Det bør du vide om EU’s kommende certificering til cloud-tjenester

Indførelsen af en certificeringsordning vil gøre det lettere og sikrere at vælge en cloud-tjenesteudbyder, det kan spare virksomheder fra tidskrævende indkøbsprocesser og forhindre forkerte valg af leverandører. Det skriver Elin Tøndell, der er information security-konsulent hos Watchcom, i dette indlæg.
Brødtekst

Cloud-tjenester bliver stadig vigtigere for både offentlige og private aktører, og behovet for sikker datalagring i skyen er stigende. Derfor vil den europæiske cloudcertificering spille en afgørende rolle i forhold til den frie datastrøm på tværs af Europa, ligesom den vil være en vigtig faktor for at fremme innovation og konkurrenceevne, som administrerende direktør for EU's agentur for cybersikkerhed, Juhan Lepassaar påpegede, da forslaget blev præsenteret.

Den 22. december 2020 offentliggjorde Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) et udkast til en certificeringsordning for cloud-tjenester ved navn EUCS (European Cybersecurity Certification Scheme for Cloud Services).

Ordningen skal forbedre EU's interne markedsbetingelser for cloud-tjenester og sørge for at sikkerheden i tjenesterne er i top og overensstemmelse med både EU-regler, internationale standarder, de bedste branchestandarder og standarderne i de enkelte medlemslande i EU. Andre nationale og internationale ordninger vil fortsat være gyldige frem til udrulningen af EUCS og et stykke tid efter.

Arbejdet med ordningen er i opstartsfasen, og vi kommer sandsynligvis ikke til at se en certificering før 2022, men på trods af det er det vigtigt at følge udviklingen og være opmærksom på, at cloud-udbyderne fremover vil fokusere på en certificering på niveau med ISO 27001 og ISAE 2302 – en certificering, som både offentlige myndigheder og private virksomheder bør have kendskab til fordi den blandt andet hjælper kunder i indkøbsfasen med at identificere leverandører, der lever op til GDPR.

Anerkendte standarder og best practice danner grundlaget

 EU's certificeringsordning vil kunne bruges til alle cloud-typer, såsom IaaS, PaaS og SaaS, og det vil blive lanceret som en frivillig ordning.

De eksisterende standarder såsom C5, NumSecCloud og ISO 27XXX-standardserien har dannet grundlag og er brugt som inspiration til arbejdet med den nye ordning. Selve strukturen i den nye ordning er inspireret af C5, men indholdet er blevet forenklet. Terminologien for cloud-tjenester er i øvrigt defineret i ISO 17788.

Samtidig bliver der arbejdet med ”Cloud-in-Cloud” og et særligt onlineregister over kendte trusler på området. Selve gennemførslen af revisioner er defineret på et overordnet niveau, men kravene til dem, der udfører revisionen, er ikke endeligt formaliseret endnu.

Tre sikkerhedsniveauer

Den kommende ordning kommer til at indeholde tre forskellige sikkerhedsniveauer, der har fået navnene ”basic”, ”substantial” og ”high”.

Det laveste sikkerhedsniveau ved navn ”basic”, der er beregnet til ikke-kritiske data og systemer, har det laveste sikringsniveau og det har som hovedformål at minimere kendte og grundlæggende risici og trusler.

Det midterste niveau ved navn ”substantial” er tiltænkt forretningskritiske data og systemer, og her arbejdes der med god sikring, hvor formålet er at minimere kendte risici og trusler udført at aktører med begrænsede evner og ressourcer.

Det højeste sikkerhedsniveau finder vi i kategorien ”high”, og dette niveau er tiltænkt missionskritiske systemer og data, hvor der skal være god sikring, automatiske kontroller. På dette niveau er formålet at minimere komplicerede risici og trusler udført af aktører med solid viden og mange ressourcer.

Næste skridt

I arbejdet med den nye ordning skal der tages hensyn til mange eksisterende standarder, og derfor er der lagt op til en længere proces med udformningen af den nye certificering.

Det er blevet besluttet, hvordan ordningen skal bygges op på et overordnet niveau, men inden den endelige udrulning kan det blive optimeret. Derfor kan vi godt forvente, at der kommer både store og mindre ændringer i forhold til det udkast, som vi kender, når certificeringen skal sendes videre til EU-Kommissionen til godkendelse.

Med andre ord vil det altså tage noget tid, inden certificeringsordningen er klar til markedet. Der er planlagt en gennemgang med feedback fra sikkerhedseksperter i starten af 2021, og efterfølgende håber man på en officiel godkendelse fra Kommissionen i løbet af 2. kvartal i år.

Når denne del af arbejdet er overstået, kan den faktiske implementering af ordningen starte. Efter planen bør implementeringen af ordningen begynde i 3. eller 4. kvartal af 2021, og det er forventningen at den første certificering afsluttes i første kvartal af 2022. Forventningerne til både lancering og implementering er forsigtige, fordi processen først kan gå i gang, efter at Kommissionen har godkendt forslaget.

Men når den er klar vil den nye certificeringsordning til cloud-tjenester bidrage til øget klarhed for kunderne, når de skal vælge cloud-produkter, ligesom det vil føre til en bedre kvalitetssikring af leverandørerne på markedet.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her