De Europese Unie overweegt een uitbreiding van de regels voor cyberbeveiligingscertificaten, specifiek gericht op de European Certification Scheme for Cloud Services (EUCS), onderdeel van de EU Cybersecurity Certification. Dit initiatief wordt geleid door het EU-agentschap voor cybersecurity, ENISA, en beoogt strengere regels voor clouddiensten die aan overheidsinstanties worden aangeboden.
Volgens de voorgestelde uitbreiding zouden ook Europese luchtvaartmaatschappijen en financiële instellingen verplicht worden om uitsluitend clouddiensten te gebruiken van gecertificeerde aanbieders. Deze informatie is gebaseerd op de meest recente versie van de EUCS, zoals gemeld door Reuters.
Het certificeringstraject vereist dat clouddiensten voldoen aan specifieke Europese regelgeving, gericht op het garanderen van de veiligheid van deze diensten. Belangrijke criteria voor certificering zijn onder andere samenwerking met Europese bedrijven en het lokaal draaien en beheren van de clouddienst, waarbij EU-wetten voorrang hebben op niet-EU-wetten.
Deze regelgeving is nog niet definitief en zal worden herzien door de lidstaten en de Europese Commissie. De CCIA, een Amerikaanse non-profitorganisatie die de belangen van techbedrijven vertegenwoordigt, heeft al zorgen geuit dat de wetgeving discriminerend zou kunnen zijn voor niet-Europese cloudaanbieders.
Ondanks deze zorgen hebben Amerikaanse cloudaanbieders al stappen ondernomen om aan deze nieuwe vereisten te voldoen, zoals het opzetten van Europese sovereign clouds. Deze clouds zouden onafhankelijk zijn, worden beheerd door Europese werknemers, en zouden zich richten op het beschermen van data tegen toegang door derde partijen, zonder de beperkingen van een traditionele on-premise infrastructuur.
