AWS, Azure, GCP en andere cloudserviceproviders kunnen binnenkort een EU-cyberbeveiligingslabel nodig hebben om met gevoelige gegevens om te gaan.
Cloudserviceproviders (CSP's) zoals Google, Amazon en Microsoft kunnen in de Europese Unie (EU) als regio te maken krijgen met nieuwe uitdagingen op regelgevingsgebied werkt naar verluidt aan een ontwerpregel die niet-Europese CSP’s zal dwingen de handen ineen te slaan met Europese bedrijven als zij gevoelige gegevens op het internet willen verwerken wolk. Er zal een EU-cyberbeveiligingslabel worden afgegeven aan CSP’s als zij van plan zijn gevoelige gegevens te verwerken, en dit zal afhankelijk zijn van de eis dat er wordt een joint venture gevormd tussen een niet-Europese cloudaanbieder en een EU-bedrijf, waarbij laatstgenoemde daarin een meerderheidsbelang heeft vennootschap.
Het conceptdocument, gezien door Reuters, kent ook andere opmerkelijke beperkingen. Personeel dat toegang heeft tot gevoelige gegevens moet in de EU wonen en een screeningproces doorlopen om in aanmerking te komen voor deze rol. Bovendien moeten de clouddiensten die deze gegevens hosten, vanuit de EU worden beheerd en onderhouden, en moet elke gegevensverwerking op dezelfde manier binnen deze geografische grens plaatsvinden. Bovendien zullen strengere straffen van toepassing zijn op een CSP als een datalek negatieve gevolgen heeft voor de openbare veiligheid, de menselijke gezondheid of intellectueel eigendom. Een ander fragment uit het document luidt ook:
'Gecertificeerde clouddiensten worden alleen geëxploiteerd door bedrijven die in de EU zijn gevestigd, waarbij geen enkele entiteit van buiten de EU daadwerkelijke controle heeft via de CSP (cloudserviceprovider), om het risico te beperken dat niet-EU-inmengende bevoegdheden de EU-regelgeving, normen en waarden ondermijnen.
Ondernemingen waarvan de statutaire zetel of hoofdzetel niet in een lidstaat van de EU is gevestigd, mogen niet rechtstreeks of indirect, alleen of gezamenlijk, positieve of negatieve feitelijke controle uitoefenen over de CSP die de certificering van een cloud aanvraagt dienst.'
Als de conceptregel wet wordt, zal dit grote gevolgen hebben voor zowel niet-Europese CSP’s als hun Europese klanten. Om aan de wet te voldoen, zullen de twee partijen ervoor moeten zorgen dat het cyberbeveiligingslabel van de EU aanwezig is op de gebruikte clouddiensten. De eis kan zelfs van invloed zijn op bedrijven die al platforms zoals Microsoft Azure, Amazon Web Services (AWS) en Google Cloud gebruiken Platform (GCP) voor hun processen waarbij gevoelige gegevens betrokken zijn, omdat zij over het cyberbeveiligingslabel moeten beschikken om doorgaan.
De tijdlijn voor de uitrol van deze nieuwe regels is momenteel onbekend, wat logisch is aangezien deze zich momenteel in de conceptfase bevindt. Van landen in het EU-blok wordt verwacht dat zij dit document later deze maand zullen herzien.