De Nederlandse overheid moet met voorrang ervoor zorgen dat er 'voldoende controle' komt op cloudaanbieders. Ook moet de overheid nationale cloudinitiatieven steunen die bijdragen aan Europese cloudprojecten. Dat schrijft de Cyber Security Raad in een advies.
'Soevereiniteit-respecterende cloud' is een van drie basisvoorzieningen waar de overheid voorrang aan moet geven, schrijft de CSR in het advies Nederlandse Digitale Autonomie en Cybersecurity. Volgens het rapport wordt cloud de centrale infrastructuur voor bedrijven en publieke diensten. Het is belangrijk dat Nederland daar zeggenschap over kan houden.
De huidige markt voor cloudtechnologie bestaat uit dominante buitenlandse techbedrijven. Omdat het gaat om niet-Europese aanbieders, brengt dat ook controle van andere landen mee, die andere spelregels hanteren wat betreft spionage, privacy en afgifte van data, schrijft de raad.
Daarom moet de overheid komen tot een bindend kader voor uitbesteding en inkoopkracht actief inzetten om nationale cloudinitiatieven te steunen. Een aantal daarvan loopt al volgens de raad, die daarbij verwijst naar de Nederlandse Cloud Infrastructuur Coalitie, die wil bijdragen aan het Europese cloudplatform Gaia-X.
De doelstelling is het 'voldoende controle krijgen' ten opzichte van cloudaanbieders en hun controlerende overheden. Dat moet tegen 2025 gerealiseerd worden. De raad schrijft dat het in dit stadium 'niet de inzet' en 'zelfs niet een illusie' is om controle over de grote cloudplatforms terug te winnen.
Mogelijke maatregelen
De CSR noemt een aantal voorbeelden van wat de overheid kan doen om te werken aan deze doelstelling. Zo suggereert de raad een verplichtend cloudbeleid en aankoopbeleid, dat uiterlijk in 2022 ingevoerd moet worden. Verder zou de overheid vanaf eind 2021 deel moeten nemen aan Europese cloudprojecten die veelbelovend zijn voor Nederland en actief moeten bijdragen aan EU-beleid en -wetgeving hierover. Ook ziet de CSR een rol in de overheid als een launching customer van nieuwe privacybeschermende clouddiensten voor bijvoorbeeld justitie, politie en gezondheid.
Ook moet er prioriteit gegeven worden aan ondersteuning van onderzoek en innovatie in cloudprojecten en moeten start-ups die daarmee bezig zijn actief gesteund worden. Een ander voorbeeld is langdurige financiële ondersteuning van academische expertise voor het valideren en verzekeren van vertrouwen van cloudtechnologie. Het gebruik van privacybeschermende cloudoplossingen in het bedrijfsleven zou dergelijke diensten moeten promoten.
Veilige communicatie en post-kwantumcryptografie
Naast een soevereiniteit-respecterende cloud noemt de CSR veilige digitale communicatienetwerken en post-kwantumcryptografie als twee basisvoorzieningen waar Nederland aan moet gaan werken, vooruitlopend op nationale strategie- en beleidsvorming.
Volgens de CSR zijn de investeringen die nodig zijn om aan de basisvoorzieningen te voldoen tegelijkertijd ook een 'enorme kans' voor de Nederlandse ICT- en internetindustrie. De raad noemt daarbij de toppositie van Nederland in kwantumtechnologie, AMS-IX als een van de grootste internetknooppunten ter wereld en de grote hostingsector.
In april publiceerde de CSR een uitgebreid adviesrapport waarin staat dat Nederland tot aan 2024 nog eens 833 miljoen euro extra moet investeren in cyberweerbaarheid. Het nieuwe advies dat nu aan de regering is gestuurd gaat dieper in op specifiek digitale autonomie en cybersecurity.
De CSR is een onafhankelijk adviesorgaan dat is samengesteld uit hooggeplaatste vertegenwoordigers uit de publieke, private en wetenschappelijke sector. De raad stelt rapporten en adviezen op in opdracht van de Nederlands overheid.