Standaarden en standaardisatieactiviteiten voor clouddiensten

Het Forum Standaardisatie adviseert de overheid over de al dan niet verplichte toepassing van de Open ICT standaarden in de publieke sector. Om de overheid te kunnen adviseren over standaardisatie in relatie tot de cloud, wil het Forum Standaardisatie een beeld krijgen van de standaarden die van belang zijn voor het beleid van de overheid voor het gebruik van cloudiensten. Hiervoor heeft Bureau Forum Standaardisatie een onderzoek laten doen door het onafhankelijk adviesbureau E-Space.

Een belangrijk uitgangspunt voor het onderzoek is de brief van de Staatssecretaris van Huffelen van 29 augustus 2022, waarin zij een wijziging aankondigt in het beleid van de Rijksoverheid voor het gebruik van clouddiensten. Het nieuwe beleid stelt kaders voor het gebruik van commerciële public clouddiensten door de Rijksoverheid en actualiseert het voormalige beleid uit 2011, dat zich vooral richtte op het in eigen beheer houden van clouddiensten.

Het overheidsbeleid voor clouddiensten brengt vragen met zich mee over digitale soevereiniteit, leveranciersonafhankelijkheid en informatiebeveiliging. Open standaarden voor dataportabiliteit, cloud interoperabiliteit en informatiebeveiliging kunnen deze waarden helpen ondersteunen. Het onderzoek had daarom als hoofddoel om een overzicht te geven van Europese, internationale en nationale standaarden en standaardisatieactiviteiten die relevant zijn voor cloud platformen, systemen en diensten. Ook werden trends en risico’s in beeld gebracht.

Forum Standaardisatie formuleerde de volgende onderzoeksvragen voor dit onderzoek:

1. Welke Europese, internationale en nationale standaarden bestaan er in relatie tot cloud, in het bijzonder voor cloudinteroperabiliteit, dataportabiliteit, informatiebeveiliging en orchestratie?

2. Welke Europese, internationale en nationale cloudstandaarden zijn nog in ontwikkeling, of gepland?

3. Zijn er witte vlekken? Dat wil zeggen, cloudtechnologieën of - toepassingen waar open standaarden nodig zijn, maar nog niet bestaan en nog niet ontwikkeling zijn?

4. Op welke (Europese en internationale) standaardisatieactiviteiten voor de cloud zou de overheid of de private sector in Nederland invloed moeten uitoefenen? Bijvoorbeeld omdat zij zich bewegen in een richting die niet overeenstemt met de waarden van de overheid, waaronder openheid, inclusie, informatiebeveiliging, privacy, digitale soevereiniteit en een evenwichtige markt? En is dat nog mogelijk?

Het onderzoek werd tussen september en december 2023 uitgevoerd. Voor het onderzoek zijn bronnen geanalyseerd (zie bijlage 9) en interviews gehouden met 27 experts van onder andere NEN, TNO, VNG, ICTU, ACM, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Ministerie van Justitie en Veiligheid, NCSC, Cloud Security Alliance, Microsoft en IBM (zie bijlage 10 voor de volledige lijst met geïnterviewde experts).

Ook zijn bijeenkomsten bijgewoond over het onderwerp cloud en standaarden. Dit betrof bijeenkomsten tijdens het iBestuur congres van 13 september 2023, de Haven community dag van 31 oktober 2023 en het ECP Jaarfestival van 16 november 2023.

Dit rapport is zo piramidaal mogelijk opgesteld, waarbij we beginnen met de conclusies (hoofdstuk 2) en adviezen aan de overheid (hoofdstuk 3), gevolgd door de onderbouwing (hoofdstuk 4).

De aanpak, scope en uitgangspunten en de resultaten van de deskresearch zijn in bijlagen opgenomen. Bijlage 5 bevat een uitleg van de cloud en clouddiensten, implementatievarianten van clouddiensten en een opsomming van belangrijke cloudleveranciers wereldwijd, in Europa en in Nederland. In bijlage 6 zijn de scope en uitgangspunten van het onderzoek beschreven, waaronder een samenvatting van het vernieuwde Rijkscloudbeleid van augustus 2022. Bijlage 7 bestaat uit een overzicht van de mondiale trends, Europese ontwikkelingen en initiatieven vanuit de Nederlandse overheid met betrekking tot het cloudbeleid.

Grote leveranciers van clouddiensten zijn deels bereid om mee te werken aan standaarden die interoperabiliteit en dataportabiliteit mogelijk maken. Tegelijkertijd blijft de afhankelijkheid van deze leveranciers groeien. In het marktonderzoek van de ACM van 2022 is deze tendens al duidelijk zichtbaar.

Voor clouddiensten is een ‘winner takes all’ markt aan het ontstaan die ertoe leidt dat het marktaandeel van de grootste hyperscalers alleen maar groeit ten koste van kleinere marktpartijen. De verweving van clouddiensten met proprietary AI versterkt deze ontwikkeling. Kleinere marktpartijen beschikken niet over de kennis en rekenkracht voor grootschalige AI, wat de positie van de grote hyperscalers verder versterkt. De Data Act is een stap in de goede richting om de markt meer in evenwicht te brengen, maar deze moet wel worden geïmplementeerd, onder andere door de ontwikkeling en verplichting van open standaarden. Daarvoor is initiatief en regie nodig.

Advies aan de overheid: pak meer regie op de markt voor clouddiensten, zowel op nationaal als Europees niveau. Leveranciers van clouddiensten willen best meebewegen, maar vragen duidelijkheid over de te implementeren standaarden. Open standaarden op Europees niveau zijn nodig om afhankelijkheid van hyperscalers en andere aanbieders te verkleinen. Deze zijn er nog niet, hier moet de overheid in Europees verband op inzetten. De overheid en de Europese Commissie kunnen daarnaast druk uitoefenen op cloudleveranciers om hun proprietary standaarden openbaar te maken, zodat deze ook door derden te gebruiken zijn.

“Cloud is een netwerkmarkt, die zich niet houdt aan de regels van de traditionele markten. Open standaarden zijn nodig om deze markt gezond te houden.”

Rudi Bekkers, Professor of Standardisation and Intellectual Property aan de TU Eindhoven

Kennis en kunde op het gebied van public clouddiensten is schaars en versnipperd bij de overheid. Dit in tegenstelling tot on-premise cloud-omgevingen waar veel meer kennis en ervaring over beschikbaar is. Meerdere ondervraagden geven aan dat er binnen de overheid weinig coördinatie is op alle maatregelen en acties die moeten worden ondernomen om de snelle ontwikkeling op het gebied van clouddiensten bij te houden en in goede banen te leiden. Zonder eigen, gebundelde expertise wordt de overheid ook qua kennis steeds afhankelijker van marktpartijen, en in het bijzonder de grote buitenlandse clouddienstverleners.

Advies aan de overheid: zet in op training, kennisopbouw en kennisbehoud, en op samenwerking tussen overheidsorganisaties. Sluit hiervoor aan bij (inter)nationale organisaties zoals NEN en de Cloud Security Aliance. Overweeg om een overheidsorganisatie hier verantwoordelijk voor te maken, zodat de coördinatie centraal wordt geregeld. Dit zou wellicht de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO) kunnen zijn. En trek meer experts aan binnen de overheid.

