Belangen
Het is geen makkelijk onderwerp waar deze WG – Working Group – zich over heeft gebogen. De belangen van het bedrijfsleven zijn groot, de Amerikanen willen niet van de lucratieve EU markt geduwd worden en de Europese aanbieders willen uiteraard een groter deel van de groeiende koek. Wat is er dan logischer om via eisen, later eventueel te verwerken in wetgeving, bepaalde concurrenten dwars te zitten.
Bij ENISA was men zich bewust van dat scenario plus de kans dat het tot een forse trans-Atlantische rel zou leiden. Mede daarom is gekozen voor een aanpak die niet bijzonder gewaagd klinkt. De WG moest komen met een werkbare oplossing “based on existing practices/schemes/standards used by the industry and internationally recognized”.
Weinig indruk
Het resultaat zal op de meesten insiders weinig indruk maken. In de 2+ jaren dat de WG bestaat komt men niet verder het advies Cloud Computing Assurance Levels (CCAL) in het leven te roepen. Drie niveau, basic, substantial en high moeten voldoende zijn om vraag en aanbod te laten matchen. Het accepteren van bestaande ISO en andere breder gedragen normen zou dat niet in de weg moeten staan.
Cloud certificering
De WG stelt ook voor een vorm van cloud certificering die kan worden uitgebreid met specifieke eisen voortvloeiend uit EU besluiten, zoals de AVG/GDPR en voorschriften van de Europese Centrale Bank. 
De 158 (!) pagina’s laten geen bijzonder positieve indruk achter. Er zal op een enkele student, jurist of journalist niemand zijn die dit werk direct grondig zal gaan bestuderen. Dat heeft ook weinig zin, want inhoudelijk is het primair een opsomming van stappen die elke insider bekend zal voorkomen. ENISA is dan ook geen wetgever of orgaan dat een bedrijf iets kan voorschrijven. Daardoor is de kans groot dat wat het publiceert weinig indruk maakt. Een van de adviezen luidt dat cloud providers de mogelijkheid moeten hebben zelfcertificering te doen. Dat is een quote die geen indruk maakt. Providers die zoiets overwegen zullen snel doorkrijgen dat serieuze klanten daar geen genoegen meenemen. Providers die de zaakjes nog niet op orde hebben, maar dat wel willen, weten nu een ding. Ze kunnen dat ook zonder ENISA voor elkaar krijgen.
