Hosters en Cloud providers van de Dutch Cloud Community waren op 16 maart te gast bij het datacenter van NorthC in Almere om te praten over de gevolgen op onze bedrijfsvoering van de NIS2, de opvolger van de WBNI, en de Data Act. Nog bedankt voor de gastvrijheid NorthC!
Hasan Demir van Legian nam ons door de belangrijkste aspecten van de NIS2 Directive, de Europese opvolger van de bestaande NIS (in Nederland WBNI) die nog in nationaal recht moet worden omgezet. Deze Nis2 Directive is in december 2022 gepubliceerd. Lidstaten hebben nu tot oktober 2024 om hem in naar nationale wetgeving om te zetten. Een belangrijke verandering ten opzichte van de “huidige” NIS is de verruiming van het aantal sectoren dat als essentieel wordt benoemd. Waardoor ook (de grotere) hosters en cloud providers te maken hebben met verscherpte eisen op het gebied van cybersecurity. Belangrijkste veranderingen, de beveiliging en ook de risico-inschatting die bedrijven maken moet aan strenge eisen voldoen en goed gedocumenteerd zijn; en dit niet alleen voor de organisatie zelf, maar voor de hele keten (dus ook de toeleveranciers), en de meldingsplicht wordt versterkt, alsook de toezicht in ieder land. In Nederland is het de RDI (voormalig het Agentschap Telecom) die de toezicht mag verzorgen.
In de komende maanden komen we nog een aantal keer terug op de NIS2, met ook een bijeenkomst met de RDI in ons programma om jullie te helpen optimaal voorbereid te zijn.
Jacqueline van de Werken, Group General Counsel van Leaseweb, maar ook lid van het bestuur van CISPE, de Europese vereniging van Cloud providers, en interim bestuurder van Dutch Cloud Community, zit in de expertgroep die de Europese Commissie adviseert over de Data Act, de EU verordening over eerlijke toegang tot cloud en eerlijk gebruik van data binnen de EU. De doel van de Data Act is om de cloud markt te optimaliseren. Er is een combinatie van nieuwe regelingen om overstapdrempels te beperken met swichting en porting voorzieningen en om ongewenste lock-in op economische-, technische of contractuele gronden te reguleren. Daarnaast zijn er nieuwe regels (met bescherming van bedrijfsgeheimen) om data sharing voor nieuwe toepassingen te bevorderen. Dat is iets waarin wij ons waarschijnlijk allemaal wel in kunnen vinden: het scheppen van een level playing field, met een goed functionerende, Europese open markt voor Clouddiensten. The Devil is in the details natuurlijk. In de komende maanden wordt deze Data Act verder uit-onderhandeld in Brussel met streefdatum van Juni 2023. Er is daarna nog genoeg tijd voor uitleg en voorbereidingen voorafgaand aan inwerkingtreding.
De belangrijkste pilaren zijn data sharing tussen clouds (voor niet persoonsgebonden data), bescherming van data soevereiniteit, en het makkelijker maken voor klanten om van de ene naar de andere cloud te migreren. Dat laatste is natuurlijk een gevoelig punt. In de eerste drafts die we onder ogen kregen leek het alsof men de inschatting maakte dat een cloudmigratie niet ingewikkelder was dan van mobiele aanbieder wisselen. Inmiddels is er gelukkig aardig wat nuance ingekomen, met uitzonderingen voor vaste contracten, maatwerk en MKB bedrijven. We zijn er nog niet maar er wordt wel constructief samengewerkt. Ook de Nederlandse regering heeft vorige week een officieel standpunt bekend gemaakt aan Brussel.
Het vervolg schema ziet er als volgt uit. Inspraak van lidstaten en verschillende betrokkenen duurt nog tot juni. Dan wordt de verordening gepubliceerd (een verordening is anders dan een wet in de zin dat ze in alle lidstaten met dezelfde woorden wordt ingebracht, om te voorkomen dat staten proberen een voordeeltje te halen op anderen door de regels net wat soepeler te interpreteren). Vervolgens hebben lidstaten nog 18 maanden om ervoor te zorgen dat alles geïmplementeerd is, en, belangrijk, na 3 jaar komt een evaluatie om te zien of het doel van de verordening wel bereikt is.
Ik blijf hier een beetje aan de oppervlakte, maar bijgevoegd vinden jullie de presentatie van Jacqueline die veel meer in detail gaat. Ik raad jullie aan er even in te duiken. Vragen kunnen jullie bij mij inschieten (simon@dutchcloudcommunity.nl), Sowieso komen wij hier de komende maanden nog een aantal keer op terug.