Met betrekking tot standaarden en normenkaders voor informatiebeveiliging en privacy is er al veel gaande. Sommige ontwikkelingen overlappen elkaar, en dit kan tot onduidelijkheid leiden. In het onderzoek kwam aan het licht dat overheidorganisaties die werken aan security controls, niet altijd aansluiten bij internationale standaarden of organisaties. Dit terwijl internationale samenwerking de positie van de overheid kan versterken. minBZK werkt bijvoorbeeld aan een control baseline op basis van SCuBA.

Advies aan de overheid: doe verdiepend onderzoek naar de samenhang en de overlap tussen nationale, Europese en internationale normenkaders. Kies vervolgens een duidelijke lijn, maak keuzes en sluit daarbij aan bij Europese en internationale organisaties en ontwikkelingen. Zorg dat deze tot verplichte norm verheven worden zodat partijen zich hieraan moeten houden.

Forum Standaardisatie richt zich vooralsnog alleen op standaarden voor gegevensuitwisseling tussen organisaties. Dat maakt het moeilijk om standaarden te verplichten zoals IMAP, die cruciaal zijn voor dataportabiliteit en leveranciersonafhankelijkheid, maar die doorgaans niet worden gebruikt voor gegevensuitwisselingsstandaarden tussen organisaties.

Advies aan het Forum Standaardisatie: onderzoek of de scope van de ‘pas toe of leg uit’-lijst binnen het bestaande mandaat kan worden verbreed met standaarden die leveranciersonafhankelijkheid en digitale soevereiniteit bevorderen, ook als deze standaarden niet overwegend worden toegepast op gegevensuitwisseling tussen organisaties.

Er zijn nog weinig open standaarden die dataportabiliteit ondersteunen. ISO 8000 biedt richtlijnen voor het effectief en efficiënt uitwisselen van data tussen verschillende systemen, organisaties en technologieën. Dit omvat standaardisatie van formats en terminologie om misverstanden en fouten te voorkomen. Er is echter geen vastgestelde standaard voor uitwisseling van gegevens opgenomen in databases.

Advies aan de overheid: richt een werkgroep op die open standaarden voor dataportabiliteit identificeert en aanmeldt voor verplichting op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Het kan ook gaan om standaarden die nog ontwikkeld worden of moeten worden. In het laatste geval kan de werkgroep aangeven wie deze standaarden zou moeten ontwikkelen, liefst in Europees verband. Maak praktische keuzen voor de periode waarin deze standaarden nog niet bestaan. Kies bijvoorbeeld voor Amazon Simple Storage Service (S3) API-specificatie voor bestandsuitwisseling tot hier een open standaard voor is ontwikkeld. Stel een lijst op van te ondersteunen opensource databaseformaten die cloudaanbieders tenminste moeten implementeren, en die door overheidspartijen gebruikt worden zoals Postgres, Mysql en Mongo.

Ter bevordering van de interoperabiliteit tussen clouddiensten van verschillende leveranciers zijn in dit onderzoek diverse standaarden geïdentificeerd die nog niet op de lijst van Open standaarden van het Forum Standaardisatie staan, maar mogelijk wel in aanmerking komen voor verplichting.

Advies aan de overheid: doe nader onderzoek welke van deze standaarden in aanmerking komen voor opname op de ‘pas toe of leg uit’ lijst van het Forum Standaardisatie. Sluit hierbij aan op standaarden die via de Data Act worden verplicht, en zet druk op leveranciers om ze te implementeren. Dit onderzoek kan worden gedaan door dezelfde werkgroep die in advies 3.6 genoemd werd.

Met betrekking tot standaarden voor systeem- en applicatieportabiliteit in de cloud heeft Haven (initiatief van de VNG) een goede basis gelegd voor uniform gebruik van Kubernetes. Haven wordt ondersteund door de commerciële hyperscalers en kent al diverse implementaties bij gemeenten. Deze ontwikkeling draagt sterk bij aan interoperabiliteitsverbetering.

Advies aan de overheid: meld de standaard Haven aan voor opname op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Help de ontwikkeling van Haven te versterken door te zorgen voor een bredere toepassing en solide financiering. Versterk Haven door een breder pallet aan functies te laten ondersteunen, die de standaard doorontwikkelen tot een vervanging van proprietary diensten.

Op de lijst aanbevolen standaarden van het Forum Standaardisatie staan standaarden die dataportabiliteit op bestandsniveau ondersteunen en verplicht zouden moeten worden gesteld aan cloudleveranciers. Het gaat bijvoorbeeld om open standaarden zoals IMAP, waarmee e-mailberichten van een cloudleverancier naar een andere kunnen worden overgezet. En WebDAV, waarmee bestanden met een standaard interface kunnen worden beheerd. Door deze standaarden op de ‘pas toe of leg uit’ lijst te zetten, moeten overheden ze uitvragen in hun aanbesteding van clouddiensten en moeten leveranciers ze dus ook aanbieden.

Advies aan de overheid: meld aanbevolen standaarden die relevant zijn voor dataportabiliteit aan voor opname op de ‘pas toe of leg uit’ lijst van het Forum Standaardisatie. Oefen via het strategisch leveranciers management (SLM) van de overheid druk uit op de cloudleveranciers om open standaarden te implementeren. Nog beter is het om deze druk met gelijkgestemde lidstaten op Europees niveau uit te oefenen.

Standaarden en normenkaders zijn cruciaal, maar ook belangrijk is het delen van kennis en ervaring over de toepassing ervan.

Advies aan de overheid: leg ook best practices vast over de implementatie van clouddiensten met normenkaders en standaarden. Net zoals ISO 27002 een soort best practice uitwerking is van ISO 27001. Dit geeft meer praktische handvatten aan overheden die de standaarden moeten uitvragen en normenkaders moeten toepassen.

Voor het onderzoek is gebruik gemaakt van de drie servicemodellen van clouddiensten zoals gedefinieerd door NIST SP 800-145: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Bijlage 5 geeft een nadere toelichting van deze drie servicemodellen. Al deze servicemodellen worden door overheidsorganisaties bij leveranciers afgenomen.

De drie servicemodellen van cloudcomputing hebben een scala aan standaarden nodig om interoperabiliteit, informatiebeveiliging, privacy en portabiliteit te bevorderen:

1. Beveiligings- en privacystandaarden: De implementatie van de beveiligingsstandaarden draagt bij aan het beperken van het risico van toegang door onbevoegden van informatie die impact kan hebben op de "informatieveiligheid" van de eigenaren en gebruikers van die informatie. De standaarden hebben betrekking op aspecten zoals data-encryptie, authenticatie, autorisatie en auditlogboekregistratie.

   Privacystandaarden richten zich op het betrouwbaar verwerken en vertrouwelijk houden van persoonsgegevens die in de cloud worden opgeslagen en/of daar worden verwerkt. Hierbij kan ook gedacht worden aan standaarden die betrekking hebben op gegevensmaskering, anonimisering en pseudonimisering.

2. Portabiliteitstandaarden: Deze standaarden maken het gemakkelijker om applicaties en gegevens van de ene cloudomgeving naar de andere te verplaatsen. Denk hierbij aan standaarden voor containerization en orchestratie. Ze kunnen helpen bij het vermijden van vendor lockin en het ondersteunen van multi-cloudstrategieën.

