De Franse regering wil niet-Europese cloudleveranciers uitsluiten van het hoogste niveau van zekerheid op gebied van cyberveiligheid. Dit tot woede van een groep kleinere landen onder leiding van Nederland. Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland) spreekt van een impasse die doorbroken moet worden.
Het Europese certificeringsprogramma dat het vertrouwen in clouddiensten moet bevorderen bestaat uit drie niveaus van veiligheid: laag, substantieel en hoog. | Beeld: Shutterstock
Volgens Steltman zijn onder druk van Frankrijk politieke thema’s in het certificeringsschema geslopen die daar absoluut niet in thuis horen, zegt hij op
Computable. Eurocommissaris Thierry Breton probeert, gesteund door Spanje en Italië, zijn doel van Europese technische soevereiniteit door te drukken.
Het certificeringsprogramma dat het vertrouwen in clouddiensten moet bevorderen bestaat uit drie niveaus van veiligheid: laag, substantieel en hoog. Alleen voor een aantal vitale sectoren en de overheid zou ‘hoog’ absolute noodzaak worden. Maar inmiddels is het denken hierover veranderd. Als het aan Frankrijk ligt moeten aanvragers bewijzen dat niet-Europese actoren geen toegang hebben tot de data om voor het niveau ‘hoog’ in aanmerking te komen. Met name voor kleinere en middelgrote cloud-aanbieders wordt het dan financieel niet haalbaar om het niveau ‘hoog’ te behalen.
Investeren in ingrijpende migraties
De voorgestelde immuniteit-bepalingen van Breton stellen, volgens Steltman, partijen die gebruik maken van de clouddiensten van grote Amerikaanse spelers als AWS, Microsoft en Google voor grote probleme: “Ofwel komen ze niet voor de certificering in aanmerking, of ze moeten gaan investeren in ingrijpende migraties.” De DINL-directeur vreest dat de Nederlandse markt hierdoor minder goed gaat functioneren. Daarom dringt Nederland aan op een impact-analyse. Maar Frankrijk probeert zelfs dit voorstel te saboteren, aldus Steltman.
Steltman spreekt van een impasse die doorbroken moet worden. Een systeem van certificering dat toegang geeft tot de hele EU-marktmoet er wel komen, vindt hij. Niemand zit te wachten op een oerwoud aan regels en certificaten dat ontstaat als individuele lidstaten alles zelf gaan regelen. Dat belemmert de expansie van Nederlandse bedrijven naar andere markten in Europa.