EU-certificering cloudbeveiliging loopt verdere vertraging op

Het Europese certificeringsprogramma voor cyberbeveiliging van clouddiensten (EUCS) zit in een impasse. Ondanks pogingen van het Poolse EU-voorzitterschap om in de eerste helft van 2025 tot een akkoord te komen, lijkt vooruitgang op korte termijn onwaarschijnlijk.

Het certificeringsprogramma voor cyberbeveiliging van clouddiensten is een van de belangrijkste wetgevingen die op stapel staat in functie van cybersecurity. Het EUCS-programma, dat in 2019 werd geïnitieerd door het Europese cyberbeveiligingsagentschap ENISA, is onder meer bedoeld om bedrijven te laten aantonen dat hun ict-oplossingen voldoen aan Europese beveiligingsnormen. Maar de voortgang van EUCS wordt geblokkeerd door politieke meningsverschillen over soevereiniteitseisen, waarbij vooral Frankrijk vasthoudt aan zijn nationale SecNumCloud-standaard.

Industriegroepen tonen zich intussen kritisch over de vertraging. BSA, belangenbehartiger van de mondiale software-industrie, betreurt dat het proces na al die jaren nog steeds niet is afgerond. Volgens de organisatie zou de focus moeten liggen op technische beveiligingsaspecten in plaats van politieke overwegingen. Bovendien is het gepalaver over het certificeringsprogramma al een tijdje aan de gang.

Cybersecurity Act

Waarnemers verwachten dat definitieve besluitvorming pas volgt na de herziening van de Cybersecurity Act (CSA), de onderliggende EU-wetgeving uit 2019. EUCS is namelijk het eerste stelsel van certificaten dat onder de Europese Cybersecurity Act valt.

Maar de Europese Commissie heeft nog geen besluit genomen over de herziening van die Cybersecurity Act. De nieuwe EU-commissaris voor technologische soevereiniteit, Henna Virkkunen, heeft wel aangegeven het goedkeuringsproces voor Europese cyberbeveiligingscertificaten te willen verbeteren. Maar voorlopig lijkt het hele proces op de lange baan te worden geschoven.