3. Interoperabiliteitsstandaarden: Deze standaarden zorgen ervoor dat verschillende cloudservices en -componenten met elkaar op een gestandaardiseerde wijze kunnen communiceren en gegevens kunnen uitwisselen. Deze kunnen ook helpen bij het vermijden van vendor lockin en het ondersteunen van multi-cloudstrategieën.

4. Overige standaarden: Standaarden die niet passen in bovenstaande classificatie maar wel relevant zijn voor cloud en clouddiensten en daarom niet ongenoemd mogen blijven.

Per soort standaard worden in onderliggen rapport de volgende beschouwingsaspecten behandeld:

• Normen.

• Bestaande standaarden opgenomen op de lijst van Open standaarden van het Forum Standaardisatie.

• Bestaande standaarden en standaard technologieën die nog niet zijn opgenomen op de lijst van Open standaarden.

• Standaarden die in ontwikkeling zijn.

• Ontbrekende standaarden, zogenaamde witte vlekken.

Bij het onderscheid tussen standaarden en normen zijn in het onderzoek de volgende definities gehanteerd: een standaard is een algemeen aanvaarde specificatie of richtlijn voor de beste praktijk, terwijl een norm een officieel vastgestelde eis is waaraan producten, diensten of processen moeten voldoen.

Dit document gebruikt het woord ‘standaard’ in brede zin. Hieronder vallen zowel open standaarden en leveranciersafhankelijke (‘proprietary’) standaarden, als technologieën die als de facto standaard opgevat kunnen worden.

Privacy en veiligheid is een belangrijk aandachtsgebied voor gebruikers van clouddiensten. De cloudvoorziening moet voldoen aan alle privacy en veiligheidseisen, net zoals deze nu gelden voor on-premise voorzieningen.

Beveiligings- en privacystandaarden zijn te bezien op meerdere lagen (strategisch, tactisch en operationeel). Uit de interviews met de experts komt het beeld naar voren van meerdere en elkaar deels overlappende certificatieschema’s op tactisch niveau, elkaar deels overlappende auditingframeworks op operationeel niveau, en daarnaast ook meerdere frameworks en richtlijnen voor cloudbeveiliging.

In het kader van de cloud is het ook belangrijk dat de persoonsgegevens veilig worden opgeslagen en verwerkt. Hiervoor zijn er binnen de kaders van Europese wetgeving drie varianten. Persoonsgegevens worden:

• in de EU opgeslagen en verwerkt,

• worden in een land waarvoor een adequaatheidsbesluit geldt verwerkt en opgeslagen, of

• worden in een land verwerkt en opgeslagen waarbij er ten aanzien van die verwerkingen waarborgen zijn vastgesteld waaruit blijkt dat de bescherming van persoonsgegevens dezelfde bescherming heeft als ware de verwerking in de EU.

Voor een gebruiker is het momenteel is nog niet altijd duidelijk waar de cloudvoorziening fysiek staat en wie toegang heeft tot deze voorziening. Ook is het tot nu toe is het vrij gebruikelijk dat het beheer van een cloudvoorziening in landen wordt uitgevoerd die niet dezelfde regels hebben ten aanzien van de bescherming van persoonsgegevens. Cloudleveranciers werken hard aan de realisatie van cloudvoorzieningen die voldoen aan een van de drie eerdergenoemde varianten.

Portabiliteitstandaarden zijn richtlijnen en specificaties die ontworpen zijn om de overdraagbaarheid van gegevens, software, systemen tussen verschillende platforms, systemen en apparaten te vergemakkelijken. In de context van cloudstandaarden zijn portabiliteitstandaarden essentieel om applicaties, systemen en gegevens te kunnen verplaatsen van de ene cloudomgeving naar de andere.

We maken onderscheid tussen twee typen portabiliteitstandaarden:

1. Standaarden voor systeem- en applicatieportabiliteit: Dit betreft de mogelijkheid van software om te functioneren op verschillende hardware of besturingssystemen zonder significante wijzigingen. Deze standaarden helpen bij het verminderen van afhankelijkheden van specifieke platformen.

2. Standaarden voor dataportabiliteit: Dit verwijst naar het vermogen om gegevens gemakkelijk van het ene systeem of platform naar het andere te verplaatsen. Dataportabiliteit is cruciaal in het digitale tijdperk, waar gegevens vaak moeten worden overgedragen tussen verschillende applicaties, databases of opslagsystemen. Standaarden voor dataportabiliteit zorgen ervoor dat deze gegevensoverdracht soepel verloopt, met behoud van de integriteit en bruikbaarheid van de gegevens.

Interoperabiliteitstandaarden in de context van cloudcomputing zijn cruciaal voor het waarborgen van een naadloze, effectieve interactie tussen verschillende cloudsystemen en -diensten van diverse aanbieders. Interoperabiliteit bevordert dus een meer open, flexibele en schaalbare cloudomgeving, waar gebruikers de vrijheid hebben om diensten van verschillende leveranciers te kiezen en te combineren op basis van hun specifieke behoeften.

In de context van cloudcomputing zijn portabiliteitstandaarden en interoperabiliteitstandaarden nauw met elkaar verbonden, maar ze dienen verschillende doelen. Portabiliteitstandaarden zijn gericht op het mogelijk maken van de overdracht van applicaties, data en diensten tussen verschillende cloudomgevingen zonder significante wijzigingen of verlies van functionaliteit. Interoperabiliteitstandaarden focussen op het waarborgen van de compatibiliteit tussen verschillende cloudsystemen en -services, zodat ze naadloos met elkaar kunnen samenwerken. Interoperabiliteit is cruciaal voor het creëren van een coherente, functioneel rijke cloudomgeving waar verschillende cloudservices en -componenten van verschillende leveranciers kunnen integreren en effectief samenwerken.

Hoewel beide beschouwingsgebieden van standaarden verschillende doelen hebben, zijn ze complementair. Goede portabiliteit vergemakkelijkt interoperabiliteit, omdat systemen die gemakkelijk van het ene naar het andere platform kunnen worden verplaatst, doorgaans ook beter kunnen samenwerken met systemen op die platforms. Er is echter wel overlap tussen beide type standaarden. Overlappende standaarden zijn in paragraaf 4.3 (Portabiliteitstandaarden) opgenomen.

Ondanks dat het onderzoek zich richt op standaarden voor beveiliging en privacy, portabiliteit en interoperabiliteit met betrekking tot cloudcomputing kwam een aantal aanpalende standaarden en normen ter sprake. Het betreft de volgende standaarden, normen en frameworks:

1. NIST SP 500-292: Het NIST Cloud Computing Reference Architecture is een generiek high-level conceptueel model dat dient als een gebruikersgericht referentiepunt.

1. ISO/IEC 22123-1:  Information technology — Cloud computing — Part 1: Vocabulary

   Bevat definities voor termen die in het kader van cloud gebruikt worden zoals: IaaS, PaaS en SaaS. Heeft overlap met NIST SP 500-292.

2. ISO/IEC 22123-2:  Information technology — Cloud computing — Part 2: Concepts

   Deze norm, getiteld "Deel 2: Concepten", heeft als doel het definiëren en specificeren van concepten die gebruikt worden op het gebied van Cloudcomputing. Het dient als een uitbreiding van de cloudcomputing vocabulaire die oorspronkelijk gedefinieerd werd in ISO/IEC 22123-1. Door deze concepten verder uit te werken, legt ISO/IEC 22123-2:2023 een fundament dat andere documenten en normen ondersteunt die geassocieerd zijn met cloudcomputing.

