Het debat over digitale soevereiniteit speelt niet alleen in Nederland. Overal in Europa (en daarbuiten) worstelen landen met dezelfde vragen. De afhankelijkheid van Amerikaanse cloudproviders is de afgelopen jaren sterk toegenomen. Tegelijkertijd is er te weinig geïnvesteerd in lokale alternatieven en werd de eigen industrie vaak over het hoofd gezien.
Daar komt bij dat het ooit vanzelfsprekende bondgenootschap met de Verenigde Staten begint af te brokkelen. Waar Amerikaanse cloudoplossingen lang als veilig en betrouwbaar werden beschouwd, verschuift die perceptie. Het is niet meer een gegeven dat Amerika onze betrouwbare vriend is en het besef groeit dat geopolitieke belangen kunnen botsen. Kortom: we moeten in staat zijn om zélf onze digitale boontjes te doppen.
Hoe pakken andere landen dit aan? Welke doelen stellen zij? Wat zijn hun criteria, standaarden en beschikbare middelen?
Vandaag kijken we naar Frankrijk. Een land dat van oudsher sterk hecht aan onafhankelijkheid, met een gezonde dosis achterdocht richting andere grote Europese landen. Ook de VS wordt door opeenvolgende Franse regeringen gezien als een bondgenoot waar je wel een beetje afstand van moet houden. Al vóór de recente geopolitieke spanningen werd er in Frankrijk serieus nagedacht over technologische zelfbeschikking.
France 2030: een ambitieuze koers
Onder het vlaggenschipprogramma France 2030 investeert de Franse overheid 54 miljard euro in vernieuwing: van duurzaamheid en waterstof tot onderwijs, infrastructuur en digitale technologie. Van dat totaal is 1,75 miljard euro gereserveerd voor de nationale cloudstrategie. Dat bedrag bestaat grotendeels uit overheidsgeld, aangevuld met private en EU-financiering.
Vertrouwde cloud: ‘Cloud de Confiance’
De kern van het Franse cloudbeleid is de zogeheten cloud de confiance; een veilige en soevereine cloudomgeving.
Deze bestaat uit:
- Een Rijkscloud voor specifieke overheidsdiensten die niet naar de markt mogen
- Private cloudoplossingen die voldoen aan strikte voorwaarden, opgesteld door ANSSI (Agence nationale de la sécurité des systèmes d’information, het Franse NCSC).
SecNumCloud-kwalificatie:
De belangrijkste norm is de SecNumCloud-kwalificatie. Aanbieders worden daarnaast aangemoedigd om te werken volgens de principes van GAIA-X, gericht op interoperabiliteit en gegevensportabiliteit.
Een paar basiselementen van SecNumCloud zijn:
- Een hoofdkantoor in Frankrijk of Europa
- Noch het aandelenkapitaal, noch het stemrecht mag voor meer dan 24% (individueel) en 39% (gezamenlijk) in handen zijn van een of meer bedrijven die niet in de Europese Unie zijn gevestigd.
- Strikte naleving van alle bestaande regelgeving inzake gegevensbescherming en die naleving ervan aantonen.
- In principe beschikken over de ISO 27001-certificering, aangezien de SecNumCloud-referentie gedeeltelijk gebaseerd is op bijlage A van deze norm.
- Aantoonbaar een betrouwbaar Business Continuity Management System (BCMS) geïmplementeerd hebben om toezicht te houden op het Business Continuity Plan (BCP).
- Een succesvol geïmplementeerd Security Information and Event Management (SIEM)-tool
De vereisten voor de SecNumCloud-repository zijn ingedeeld in 14 verschillende thema’s.
- Informatiebeveiligingsbeleid en risicomanagement
- Organisatie van informatiebeveiliging
- Personeelsbeveiliging
- Activabeheer
- Toegangscontrole en identiteitsbeheer
- Cryptologie
- Fysieke en omgevingsbeveiliging
- Operationele veiligheid
- Communicatiebeveiliging
- Aanschaf, ontwikkeling en onderhoud van informatiesystemen
- Relaties met derden
- Management van informatiebeveiligingsincidenten
- Bedrijfscontinuïteit
- Compliance
Dit klinkt allemaal redelijk logisch maar in de praktijk blijkt conformiteit (en het papiertje krijgen) een lastige en dure operatie.
Dat blijkt onder andere uit een citaat uit een blog van Scalingo (PaaS cloud hoster): “Our CEO, Yann Klis, often underscores this complexity by drawing a comparison between the ISO 27001 certification (which we achieved in 2022) and the SecNumCloud qualification. In his words: ‘If the complexity level to obtain ISO 27001 certification was a 1, achieving SecNumCloud qualification would be a 10.’ The efforts and investments required, from certifications to licenses and a qualified workforce, are also substantial.”
Sinds de lancering van SecNumCloud in 2016 zijn er nog maar 6 providers gecertificeerd en dat onderschrijft het bovenstaande.
Het idee van een “vertrouwde cloud”, die deels bij de rijksoverheid en private aanbieders in beheer is, is logisch en een model waar wij in Nederland ook wel iets mee kunnen. Los van of de rest van Europa bereid is om zonder meer een Frans label te adopteren (dit is meer een punt van discussie voor het Europees Parlement) kun je je echter ook afvragen of een kwalificatiemodel zoals SecNumCloud past bij onze een sector die meer bestaat uit kleine en middelgrote organisaties dan uit grote corporates.
