Deze kwestie ligt volgens hem zo politiek dat het gebruikelijke wetgevingstraject moet worden gevolgd. Maar deze week blijkt dat de Europese Commissie zich daar niets van heeft aangetrokken.
Michiel Steltman, directeur Stichting DINL (digitale infrastructuur), constateert tot zijn spijt dat de Commissie ook een loopje heeft genomen met de impact-analyses. Een recente studie van het European Centre for International Political Economy (Ecipe) wees uit dat met name kleine landen met een hoge mate van digitalisering door de restricties voor buitenlandse cloudaanbieders worden getroffen.
Het bruto nationaal product van Nederland zou hierdoor met 5,8 procent dalen, terwijl dat van België 5,4 procent omlaag gaat. Volgens Steltman zouden de beperkingen ook een averechts gevolg hebben. De grote cloudaanbieders bieden in hun pakketten veel oplossingen voor veiligheid aan. Het afsluiten van de toegang tot die veiligheidsopties zou schadelijk zijn. Volgens Steltman is de koers van de Europese Commissie ook strijdig met het nieuwe Privacy Shield waartoe ‘Brussel’ zelf heeft besloten. Erger nog is dat de Commissie niets doet met de suggesties van de 14 EU-lidstaten een andere weg te kiezen.
Negeren
De Commissie negeert een Nederlands compromisvoorstel om het aan elke EU-lidstaat zelf over te laten of voor cloudproviders restricties gaan gelden. Ook een andere oplossing om de plannen van de Commissie wat af te zwakken is van de hand gewezen.
Opmerkelijk is dat ‘Brussel’ vasthoudt aan een certificering voor cloudaanbieders die bijna 1:1 een kopie is van de Franse certificering (Secnumcloud van Anssi). Het ambtelijk apparaat van de Commissie dat over de cloud en software gaat, staat onder leiding van de Fransman Paul Chastanet. Die valt weer onder oud-Atos-topman Thierry Breton, de Eurocommissaris die telkens weer Franse industriële belangen probeert door te drukken. Probleem is dat het kort dag is. De tegenstanders die onder leiding van Nederland staan, hebben nog maar enkele weken de tijd om de politieke druk op Brussel verder te verhogen.
