Op Europees niveau wordt momenteel gewerkt aan een keurmerk voor veilige clouddiensten. Dit keurmerk moet gebruikers zekerheid geven over de veiligheid van de clouddienst en hun data. Daarnaast moet het de grensoverschrijdende concurrentie tussen cloudaanbieders versterken.

Het voorstel voor één Europees certificeringssysteem voor veilige clouddiensten is inmiddels gepresenteerd aan de Europese Commissie. De volgende stap is om het voorstel uit te werken in een Europees certificeringsschema als onderdeel van de Cyber Security Act. Deze Europese verordening voor cybersecurity certificering van ICT-producten, diensten en processen wordt eind deze maand van kracht.

Waarom dit nieuwe keurmerk?

Doel van het keurmerk voor veilige clouddiensten is om gebruikers meer zekerheid te geven over de veiligheid van de clouddienst en hun data. Aangesloten aanbieders voldoen immers aan de Europese digitale veiligheidseisen.

Daarnaast wordt het makkelijker om binnen de EU verschillende cloudaanbieders met elkaar te vergelijken. Dit vergroot uiteindelijk de grensoverschrijdende concurrentie en versterkt de digitale interne markt.

Focco Vijselaar (Directeur-generaal Bedrijfsleven & Innovatie, Ministerie van EZK) zegt hierover: “Clouddiensten worden steeds belangrijker voor de Europese digitale economie. Ik ben blij dat er op Europees niveau een stap wordt gezet om meer zekerheid over de veiligheid van clouddiensten te bieden.”

Contouren Europese certificeringsschema

In het voorstel worden de contouren voor het Europese certificeringsschema geschetst. Zo wordt geadviseerd om met 3 betrouwbaarheidsniveaus te gaan werken: basis, substantieel en hoog. Welke mate van zekerheid geldt, wordt bepaald door per clouddienst of -product te kijken naar de waarschijnlijkheid dat zich een incident voordoet en wat de impact ervan is.

Als onderdeel van het schema wordt er ook verklarende documentatie beschikbaar gesteld. Hierin staat tenminste beschreven wat het basis, substantieel en hoge betrouwbaarheidsniveau inhouden en welk type dienstverlening doorgaans hoort bij de verschillende niveaus.

Audits noodzakelijk

audit.jpg

Om een certificaat te behalen en te behouden, worden audits geadviseerd. Zal het bij het basisniveau misschien om eens in de 2 of 3 jaar zijn, bij het hoogste niveau willen ze bij voorkeur een continu controlemechanisme invoeren.

Het programma moet cloudproviders overigens gaan toestaan om services te bundelen tot 1 certificering. Zolang ze allemaal passen binnen hetzelfde certificeringsniveau en zijn opgenomen in het auditprogramma.

Hoe nu verder?

De exacte invulling van het schema laat nog even op zich wachten. Het Europese Agentschap voor netwerk- en informatiebeveiliging (ENISA) gaat het voorstel nu verder uitwerken in een Europees certificeringsschema onder de Cyber Security Act.

Overigens is er momenteel ook een werkgroep actief om afspraken te maken die het wisselen van cloudproviders makkelijker moet maken. In het najaar worden hiervan concrete resultaten verwacht. Genoeg ontwikkelingen op cloudgebied dus!

Meer weten?

Wilt u meer weten over dit nieuwe keurmerk of de Cyber Security Act en de mogelijke impact voor uw bedrijfsvoering? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.