DORA en de impact ervan op datasoevereiniteit
Volgens de Europese Commissie zijn ‘data enorm waardevol voor alle organisaties, een belangrijke hulpbron voor de digitale economie en de ‘hoeksteen van ons industriële concurrentievermogen in de EU’.
Niet zo verwonderlijk als je bedenkt dat de data-economie tegen 2025 naar verwachting meer dan 829 miljard euro en bijna 11 miljoen banen in de regio zal opleveren. Het kapitaliseren en koesteren van cijfers van die omvang is precies wat er achter de evoluerende EU-strategieën en -regelgeving zit. De meest recente daarvan is de Digital Operational Resilience Act (DORA), terwijl updates van de Cybersecurity Act en de Datawet waarschijnlijk snel (relatief) daarna zullen volgen. Het belangrijkste verschil met DORA is dat het zijn reikwijdte uitbreidt tot uw financiële activiteiten en alle supply chain-bedrijven en -diensten die met uw bedrijf zijn geïntegreerd. DORA sluit aan bij het EU-cyberbeveiligingskader (EUCS) en zou vanaf 2024 verplicht kunnen worden voor sectoren die volgens de EU-netwerk- en informatiesystemenrichtlijn (NIS2) als zeer kritisch zijn geclassificeerd.
Regionaal ‘protectionisme’
Om enige context te geven in de mate waarin Europa de controle over zijn eigen gegevens wil terugnemen: er is door de EU geïnvesteerd in onderzoek en innovatie met regelgeving, beleid en standaarden ter waarde van € 1,8 biljoen. DORA is bijzonder cruciale wetgeving omdat het de noties van eigendom en controle rechtstreeks aanpakt, in eerste instantie voor financiële organisaties, maar zich uitbreidt naar een bredere reikwijdte. Fundamenteel hiervoor is dat bedrijven ervoor moeten zorgen dat ze voldoen aan de nieuwste regelgeving, aangezien er lokale auditors zullen worden geïntroduceerd om naleving te garanderen, wat latere wetgeving zal versterken – de Cybersecurity Act (EUCS) zal uiteindelijk EU-gegevens beschermen, buiten het bereik van een buitenlandse jurisdictie. bijvoorbeeld.
Deze en andere mondiale regelgeving op het gebied van gegevensprivacy, zoals EUCS, de AI Act en de Data Act, creëren een omgeving van regionaal ‘protectionisme’ en zorgen over data-eigendom en privacy. Volgens dit artikel hebben wereldwijd 145 landen wetten op de privacy van gegevens, tegen 132 in 2018. Deze wetten variëren per land en regio, waardoor lokale experts en meerdere clouds nodig zijn, wat betekent dat bedrijven het gevoel hebben dat ze last hebben van middelen en vaardigheden.
Uit recent onderzoek dat we samen met IDC hebben uitgevoerd, blijkt dat meer dan 70% van de bedrijven gelooft dat financiële en milieuregelgeving een grotere bedreiging zal gaan vormen, terwijl een bron suggereert dat 88% van de besturen cyberbeveiliging als een bedrijfsrisico beschouwt. Bovendien worstelen bedrijven met macroproblemen zoals de mondiale economische druk, zoals inflatie en aanhoudende geopolitieke onzekerheden. Dit alles wordt nog verergerd door de drievoudige VN-crisis van klimaatverandering, vervuiling en veranderingen in de biodiversiteit.
Het resultaat is dat de digitale operationele veerkracht en het vermogen van een bedrijf om onder alle omstandigheden zijn soevereine gegevens te controleren en te beheren, naar de top van de agenda van de bestuurskamer zijn gekatapulteerd.
Het stimuleren van de behoefte aan datasoevereiniteit
Toch worden de uitdagingen bij het beheren en opslaan van gevoelige en kritische gegevens steeds groter. De hoeveelheid zeer gevoelige gegevens die nu in de cloud worden gehost, maakt een stijgende lijn door. Volgens het eerder aangehaalde IDC-rapport heeft 64% van de EMEA-organisaties daadwerkelijk hun volume aan gevoelige gegevens vergroot, en heeft 63% al vertrouwelijke en geheime gegevens in de publieke cloud opgeslagen. Tegelijkertijd noemt 95% van de bedrijven de noodzaak om ongestructureerde data te beheren als een probleem voor hun bedrijf en maakt 42% van de bedrijfsleiders zich zeer of extreem zorgen over cruciale data die worden beheerd door Amerikaanse cloudproviders – Statista ontdekte dat 66% van de Europese De cloudmarkt wordt gecontroleerd door in de VS gevestigde providers, die onderworpen zijn aan externe jurisdictiecontroles zoals de Amerikaanse Cloud Act.
Het beheren van deze blootstelling aan zeer gevoelige geheime gegevens stimuleert de behoefte aan datasoevereiniteit – waarbij deze intelligentie gebonden is aan de privacywetten en bestuursstructuren binnen een land, industriële sector of organisatie. Om de stabiliteit binnen een soevereine reikwijdte te handhaven, moeten bedrijven een cloudeindpunt gebruiken dat dezelfde soevereine bescherming biedt als de oorspronkelijke locatie, maar veel multinationale cloudbedrijven kunnen dit niet garanderen.
Een ‘cloud smart’-strategie
Dit is de reden waarom bedrijven een Cloud Smart-strategie moeten adopteren. Eén die flexibiliteit garandeert, waardoor bedrijfskritische systemen naadloos van de ene cloudprovider naar de andere kunnen worden verplaatst om de continuïteit te garanderen. Het recente politieke akkoord over de Datawet (vanaf 27 juni 2023) heeft tot doel juridische, financiële (egrees-vergoedingen) en technische barrières weg te nemen om eenvoudiger cloud-switching tussen cloudserviceproviders mogelijk te maken. Deze aanpak betekent dat alle aspecten van een bedrijf alomvattend moeten worden aangepakt, inclusief de soevereine toeleveringsketen (in het geval van DORA) en dat er audits nodig zijn om te controleren of alle componenten aan dezelfde operationele normen voldoen.erationele veerkracht. Het is niet geschikt om een strategie te hebben waarbij gegevens uit een soevereine zone worden gekopieerd of die tot langere uitval kan leiden vanwege het ontbreken van een secundaire site of instantie. De recente EUCS-updates van het ontwerpvoorstel omvatten nu een categorie Hoog+, waarbij geen enkele entiteit buiten de EU effectieve controle over cloudgegevens zou hebben.
Bovendien wordt het niet aanbevolen om op één enkele cloudleverancier te vertrouwen om echte veerkracht te bereiken. In plaats daarvan moet een veerkrachtige service gebruik maken van multi-cloud- en hybride oplossingen om de werklasten en gegevens indien nodig efficiënt te verschuiven om downtime en uitval te voorkomen.
Grondslagen van een toekomstig Europa
De reden waarom soevereiniteit uiteindelijk zo belangrijk is, is dat het organisaties in staat stelt innovatief te zijn met hun data en nieuwe digitale diensten te leveren. De aanstaande wetgeving mag dan wel zijn gehuld in het doel van bescherming, maar op de lange termijn worden ze ingevoerd om te voldoen aan de cijfers die op basis van de gegevens van de Europese Commissie zijn voorspeld en deze zelfs te overtreffen – je investeert geen €1,8 biljoen als je het niet verwacht. flink terugbetalen.
Deze wetgevingen zijn de bouwstenen voor de fundamenten van een toekomstig soeverein Europa. Een waarin we niet alleen de leiding hebben over onze eigen gegevens, maar ook over ons eigen lot als gevolg daarvan.