De Europese Unie overweegt om het toepassingsgebied van de voorgestelde cyberbeveiligingscertificeringsregels uit te breiden. Deze regels zouden niet alleen van invloed zijn op Amazon, Alphabet's Google en Microsoft, maar ook op banken en luchtvaartmaatschappijen, volgens het laatste ontwerp van de regels.

De stap van de EU om zo'n systeem op te zetten komt op een moment dat Big Tech naar de overheidscloudmarkt kijkt om de groei in de komende jaren aan te jagen, terwijl een potentiële hausse in kunstmatige intelligentie na het virale succes van OpenAI's ChatGPT de vraag naar clouddiensten ook zou kunnen stimuleren.

Het nieuwste voorstel van het EU-agentschap voor cyberveiligheid ENISA betreft een EU-certificeringssysteem (EUCS) dat garant staat voor de cyberveiligheid van clouddiensten en bepaalt hoe overheden en bedrijven in het blok een leverancier voor hun bedrijf selecteren.

Het document behoudt belangrijke bepalingen uit eerdere ontwerpen, zoals de eis dat Amerikaanse techgiganten een joint venture opzetten met een in de EU gevestigd bedrijf om in aanmerking te komen voor het EU-cyberbeveiligingslabel.

Een andere bepaling stelt dat clouddiensten vanuit de EU moeten worden beheerd en onderhouden, terwijl alle gegevens van afnemers van clouddiensten in de EU moeten worden opgeslagen en verwerkt, waarbij EU-wetten voorrang hebben op niet-EU-wetten met betrekking tot de clouddienstverlener.

Deze verplichtingen gelden voor het hoogste beveiligingsniveau, waarvan er vier zijn. Het laatste ontwerp biedt de mogelijkheid om deze strenge eisen uit te breiden naar het derde hoogste beveiligingsniveau.

De EU-landen beoordelen nu het laatste ontwerp, waarna de Europese Commissie een definitieve regeling zal aannemen.

De technische lobbygroep CCIA zei dat een uitbreiding van het toepassingsgebied een groter aantal industrieën zou treffen.

"Het meest opvallende aan dit nieuwe ontwerp is misschien wel dat ENISA nu suggereert dat de vereisten die buitenlandse cloudaanbieders discrimineren ook uitgebreid zouden kunnen worden naar lagere garantieniveaus," zei Alexandre Roure, directeur openbaar beleid van CCIA Europe.

"Daaronder zouden banken vallen, maar ook luchtvaartmaatschappijen, nutsbedrijven en zwaar gereguleerde sectoren," zei hij.

De European Banking Federation (EBF), samen met de European Savings Banks Group (ESBG), de Association for Financial Markets in Europe (AFME), de European Payment Institutions Federation (EPIF) en Insurance Europe uitten dinsdag kritiek op de soevereiniteitsvereisten. (Verslaggeving door Foo Yun Chee; redactie door Jonathan Oatis)