Banner
Nieuwe Europese security regels maakt cloudpartijen onrustig

Nieuwe Europese security regels maakt cloudpartijen onrustig

Cybersecurity Certification Scheme for Cloud Services (EUCS)

Het belooft de komende maanden een turbulente tijd te worden voor Europese cloud-aanbieders. En dan hebben we het met name over de security waar die Europese cloud-aanbieders over een tijd aan moeten voldoen.

In de komende maanden gaat de European Union Agency for Cybersecurity (ENISA) aan de slag met het vaststellen van het Cybersecurity Certification Scheme for Cloud Services (EUCS). Een hele mond vol, maar als we het vertalen naar het Jip en Janneke, gaat het hier eigenlijk om een nieuw raamwerk voor clouddiensten met daarbij een bijbehorende certificering.

Deze nieuwe regels die de EU hiermee wilt invoeren, baren de Europese cloud-aanbieders een beetje zorgen. Ook Nederlandse belangenorganisaties Dutch Cloud Community (DCC) en stichting Digitale Infrastructuur Nederland (DINL) vinden dat het anders moet.

Vrijwillig of genoodzaakt?

Naar alle waarschijnlijkheid worden bovenstaande certificeringen vrijwillig. Toch verwachten de DCC en de DINL dat een aantal partijen genoodzaakt zijn om zich aan een nieuwe richtlijn, de NIS2 (Network and Information Security Directive) te voldoen. Een eerdere versie van deze richtlijn, de NIS1, is nu al actief in Nederland onder de Wet Beveiliging Netwerk- en Informatiesystemen.

Het nieuwe Europese raamwerk roept nu dus de vraag op of cloudorganisaties wel daadwerkelijk zelf vrijwillig kunnen kiezen of zij voor een certificering gaan of niet.

Basic, Substitantial of High?

Een andere vraag die bij de belangenorganisaties omhoog komt, is voor welk niveau van certificering de cloudorganisaties moeten afnemen.

De certificering kent 3 verschillende niveaus: Basic, Substistantial en High. Nu is de verwachting dat organisaties die beschikken over klanten met in vitale sectoren niet anders kunnen dan de High-level certificering af te nemen ongeacht de grootte van het bedrijf. En die High-level certificering houdt nogal wat in. Zo kent de certificering maar liefst 575 controlepunten.

Kan ik andere certificeringen inzetten voor de EUCS?

Helaas is het ook niet mogelijk om huidige certificeringen en auditrapporten in te zetten om de EUCS te behalen. Dat betekent dus dat de organisaties die straks de EUCS behalen, een nieuwe en tijdrovende audit staat te wachten. Dat is er weer één bij op de stapel, want ook huidige certificeringen zullen behouden moeten worden om aan wensen en eisen van klanten te blijven voldoen.

Wees lief voor het MKB

Volgens de DCC en het DINSL kan dit dus veel efficiënter en op een manier waarbij het MKB niet de dupe is van onmogelijk te behalen doelen.

De European Union Agency for Cybersecurity (ENISA) is ook op de hoogte van de zorgen die de DCC en het DINL hebben voor hun industrie. Of ENISA ook gehoor geeft aan de zorgen van de belangenpartijen moet nog blijken in de komende maanden. Het nieuwe Cybersecurity Certification Scheme for Cloud Services staat op de planning voor 2024, tot die tijd is het afwachten geblazen.

Wij wachten in dat geval graag af en zijn benieuwd wat het raamwerk allemaal naar voren gaat schuiven.

Wil jij organisaties ondersteunen bij het verbeteren van hun security? Lees hier verder hoe je jouw carrière kan versnellen bij CloudShapers. Misschien doen we dan snel een kopje koffie samen.

Of kan jouw organisatie wel wat ondersteuning gebruiken op het gebied van security? Onze ervaren Cloud Security Consultants kijken graag met je mee! Lees hier verder over hoe je een opdrachtgever wordt.

TERUG NAAR OVERVIEW

gerelateerde blogs