Wanneer is een cloud werkelijk soeverein?

In dit artikel:

De Rijksinspectie Digitale Infrastructuur (RDI) en het Duitse federale bureau voor informatiebeveiliging (BSI) hebben recent elk hun visie gepubliceerd op cloudsoevereiniteit: beide benadrukken dat volledige nationale of Europese soevereiniteit lastig haalbaar is en geen harde wettelijke norm vormt. De RDI zet in op digitale weerbaarheid en autonomie als kern: organisaties moeten vooral regie hebben over hun afhankelijkheden, data, processen en continuïteit, niet primair kiezen op basis van de herkomst van de aanbieder. Een niet‑Europese cloud kan acceptabel zijn wanneer risico’s beheerst worden; een Nederlandse oplossing is waardeloos zonder voldoende controle. De RDI, die dit jaar toezicht gaat houden op de Cyberbeveiligingswet (de implementatie van NIS2), noemt drie centraal relevante thema’s bij clouddiensten:
- risicoanalyse en beveiliging van informatiesystemen;
- beveiliging van de toeleveringsketen;
- effectiviteit van beleidsmaatregelen en procedures.

In Duitsland publiceerde het BSI de C3A (Criteria enabling Cloud Computing Autonomy), een niet‑bindende criteriacatalogus die de soevereiniteitskenmerken van clouddiensten zichtbaar en vergelijkbaar maakt. De C3A helpt vooral beheerders van kritieke infrastructuur om oplossingen van niet‑Europese providers te beoordelen en om te bepalen welke mate van autonomie nodig is. Het BSI wijst eveneens op het verschil tussen technische IT‑beveiliging en technische soevereiniteit en op het risico dat leveranciers permanente toegang tot systemen behouden. Zowel RDI als BSI adviseren praktischer risicomanagement en transparantie boven een starre focus op nationale herkomst; het BSI publiceert later nog een leidraad voor C3A‑audits.