In Brussel zijn politici bezig om nieuwe regels te formuleren die bedrijfs- en persoonsgegevens in de cloud beter moeten beschermen. Nederlandse cloudbedrijven kijken met argusogen naar de uitwerking van de regels. De sector vreest dat zij tal van opdrachten en miljoenen euro’s aan omzet mislopen als zij niet aan de aanstaande Europese cybertoets kunnen voldoen. Mogelijk leidt dat tot een kaalslag onder cloudbedrijven. Dat zeggen diverse vertegenwoordigers van de Nederlandse cloudsector tegen het Financieele Dagblad.
De insteek van de nieuwe regels is om bedrijven die in Europa actief zijn beter te beschermen tegen hackers. Zij vormen met de dag een grotere dreiging voor ondernemers. Ransomware-aanvallen, die aan de orde van de dag zijn, vormen “een gevaar voor onze nationale veiligheid” en zijn “een plaag voor het MKB”, zo schreef de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg eerder dit jaar in het rapport Cybersecuritybeeld Nederland 2021. Recente cyberincidenten bij VDL, MediaMarkt en IKEA, waarbij de bedrijfsvoering niet langer op volle kracht werkt, tonen aan dat strengere veiligheidsregels geen overbodige luxe zijn.
De gekozen aanpak hindert echter innovatie, zo zegt Michiel Steltman van de Online Trust Coalitie (OTC), een samenwerkingsverband tussen Nederlandse cloudbedrijven, het ministerie van Economische Zaken en Klimaat en Agentschap Telecom. Ludo Baauw, managing director bij cloudbedrijf Intermax, is het daarmee eens. Hij is bang dat, als de regels eenmaal van kracht zijn, Europa in technologisch opzicht achter de feiten aan blijft lopen. De laatste technologische ontwikkelingen kunnen immers niet direct doorgevoerd worden, omdat ze eerst door een externe controleur bekeken moeten worden.
Ruud Alaerds, directeur van brancheorganisatie Dutch Cloud Community, vreest dat de Nederlandse cloudsector door de Europese cybertoets buitenspel wordt gezet. “Nederlandse bedrijven lopen miljoenen mis doordat ze in grote aanbestedingen van met name non-profit organisaties niet meer uitgenodigd worden”, zo vertelt hij aan het FD.
Het achterblijven van innovatie is niet de enige zorg van Nederlandse cloudbedrijven. Ze zijn tevens bezorgd dat de cybertoets de sector minimaal 200.000 euro per jaar kost. Dat past niet in ons land, waar duizenden hostingbedrijven actief zijn, zegt de sector. Dat bedrag is voor de meesten niet op te hoesten.
Tevens is de sector bang dat de ‘vrije digitale Europese markt’ verdwijnt. Door de regels maken het namelijk moeilijker om samen te werken met partijen als Microsoft en Amazon. Voor Nederlandse cloudbedrijven is dat een groot obstakel, aangezien zij de afgelopen jaren steeds vaker afscheid namen van hun eigen servers en deze huurden bij Amerikaanse technologiebedrijven.
De cloudsector is dus bezorgd over de nieuwe regels die in de maak zijn. De OTC stuurde daarom deze week een brandbrief naar Brussel over de Europese cybertoets. Tegelijkertijd zijn er ook partijen die het initiatief van de EU steunen. Erik Valgaeren, advocaat en partner bij advocatenkantoor Stibbe en gespecialiseerd in de cloud, denkt dat de regels voor een beter aanbod en betere voorwaarden zullen zorgen. Volgens hem zijn er genoeg cloudaanbieders die ‘de kantjes ervan aflopen’.
Terwijl veel cloudbedrijven moeite hebben dat veel regels gedetailleerd worden vastgelegd, heeft Valgaeren daar begrip voor. “Wie nu tien experts vraagt wat passende beveiliging is, krijgt tien verschillende antwoorden. Door de eisen specifiek op te schrijven, ontstaat meer eenduidigheid.”
Uit onderzoek van Ermatic blijkt dat er nog heel wat te verbeteren valt als het gaat om de beveiliging van de cloud. Volgens het cloudbeveiligingsplatform werd 98 procent van de bedrijven die clouddiensten afnemen in het afgelopen anderhalf jaar geconfronteerd met een datalek. Volgens de onderzoekers willen de meeste organisaties het goed doen, maar is de implementatie van extra veiligheidsmaatregelen lastig en te tijdrovend.
Er zijn diverse maatregelen die je kunt nemen om de cloudbeveiliging van je organisatie te verbeteren. Het invoeren van het least privilege beginsel is een startpunt. Medewerkers krijgen dan alleen toegang tot de informatie die voor hen bestemd is. Door toegang tot de cloud te beperken voorkom je dat ongeautoriseerde personen gevoelige gegevens kunnen inzien. Sterke wachtwoorden horen daarbij. Let er tot slot op dat de cloudaanbieder waar je zaken mee doet geaccrediteerd is.
