Nieuwe Europese regelgeving voor het beter beveiligen van data in cloudomgevingen kan grote problemen opleveren voor de Nederlandse cloudsector. Dit stellen brancheverenigingen Online Trust Coalitie (OTC) en de Dutch Cloud Community.

De Europese Unie, in het bijzonder het Europese cyberveiligheidsagentschap Enisa, werkt aan nieuwe regelgeving voor het beveiligen van data in cloudomgevingen. Dit European Cybersecurity Certification Scheme for Cloud Services (EUCS), waar nu een concept van ligt, moet regelen waaraan een veilige cloudomgeving moet voldoen. Ook worden de regels integraal onderdeel van de bestaande Europese Cyber Security Act (CSA) en de Wet beveiliging netwerk- en informatiesystemen (NIS). De regels moeten Europese bedrijven beschermen tegen de snelgroeiende dreiging van hackers, die steeds vaker systemen van bedrijven platleggen

Nederlandse branche luidt noodklok

Nederlandse cloudbelangenorganisaties luiden nu de noodklok over de impact van deze voorgenomen wetgeving voor Nederlandse cloudaanbieders, zo geeft het FD aan. Volgens belangenorganisaties OTC en de Dutch Cloud Community maakt de voorgenomen regelgeving het voor Nederlandse cloudbedrijven haast onmogelijk te innoveren. Hierdoor gaan zij op technisch terrein achterlopen en lopen zo klanten mis. Dit kan een kaalslag onder de Nederlandse cloudbedrijven veroorzaken.

Kritiekpunten

Het grootste punt van kritiek is het detail waarmee de nieuwe Europese regelgeving voor meer veiligheid rondom data in cloudomgevingen wil gaan zorgen. Onder meer moeten alle technologische oplossingen door externe controleurs worden getoetst. Dit remt volgens de cloudbedrijven de innovatie.

Een ander kritiekpunt is de hoge kosten voor de naleving van de nieuwe regels. De controlekosten komen voor de sector volgens het huidige voorstel op minimaal 200.000 euro per jaar uit. Voor een paar grote hosting- en cloudbedrijven, zoals in Frankrijk, zijn deze kosten geen probleem. Voor de talloze kleinere Nederlandse cloudbedrijven, met een gezamenlijke omzet van 3 miljard euro per jaar, wordt dit financieel erg lastig.

Verder zou de nieuwe regelgeving het moeilijker maken samen te werken met de grote drie Amerikaanse cloudaanbieders AWS, Google Cloud en Microsoft Azure. De samenwerking zou aan strengere regels moeten voldoen. Voor Nederlandse bedrijven is het lastig omdat zij de afgelopen jaren vaak afscheid hebben genomen van hun eigen datacenters en nu ruimte bij deze grote drie cloudaanbieders inkopen. Frankrijk wil zelfs, vooruitlopen op de Europese regelgeving, nog een stapje verder gaan en extra drempels tegen buitenlandse cloudaanbieders opwerpen. Hierdoor zou volgens de Nederlandse brancheverenigingen de facto de vrije Europese markt verdwijnen.

Argumenten voorstanders

Volgens het FD zijn er echter ook voorstanders van de komende Europese regelgeving te vinden. Vooral onder Nederlandse cloudaanbieders, vaak niche-bedrijven, die met eigen datacenters diensten leveren. Volgens de voorstanders zal de nieuwe regelgeving waarschijnlijk wel leiden tot minder Nederlandse cloudaanbieders, maar is dit een juiste schifting. Zij geven aan dat er genoeg Nederlandse cloudbedrijven zijn die de ‘kantjes ervan aflopen’ en nu wel gedwongen worden meer werk van de beveiliging van data te maken of het onderspit moeten delven.

Tip: Datacenters: Blijft Nederland de gateway tot Europa?