3. ISO/IEC 22123-3:  Information technology — Cloud computing — Part 3: Reference architecture. Deze norm, getiteld "Deel 3: Referentiearchitectuur", specificeert de referentiearchitectuur voor cloudcomputing (CCRA). Dit document is van belang omdat het richtlijnen en standaarden vastlegt die betrekking hebben op de structuur en organisatie van systemen en diensten binnen de cloudcomputing omgeving. De referentiearchitectuur die in dit document wordt beschreven, biedt een gestructureerde en gedetailleerde blauwdruk voor het opzetten en beheren van cloudgebaseerde systemen, waardoor het een essentiële bron is voor professionals in het veld van cloudcomputing.

4. NIST SP 800-154: Het Nationale Instituut van Standaarden en Technologische definities van cloudcomputing, dat een duidelijk beknopt raamwerk biedt voor het begrijpen van cloudtechnologie.

5. ETSI cloud standards: De Europese Telecommunicatie Standaarden Instituut hanteert verschillende standaarden en specificaties voor clouddiensten, gericht op interoperabiliteit, veiligheid en SLA’s.

6. ENISA Cloud Computing Risk Assessment: De Cloudcomputing Risk Assessment van ENISA (European Union Agency for Cybersecurity) is een uitgebreid document dat de potentiële risico's evalueert die samenhangen met de adoptie van cloudcomputingdiensten.

7. ISO/IEC 38500: ISO 38500 is een internationale norm die richtlijnen biedt voor effectief corporate governance van informatie- en communicatietechnologie (ICT).

8. FinOps-framework: Het FinOps-framework is een reeks principes ontworpen om organisaties te helpen hun cloudkosten effectiever te beheren en te optimaliseren.

9. ISO/IEC 19086: ISO/IEC 19086 is een reeks internationale normen die richtlijnen en best practices biedt voor cloud service level agreements (SLA's). Deze normen helpen bij het definiëren, documenteren en overeenkomen van service level doelstellingen, metingen en verantwoordelijkheden tussen cloud service providers en hun klanten.

10. ISO/IEC 19944: ISO/IEC 19944 (Deel 1 en 2) is een internationale standaard die zich richt op cloudcomputing en distributed platforms, met speciale aandacht voor het vaststellen van een raamwerk voor data flow en data categorieën in de cloud. Deze norm biedt richtlijnen voor het classificeren van data, inclusief de oorsprong, beweging, en het gebruik ervan binnen cloud en gedistribueerde computing omgevingen. Het helpt organisaties bij het identificeren van de verschillende soorten data die in de cloud worden verwerkt, zoals gebruikersgegevens, operationele data en metadata, en geeft aanbevelingen voor het beheer en de behandeling van deze data, rekening houdend met zaken als privacy, beveiliging en compliance.

Als referentiemodel voor de definities van cloudcomputing hanteren wij in dit rapport The NIST Definition of Cloud Computing. Deze referentie onderscheidt vijf essentiële karakteristieken van clouddiensten:

1. On-Demand Self-Service: Een afnemer van clouddiensten kan eenzijdig computercapaciteiten naar behoefte verkrijgen, zoals servertijd en netwerkopslag; automatisch zonder menselijke interactie met clouddienstverleners.

2. Broad Network Access: Functionaliteiten zijn via standaard mechanismen over netwerken beschikbaar voor verschillende type clients zoals: mobiele telefoons, tablets, laptops en werkstations.

3. Resource Pooling: De computerbronnen (zoals: opslag, verwerking, geheugen en netwerkbandbreedte) van de aanbieder kunnen worden verdeeld om meerdere afnemers te bedienen met behulp van een multi-tenant model, waarbij verschillende fysieke en virtuele bronnen dynamisch worden toegewezen op basis van de vraag van de afnemers. Er is een gevoel van locatieonafhankelijkheid in die zin dat de afnemer over het algemeen geen controle of kennis heeft over de exacte locatie van de geboden bronnen, maar wellicht de locatie op een hoger abstractieniveau kan specificeren (bijv. land, staat of datacenter).

4. Rapid Elasticity: Computerbronnen kunnen ‘elastisch’ worden geleverd en vrijgegeven, in sommige gevallen automatisch, om snel op en af te schalen. Voor de afnemers lijken de beschikbare computerbronnen vaak onbeperkt te zijn en kunnen op elk moment in elke hoeveelheid worden toegeëigend

5. Measured Service: Cloudsystemen meten en optimaliseren automatisch het gebruik van computerbronnen. Dit op een bepaald abstractieniveau (bijvoorbeeld opslag, verwerking, geheugen en netwerkbandbreedte). Het gebruik van computerbronnen kan worden gecontroleerd, beheerd en gerapporteerd, wat transparantie biedt voor zowel de aanbieder als de consument van de gebruikte dienst.

NIST onderscheidt drie servicemodellen van clouddiensten. Deze verschillende servicemodellen worden afgenomen door overheidsorganisaties. Dit zijn Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS):

1. Infrastructure as a Service (IaaS): IaaS biedt gebruikers toegang tot essentiële infrastructuur zoals fysieke machines, virtual machines, netwerk, opslag en andere fundamenten zonder dat ze de daadwerkelijke hardware hoeven te bezitten of te onderhouden. Voor de Nederlandse overheid kan dit betekenen dat er minder behoefte is aan grote datacenters of serverfarms, omdat deze resources op aanvraag vanuit de cloud kunnen worden verkregen.

2. Platform as a Service (PaaS): PaaS gaat een stap verder door naast de basisinfrastructuur ook een platform te bieden waarop applicaties kunnen worden ontwikkeld, uitgevoerd en beheerd. Denk hierbij aan besturingssystemen, databases, webservers, ontwikkeltools, toegangsbeheer, identiteitenbeheer, portaalfunctionaliteiten en integratiefaciliteiten. Voor overheidsinstellingen die unieke applicaties willen bouwen voor hun diensten, kan PaaS een waardevol hulpmiddel zijn door het ontwikkelproces te stroomlijnen zonder zich zorgen te maken over het onderliggende systeembeheer.

3. Software as a Service (SaaS): Dit is wellicht het bekendste model, waarbij gebruikers toegang hebben tot softwaretoepassingen via het web. Denk bijvoorbeeld aan e-maildiensten, CRM-systemen of samenwerkingstools, zoals: bijvoorbeeld kantoorapplicaties (bijv. Microsoft365), cliëntenbeheer (CRM, bijv. Salesforce), softwareontwikkeling (bijv. GitHub). Voor de Nederlandse overheid betekent dit dat verschillende departementen en agentschappen toegang kunnen hebben tot de nieuwste software zonder zich zorgen te hoeven maken over installaties, updates of compatibiliteitsproblemen.

Opmerking: in het komende EUCS (en ook ISO 22123) wordt de term ‘as a service’ vervangen door ‘Cloud Capability Types’, dus ‘Infrastructure Capability’, ‘Platform Capability’ en ‘Application Capability’. In dit rapport hanteren we de terminologie die op het moment van schrijven vigeerde.

