Woordenlijst · EU-cyberveiligheid EUCS (European Cybersecurity Certification Scheme for Cloud Services)
Voorgesteld pan-EU-cyberveiligheidscertificeringsschema voor cloudservices, bedoeld om nationale benaderingen te harmoniseren en gemeenschappelijke assuranceniveaus te definiëren. Politiek omstreden wegens de soevereiniteitseisen; in 2026 nog in ontwikkeling.
## Wat EUCS precies is
EUCS — European Cybersecurity Certification Scheme for Cloud Services — is een voorgesteld pan-EU-certificeringskader dat wordt ontwikkeld onder de **EU Cybersecurity Act (2019)**. Het is bedoeld om één geharmoniseerde manier te bieden waarop cloudaanbieders cyberveiligheidsassurance in de hele EU kunnen aantonen, en zo het huidige lappendeken van nationale regelingen ([Cloud de Confiance](/nl/glossary/cloud-de-confiance/), [BSI C5](/nl/glossary/bsi-c5/), het Italiaanse ACN, het Spaanse ENS enz.) te vervangen.
EUCS wordt ontwikkeld door **ENISA** (het EU-agentschap voor cyberveiligheid) in samenwerking met de lidstaten. Begin 2026 is het schema **nog niet afgerond** — het is sinds ongeveer 2022 politiek omstreden, voornamelijk over hoe streng het hoogste assuranceniveau soevereiniteit moet eisen.
## Voorgestelde structuur
EUCS definieert **drie assuranceniveaus**:
### Basic
Zelfbeoordeling of verificatie door een conformiteitsbeoordelingsinstantie. Geschikt voor cloudservices met laag risico. De aanbieder verklaart compliance met de EUCS Basic-criteria.
### Substantial
Derdenaudit tegen strengere controls. Ruwweg gelijkwaardig aan een ISO 27001 + 27017-basis. Geschikt voor algemene bedrijfsworkloads.
### High
Het strengst. Derdenaudit met continue monitoring. Ongeveer het niveau dat nodig is voor gereguleerde workloads, gevoelige data in de publieke sector en aanbieders van essentiële diensten onder [NIS2](/nl/glossary/nis2/).
De politieke strijd ging vooral over wat 'High' moet vereisen op het gebied van soevereiniteit.
## De soevereiniteitscontroverse
Het oorspronkelijke ontwerp (2022) van EUCS High bevatte **soevereiniteitseisen** die in grote lijnen overeenkwamen met het Franse SecNumCloud / Cloud de Confiance: de aanbieder moest structureel immuun zijn voor niet-EU-recht (met name de Amerikaanse CLOUD Act en Chinese nationale-veiligheidsverplichtingen).
**Frankrijk, Spanje, Italië en Duitsland** steunden aanvankelijk strenge soevereiniteitscriteria op het High-niveau. **Ierland, Nederland, Zweden, Polen en de Noordse landen** verzetten zich daartegen, met als argumenten:
1. Soevereiniteitscriteria zijn protectionistisch (sluiten Amerikaanse hyperscalers bewust uit)
2. Cyberveiligheidscertificering moet over *beveiliging* gaan, niet over juridische jurisdictie
3. Uitsluiten van hyperscalers vermindert de keuze voor de afnemer
Er circuleerden meerdere herziene ontwerpen. Sommige lieten soevereiniteit volledig vallen uit High; andere verplaatsten het naar een afzonderlijke optionele laag; weer andere behielden zachtere versies. Per 2026 is het schema niet aangenomen en blijft de soevereiniteitskwestie de belangrijkste blokkade.
## Waarom EUCS belangrijk is
### 1. Eén EU-markt voor cloudcertificering
Wanneer afgerond, zou EUCS de nationale regelingen vervangen door één Europese kwalificatie — een aanzienlijke verlaging van compliance-overhead voor cloudaanbieders.
### 2. Standaardbasis voor cyberveiligheid onder NIS2
Essentiële en belangrijke entiteiten onder NIS2 zullen EUCS steeds meer zien als de canonieke manier om de beveiliging van een cloudaanbieder aan te tonen. Tot EUCS is afgerond, vertrouwen ze op nationale regelingen.
