Volledige cloudsoevereiniteit is moeilijk te realiseren. Bovendien is het geen wettelijke norm. Twee instanties, – de Rijksinspectie Digitale Infrastructuur en de Duitse BSI – laten hier in recente publicaties hun licht over schijnen.
Rijksinspectie Digitale Infrastructuur (RDI)
De Rijksinspectie Digitale Infrastructuur (RDI) stelt in een paper dat digitale weerbaarheid via de Cyberbeveiligingswet het echte doel moet zijn, niet Europese of nationale cloudsoevereiniteit. Organisaties moeten vooral digitale autonomie bereiken: grip op hun afhankelijkheden, data, processen en continuïteit.
De herkomst van de cloudleverancier is minder relevant dan de mate van regie, vindt de RDI. Een niet‑Europese cloud kan acceptabel zijn als risico’s beheerst zijn; een Nederlandse cloud kan onacceptabel zijn als grip ontbreekt. Zo stelt de Rijksinpectie, die sinds dit jaar toezicht houdt op de Cyberbeveiligingswet. Deze implementatie van NIS2 verplicht organisaties om grip te hebben op hun digitale afhankelijkheden.
Volgens de RDI moet de digitale autonomie centraal staan:
• Heeft de organisatie zelf regie op welke clouddiensten op welke wijze worden ingezet en met welk doel;
• En op welke wijze worden de risico’s beheerd.
De inspectie noemt drie thema’s uit de Cyberbeveiligingswet die extra relevant zijn bij het gebruik van clouddiensten:
1. Risicoanalyse en beveiliging van informatiesystemen;
2. Beveiliging van de toeleveranciersketen;
3. Effectiviteit van beleid en procedures.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Ook in Duitsland trekt de autonomie van de cloud veel aandacht. Het Duitse federale bureau voor informatiebeveiliging (BSI) heeft criteria gepubliceerd om de soevereiniteit van clouddiensten te beoordelen. Dat helpt met name beheerders van kritieke infrastructuur en diensten. Want voor hen is het lastig een oordeel te vormen over oplossingen van niet-Europese cloudproviders.
Het BSI stelt dat op dit gebied veel beloftes worden gedaan, maar dat de criteria vaak onduidelijk zijn. ‘Is een cloudoplossing soeverein als deze technisch veilig binnen de EU wordt beheerd? Of onafhankelijk is van de infrastructuur van een Amerikaans bedrijf?’ Volgens het BSI is technische it-beveiliging één ding, maar technische soevereiniteit is niet altijd een perfect op elkaar afgestemde reeks vereisten.
Veel discussie is er over de dreiging dat leveranciers permanent toegang kunnen houden tot de systemen en gegevens van hun klanten. Dit roept de vraag op naar digitale soevereiniteit, met name als het gaat om clouddiensten.
Met de C3A (Criteria enabling Cloud Computing Autonomy) heeft het BSI een actiekader gepresenteerd dat de soevereiniteitskenmerken van clouddiensten transparant maakt. De C3A-criteriacatalogus biedt transparantie, richtlijnen en de mogelijkheid om clouddiensten te selecteren op basis van criteria die relevant zijn voor de specifieke toepassing. De C3A dienen als leidraad voor actie en creëren transparantie, maar hebben geen wettelijke werking.
De C3A kunnen worden gebruikt door zowel cloudproviders als cloudklanten. Cloudproviders kunnen via een audit aantonen dat ze aan de criteria voldoen. Cloudklanten kunnen het raamwerk gebruiken om de vereisten voor hun eigen gebruikssituatie te identificeren en zo hun gewenste mate van soevereiniteit te bepalen. Het BSI zal in een volgende stap een richtlijn voor C3A-audits publiceren.
Weer eentje in het kader: waar praten we over.
Wat is nou digitale soevereiniteit ?
“grip te hebben op hun digitale afhankelijkheden.”
“Criteria enabling Cloud Computing Autonomy”, leidraad maar geen wettelijke werking.
En nou ?
Het wordt er niet makkelijker op.
Ik mis een begrip dat een aantal jaar geleden zo populair was in Computable: ontzorgen.
Was voorheen ontzorgen het doel van cloud. Het idee was dat iedere partij doet waar ze beste in zijn: Hyperscaler dus infrastructuur,
backups, security. Nu is dat juist het probleem. Die macht kan ook misbruikt worden.
En vertrouw je je eigen organisaties wel ?
“Werken in het kloppend hart van de digitale overheid
De lijnen bij Logius zijn kort en binding met je collega’s is belangrijk. De cultuur van Logius is informeel en collegiaal. Maar wat onze collega’s het meest kenmerkt is dat ze trots zijn op wat ze doen: ze werken elke dag aan het verbeteren van de digitale overheid voor heel Nederland. Werken bij Logius is werken voor Nederland.”
Van Oordt sprak zijn zorg uit als Privacy Ambtenaar …
De RDI is weer een toonbeeld van Nederlandse ambtelijke incompetentie die zich achter een papieren werkelijkheid verschuilt en denkt dat je met inventariseren en ik kaart brengen de risico’s kan beheersen. Deze toko moet onmiddellijk opgeheven worden.
De Duitsers doen het iets beter maar komen niet tot de onvermijdelijke conclusie dat soevereiniteit alleen gegarandeerd kan zijn als zowel de software en de hardware volledig van Europese bodem komen en de datacentra op Europese bodem staan beheerd en eigendom zijn van Europese bedrijven.
De overheden zoeken weren nieuwe bal waar ze hun hondjes achteraan kunnen laten hollen. Grijpvastheid, kleur en grootte moet nog even geloofwaardiger worden. Wat willen we eigenlijk?
Vervolgens kijken wat er zoal terugkomt aan BTW en Loonbelasting, met verlengde betaaltermijnen de liquiditeit een beetje in de gaten houden en streven naar zoveel mogelijk mensen aan het werk houden. Innovatie en concurrentie moeten ze er maar een beetje bij doen als ze dat leuk vinden. Van het baasje hoeft het niet. Efficiëntie is een vies woord. Als een leverancier aan vraag als volkomen overbodig of zelfs onwenselijk gaat wegpraten, zoek je zo snel mogelijk een andere leverancier op. Het geld was er immers al voor.
Innovatie en zo moet je niet aan concurrentie onderhevig latten zijn. Ja, bij TNO, NWO en onderzoeksgroepen van universiteiten misschien mits ze zoveel mogelijk samenwerking gezocht en gevonden hebben.
Iedereen blij.
Oeps, sorry voor het niet nalezen van het bovenstaande. Slordig.
Alles het gevolg van een overheid die veel en veel teveel geld heeft en zich gewoon als een rijke oom denkt te moeten opstellen om zich te handhaven. Niks dienstbaarheid. Geld? Was dat door de overheid uitgegeven schuldpapier? Weten ze niks meer van.