Voor de overheid kunnen de drie modellen onder meer helpen om diensten efficiënter te leveren, te reageren op veranderende technologische behoeften en tegelijkertijd de overheadkosten te verlagen. Door de juiste mix van IaaS, PaaS en SaaS te kiezen, kan de Nederlandse overheid een technologische infrastructuur creëren die zowel flexibel als robuust is ten behoeve van primaire processen en binnen kaders standaarden.

Tijdens het onderzoek gaven geïnterviewden aan dat er in de praktijk eigenlijk geen duidelijke splitsing is tussen IaaS en PaaS. De drie hyperscalers (Google, Microsoft en AWS) en de overige cloudleveranciers leveren een mix van deze twee dienstensoorten. Over het algemeen worden in een IaaS-omgeving via appstores allerlei aanvullende diensten geleverd, zoals: databasetoegang, AI-capaciteit en authenticatie en autorisatiediensten.

NIST onderscheidt 4 typen implementatie van clouddiensten bij een cloudleverancier:

1. Public: De software en data staan dan volledig op de servers van de cloudprovider en er wordt een generieke (voor alle afnemers gelijke) functionaliteit geleverd.

2. Gemeenschappelijk: De cloudvoorziening is toegankelijk voor een beperkte groep afnemers, die elkaar onderling voldoende vertrouwen.

3. Privaat: Er wordt gewerkt op een (virtueel) private ICT-infrastructuur. In deze cloud heeft de gebruiker volledige controle over data, beveiliging en kwaliteit van de dienst. De applicaties die via de Private Cloud beschikbaar worden gemaakt, maken gebruik van gedeelde infrastructuurcomponenten die slechts voor één organisatie worden ingezet.

4. Hybride: een samenstelling uit meerdere van bovengenoemde implementatievarianten.

In het Cloud Cybersecurity Market Analysis van Enisas en andere achtergronddocumenten spreekt men ook de volgende implementatievariant, een variant die ook door de geïnterviewden werd genoemd: multi-cloud. Bij multi-cloud gaat het om een implementatievariant die net als de hybride-variant verschillende implementatievarianten combineert, en daarbij de implementatie van verschillende aanbieders combineert.

Cloudcomputing biedt een scala aan voordelen voor zowel individuen als organisaties. Hier zijn enkele van de meest prominente voordelen:

1. Kostenbesparing: Door gebruik te maken van de cloud kunnen afnemers besparen op de kosten van aanschaf en onderhoud van hardware. Ze betalen vaak alleen voor wat ze daadwerkelijk gebruiken. De Marktstudie Clouddiensten van het ACM bevestigt dit beeld omdat grote datacenters duidelijke schaalvoordelen hebben en dus in staat zijn goedkoper diensten aan te bieden dan kleine datacenters.

2. Schaalbaarheid en flexibiliteit: Een van de grootste voordelen van cloudservices is de mogelijkheid om gemakkelijk en snel op te schalen naarmate de behoefte van een organisatie groeit op het gebied van volume voor het optimaal laten werken van digitale toepassingen, zonder dat er grote investeringen in fysieke hardware nodig zijn. Bovendien maakt de enorme rekenkracht van de cloudtoepassingen toegankelijk die deze rekenkracht vereist. Denk hierbij aan Artificial Intelligence (AI) met als bekendste toepassing ChatGPT.

3. Toegankelijkheid en mobiliteit: Gegevens en applicaties in de cloud kunnen vanaf elke locatie met internettoegang worden benaderd. Dit maakt telewerken en toegang onderweg gemakkelijker. Bovendien biedt het de mogelijkheid beter samen te werken, zoals bijvoorbeeld het gezamenlijk werken aan een document.

4. Beveiliging en Compliance: Hoewel beveiliging in de cloud een veelbesproken onderwerp is, bieden veel cloudproviders geavanceerde beveiligingsfuncties die bedrijven wellicht niet zelf zouden kunnen implementeren omdat kennis of andere middelen ontberen. Gerenommeerde cloudaanbieders bieden geavanceerde beveiligingsfuncties en kunnen helpen om te voldoen aan strenge regelgevingsnormen.

De Nederlandse markt voor cloudcomputing is in veel opzichten een weerspiegeling van de bredere Europese en mondiale =markt, maar heeft ook zijn eigen unieke kenmerken. Hier is een overzicht van de cloudleveranciers in Nederland:

De top-3 hyperscalers verdelen met elkaar het grootste deel van clouddiensten. De volgende hyperscalers zijn actief voor de Nederlandse overheid:

1. Amazon Web Services (AWS

2. Microsoft

3. Google Cloud

Naast bovengenoemde hyperscalers zijn de volgende bedrijven actief op de Nederlandse cloudmarkt:

1. IBM Cloud

2. Oracle Cloud

3. VMWare

4. Red Hat

5. OVHcloud

Naast bovengenoemde mondiale spelers zijn er op het gebied van cloud een aantal Nederlandse bedrijven te noemen:

1. KPN Cloud

2. TransIP

3. LeaseWeb

4. Interxion

Opvallend is dat de grote internationaal opererende cloudleveranciers bijna allemaal van Amerikaanse afkomst zijn met vestigingen in Europa, OVHCloud is de enige Europese speler. Nu de public cloud onder voorwaarden ook te gebruiken is door overheidsorganisaties neemt het marktaandeel van deze hyperscalers bij de overheid toe. De dreigende beperkte verdeling van de markt en de afkomst van de grote leveranciers buiten Europa, vereist regulering middels (Europese) wetgeving en onderliggende normen en standaarden.

Hoofdpunten van het cloudbeleid zoals gedefinieerd in de brief van de Staatssecretaris:

1. Overheidsdiensten mogen onder bepaalde voorwaarden en uitzonderingen gebruik maken van public clouddiensten. Onderdelen van de overheid die niet tot de Rijksdienst behoren wordt geadviseerd om dit Rijksbeleid te volgen.

2. Verwerking van persoonsgegevens in public clouddiensten vereist een goedgekeurde pre-scan gegevens-beschermingseffectbeoordeling. Bij een hoog risico is een volledige Data Protection Impact Assessment (DPIA) noodzakelijk.

3. Elk departement is zelf verantwoordelijk voor het inzicht in de risico’s van het gebruik van public cloudtoepassingen.

4. Er komt een ‘implementatierichtlijn risicoafweging cloudgebruik’ voor het einde van 2022. Deze bestaat inmiddels, en is een implementatiekader geworden in plaats van een richtlijn.

5. Uitzonderingen: Public clouddiensten mogen niet worden gebruikt voor staatsgeheim gerubriceerde informatie. Het Ministerie van Defensie valt niet onder dit beleid.

6. Voorwaarden:

   • Departementen moeten hun eigen cloudbeleid formuleren.

   • Een relevante risicoafweging is vereist.

   • Jaarlijkse rapportage over het gebruik van public clouddiensten aan CIO Rijk.

   • Er moet een ‘exit strategie’ zijn in overeenkomsten met cloudleveranciers.

   • Clouddienstverlening moet voldoen aan bestaande ICT-voorwaarden.

   • Cyberveiligheid is essentieel, vooral met betrekking tot gegevensverwerking in andere landen. De overheid hanteert bij het cloudgebruik daarom ook de C2000 criteria, waardoor leveranciers of diensten uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen worden uitgesloten.

