Europese CIO's vragen EC om beveiligingsregels voor clouds

De oproep aan Breton geeft hem drie concrete stappen om dit te aan te pakken.

"Zakelijke gebruikers van digitale technologieën binnen de Europese Unie worden tegenwoordig vaak geconfronteerd met beveiligingsregels waaraan ze moeten voldoen", schrijven het CIO Platform (Nederland), Beltug (België), Cigref (Frankrijk) en VOICE (Duitsland). "Onze leden ondersteunen dergelijke voorschriften, beschouwen ze als zeer belangrijk voor de bescherming van hun organisaties en om de nodige garanties voor gegevensintegriteit te bieden aan hun klanten en hun werknemers."

Lastig of onmogelijk

Maar in de praktijk blijkt het lastig of zelfs onmogelijk om echt te voldoen. "In de huidige situatie vinden Europese ondernemingen vaak geen verifieerbaar adequate oplossingen op de markt, of zij vinden oplossingen waarvan de leveranciers beweren dat ze aan de regelgeving voldoen, maar die in feite de nodige betrouwbaarheid ontberen." Bijkomend probleem, vertelt directeur Ronald Verbeek van het CIO Platform in een toelichting aan AG Connect, is dat er ook sprake is van verschillen binnen Europa.

Leveranciers bewegen nauwelijks als gebruikers vragen om aantoonbaar veiliger producten en diensten, zegt Verbeek, ténzij er regelgeving is. "Die is er in Frankrijk en Duitsland, waardoor een breuk in de interne markt dreigt te ontstaan, met nog verdere beperking van de marktwerking, grotere lock-in en dergelijke." Die dreigende versplintering komt dan nog bovenop de druk van al bestaande regels, zoals de AVG (Algemene Verordening Gegevensbescherming) en NIB2 (de Europese Netwerk- en Informatiebeveiliging richtlijn, ook wel bekend als NIS2).

Tussen hamer en aambeeld

Verbeek legt uit dat aan zakelijke gebruikers dus een toenemende regeldruk wordt opgelegd om te zorgen voor veiligheid van hun systemen. Op zich is dat goed, verduidelijkt hij, maar het leidt er in de praktijk wel toe "dat boetes bij de zakelijke gebruiker terecht komen terwijl een deel van de verantwoordelijkheid ligt bij de leverancier". Dat laatste dus als die partij producten en diensten levert die niet aantoonbaar veilig zijn, ofwel: niet voldoen aan de regelgeving. "En de DPIA’s [Data Protection Impact Assessments - red.] van het ministerie van JenV naar o.a. clouddiensten van Microsoft en Google hebben de afgelopen jaren aangetoond dat dat zeker niet altijd zo is."

Daarbij speelt ook de realiteit van de ICT-markt dat zakelijke gebruikers in meer of mindere mate afhankelijk zijn van leveranciers vanwege gebrek aan interoperabiliteit. Dan wel hoge kosten voor interoperabiliteit; in geld en inspanning. Migraties zijn in de praktijk dan ook voor moeilijk en kostbaar, wat de beruchte lock-in oplevert. Deze kan ook gelden voor gebruik van cloudoplossingen. Verbeek wijst nog op de diepe inbedding van technologie in organisaties en processen van zakelijke gebruiker. "Specifiek voor clouddiensten is dat ook door de ACM begin september onderkend", waarmee hij de 'Marktstudie clouddiensten' van die toezichthouder aanhaalt.

Het CIO Platform pleit er samen met de Europese collegaverenigingen voor dat er een eind moet komen aan die situatie. Dit zeker omdat de zakelijke gebruiker "afhankelijk is van het aanbod aan diensten en de functionaliteit daarvan dat leveranciers in de markt zetten", waarbij aantoonbare veiligheid afgedwongen moet worden, verklaart Verbeek. Het beëindigen van deze onwenselijke situatie moet dan komen uit EU-brede regels, waarvoor de CIO-vakverenigingen in hun open brief drie concrete stappen voorstellen die medio 2024 genomen moeten zijn. Deze drie stappen zijn:

1. Vereisten voor cloudservices die een hoog niveau van zekerheid nodig hebben, zijn beschikbaar en gelden uniform in de hele Europese Unie.
2. Alle overheidsdiensten en aanbieders van vitale diensten zijn verplicht om clouddiensten te gebruiken met een hoge mate van zekerheid, speciaal voor hun gevoelige gegevens.
3. Een respijtperiode om te voldoen aan de wettelijke vereisten voor beveiliging, zolang er geen oplossingen met een hoge mate van zekerheid vrij beschikbaar zijn op de markt binnen de Europese Unie.

Vorig jaar al beteugelingsverzoek

Nog geen jaar geleden hebben de samenwerkende CIO-verenigingen aangeklopt bij het Europees Parlement met het verzoek actie te ondernemen tegen Amerikaanse cloudaanbieders. De wens van de internationale CIO-achterban is om die grote cloudaanbieders te beteugelen in hun dominantie van de markt. Het antwoord zou moeten zitten in regulering waarbij verschillende prijsniveaus bij concurrerende cloudplatformen, licentiebeperkingen en 'dubbele betalingen' wanneer lokale licenties voor software niet meegenomen mogen worden bij een overstap van on-prem naar cloud.