Duitsland roept op tot politiek debat over EU-plan voor cloudadoptie – EURACTIV.com

Duitsland heeft de Europese Commissie gevraagd om een ​​politiek debat over soevereiniteitsvereisten die de EU-executive heeft aangedrongen op opname in het EU-certificeringssysteem voor cyberbeveiligingsclouds, volgens een brief gezien door EURACTIV.

De brief, gedateerd maandag (19 september) is ondertekend door Andreas Koenen, Daniela Bronstrup en Ben Brik, directeuren-generaal van respectievelijk de Duitse ministeries van Binnenlandse Zaken, Economie en Digitaal. Het is gericht aan Roberto Viola, directeur-generaal van de digitale afdeling van de Autoriteit.

“Aangezien de discussie ook een politieke dimensie heeft gekregen, zien we een sterke gezamenlijke vraag om de kwestie van transparantie van het opstellingsproces te bespreken, evenals de noodzaak om deze vereisten en hun soort ‘immuniteit of soevereiniteit’ te implementeren.geeft het teken aan.

Het programma is een rechtshandhaving op het gebied van cyberbeveiliging en heeft tot doel een EU-brede certificering met meerdere zekerheidsniveaus te creëren. Hoewel het systeem vrijwillig is, moet een hoog niveau van zekerheid verplicht worden voor de kerndiensten die zijn opgenomen in de NIS2-richtlijn voor netwerkbeveiliging en informatiesystemen.

Juist vanwege deze hoge mate van zekerheid heeft de Commissie het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA), de instantie die verantwoordelijk is voor het ontwerpen van het systeem, gevraagd soevereiniteitsvereisten aan het systeem toe te voegen om de immuniteit van buitenlandse jurisdicties te waarborgen.

In de eerste versie die EURACTIV in juni rapporteerde, omvatte het plan immuniteit tegen elke vorm van niet-Europese toegang door cloudserviceproviders niet alleen in Europa te verplichten, maar ook dat ze niet onder de controle staan ​​van niet-Europese entiteiten.

Deze aanpak krijgt veel kritiek van een groeiend aantal landen van de Europese Unie. In juli hebben Denemarken, Estland, Griekenland, Ierland, Nederland, Polen en Zweden een informeel rapportagedocument verspreid ‘sterke zorgen’ over deze eisen.

De reden hiervoor is dat de aanpak van de Commissie, geïnspireerd op het Franse systeem SecNumCloud, de concurrentie van niet-Europese bedrijven, voornamelijk exploitanten van grootschalige datacenters die schaalbare clouddiensten aanbieden, zal beperken, zelfs als deze laatste schaalbare clouddiensten kunnen aanbieden. . Hetzelfde of een hoger niveau van cyberbeveiliging.

Soortgelijke zorgen werden geuit door 14 experts van ENISA’s Cloud Services Working Group, die in een open brief ook van juli vraagtekens zetten bij het proces dat leidde tot de opname van deze systeemvereisten.

Veel van de kritiek wees er inderdaad op dat de commissie probeerde politieke criteria op te nemen in wat een technisch instrument moest zijn. Dit komt met name tot uiting in de instantie die verantwoordelijk is voor de bespreking van het systeem, de European Cloud Certification Group, die is samengesteld uit nationale experts.

Omgekeerd ondersteunden de grote Europese cloudproviders, evenals Frankrijk, Italië en Spanje, de soevereiniteitseis. Ze beweren dat data-infrastructuur een belangrijke dimensie is van technologische soevereiniteit en dat deze maatregelen zullen helpen de cloudmarkt opnieuw in evenwicht te brengen.

In september zou de groep het conceptsysteem bespreken. De discussie werd echter uitgesteld vanwege toenemende kritiek op de aanpak van de commissie, met name uit Duitsland, dat naar verluidt steeds meer verdeeld raakt over de kwestie.

De nieuwe retoriek van Duitsland kan de weegschaal doen doorslaan in het voordeel van degenen die oproepen tot een politiek debat, aangezien het aandringt op indiening van het ontwerp aan de horizontale groep Cyber ​​​​Issues of de Telecommunicatie- en informatiemaatschappij-groep.

Het is belangrijk op te merken dat in de brief wordt gespecificeerd dat vertegenwoordigers van de lidstaten: Denk ook aan het economisch beleidsperspectief.wat inhoudt dat deze vraag niet bedoeld is om door cyberbeveiligingsexperts te worden beantwoord.

Meer in het bijzonder vindt de Duitse regering dat de mogelijke effecten van soevereiniteitseisen in het handelsbeleid op de agenda moeten staan. Het project heeft de aandacht getrokken aan de andere kant van de Atlantische Oceaan, waar het wordt gezien als een protectionistische maatregel.

De punten die Berlin wil bespreken zijn onder andere een uitleg van de reikwijdte en categorieën van entiteiten die volgens ENISA onder of buiten de reikwijdte van het systeem zullen vallen, mogelijke kosten/baten-alternatieven, de potentiële impact op gebruikers en leveranciers en de implicaties van de NIS2-richtlijn.

Leave a Comment