   • Besluitvorming moet openbaar zijn volgens de Wet Open Overheid.

   • Opslag en verwerking van persoonsgegevens moet in lijn zijn met de AVG.

   • Extra bescherming is vereist voor bijzondere persoonsgegevens.

   • In geval van de opslag en verwerking van een basisregistratie, of een bron van een basisregistratie wordt, in principe géén gebruik gemaakt van public cloudvoorzieningen.

De brief benadrukt het belang van een evenwichtige benadering, waarbij gebruik wordt gemaakt van de voordelen van public clouddiensten terwijl de risico's worden beheerst.

De onderzoeksvraag is geformuleerd door het Forum Standaardisatie. Het Forum Standaardisatie adviseert de publieke sector over het gebruik van open standaarden. Het Forum hanteert daarbij diverse doelstellingen en uitganspunten. Deze doelstellingen en uitgangspunten vormen de basis van dit onderzoek:

1. Open standaarden: Het Forum promoot het gebruik van open standaarden. Een open standaard is een specificatie die beschikbaar is en waarvan het gebruik niet beperkt is door patenten of licentierechten.

2. Level playing field: Door het gebruik van open standaarden wordt een gelijk speelveld gecreëerd voor aanbieders van ICT-producten en -diensten. Dit stimuleert innovatie en voorkomt dat overheidsorganisaties afhankelijk worden van één leverancier.

3. Interoperabiliteit: Eén van de belangrijkste doelstellingen van het Forum is het waarborgen van interoperabiliteit. Dit betekent dat verschillende diensten van verschillende cloudproviders probleemloos met elkaar kunnen communiceren en gegevens kunnen uitwisselen.

Cloudcomputing heeft een scala aan standaarden nodig om interoperabiliteit, veiligheid, privacy en portabiliteit te bevorderen. In het onderzoek wordt onderscheid gemaakt in de volgende soorten cloudstandaarden:

1. Beveiligings- en privacystandaarden: De beveiliginsstandaarden zorgen voor een veilige omgeving die niet toegankelijk is voor onbevoegden. De standaarden hebben betrekking op aspecten zoals data-encryptie, authenticatie, autorisatie en auditlogboekregistratie. Privacystandaarden richten zich op de bescherming van persoonlijke gegevens die worden opgeslagen of verwerkt in de cloud. Hierbij kan gedacht worden aan standaarden die betrekking hebben op gegevensmaskering, anonimisering en pseudonimisering.

2. Portabiliteitsstandaarden: Deze standaarden maken het gemakkelijker om applicaties en gegevens van de ene cloudomgeving naar de andere te verplaatsen. Denk hierbij aan standaarden voor containerization.

3. Interoperabiliteitsstandaarden: Deze standaarden zorgen ervoor dat verschillende cloudservices en -componenten met elkaar op een gestandaardiseerde wijze kunnen communiceren en gegevens kunnen uitwisselen. Ze kunnen helpen bij het vermijden van vendor lockin en het ondersteunen van multi-cloudstrategieën.

4. Overige standaarden: Standaarden die niet passen in bovenstaande classificatie maar wel relevant zijn en daarom niet ongenoemd mogen blijven.

In het onderzoek onderscheiden we naast standaarden ook normen en technologieën die gelden als de facto-standaard:

• Standaarden: Technische specificaties of andere nauwkeurige criteria die worden gebruikt als regels of richtlijnen om consistentie en interoperabiliteit te waarborgen. Ze kunnen worden opgesteld door officiële normeringsorganisaties, door brancheorganisaties, of kunnen zelfs de facto standaarden worden door wijdverbreid gebruik.

• Normen: In de context van technologie en IT, zijn normen vaak officiële documenten die best practices, methodologieën, processen of specificaties bevatten die algemeen worden geaccepteerd. Normen worden meestal uitgegeven door officiële normeringsorganisaties.

• Technologieën die als de facto-standaard opgevat kunnen worden. Hierbij gaat het niet om technische specificaties maar om werkende technische oplossingen die zo breed in de markt worden toegepast dat ze als standaard opgevat kunnen worden.

In hoofdstuk 4 wordt per soort cloudstandaard een opsomming gegeven van bestaande of standaarden die worden ontwikkeld. Indien mogelijk worden ‘witte vlekken’ beschreven.

Hier onder een overzicht van de belangrijkste mondiale trends in cloudcomputing:

1. Hybride en Multi-Cloud Strategieën: Bedrijven en organisaties gaan steeds meer voor een hybride cloudbenadering, waarbij ze zowel private als public cloud resources combineren. Bovendien adopteren ze multi-cloud strategieën, waarbij ze gebruikmaken van diensten van meerdere cloudproviders, om flexibiliteit te vergroten en risico's te verminderen.

2. Serverloze Architecturen: Serverloos computing, vaak aangeduid als 'Function as a Service' (FaaS), stelt ontwikkelaars in staat om applicaties te bouwen en uit te voeren zonder zich zorgen te maken over de onderliggende infrastructuur en benodigde diensten. Deze onderliggende infrastructuur en benodigde diensten worden geboden door clouddiensten Dit leidt tot snellere ontwikkeling en kan kosten verminderen.

3. AI en Machine Learning Integratie: Cloudproviders breiden hun diensten uit met tools en platforms die AI en machine learning integreren. Dit stelt organisaties in staat om krachtige data-analyses uit te voeren en intelligentie toe te voegen aan hun applicaties zonder grote voorafgaande investeringen. Hier zijn alle hyperscalers mee bezig én er wordt veel van verwacht gezien de investeringen die deze partijen nu doen.

4. Verbeterde Beveiligingsmaatregelen: Met de toenemende zorgen over cyberbeveiliging investeren cloudproviders in geavanceerde beveiligingstechnologieën, zoals AI-gedreven beveiligingsanalyses, encryptie en zero-trust beveiligingsmodellen.

5. Containers en Orkestratie: Ontwikkeling op basis van containers, zoals Docker, en orkestratietools, zoals Kubernetes, zijn in populariteit gestegen, omdat ze ontwikkelaars helpen om applicaties te bouwen die gemakkelijk kunnen worden geschaald en over verschillende cloudomgevingen kunnen worden verplaatst wat de portabiliteit vergroot.

6. Duurzaamheid: Met de groeiende zorgen over klimaatverandering kijken bedrijven en consumenten steeds meer naar de milieueffecten van technologie. Cloudproviders reageren hierop door duurzamere datacenters te bouwen en groene energie te gebruiken.

7. Data-soevereiniteit en lokale Regulaties: Met strengere gegevensbeschermingswetten in verschillende landen en regio's werken cloudproviders aan regionale datacenters en het aanbieden van specifieke oplossingen om aan de regelgeving te voldoen.

De mondiale trends in cloudcomputing zijn een reflectie van het snel veranderende technologische landschap en de behoeften van organisaties en individuen. Terwijl cloudcomputing blijft evolueren, zullen de fundamentele principes van flexibiliteit, schaalbaarheid en on-demand toegang de drijvende krachten achter deze transformatie blijven.

We hebben eerder vastgesteld dat de cloud ons veel voordelen gaat bieden. Om te zorgen voor een gecontroleerde ontwikkeling conform de normen en waarden die gelden in de Europese samenleving is het van belang om passende maatregelen te nemen. Deze maatregelen moeten leiden tot passende wet en regelgeving met daarin een verwijzing naar de verplichte toepassing van open standaarden door cloudleveranciers.