### 3. Het soevereiniteitsdebat is op zichzelf het verhaal
De meerjarige strijd onthult de EU-cloudpolitiek. Voorstanders van soevereiniteit willen regelgevingsinstrumenten om de blootstelling aan hyperscalers zichtbaar en kiesbaar te maken. Hyperscalervriendelijke staten willen concurrerende markten zonder juridisch protectionisme. De uiteindelijke uitkomst zal het EU-cloudlandschap voor tien jaar vormgeven.
### 4. Doorwerking in andere regelgeving
EUCS-denken beïnvloedt de [Cyber Resilience Act](/nl/glossary/cyber-resilience-act/), de beveiligingsbepalingen van de AI Act en de beveiligingseisen van de Data Act.
## Huidige stand van zaken (per 2026)
- **Meerdere ontwerpen** circuleerden sinds 2022
- **Geen definitieve vaststelling**
- **Nationale regelingen blijven** de operationele realiteit
- **Cloud de Confiance en BSI C5 behouden voorrang** in hun respectieve markten
- **Doorlopende politieke onderhandelingen** op EU-niveau
Het schema is niet officieel opgegeven, maar de voortgang verloopt traag.
## Wat de afronding van EUCS in de praktijk zou betekenen
### Als High sterke soevereiniteit bevat
- Hyperscalers moeten opereren via Europees gecontroleerde joint ventures (S3NS-/Bleu-patroon) om High te bereiken
- Soevereiniteitswrappers in Franse stijl worden de EU-brede verwachting voor gereguleerde workloads
- Echte Europese cloudaanbieders (OVHcloud, Hetzner, Scaleway, Open Telekom Cloud) krijgen concurrentievoordeel in als High geclassificeerde aanbestedingen
### Als High soevereiniteit laat vallen
- Hyperscalers (AWS, Azure, Google) kunnen direct kwalificeren voor High
- Nationale soevereiniteitsregelingen (Cloud de Confiance) blijven *strenger* dan EUCS High
- Afnemers die soevereiniteit zoeken, kijken voorbij EUCS naar nationale regelingen
### Als High soevereiniteit als optionele laag vereist
- Standaard High is haalbaar voor hyperscalers
- 'EUCS High + soevereiniteit' wordt de gemarkete laag voor gevoelige workloads
- Een compromis waar niemand van houdt, maar waar iedereen mee kan leven
De derde uitkomst lijkt per 2026 het waarschijnlijkst.
## EUCS versus aanverwante regelingen
| Regeling | Reikwijdte | Soevereiniteit |
|--------|-------|-------------|
| EUCS (voorstel) | Pan-EU-cloudcyber | Omstreden |
| Cloud de Confiance | Franse soevereine cloud | Streng |
| BSI C5 | Duitse cloudbeveiligingsbasis | Zacht (documenteert blootstelling) |
| SOC 2 | Internationaal algemeen | Geen |
| ISO 27001/27017/27018 | Internationale cloud | Geen |
## Praktische implicaties
Voor Europese techinkopers in 2026:
- **EUCS is nog niet operationeel**; vertrouw op nationale regelingen
- **Volg de oplossing van het soevereiniteitsvraagstuk op High-niveau** — die zal signaleren waar de EU-cloud heen gaat
- **EU-cloud-joint-ventures van hyperscalers** (S3NS, Bleu, Numspot) zetten in op strenge soevereiniteit
- **Voor zeer gevoelige workloads nu**: gebruik nationale regelingen die al soevereiniteit bieden (Cloud de Confiance)
- **Voor algemene workloads**: ISO 27001/27017 + C5 is de werkbasis tot EUCS er is
## Wat 2026-2027 brengt
- **Voortgezette politieke onderhandeling** op Raads- en Commissieniveau
- **Mogelijke afronding** van EUCS in 2026 of 2027
- **Lidstaten bereiden implementatie voor** ongeacht de uiteindelijke vorm
- **Hyperscalerpositionering** via Europese JV-structuren gaat door
EUCS blijft het meest invloedrijke openstaande item in de EU-cloudregulering.
Was dit nuttig?
Bedankt voor je feedback!