EU-SEC – de moeite van het kennen en onthouden waard.

Een van de vaker gehoorde klachten van datacenters en cloud providers in Nederland is dat het zo moeilijk is klanten in het buitenland te werven. Los van de voornamelijk grote bedrijven die een tweede of volgende standplaats zoeken en bepaalde sectoren die niet overal welkom zijn, zijn er weinig succesverhalen die gedeeld worden.

Een van de redenen blijkt het verschil in opvatting over kwaliteit te zijn. Wat in Nederland contractueel wordt aangeboden en geformuleerd wijkt best veel af van wat een Franse, Duitse of Spaanse ondernemer op zijn thuismarkt gewend is. Daarbij gaat het niet over zaken als bandbreedte en opslag. Daar zijn internationale eenheden voor die overal gehanteerd worden. Het gaat veel meer over de kwaliteit en dan komt onvermijdelijk certificering om de hoek kijken.

Binnen de EU is het probleem van kwaliteitsverwachtingen bij cloud klanten en de manier waarop aanbieders daarmee omgaan bekend. In het kader van Horizon 2020 wordt er ook geïnvesteerd in studies die tot concrete resultaten moeten leiden. De reden waarom de EU dit probleem aanpakt is ook helder. Op dit moment wordt grensoverschrijdende handel belemmerd omdat de datacenters en vooral cloud aanbieders in de EU slecht onderling vergelijkbaar zijn. Een van de studies die hier over gaat heeft als project nummer 731845 en als projectnaam EU-SEC (European Security Certification Framework).

Wildgroei aan cloud standaarden

Het idee is eigenlijk heel erg simpel. “EU-SEC project has the ambition to make the current cloud security and privacy certification landscape more effective and efficient.” Anders gezegd zorg er voor dat wildgroei aan standaarden in de EU afneemt zodat een kleinere set overblijft die bekend en geaccepteerd wordt en voorkom daarmee dubbel werk. Concreet betekent het dat een cloud provider die reeds over een geldig ISO 123 beschikt, de onderdelen daarvan die ook voor ISO 456 gelden niet opnieuw hoeft te laten auditten en dat lokale variaties zovele mogelijk worden geharmoniseerd (“The purpose is […] to promote co-operation between different security frameworks, standards and best practices”). Het principe van dubbelwerk voorkomen is natuurlijk niet nieuw. Wie zelf al een ISO27001 heeft doorlopen weet dat de NEN7510 een stuk eenvoudiger is, omdat er al zoveel gelijkenissen tussen de frameworks zijn. We zien in Nederland ook vaker partijen het voorkomen van dubbel werk hanteren als usp voor de Governance Risk Control en de certificeringstooling die ze aanbieden. Helemaal met de AVG/GDPR voor de deur is dat een slimme methodiek die in combinatie met continuous monitoring / auditing zorgt voor hogere efficiency (in nummer 02 van Channel Connect wordt een aantal Nederlandse partijen genoemd).

Cloud apart geval

Cloud providers, datacenters en ook MSPs waren lange tijd niet de primaire doelgroep van dit soort aanpak, ze werden gezien als een apart en complex geval waar alleen (duur) maatwerk op van toepassing was. Dat zal veranderen als het EU-SEC plan verder geconcretiseerd gaat worden. Uiteindelijk zijn de doelstellingen voor iedereen in de genoemde sectoren zeer aantrekkelijk. Stel je de dag voor dat je een Duitse of Spaanse prospect, evenzo als een Zwitserse geïnteresseerde, niet meer hoeft uit te leggen wat elke punt en komma van je ISO27001 betekent. Gewoon omdat de dan geldende frameworks internationaal bekend en erkend worden. Op dat moment kan ook een kleinere Nederlandse aanbieder veel makkelijker, tegen lagere kosten, zaken doen met het buitenland. Dat is wat de EU voorstaat en daarom is 731845 / EU-SEC iets dat iedereen uit de sector op zijn netvlies moet hebben.

Helaas is zoals zo vaak de input vanuit de Nederlandse internetsector voor dit soort Europese beleidsvorming minimaal. Los van het Nederlandse CSA chapter zijn er welgeteld nul MSPs en cloud aanbieders bij het project betrokken. De zoveelste gemiste kans voor de sector.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.