Cloud: Klare regler for "skyen"

Adgangen til cloudservices er et konkurrenceparameter

Dansk erhvervsliv – og forsikrings- og pensionsbranchen - er afhængige af en digital infrastruktur, der kan skaleres for effektivt at kunne udnytte de nye teknologiske muligheder ved bl.a. kunstig intelligens og analyse af store mængder data. Brug af cloudservices er et afgørende konkurrenceparameter, da teknologien bl.a. giver mulighed for mere fleksible og skalerbare it-ressourcer, stordriftsfordele og mere operationel effektivitet.

Udfordringer ved cloud outsourcing

Virksomheder i Danmark og EU er i stigende grad afhængige af cloudløsninger, men markedet domineres af især amerikanske techgiganter. Dog tager de nuværende outsourcingregler ikke tilstrækkelig højde for cloudservices, og de store leverandører er i høj grad uregulerede i dag.

Små virksomheder har derfor ofte ikke reel mulighed for aktivt at sikre tilstrækkelig leverandørsikkerhed (compliance), og de juridiske og geopolitiske udfordringer kan ende som en bremse for brugen af cloud, som ellers er en væsentlig forudsætning for den digitale innovation.

Dertil kommer at den nuværende amerikanske politiske udvikling og usikkerhed om databeskyttelsesaftaler (fx Schrems III) øger behovet for digital autonomi i Europa, da den nuværende cloud infrastruktur er sårbar over for denne type usikkerheder.

Der er altså en række udfordringer på området, som kræver handling.

F&P arbejder for bedre rammevilkår og høje cybersikkerhedskrav til cloudleverandører

F&P ønsker, at der skabes en mere robust europæisk cloudinfrastruktur, at afhængigheden af amerikanske udbydere reduceres samt at europæisk teknologisk suverænitet understøttes gennem bl.a. en cloudforordning.

F&P foreslår konkret, at der indføres en EU-cloudforordning, der i højere grad regulerer cloududbyderne ved at:

• Sikre høje krav til cyber- og informationssikkerhed i cloudløsninger
• Standardisere og regulere cloudtjenester for interoperabilitet
• Flytte dokumentations- og sikkerhedskrav fra kunder til cloud-leverandører
• Etablere tilsyn med leverandørerne ift. produktsikkerhed
• Sikre at ydelser leveres fra datacentre i EU for at sikre forsyningssikkerheden
• Styrke alternative europæiske cloudløsninger 

F&P ønsker, at leverandører af software og cloudløsninger får et større ansvar for sikkerheden – ligesom produktansvar i andre brancher – hvilket vil lette byrden for virksomhederne. Dette er i tråd med principperne i GDPR, NIS2 og DORA, men hvor ansvaret i dag i praksis ligger hos kunderne.

For at sikre et højt cybersikkerhedsniveau og fair konkurrencevilkår bør reguleringen foregå på EU-niveau, så cloudleverandører forpligtes til samme standarder på tværs af medlemslandene. F&P arbejder for, at virksomheder får et mere sikkert marked at operere i, hvor det primære ansvar ligger hos leverandørerne – ligesom produktansvar gør i andre sektorer. Samtidig vil det bidrage til, at leverandører arbejder efter de samme klare vilkår for at operere i markedet.

Da der i dag ikke findes en konkurrencedygtig europæisk cloudinfrastruktur, er det afgørende, at reguleringen af cloududbydere ikke strammes for tidligt. Først bør der investeres i og styrkes europæiske løsninger, så vi undgår at hæmme digital innovation og svække sikkerheden for europæiske virksomheder.