Oproep aan Europese Commissie in verband met de European Cybersecurity Certification Scheme for Cloud Services (EUCS)

Dit omwille van:
- De hieronder geschetste risico’s en kosten voor zakelijke gebruikers van digitale technologie in het bedrijfsleven en bij de overheid
- Het voorkomen van de verdere inperking van de toch al beperkte marktwerking in markten voor digitale technologie
- Het overhaast inwisselen van de veiligheid die wordt geboden door de expertise van grote marktpartijen voor een papieren schijnveiligheid van een certificering die vooral naar nakomen van regels kijkt

Toelichting EUCS
In december vorige jaar is o.a. in het FD[1] reeds bericht over de zorgelijke kant die de ontwikkeling van Europese cybersecurity certification schemes voor clouddiensten (EUCS) leek op te gaan. Door druk vanuit de Franse overheid (en voorzitter van de Europese Unie in de eerste helft van 2022) heeft de ad hoc werkgroep bij ENISA (de European Network and Information Security Agency) enkele eisen opgenomen die een flink aantal niet-Europese aanbieders van clouddiensten buitenspel dreigt te zetten. De ontwikkelde certification schemes zijn bijna gereed en, hoewel nu nog vrijwillig te gebruiken, wordt ernaar verwezen in diverse (in ontwikkeling zijnde) verordeningen en kan certificering conform de schema’s op termijn ook worden verplicht.

Zorgelijke bepalingen
De crux zit ‘m in de bepalingen die inmenging van buitenlandse overheden moet uitsluiten. Op zichzelf een prima ontwikkeling, echter wordt die vormgegeven met enkele eisen rond de locatie en toegang tot data met het hoogste beschermingsniveau, denk aan medische data en staatsgeheimen. Volgens het meest recente concept-schema, moeten dergelijke data in de EU blijven voor verwerking en opslag, mogen alleen gescreende medewerkers van de cloud serviceprovider (csp) in de EU toegang hebben tot de data en de functionele infrastructuur componenten van de dienst. Als de csp gevestigd is in een land met regelgeving die de overheid in staat stelt data op te vragen bij de csp, ook als die data zich buiten het betreffende land bevindt (extraterritoriale werking), gelden extra regels. Dan moeten de contracten zijn gebaseerd op de wet in een EU-lidstaat, mag er geen enkele vorm van controle zijn van een entiteit buiten de EU over de csp.

Mogelijke gevolgen voor de zakelijke gebruiker
Na consultatie van diverse leden blijkt dat de volgende gevolgen waarschijnlijk zijn als deze bepalingen in de certificerings schema’s blijven staan:

• Hoewel de bepalingen gelden voor data met het hoogste beschermingsniveau, dat is ingeschat op grofweg 1-4% van de totale hoeveelheid data, is de inschatting van de aan de consultatie deelnemende ciso’s en certificeringsexperts, dat deze zwaarste eisen zullen worden gesteld aan alle csp’s. Dit heeft mede te maken met slechte interoperabiliteit van clouddiensten.
• Voor een groot deel van de kleinere csp’s zal het – zie ook het eerdergenoemde FD-artikel - niet mogelijk zijn aan de zware eisen te voldoen. Bovendien zullen niet-Europese csp’s grote moeite hebben om aan de criteria te voldoen, vooral aan de regels voor csp’s uit landen zoals de VS en China, met extraterritoriale werking van wetgeving rond toegang tot data.
• Dit beperkt het aantal aanbieders, daarmee ook de concurrentie en verhoogt waarschijnlijk de prijzen en mate van lock-in.
• Door uitsluiting van vele partijen vanuit de VS, die over het algemeen de hoogste veiligheidsniveaus halen. Is de kans aanzienlijk dat de veiligheid van de data afneemt.
• Bovendien zullen multinationals verschillende dienstverleners moeten inschakelen voor het opslaan en verwerken van hun data. Dat leidt tot extra beheerslasten, complexiteit bij het gebruik van data en inzichten over de grenzen heen en extra risico’s op lekken van data en continuïteit van operatie.
• Ten slotte wordt in het voorgestelde certificeringsschema vooral gekeken of een maatregel is geïmplementeerd, niet of het geïmplementeerde systeem veilig is. Het levert dus een papieren veiligheid op.

Om het nog concreter te maken, is het zeer waarschijnlijk dat veel partijen bijvoorbeeld in de zorg, waar de markt voor elektronische patiëntendossiers (EPD) wordt gedomineerd door twee grote spelers waarvan er één gevestigd is in de VS, door de criteria in dit certificeringsschema gedwongen kunnen worden afscheid te nemen van hun EPD, waarna er nog maar één grote partij overblijft. Eenzelfde situatie kan voor veel andere bedrijven en organisaties gaan gelden.

Europese politiek laat zichzelf buitenspel zetten door technische werkgroep
Het is qua proces ook bijzonder vreemd, dat dergelijke vergaande consequenties het gevolg lijken te gaan zijn van een certificeringsopdracht uitgevoerd door een besloten technische werkgroep. Een dergelijke ingrijpende wijziging van beleid met als doel digitale autonomie te bevorderen, zou op zijn minst politieke discussie en besluitvorming vergen. En eigenlijk daarvoor nog een zeer gedegen analyse van de mogelijke gevolgen en een publieke consultatie om stakeholders de gelegenheid te geven hun inbreng te leveren.

En dan hebben we het nog niet eens over het feit dat deze certificeringsexercitie de onderhandelingen tussen de Europese Commissie en de Verenigde Staten over een Privacy Shield 2.0 in de wielen rijdt. Daarin worden Schrems-II-proof afspraken neergelegd voor de verwerking van persoonsgegevens door partijen in de VS.

Vanwege de genoemde risico’s roepen we de Europese Commissie op zorgvuldiger te kijken naar de gevolgen van deze certificering en niet het certificeringsschema vast te stellen zonder degelijke afweging van voor- en nadelen.