De EU ziet wetgeving en standaardisatie als een strategisch instrument om de markt voor clouddiensten gezonder en veiliger te maken. Acties voor cloudcomputing in het Rolling Plan 2023:

“Action 1 - Identify needs for ICT standards and open source technologies to further improve the interoperability, data protection and portability of cloud services and continue or start respective development activities…

Action 2 - Promote the use of the ICT standards needed to further improve the interoperability, data protection and portability of cloud services as well as multi-cloud management.”

Hieronder een opsomming van interessante Europese ontwikkelingen die van invloed zijn op de manier waarop gegevens worden opgeslagen, verwerkt en gedeeld op Europees niveau en die van invloed zijn op de vormgeving van clouddiensten:

1. Data Governance Act: Op 24 september 2023 is de Data Governance ACT in werking getreden. De verordening creëert een nieuwe Europese manier van data governance, gebaseerd op een toenemend vertrouwen in het delen van data. Het heeft tot doel een veilige omgeving te creëren voor het delen van gegevens tussen sectoren en lidstaten, ten behoeve van de samenleving en de economie. Deze strategie heeft directe implicaties voor cloudcomputing, aangezien het beoogt sectorspecifieke, gedeelde Europese datasystemen te ontwikkelen. Voor Nederland betekent dit dat overheidssystemen compatibel en in lijn moeten zijn met deze Europese initiatieven.

2. Data Act: Deze Europese Verordening verplicht aanbieders van clouddiensten om het voor gebruikers mogelijk te maken om gemakkelijk over te stappen naar een andere aanbieder zonder verlies van gegevens en functionaliteit (portabiliteit). De Verordening schrijft geen specifieke standaarden voor die aanbieders hiervoor moeten gebruiken; wel worden een aantal functionele eisen gedefinieerd waaraan zijn moeten voldoen. Naast de verplichting om portabiliteit mogelijk te maken, moeten aanbieders van clouddiensten ook interoperabiliteit mogelijk maken; dat wil zeggen dat gebruikers ervoor moeten kunnen kiezen om zonder problemen parallel gebruik te maken van twee of meer aanbieders van clouddiensten. Op het laatste punt heeft de ACM ook aangedrongen, naar aanleiding van de bevindingen die zij heeft opgedaan in de marktstudie naar clouddiensten. Hoewel de Data Act geen specifieke standaarden voorschrijft voor portabiliteit en interoperabiliteit, biedt de Data Act wel de mogelijkheid dat de Europese Commissie dergelijke standaarden in de toekomst alsnog opstelt in de vorm van gedelegeerde wetgeving. Het Europees Parlement en de Europese raad hebben de Data Act inmiddels aangenomen. Daarna kan de Data Act gepubliceerd worden. Vanaf het moment van publicatie duurt het dan nog twintig maanden voor de Data Act van toepassing wordt. Dat is dus in het najaar van 2025.. Een Europese focus groep gaat beoordelen welke kaders en voorzieningen moeten worden ontwikkeld om de lidstaten te ondersteunen bij de invulling van de Data Act. De groep gaat zich o.a. richten op open standaarden en data spaces.

3. GAIA-X: Dit initiatief, voornamelijk aangestuurd door Duitsland en Frankrijk, streeft of streefde naar de oprichting van een concurrerend, veilig en betrouwbaar cloudaanbod voor Europa. GAIA-X heeft als doel Europese waarden en regelgeving rondom data te waarborgen. GAIA-x lijkt de doelstelling om te komen tot een concurrerend cloudaanbod te hebben verschoven naar het gezamenlijk ontwikkelen van een digitale governance laag die (overheids)organisaties in staat stelt grip te houden op de public cloudvoorzieningen, waarbij de interactie tussen cloudvoorzieningen en de migratie van een cloudplatform naar een ander cloudplatform eenvoudiger wordt. Grip betekent ook het voldoen aan allerlei beveiligingsstandaarden. Diverse experts zijn kritisch over de resultaten die tot nu toe zijn gerealiseerd vanuit GAIA-x. De Nederlandse overheid moet de ontwikkelingen rondom GAIA-X nauwlettend volgen, gezien de potentiële implicaties voor interoperabiliteit en data-soevereiniteit.

4. Digitale Soevereiniteit: De EU heeft de ambitie uitgesproken om de digitale soevereiniteit van haar lidstaten te vergroten. Dit heeft betrekking op de capaciteit van Europa om onafhankelijke digitale oplossingen te ontwikkelen, waaronder cloud infrastructuren. Dit kan gevolgen hebben voor waar en hoe overheidsgegevens worden opgeslagen.

5. Versterking van de GDPR: De Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels) blijft zich ontwikkelen met aanvullende richtlijnen en interpretaties. Het is cruciaal voor de Nederlandse overheid om zich aan te passen aan deze evoluerende normen, vooral in de context van clouddiensten.

6. EU Cloud Code of Conduct: Deze gedragscode, goedgekeurd door de Europese Autoriteit voor gegevensbescherming, biedt richtlijnen voor cloud service providers over hoe zij de GDPR in hun diensten kunnen integreren. Het zorgt voor een uniforme interpretatie van de GDPR binnen de cloudsector, wat relevant is voor de Nederlandse overheid bij het selecteren van cloud partners.

7. Europese Cybersecurity Act: Ingesteld in 2019, deze wet introduceert een EU-breed kader voor cybersecurity-certificering. Het is een framework met toetsbare criteria. Diverse organisaties zijn gemandateerd om te certificeren. De certificering kent verschillende niveau’s. Onderdeel van de Europese Cybersecurity Act is de NIS2 (opvolger van de NIS1). Net als de Europese GDPR voor privacywetgeving wordt de Europese NIS2 ook verplichte wetgeving. De GDPR is in Nederland de AVG geworden, de NIS2 heeft ook een Nederlandse naam, de NIB2 (Netwerk- en Informatiebeveiligingsrichtlijn). Deze zal als Nederlandse wetgeving in de tweede helft (september) van 2024 geïmplementeerd moeten zijn (21 maanden na goedkeuring). Overigens geldt dit voor alle 27 Europese lidstaten. De NIS2 moet de cyberweerbaarheid versterken door het beveiligingsniveau te verhogen en het nemen van “basismaatregelen” afdwingen om cyberaanvallen te voorkomen en de impact ervan te verkleinen. Als de Nederlandse overheid gebruik maakt van clouddiensten, is het belangrijk te waarborgen dat deze diensten voldoen aan de Europese cybersecurity-normen en aan de Nederlandse versie van de NIS2.

8. European cloud rulebook: Om Europese bedrijven en publieke organisaties, die in toenemende mate afhankelijk zijn van cloudtechnologieën, te beschermen, is het belangrijk dat cloud- en edgediensten die in Europa worden aangeboden volledig voldoen aan de relevante (algemene en sectorale) wetten, maar ook aan de belangrijkste Europese zelfregulerende normen en standaarden met betrekking tot veiligheid, energie-efficiëntie, gegevensbescherming, interoperabiliteit en eerlijke concurrentie. De afgelopen jaren hebben belanghebbenden uit de sector in Europa samengewerkt om dergelijke zelfregulerende normen en standaarden te ontwikkelen. Het komende EU Cloud Rulebook zal een uitgebreide catalogus van dergelijke regelingen bieden en de mechanismen beschrijven om de naleving ervan aan te tonen.

