In de cloud- en hostingsector wordt er kritisch gekeken naar het European Cybersecurity Certification Scheme for Cloud Services (EUCS). Tijdens onze bijeenkomst op 2 september gaf Agentschap Telecom (AT) een toelichting over deze wet en wat de gevolgen van de toekomstige regelgeving zijn voor het bedrijfsleven.
Wat is EUCS?
In 2019 heeft het Europees Parlement de Cybersecurity Act (CSA) aangenomen. Deze wetgeving moet de veiligheid van het Europese internet verstevigen. De European Union Agency for Cybersecurity (ENISA) is aangesteld door het parlement om hiervoor cyber security frameworks en certificeringen te ontwikkelen.
ENISA heeft nu een nieuw cyber security framework en certificering voor cloud ontwikkeld dat in 2024 operationeel moet zijn: het European Cloud Scheme (EUCS). Hierdoor kunnen Europese bedrijven straks aantonen dat zij hun zaakjes goed op orde hebben. Het EUCS heeft drie niveaus opgesteld voor de certificering: Basic, Substantial en High. De hoogste niveau is vooral van toepassing voor cloud service providers en heeft 575 controls.
Presentatie Agentschap Telecom
Tijdens de bijeenkomst bij Down Under in Nieuwegein gaf toezichthouder Agentschap Telecom een presentatie over de EUCS aan onze leden. “Op dit moment is de Network and Information Security directive (NIS) van kracht. In Nederland is deze actief onder de naam: Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). Maar op termijn wordt de NIS opgevolgd door NIS2 Directive.”
Onder deze nieuwe wet vallen meer sectoren, waaronder cloud en datacenters. Ook worden worden in artikel 18 de security maatregelen explicieter benoemd en staan de toezichtbevoegdheden scherper omschreven (artikel 29).
Klik hier om de presentatie van Agentschap Telecom te downloaden.
Cloud wordt nu gezien als onderdeel Digital Infrastructure
Maar hoe weerhoudt de CSA, het EUCS en NIS2 zich tot elkaar? Agentschap Telecom: “De certificering is vrijwillig, maar NIS2 stelt wel dat lidstaten certificering ‘mogen vereisen’ (presumed compliance). Voorbeelden van verwijzingen van de CSA zijn onder andere de rechtstreekse certificatenverplichting (bijvoorbeeld: clouddiensten voor de overheid en de sectorale verplichting voor het gebruik van gecertificeerde producten/diensten.”De tendentie is nu dat cloud service providers aan de eisen van het hoogste level ‘High’ moeten voldoen. Dit komt onder andere doordat cloud in NIS2 niet meer tot DSP behoort, maar wordt gezien als onderdeel van de ‘Digital Infrastructure’ sector, waardoor cloud nu ook onder de noemer van ‘Essential Entities’ valt.
Regulering afstemmen met praktijk
Michiel Steltman, directeur van stichting DINL, kreeg na de uitleg van Agentschap Telecom het woord om te spreken over het vertrouwen in de (cloud)leverancier. “In de praktijk gaat er in het proces van beeldvorming tot en met uitvoering wetten in de praktijk nog veel mis. Regulering kan je niet meer tegenhouden, maar moet wel worden afgestemd op wat er binnen de sector werkt. Nederland heeft samen met Duitsland en Frankrijk als voortrekker al meer dan tien jaar de drang om ervoor te zorgen dat bedrijven in control zijn. Deze harmonisatie zie je nu terug in het EUCS, wat Nederlandse partijen kan helpen wanneer het schema wordt afgestemd op de praktijk.”
Kritische geluiden uit branche
Maar er is ook kritiek vanuit de sector. Het level ‘High’ heeft 575 controls, terwijl Nederlandse partijen zich al houden aan deze controls. Het opmerkelijke is zelfs dat wanneer er in het buitenland wordt gesproken over EUCS, buitenlandse partijen je glazig aankijken.
Ook bestaat de vrees dat het EUCS te groot en complex wordt opgetuigd, waardoor het niet meer te managen is. Daarnaast levert de detail-mate van de requirements van level HIGH voor lichte verontwaardiging, omdat in sommige gevallen hiervoor grote investeringen en systemen en automatisering moeten worden verricht. Daarbij moet ook rekening worden gehouden met de additionele audit load en investering in mensen voor interne borging.
Planning EUCS
Het EUCS is nu nog in ontwikkeling. De guidance periode – hoe het EUCS moet worden ontwikkeld – is opgestart. Volgens Agentschap Telecom wordt midden 2023 de implementing act verwacht. In deze wet moet staan hoe organisaties met EUCS om moeten gaan. Halverwege 2024 moeten de eerste certificaten worden uitgereikt.
De vraag is nu of 2024 gehaald wordt. Ondertussen zetten meerdere partijen waaronder wij van de Dutch Cloud Community, de Online Trust Coalitie (OTC) en Stichting DINL in om ervoor te zorgen dat de belangen en zorgen uit onze sector in Brussel worden gedeeld.
