Het Verenigd Koninkrijk stelt nieuwe regelgeving voor de beveiliging en veerkracht van datacenters voor. Afgelopen week lanceerde de Britse regering een nieuwe raadpleging, getiteld ‘Bescherming en verbetering van de veiligheid en veerkracht van de Britse data-infrastructuur’, om meningen te verzamelen over voorgestelde regelgevingen die de beveiliging en veerkracht van data-infrastructuur, inclusief datacenters, moeten verbeteren. Er wordt overwogen een nieuwe regelgevende instantie op te richten om toezicht te houden op de sector.
De regering stelt dat een nieuwe set wetten minimumvereisten verplicht zal stellen om te verzekeren dat datacenteroperators ‘geschikte stappen’ ondernemen om hun beveiliging en veerkracht te versterken. “We stellen voor om een nieuw, proportioneel wettelijk kader in te voeren, gericht op datacenters, om ervoor te zorgen dat alle relevante operators in het VK de risico’s adequaat beperken waar deze relevant zijn voor het nationaal belang, en in het bijzonder de nationale veiligheid. Dit kader zou in de toekomst toepasbaar zijn waar andere risico’s opduiken, vooral als gevolg van nieuwe bedreigingen, technologische ontwikkelingen en commerciële modellen,” aldus John Whittingdale, minister van Data en Digitale Infrastructuur.
De voorstellen richten zich op diensten van datacenters van derden, waarvan de regering stelt dat ze verschillende risico’s lopen, waaronder fysieke en digitale beveiligingsbedreigingen; zogeheten veerkrachtrisico’s, waaronder extreem weer; en gebrekkige informatie-uitwisseling en samenwerking in de industrie, wat het vermogen van de regering om risico’s te identificeren en aan te pakken, belemmert.
Volgens de regering kan regulering noodzakelijk zijn omdat bestaande sectorspecifieke regelgeving onvoldoende veiligheid en toezicht biedt op de datacentersector, gezien het ‘nationale belang’. “De kritieke rol van datacenters voor onze economie betekent dat de nationale schade als gevolg van significante beveiligings- of veerkrachtshocks veel groter kan zijn dan de commerciële schade voor welke operator dan ook, en daardoor zijn commerciële prikkels niet voldoende om het niveau van beveiligings-/veerkrachtstandaarden te stimuleren dat in het nationaal belang vereist is”, merkt het consultatiedocument op.
“Deze regulerende functie zou minimaal wettelijk toezicht hebben over organisaties die datacenters beheren, in het bijzonder die welke colocatie- en cohosting datacenterdiensten aanbieden als derde partij. Het zou streven naar het vaststellen van een basisniveau van mitigatie tegen beveiligings- en veerkrachtrisico’s door alle Britse datacenteroperators van derden.”
Het voorgestelde kader zou vereisen dat operators zich registreren bij een toezichthouder, incidenten rapporteren en waarschijnlijk moeten voldoen aan ‘basis’-maatregelen rond risico- & incidentmanagement en het waarborgen van fysieke en cyberbeveiliging van faciliteiten.
De raadpleging vraagt om feedback van eigenaars en beheerders van datacenters, cloud- en serviceproviders, klanten en experts in de sector. De raadpleging sluit op 22 februari 2024.
De Britse regering heeft vorig jaar een oproep gedaan voor meningen over het ontwikkelen van een risicobeheerkader voor datacenters. “We prijzen de Britse regering voor het erkennen van de vitale rol van de datacentersector in het ondersteunen van onze digitale economie. Het is bemoedigend dat DSIT van plan is te overleggen en te blijven samenwerken met de industrie om de veerkracht in deze kritieke sector te verbeteren,” zei Julian David, CEO van de industriële lobbygroep techUK in de Britse media. “Zoals bij alle regelgevende ontwikkelingen, kijkt techUK en zijn leden uit naar het betrokken zijn bij de kwestie om ervoor te zorgen dat de reikwijdte en beleidsontwikkeling op een manier worden uitgevoerd die praktisch is voor de industrie, haar klanten, leveranciersketen en consumenten, en rekening houdend met commerciële omgevingen.”
