ENISA over de certificeringen van een cloudprovider

      Reacties uitgeschakeld voor ENISA over de certificeringen van een cloudprovider

ENISA, het Europese centrum dat waakt over de cybersecurity in de EU heeft maandag een dik rapport in de markt gezet. Doel van het document “CSPCERT WG (Milestone 3), Recommendations for the implementation of the CSP Certification scheme, is te komen tot een methode van certificering voor cloud providers in de EU.

Het is geen makkelijk onderwerp waar deze WG – Working Group – zich over heeft gebogen. De belangen van het bedrijfsleven zijn groot, de Amerikanen willen niet van de lucratieve EU markt geduwd worden en de Europese aanbieders willen uiteraard een groter deel van de groeiende koek. Wat is er dan logischer om via eisen, later eventueel te verwerken in wetgeving, bepaalde concurrenten dwars te zitten.

Bij ENISA was men zich bewust van dat scenario plus de kans dat het tot een forse trans-Atlantische rel zou leiden. Mede daarom is gekozen voor een aanpak die niet bijzonder gewaagd klinkt. De WG moest komen met een werkbare oplossing “based on existing practices/schemes/standards used by the industry and internationally recognized”.

Het resultaat zal op de meesten insiders weinig indruk maken. In de 2+ jaren dat de WG bestaat komt men niet verder het advies Cloud Computing Assurance Levels (CCAL) in het leven te roepen. Drie niveau, basic, substantial en high moeten voldoende zijn om vraag en aanbod te laten matchen. Het accepteren van bestaande ISO en andere breder gedragen normen zou dat niet in de weg moeten staan.

De WG stelt ook voor een vorm van cloud certificering die kan worden uitgebreid met specifieke eisen voortvloeiend uit EU besluiten, zoals de AVG/GDPR en voorschriften van de Europese Centrale Bank.

De 158 (!) pagina’s laten geen bijzonder positieve indruk achter. Er zal op een enkele student, jurist of journalist niemand zijn die dit werk direct grondig zal gaan bestuderen. Dat heeft ook weinig zin, want inhoudelijk is het primair een opsomming van stappen die elke insider bekend zal voorkomen. ENISA is dan ook geen wetgever of orgaan dat een bedrijf iets kan voorschrijven. Daardoor is de kans groot dat wat het publiceert weinig indruk maakt. Dat een van de adviezen luidt dat cloud providers de mogelijkheid moeten hebben aan zelf certificering te gaan doen onderschrijft dat wel aardig. Providers die zoiets overwegen zullen snel doorkrijgen dat serieuze klanten daar geen genoegen meenemen. Providers die de zaakjes nog niet voor elkaar hebben, maar dat wel willen, zullen dat ook zonder ENISA wel voor elkaar krijgen.

Share: