Abonner
DEBATT

– EUC – Dette bør du vite om EUs nye ordning for skytjenestesertifisering

Innføringen av en sertifiseringsordning vil gjøre det enklere og sikrere å velge skytjenesteleverandør, kan spare norske virksomheter for tidkrevende anskaffelsesprosesser, og forhindre feil valg av leverandør.

chuttersnap-9AqIdzEc9pY-unsplash-m-Elin
chuttersnap-9AqIdzEc9pY-unsplash-m-Elin Foto: chuttersnap on Unsplash
Del
Kommenter
Elin Tøndel, rådgiver i Watchcom
20. feb. 2021 - 13:00

Skytjenester blir stadig viktigere for både offentlige og private aktører, og behovet for sikker lagring av data i skyen øker. Den europeiske skysertifiseringen vil derfor spille en avgjørende rolle i den frie dataflyten på tvers av Europa, og være en viktig faktor for å fremme innovasjon og konkurranseevne, kommenterte Executive Director, EU Agency for Cybersecurity, Juhan Lepassaar da forslaget ble presentert.

Den 22. desember 2020 publiserte det europeiske byrået for nettverks- og informasjonssikkerhet, ENISA, et utkast for en sertifiseringsordning av skytjenester – European Cybersecurity Certification Scheme for Cloud Services (EUCS). Ordningen har som formål å forbedre EUs interne markedsbetingelser for skytjenester og sørge for at skysikkerheten er i tråd med EUs forskrifter, internasjonale standarder, beste bransjepraksis og standarder i EUs medlemsstater. Andre nasjonale og internasjonale ordninger vil fortsatt være gyldige og aktuelle fram til, og en stund etter, utrullingen av EUCS.

Arbeidet med ordningen er i startfasen og en sertifisering ser vi nok ikke før i 2022, men det vil være viktig å følge med på utviklingen og være bevisst på at skyleverandørene fremover vil rette seg inn mot en sertifisering på lik linje med ISO 27001 og ISAE 3402 – en sertifisering både offentlige og private virksomheter i anskaffelsesfasen bør ha kjennskap til, blant annet da ordningen bidrar til å identifisere GDPR-kompatible leverandører.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Computas
30.000 strømmet til Las Vegas for Google Cloud Next. Dette var høydepunktene

Anerkjente standarder og beste praksis danner grunnlaget

EUs sertifiseringsordning vil være tilgjengelig for alle typer skytjenester, som IaaS, PaaS, SaaS og andre og vil være en frivillig ordning. Eksisterende standarder, som C5, NumSecCloud og ISO 27xxx-standardserien er brukt som basis og inspirasjon for arbeidet. Struktureringen av ordningen tar utgangspunkt i C5, men innholdet er forenklet mer og mer. Terminologien for skytjenester er for øvrig definert i ISO 17788.

Det pågår også arbeid med «Cloud-in-Cloud» og et eget online register over kjente trusler. Selve gjennomføringen av revisjoner er definert på et overordnet nivå, men hvilke krav som stilles til de som utfører revisjonene er ikke endelig formalisert.

Myndighetene i Norge er gode på trusselvurderinger, råd og veiledninger, både til virksomheter og private.  De fire første områdene over er hentet fra Nasjonal sikkerhetsmyndighets Grunnprinsipper for IKT-sikkerhet. De inneholder nyttige anbefalinger som vi benytter aktivt i operativt arbeidet med cybersikkerhet i TV 2.
Les også

Dagens trusselbilde på internett er skremmende

De tre sikringsnivåene

Ordningen skal inneholde tre sikringsnivåer: «basic», «substantial» og «high»:

  • Det laveste sikringsnivået, «basic», er ment for ikke-kritiske data og systemer, skal ha begrenset sikring, og formålet er å minimere kjente, grunnleggende, risikoer og trusler.
  • Det mellomste nivået, «substantial», er ment for forretningskritiske data og systemer, skal ha god sikring og formålet er å minimere kjente risikoer og trusler utført av aktører med begrenset kunnskap og ressurser.
  • Det høyeste sikringsnivået, «high», er ment for oppdragskritiske data og systemer, skal ha god sikring, automatiserte kontroller, og minimere kompliserte risikoer og trusler utført av aktører med særdeles gode kunnskaper og ressurser.

Veien videre

Ettersom ordningen har mange eksisterende standarder å ta hensyn til, er arbeidet rundt utformingen tidkrevende. Strukturen for ordningen er bestemt på et overordnet nivå, men dette blir optimalisert før utrulling. Både større og mindre endringer til utkastet kan derfor forventes fram til ordningen skal sendes til kommisjonen for godkjennelse.

Det vil dermed gå litt tid før sertifiseringsordningen er klar for markedet. I løpet av februar 2021 er det planlagt en gjennomgang av tilbakemeldinger gitt fra sikkerhetseksperter, og en håper en offisiell tilbakemelding / godkjenning fra EU kommisjonen i løpet av Q2. Først når denne foreligger kan selve implementeringen starte. Det forventes at ordningen iverksettes i løpet av Q3 eller Q4 2021, og at første sertifisering gjennomføres i løpet av Q1 2022. Dette er et forsiktig tidsestimat ettersom mye av planleggingen i forbindelse med utrullingen kan starte først etter at kommisjonen har godkjent forslaget.

En sertifiseringsordning av skytjenester vil i stor grad bidra til økt klarhet i tjenestetilbudet og innføre en nødvendig kvalitetssikring av leverandører og tjenester. Vi følger utviklingen av European Cybersecurity Certification Scheme for Cloud Services og vil dele oppdateringer og endringer etter hvert som disse foreligger.

Professor Michael Riegler i Simula Research Lab
Les også

Ikke riktig at Norge er en KI-sinke

Les mer om:
DEBATTSKYTJENESTERWATCHCOM
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra