Een Europees keurmerk voor veilige clouddiensten. Wat betekent dit voor Zeker-OnLine?
‘Een Europees keurmerk voor veilige clouddiensten.’ Het bericht met deze titel is recent verspreid door het ministerie van Economische Zaken en Klimaat (EZK) na het opleveren van de aanbevelingen voor een certificatie schema voor cloud diensten aan ENISA. De CSPCert werkgroep heeft deze aanbevelingen geschreven en levert daarmee dus een inhoudelijke bijdrage aan de ontwikkeling van het gewenste Europese Keurmerk. Een Europees Keurmerk gebaseerd op een cybersecurity-schema dat moest passen binnen het raamwerk van de Cybersecurity Act.
CSPCert is een stakeholder-werkgroep met afgevaardigden van aanbieders en gebruikers van cloud diensten en overige belanghebbenden uit onder meer Duitsland, Engeland, Frankrijk, Nederland, Oostenrijk, Portugal en Spanje. Namens Nederland namen vertegenwoordigers van Zeker-OnLine deel namens het ministerie van EZK en NOREA. Deze werkgroep is een initiatief van de Europese Commissie (EC) en heeft tot doel het schrijven van een uitgebreid voorstel / advies voor een cybersecurity certificerings-schema voor clouddiensten. De werkgroep wordt niet betaald door de EC en is dus géén EU-project. Maar de EC heeft zich wél gecommitteerd om wat te gaan doen met het advies van de groep. Het is de bedoeling dat ENISA door de EC gevraagd zal worden om op basis van dit advies een schema voor cybersecurity certificering van cloud diensten op te stellen onder de nieuwe Cybersecurity Act die 27 juni van kracht is geworden.
Lees meer over ENISA en het gewenste cybersecurity schema op dit factsheet.
Relatie tussen Europese Keurmerk en het keurmerk Zeker-OnLine
Het certificatieschema dat CSPCert voorstelt, bestaat uit twee pijlers:
- een normenkader gericht op cybersecurity en,
- de wijze waarop zekerheid wordt verkregen dat een dienst voldoet aan dit normenkader.
Het normenkader dat de werkgroep voorstelt focust vooral op informatiebeveiliging. Het normenkader dat Zeker-OnLine hanteert, is breder. Het richt zich naast informatiebeveiliging ook op de volgende kwaliteitskenmerken;
- Continuïteit van de applicatie en beschikbaarheidvan informatie op langere termijn. Zo wordt bijvoorbeeld voorkomen dat een gebruiker data meteen kwijt is bij een faillissement van de cloudleverancier, maar ook dat bij opzeggen door een gebruiker duidelijk is hoe er met de overdracht van data wordt omgegaan.
- Compliance met wet en regelgeving. In het Zeker-OnLine normenkader wordt uitgebreid aandacht besteed aan het voldoen aan de belangrijkste onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en bepalingen met betrekking tot overeenkomstrecht.
- Functionele aspecten van de cloud-applicatie. Zeker-OnLine besteedt aandacht aan de verplichte bewaarplicht van informatie voor de Belastingdienst en aan specifieke maatregelen die moeten waarborgen dat de onlineapplicatie doet wat het toezegt.
Zeker-OnLine is grotendeels gebaseerd op bestaande breed geaccepteerde normenkaders. Voor de maatregelen die gerelateerd zijn aan informatiebeveiliging is aansluiting gezocht bij de richtlijnen van Nationaal Cyber Security Centrum. Het beleid van Zeker-OnLine is erop gericht ervoor te zorgen dat keurmerkhouders straks ook voldoen aan het Europese Keurmerk.
Het toevoegen van Zekerheid of Conformity Assessment Methodologies
In de Cybersecurity Act wordt het onderzoek of een clouddienst aan een normenkader voldoet een ‘conformity assessment’ genoemd. In de aanbevelingen voor een Europees Keurmerk zijn drie verschillende methoden voor conformity assessment beschreven. ENISA en de EC zullen nog moeten bepalen welk type conformity assesment geschikt is voor welk type clouddienst. De drie voorgestelde methoden geven elk een niveau van zekerheid. Lage zekerheid wordt ontleend aan een zelfbeoordeling door de cloudleverancier zelf. Een hoger niveau van zekerheid wordt verkregen als het onderzoek volledig door een onafhankelijke derde partij (third party) wordt uitgevoerd.
Het Zeker-OnLine keurmerk wordt alleen verleend als er sprake is van assurance, via een oordeel van een onafhankelijke derde partij dus. Dit zorgt ervoor dat de gebruiker altijd een hoge mate van zekerheid krijgt dat een onlinedienst of product voldoet aan een normenkader. Een assurance audit is gebaseerd op een risico analyse en is daarom voor applicaties met verschillende risicoprofielen bruikbaar. * (lees meer over assurance en Zeker-OnLine Assurance – basis voor het keurmerk)
Verplicht of vrijwillig
De overheid kan met haar inkoopbeleid de vraag naar digitale veilige ICT- diensten stimuleren. Het certificeringsschema dat ENISA uiteindelijk opstelt, zal naar verwachting door lokale overheden verplicht worden gesteld bij uitbesteding of inkoop van digitale diensten. Voor de private sector zal certificering voorlopig vrijwillig zijn. De Europese Commissie overweegt wel een verplichting voor een aantal specifieke producen en diensten. Verwacht wordt dat dit met ingang van 2023 zal gebeuren. Zeker-OnLine verwacht echter dat gegeven het toenemende belang van digitalisering en daarmee de groeiende afhankelijkheid ten opzichte van cybersecurity, dat de vraag naar cybersecurity certificering de komende jaren sterk zal toenemen.
Deel dit artikel: