Hoe houdt de RDI toezicht op het veilig aanbieden van clouddiensten

Wanneer ben ik een cloudserviceprovider volgens de wet?

Of uw dienst als clouddienst wordt gezien, hangt af van de definitie die in de wet wordt gebruikt. De exacte omschrijving verschilt per wet, maar over het algemeen is het heel vergelijkbaar. Een veelgebruikte definitie is bijvoorbeeld die uit de NIS2-richtlijn: “Cloudcomputingdiensten moeten digitale diensten omvatten die beheer op verzoek en brede toegang op afstand (‘broad remote access’) tot een schaalbare en elastische pool van deelbare computercapaciteit mogelijk maken, ook wanneer deze over verschillende locaties is gedistribueerd.”

Of uw organisatie daaronder valt, kunt u met de NIS2-zelfevaluatie onderzoeken. Zo weet u ook meteen of de NIS2-richtlijn op uw organisatie van toepassing is. 

Hoe helpt een cloudserviceprovider zijn klanten te voldoen aan de wet- en regelgeving?

Wij vinden het belangrijk dat u als cloudserviceprovider de risico’s rond uw dienstverlening goed in beeld heeft en beheerst. Dit geldt zowel voor continuïteit, als voor fysieke en digitale beveiliging. Daarnaast verwachten wij van uw klanten als die onder Cbw-toezicht staan dat zij ook inzicht hebben in hun leveranciersketen. U helpt uw klanten daarom door inzicht te geven in: 

• welke leveranciers u inzet;  

• vanuit welke landen u en uw leveranciers diensten leveren;

• waar de data van uw klanten is onder gebracht. 

Het is ook van toegevoegde waarde wanneer u duidelijk maakt welke maatregelen uw klanten zelf moeten nemen om uw diensten veilig te gebruiken. De keten is immers zo sterk als de zwakste schakel. 

Tot slot verwachten wij van u en uw klanten dat risico's van afhankelijkheid van leveranciers beheerst zijn. U kunt dit ondersteunen voor uw klanten door de mogelijkheid te bieden om data en diensten eenvoudig te migreren of om een hybride cloudstrategie te gebruiken. Het NCSC en DTC hebben diverse tools en handleidingen beschikbaar die helpen om de leveranciersketen in kaart te brengen.  

Wat zegt de RDI over het land waar de data wordt opgeslagen?

Het gebruik van clouddiensten betekent dat data, systemen en applicaties van een organisatie vaak niet meer volledig onder eigen beheer staan. Afhankelijk van de gekozen clouddienst kan het zijn dat deze ook onder een andere jurisdictie vallen. Dit brengt risico’s met zich mee voor de integriteit, vertrouwelijkheid en continuïteit van de dienstverlening. 

Wij verwachten daarom zowel van u als van de cloudserviceprovider, als ook van uw klanten die onder NIS2-toezicht staan, dat deze risico’s goed afgewogen zijn en de noodzakelijke maatregelen genomen zijn om de risico's te beheersen. 

Hoe kan een bedrijf dat onder ons toezicht staat de risico's van een (te grote) afhankelijkheid van clouddiensten beperken?

Wij verwachten dat afnemers van uw clouddiensten die onder ons toezicht staan de risico’s voor de continuïteit van hun dienstverlening goed beheersen. In specifieke gevallen kan dit zelfs betekenen dat gebruik van publieke clouddiensten niet mogelijk is vanwege veiligheidsredenen. Wanneer wel gebruik wordt gemaakt van de diensten van een cloudserviceprovider betekent dit, dat zij een duidelijke afweging maken van de risico’s van hun afhankelijkheid van u als cloudserviceprovider.  

Het is ondertussen heel voor de hand liggend en heel gebruikelijk dat organisaties op een of andere wijze gebruik maken van clouddiensten. De middelen, kennis en expertise die nodig zijn om alles volledig zelf te beheren, zijn binnen de organisatie vaak onvoldoende aanwezig of te duur. Daarom is het belangrijk dat risico’s rond afhankelijkheid van één leverancier goed worden beperkt.