Amerikaanse cloudgiganten zijn boos over de voorlopige versie van een Europese certificering voor clouddiensten. Volgens die opzet, waaraan een nieuwe categorie is toegevoegd, kunnen ze namelijk niet voldoen aan de allerhoogste norm omdat die bedrijven een hoofdkantoor buiten de EU hebben. Daardoor voldoen ze niet aan de aangescherpte eisen voor data-soevereiniteit.
Dat Europees certificeringsprogramma voor clouddiensten wordt ontwikkeld als onderdeel van de nieuwe Europese Cloud Act. Op dit moment is die certificering niet verplicht, maar met het aanscherpen van Europese ict-beveiligingsregels (NIS2) gaat deze op termijn mogelijk wel verplicht worden voor het leveren van clouddiensten aan bedrijven en organisaties in vitale sectoren.
In die nieuwe versie voor de EU-certificering voor clouddiensten is een nieuwe sub-categorie opgenomen voor het hoogste vertrouwelijkheidsniveau. Er waren al drie niveaus: ‘basis’, ‘substantieel’ en ‘hoog’. Daar is in het voorstel ‘hoog+’ bijgekomen. Die categorie stelt de hoogste eisen aan data-soevereiniteit. Leveranciers van clouddiensten met een hoofdkantoor buiten de EU zijn uitgesloten van die certificering.
Het belangrijkste verschil tussen de niveaus ‘hoog’ en ‘hoog+’ betreft de juridische controle op de leverancier van clouddiensten. ‘Hoog+’ vereist dat de clouddienst alleen wordt beheerd door bedrijven die in de EU zijn gevestigd, waarbij geen enkele entiteit van buiten de EU effectieve controle heeft over clouddienstverlener. Het is in het leven groepen om het risico te verkleinen dat ‘bevoegdheden van buiten de EU de EU-regels -normen en -waarden ondermijnen’.
Invloed
Naast dat het hoofdkantoor van het cloudbedrijf in een EU-land gevestigd moet zijn, mag de aanbieder van clouddiensten niet direct of indirect onderworpen zijn aan de ‘effectieve controle’ van buitenlandse bedrijven. Dat verwijst naar bedrijven die internationaal op een manier verweven zijn waardoor rechten, contracten of andere middelen direct of indirect een beslissende invloed hebben op de bedrijfsvoering.
Computable sprak onlangs met een betrokkene van een grote Amerikaanse clouddienstverlener die betrokken is bij Enisa, het Europees Agentschap voor netwerk- en informatiebeveiliging. Hij vertelde dat grote techspelers van buiten de EU zich zorgen maken over de consequenties van de nieuwe categorie in de EU-certificering van clouddiensten.
Heet hangijzer
De uitbreiding van het certificeringsprogramma is overigens al langer een heet hangijzer voor aanbieders van clouddiensten. Vorig jaar onthulde de in EU-beleid gespecialiseerde nieuwsdienst Euractiv dat Nederland en andere kleine lidstaten overhoop liggen met grote lidstaten als Frankrijk, Spanje en Italië over data-soevereiniteit.
Nederland zou vanuit eerlijk concurrentie-oogpunt de uitsluiting van Amerikaanse techbedrijven geen goede ontwikkeling vinden. Frankrijk is met eurocommissaris en oud-Atos-topman Thierry Breton een voorstander van de toevoeging van de extra categorie zodat Europese klanten clouddiensten af kunnen nemen die volledig voldoen aan Europese standaarden en buiten de inmenging van niet Europese invloeden vallen.
Op 26 mei 2023 komt de nieuwe opzet van de cloudcertificering aan bod tijdens een bijeenkomst van de technische commissie van Enisa in Athene. Daarbij zijn ook afgevaardigden van de Amerikaanse cloudaanbieders aanwezig.