9. Simpl-project: Met het Smart Middleware Platform (Simpl) kunnen EU-belanghebbenden middelen bundelen om meer bedrijfswaarde en efficiënt gebruik van hulpbronnen te creëren, de kosten te verlagen en dubbel te vermijden. Deze middleware vergemakkelijkt de verbinding tussen geïsoleerde datacentra en EU-actoren die kunnen profiteren van onderbenutte infrastructuur. Ook zal deze databronnen openstellen voor publieke instellingen, kmo's, organisaties en de industrie om de dienstverlening in het algemeen publiek belang te verbeteren. De middleware kan worden benut in de ambitie van de commissie om een ​​open marktplaats voor EU-middelen te creëren, wat leidt tot efficiënt hergebruik van inspanningen van andere EU-partijen. In lijn met de Europese Green Deal zal het Smart Middleware Platform gebaseerd zijn op energiezuinige software. De diensten zijn ook gericht op het optimaliseren van het energieverbruik in alle sectoren**.**

10. DOME-marketplace: DOME is een ecosysteem dat alle belanghebbenden van Cloud & Edge-diensten verenigt, inclusief infrastructuur- en platformaanbieders, dienstenintegrators, certificeringsbureaus en klanten uit elke sector. Het doel is om de huidige praktijken te vereenvoudigen en een continuüm van gebundelde diensten aan te bieden die de nationale grenzen overschrijden.

De ontwikkelingen en uitdagingen op het gebied van cloudcomputing zijn groot. Te groot voor een land als Nederland alleen. Het is daarom essentieel voor de Nederlandse overheid om op de hoogte te blijven en bij te dragen aan de ontwikkelingen op Europees niveau. Door proactief te zijn en een weloverwogen benadering van cloudadoptie te handhaven en op Europees niveau gezamenlijk op te trekken, kan Nederland bijdragen aan een veilige, efficiënte en conform de regelgeving functionerende cloudinfrastructuur voor zijn burgers en instellingen.

De cloudtransitie heeft zich wereldwijd volop ingezet, ook bijde Nederlandse. De Nederlandse overheid realiseert zich dat ze bij het stellen van voorwaarden aan het gebruik van de cloud moet optrekken met de Europese bondgenoten, vallend onder de paraplu van de Europese Unie.

Nederland levert de nodige kennis en inbreng bij diverse eerder toegelichte Europese ontwikkelingen. Naast deze inbreng in Europa heeft de Nederlandse overheid verschillende cloudinitiatieven ontplooid. Hier volgt een overzicht van de belangrijkste cloudontwikkelingen binnen de Nederlandse overheid:

1. Gebruik van de public cloud onder bepaalde voorwaarden: Aangezien de cloud veel voordelen biedt en de publiccloud met de opkomst van onder andere AI, waar de benodigde rekenkracht alleen te verkrijgen is middels gebruik van de public cloud, heeft de Nederlandse overheid het gebruik hiervan mogelijk gemaakt onder strikte voorwaarden. De Kamerbrief Rijksbreed cloudbeleid 2022 van Staatssecretaris van Huffelen beschrijft de voorwaarden en is een opmaat tot gecontroleerd gebruik van de public cloudvoorzieningen.

2. Handreiking risicobeheersing toepassing publieke clouddiensten: In 2022 is het cloudbeleid, en het ‘Implementatiekader risicoafweging cloudgebruik’ vastgesteld. Daarin zijn de kaders bepaald voor public en hybride cloudgebruik. De handreiking is bedoeld voor specialisten in projectteams, opdrachtgevers (CIO’s) en specifieke functionarissen (CISO, CPO) die aan de slag gaan met een traject waarbij public cloudgebruik een rol speelt. Daarnaast krijgen opdrachtgevers beter inzicht op het beheersen van risico’s van public cloudgebruik. Het cloudbeleid en het implementatiekader zijn verplicht voor de Rijksdienst voor materieel gebruik van de public cloud.

3. Strategisch leveranciersmanagement (SLM): Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services is sinds 2014 initiatiefnemer van rijksbrede contractafspraken en inkoopvoorwaarden voor software en clouddienstverlening met genoemde partijen. Taken o.a.: Overheidsinstellingen adviseren bij de aanschaf van software en cloudproducten en -diensten. Het evalueren van de risico’s van cloudproducten en -diensten voor onder meer het naleven van privacywetgeving (AVG/GDPR). Het organiseren van nationale en internationale netwerken van inkopers en contractmanagers van cloudproducten en -diensten. Het afsluiten van contracten namens de Nederlandse overheid een overeenkomst tussen de Rijksoverheid en de hyperscalers om te komen tot passende voorwaarden, zoals AVG en BIO compliancy.  

4. Common ground-Haven: Iedere gemeente heeft zijn IT-infrastructuur anders georganiseerd. Bij de ene gemeente draait bijvoorbeeld veel lokaal en bij de ander juist meer in de cloud. Applicaties moeten worden aangepast aan de infrastructuur waarop ze draaien. Dat maakt het voor gemeenten lastig om samen applicaties te ontwikkelen en deze snel in te zetten bij alle gemeenten. Haven is een standaard voor platform-onafhankelijke cloud hosting. Met Haven kunnen gemeenten applicaties overal hosten zonder dat zij daarvoor hun IT infrastructuur hoeven aan te passen. Dit zorgt onder meer voor uniformiteit, lagere kosten en minder afhankelijkheid van leveranciers. Haven schrijft een specifieke configuratie van Kubernetes voor die dient te worden geïmplementeerd op bestaande technische infrastructuur, bijvoorbeeld een cloud of on-premise platform. De voorgeschreven configuratie zorgt ervoor dat iedere Haven omgeving van iedere willekeurige cloudleverancier die de standaard heeft geïmplementeerd, functioneel gelijk is ongeacht de onderliggende technische infrastructuur. Zie het als een abstractielaag die resulteert in een gezamenlijk vertrekpunt. Dit brengt diverse voordelen met zich mee: uniformiteit in technische infrastructuur, uitwisselbaarheid van toepassingen, leveranciersonafhankelijkheid, platformonafhankelijkheid en kostenreductie. Haven heeft een eigen compliancy voorziening.

5. Baseline Microsoft 365: Steeds meer overheidsorganisaties maken gebruik van clouddiensten. Een bekend voorbeeld van een clouddienst is Microsoft Office 365. Ook binnen de overheid neemt het gebruik van deze clouddienst toe. Departementaal vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, het Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie en diverse normen en standaarden zoals de Baseline Informatiebeveiliging Overheid. Vanwege het steeds groter wordende gebruik van de clouddienst Office 365 werkt de Nederlandse Overheid samen met Microsoft aan de Baseline voor de Microsoft suite.

Tenslotte heeft de NORA organisatie een beslisboom voor risicobeoordeling Clouddiensten als onderdeel van het BIO thema Clouddiensten. Daarnaast onderhoudt de NORA organisatie een Wiki over cloudcomputing. Hier staan vooralsnog oudere artikelen over Cloud, en de NORA organisatie is nog op zoek naar een expertgroep die deze Wiki actueel kan houden.