Skytjenester blir stadig viktigere for både offentlige og private aktører, og behovet for sikker lagring av data i skyen øker. Den europeiske skysertifiseringen vil derfor spille en avgjørende rolle i den frie dataflyten på tvers av Europa, og være en viktig faktor for å fremme innovasjon og konkurranseevne, kommenterte Executive Director, EU Agency for Cybersecurity, Juhan Lepassaar da forslaget ble presentert.
Den 22. desember 2020 publiserte det europeiske byrået for nettverks- og informasjonssikkerhet, ENISA, et utkast for en sertifiseringsordning av skytjenester – European Cybersecurity Certification Scheme for Cloud Services (EUCS). Ordningen har som formål å forbedre EUs interne markedsbetingelser for skytjenester og sørge for at skysikkerheten er i tråd med EUs forskrifter, internasjonale standarder, beste bransjepraksis og standarder i EUs medlemsstater. Andre nasjonale og internasjonale ordninger vil fortsatt være gyldige og aktuelle fram til, og en stund etter, utrullingen av EUCS.
Arbeidet med ordningen er i startfasen og en sertifisering ser vi nok ikke før i 2022, men det vil være viktig å følge med på utviklingen og være bevisst på at skyleverandørene fremover vil rette seg inn mot en sertifisering på lik linje med ISO 27001 og ISAE 3402 – en sertifisering både offentlige og private virksomheter i anskaffelsesfasen bør ha kjennskap til, blant annet da ordningen bidrar til å identifisere GDPR-kompatible leverandører.
Anerkjente standarder og beste praksis danner grunnlaget
EUs sertifiseringsordning vil være tilgjengelig for alle typer skytjenester, som IaaS, PaaS, SaaS og andre og vil være en frivillig ordning. Eksisterende standarder, som C5, NumSecCloud og ISO 27xxx-standardserien er brukt som basis og inspirasjon for arbeidet. Struktureringen av ordningen tar utgangspunkt i C5, men innholdet er forenklet mer og mer. Terminologien for skytjenester er for øvrig definert i ISO 17788.
Det pågår også arbeid med «Cloud-in-Cloud» og et eget online register over kjente trusler. Selve gjennomføringen av revisjoner er definert på et overordnet nivå, men hvilke krav som stilles til de som utfører revisjonene er ikke endelig formalisert.
De tre sikringsnivåene
Ordningen skal inneholde tre sikringsnivåer: «basic», «substantial» og «high»:
- Det laveste sikringsnivået, «basic», er ment for ikke-kritiske data og systemer, skal ha begrenset sikring, og formålet er å minimere kjente, grunnleggende, risikoer og trusler.
- Det mellomste nivået, «substantial», er ment for forretningskritiske data og systemer, skal ha god sikring og formålet er å minimere kjente risikoer og trusler utført av aktører med begrenset kunnskap og ressurser.
- Det høyeste sikringsnivået, «high», er ment for oppdragskritiske data og systemer, skal ha god sikring, automatiserte kontroller, og minimere kompliserte risikoer og trusler utført av aktører med særdeles gode kunnskaper og ressurser.
Veien videre
Ettersom ordningen har mange eksisterende standarder å ta hensyn til, er arbeidet rundt utformingen tidkrevende. Strukturen for ordningen er bestemt på et overordnet nivå, men dette blir optimalisert før utrulling. Både større og mindre endringer til utkastet kan derfor forventes fram til ordningen skal sendes til kommisjonen for godkjennelse.
Det vil dermed gå litt tid før sertifiseringsordningen er klar for markedet. I løpet av februar 2021 er det planlagt en gjennomgang av tilbakemeldinger gitt fra sikkerhetseksperter, og en håper en offisiell tilbakemelding / godkjenning fra EU kommisjonen i løpet av Q2. Først når denne foreligger kan selve implementeringen starte. Det forventes at ordningen iverksettes i løpet av Q3 eller Q4 2021, og at første sertifisering gjennomføres i løpet av Q1 2022. Dette er et forsiktig tidsestimat ettersom mye av planleggingen i forbindelse med utrullingen kan starte først etter at kommisjonen har godkjent forslaget.
En sertifiseringsordning av skytjenester vil i stor grad bidra til økt klarhet i tjenestetilbudet og innføre en nødvendig kvalitetssikring av leverandører og tjenester. Vi følger utviklingen av European Cybersecurity Certification Scheme for Cloud Services og vil dele oppdateringer og endringer etter hvert som disse foreligger.