Mogelijk heb je al eens gehoord van het European Cybersecurity Certification Scheme for Cloud Services (EUCS) en het Europese Cloud security framework dat ontwikkeld wordt door ENISA, (European Union Agency for Cybersecurity); het Europese security agency.
Neem even een paar minuten om dit te lezen. EUCS gaat een grote impact hebben op veel bedrijven in onze branche. Het is belangrijk dat je weet wat er op ons afkomt.
CyberSecurity Act (CSA)
Even in het kort de achtergrond: in 2019 heeft het Europees parlement de Cybersecurity Act (CSA) aangenomen. Deze wetgeving moet de veiligheid van het Europese internet verstevigen, en geeft daarvoor mandaat aan ENISA. Zij krijgen onder andere de opdracht om cyber security frameworks en certificeringen te ontwikkelen.
Dat mandaat is heel breed: ENISA mag cyber security regels maken voor telecom, IT-hardware, diensten, processen en producten door de hele EU. Dit is de eerste keer dat er wetgeving gemaakt is die van toepassing is op alle online diensten en producten, inclusief IoT-devices en de infrastructuur laag. Binnenkort publiceert ENISA een nieuw cyber security framework en certificering voor cloud: het European Cloud Scheme (EUCS).
Het oorspronkelijke idee van de CSA was een one-stop-shop, zodat bedrijven in de EU door middel van een door ENISA ontwikkelde certificering, zoals de EUCS, kunnen aantonen dat ze hun zaakjes op orde hebben. In de ogen van de wetgever zou de EUCS-certificering geleidelijk aan alle bestaande certificeringen kunnen vervangen. Hierover meer later.
De CSA heeft voor de cybersecurity van producten en diensten 3 niveau’s bedacht: Basic, Substantial en High. Die levels vind je in de ENISA-frameworks en certificeringen terug, en dus ook in het EUCS, Het EUCS level Substantial heeft circa 300 controls. High heeft maar liefst 575 controls, waaronder bepalingen met inzet op soevereiniteit. Ook staan er regels in over bijvoorbeeld harde garanties op uitsluiten niet-EU personeel en wetgeving in de gehele keten van de cloud service.
Network and Information Security directive
De CSA stelt dat certificeringen in principe vrijwillig zijn. Maar er komt een andere nieuwe wet aan: NIS (versie 2). NIS staat voor “Network and Information Security directive”. De NIS is al actief in Nederland onder de naam Wet Beveiliging Netwerk- en Informatiesystemen (WBNI).
Omdat de digitale bedreigingen toenemen vraagt de Europese Commissie nu om veel meer bedrijven aan die NIS (versie 2) te onderwerpen. Ook willen ze de ENISA-certificeringen verplicht maken voor bepaalde toepassingen. Het ziet er dus naar uit dat de EUCS-certificering via de NIS route alsnog verplicht zal worden voor alle partijen die onder de nieuwe NIS2 wetgeving gaan vallen. Het gaat hierbij om hosting-, CSP’s en SaaS-partijen. Daarbij zal het level ‘High’ gaan gelden voor partijen die online-diensten leveren in ketens zoals zorg, voedselproductie, finance, overheid en vitaal.
Geen provisie hergebruik bestaande certificeringen
Ook is er geen provisie getroffen voor het hergebruik van bestaande certificeringen en audits, daar is niets voor geregeld. De auditrapporten en bestaande certificeringen kunnen daarom niet worden hergebruikt door de Telecomtoezichthouders, die voor de uitvoering van de verplichte certificering moeten gaan zorgen.
Gevolgen voor de praktijk
Concreet betekent het dat de partijen die te maken krijgen met de verplichte EUCS-certificering, en in elk geval de partijen die level High moeten leveren, jaarlijks worden geaudit door het Agentschap Telecom (AT), of een door het AT aangewezen auditor. Dat gaat niet alleen om de partij zelf, maar ook om al hun toeleveranciers en iedereen die in de keten toegang heeft tot systemen. Denk bijvoorbeeld aan aan colo, directories/AD, remote monitoring en remote access voor onderhoud, want zo staat het in het EUCS en in de NIS2.
Het is ook waarschijnlijk dat het EUCS certificaat bestaande certificeringen niet overbodig zal maken. De markt zal nog steeds eisen van de providers dat zij hun huidige certificaten opnieuw laten auditen en rapporten kunnen overhandigen. Ook andere toezichthouders zoals die in zorg en financiën, hebben al aangegeven dat ze op grond van hun wettelijke mandaat hun eigen eisen zullen blijven stellen en hun eigen audits blijven doen.
We weten natuurlijk nog niet wat de kosten voor een EUCS audit zullen zijn. Maar met 575 controles wordt dit hoe dan ook een zware exercitie. We krijgen berichten van partijen die vergelijkbare verplichtingen hebben, zoals FEDRAMP in de US, dat de auditkosten wel tot 250.000 euro per jaar kunnen oplopen. Wij vrezen dat compliance daardoor zo zwaar wordt dat een groot deel van de bedrijven uit de sector de facto de toegang tot belangrijke markten zal worden ontzegd.
Aanpassingen nodig
Dit moet anders en beter, want het slaat door. Dutch Cloud Community, DINL en andere betrokken partijen hebben daarom in Brussel de zorgen en signalen afgegeven over deze aanpak van deze certificeringen en audits.
De sector werkt nauw samen met het Ministerie van Economische Zaken en Klimaat (EZK) en Agentschap Telecom. We staan ook niet helemaal geïsoleerd, een groep van 9 landen is het met ons eens. We pleiten voor het afzwakken van die soevereiniteit eisen, voor harmonisering en het herbruikbaar maken van ISAE3402 verklaringen van EDP auditors, op principle-based standaard normenkaders (zoals die van de Cloud Security Alliance).
Sector zet zich gezamenlijk in
Alles is nog niet in beton gegoten, maar er is wel veel druk van de Europese Commissie en ENISA om het EUCS snel aangenomen te krijgen. Het EUCS wordt in de volgende maanden vastgesteld. Op dit moment vindt nog een laatste ronde plaats. Daarna volgt de vaststelling met een implementing act, wat een formaliteit is. Dan komt de afronding van NIS2, die dan omgezet zal worden naar landelijke wetgeving. Dit zal wat sneller gaan dan de implementatie van de WBNI of de AVG aangezien het om een upgrade van een bestaande wetgeving gaat. Onze verwachting is dat rond 2024 de uitrolfase komt.
Dutch Cloud Community en DINL werken samen met de OTC, het AT en EZK hard om ervoor te zorgen dat het framework zo pragmatisch mogelijk vorm gegeven wordt, om zo het werk niet onmogelijk te maken voor de mkb-bedrijven uit onze branche.
Als je hier meer over wilt weten, of indien je vanuit jouw organisatie ons wilt helpen met dit gevecht: Neem dan contact met Simon, of rechtstreeks met Michiel Steltman via msteltman@dinl.nl
