De EUCS is een raamwerk voor het certificeren van de cybersecurity van clouddienstverleners. De afkorting staat voor de European Union Cybersecurity Certification Scheme for Cloud Services. De EUCS krijgt op het moment de nodige aandacht vanwege een position paper van de Online Trust Coalitie. In deze paper uit de Online Trust Coalitie zorgen over het raamwerk. In deze blog leggen we uit waarom er zorgen zijn over de EUCS.
Zoals gezegd, is de EUCS een raamwerk voor het certificeren van de cybersecurity van clouddienstverleners. Het raamwerk ondersteunt drie assurance levels: ‘basic’, ‘substantial’ en ‘high’. De vereisten voor het level ‘high’ zijn veeleisend en conform de ‘state-of-the-art’. Het basisniveau daarentegen definieert een minimum acceptabele baseline, maar is wel veelomvattend. Het substantiële niveau zit daar uiteraard tussenin. De intentie van het raamwerk is om de cybersecurity van clouddienstverlening te harmoniseren met regelgeving vanuit de EU, internationale standaarden, best practices uit de industrie en bestaande certificeringen van lidstaten.
De zorgen van de Online Trust Coalitie liggen vooral op het vlak van de concurrentiepositie van clouddienstverleners. De Online Trust Coalitie vreest dat deze bedrijven omzet mis zullen lopen doordat het lastig is om aan de gedetailleerde regels van de EUCS te voldoen.
De vrees dat het lastig is om te voldoen aan de regels van de EUCS komt voornamelijk doordat het uitgangspunt van het raamwerk ‘rule based’ is en niet ‘principle based’ zoals bijvoorbeeld de AVG en de concept DORA (Digital Operational Resilience Act). In de praktijk blijkt het vaak lastiger te zijn om precies te voldoen aan een pakket gedetailleerde regelgeving en bestaat de voorkeur om zelf risicoafwegingen te maken en passende beveiligingsmaatregelen te formuleren op basis van principes.
We zullen het verdere debat over de invulling van de EUCS moeten afwachten, waar nodig moeten beïnvloeden en goed in de gaten moeten houden hoe het finale raamwerk er uiteindelijk uit komt te zien. De kans is groot dat de EUCS voor een groot deel ‘rule based’ blijft, omdat de visie van experts over wat nu precies een passende beveiliging is soms sterk kan verschillen en het raamwerk juist tracht om eenduidigheid te creëren. Daarnaast is het raamwerk op dit moment opgezet als een raamwerk waaraan partijen vrijwillig kunnen voldoen. Clouddienstverleners kunnen daardoor ook de commerciële afweging maken om de EUCS niet als uitgangspunt te nemen, waardoor zij niet aan de gedetailleerde regels hoeven te voldoen.
Het is op dit moment echter de vraag hoe vrijwillig het raamwerk blijft. De kans is immers groot dat het voldoen aan de EUCS wel geëist wordt voor bijvoorbeeld dienstverlening aan de vitale sector en op de langere termijn ook voor andere maatschappelijke sectoren (wat commercieel gezien weer zeer interessant kan zijn…).
Meer weten over (cyber)security? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.