Woordenlijst · EU soevereine cloud SecNumCloud (ANSSI Cloud Computing Security Qualification)
Kwalificatie voor cloudservices van het Franse nationale cybersecurity-agentschap (ANSSI). Combineert een security-basis met hoge zekerheid met soevereiniteitseisen (immuniteit voor recht van buiten de EU). De technische basis van het Cloud de Confiance-label.
## Wat SecNumCloud eigenlijk is
SecNumCloud is de kwalificatie voor cloud computing-security uitgegeven door **ANSSI** (Agence nationale de la sécurité des systèmes d'information) — het Franse nationale cybersecurity-agentschap. De huidige versie, **SecNumCloud 3.2**, werd in 2022 gepubliceerd en scherpte eerdere soevereiniteitscriteria fors aan.
SecNumCloud dient als de technische basis voor het bredere label [Cloud de Confiance](/nl/glossary/cloud-de-confiance/). Waar Cloud de Confiance het bredere beleidskader is, is SecNumCloud de specifieke technische kwalificatie.
## Wat SecNumCloud vereist
SecNumCloud 3.2 legt circa **300 securitycontroles** op in meerdere domeinen, waaronder:
### Technische security
- Cryptografische controles (FIPS-conforme algoritmen, sleutelbeheer onder EU-controle)
- Netwerksegmentatie en verkeersisolatie
- Audit logging en incidentdetectie
- Vulnerability management en patching
- Back-up en disaster recovery
### Operationele security
- Personeelsscreening voor medewerkers met administratieve toegang (moeten EU-ingezetenen zijn)
- Fysieke beveiliging van datacenters
- Operationele procedures met formeel change management
- Beveiliging van de toeleveringsketen
### Soevereiniteit (het onderscheidende kenmerk)
SecNumCloud 3.2 introduceerde expliciete soevereiniteitseisen die het onderscheiden van internationale standaarden zoals ISO 27001:
- **Geen blootstelling aan extraterritoriaal recht**: aanbieder moet structureel immuun zijn voor recht van buiten de EU, waaronder de [CLOUD Act](/nl/glossary/cloud-act/) en FISA 702
- **EU-gecontroleerde bedrijfsstructuur**: meerderheid in Europese handen; geen buitenlands moederbedrijf met effectieve zeggenschap
- **EU-dataresidentie**: klantgegevens en metadata moeten in de EU blijven
- **EU-personeel**: medewerkers met administratieve toegang moeten EU-ingezetenen zijn die onder EU-recht vallen
De soevereiniteitseisen zijn de reden dat de meeste Amerikaanse hyperscalers SecNumCloud alleen kunnen halen via joint ventures met Franse bedrijven (S3NS, Bleu).
## Hoe SecNumCloud-audits werken
Het kwalificatieproces omvat:
1. **Aanvraag** bij ANSSI
2. **Audit door een door ANSSI gekwalificeerd Common Criteria-evaluatielaboratorium** (Centre d'évaluation de la sécurité des technologies de l'information, CESTI)
3. **Technische beoordeling** door ANSSI
4. **Toekenning van de kwalificatie** indien aan de criteria is voldaan
5. **Periodieke hercertificering** (doorgaans elke 3 jaar)
De audit is uitgebreid en duur — doorgaans 12-18 maanden en enkele honderdduizenden euro's voor een geloofwaardige aanbieder. Deze drempel zorgt ervoor dat alleen serieuze soevereine-cloudpartijen hem behalen.
## Momenteel gekwalificeerde aanbieders (selectie)
Per 2026 omvatten aanbieders met SecNumCloud 3.2-kwalificatie onder meer:
- **OVHcloud** (specifieke aanbiedingen)
- **Outscale** (Dassault Systèmes)
- **S3NS** (Thales-gecontroleerde Google Cloud-technologie)
- **Bleu** (Capgemini/Orange Microsoft Azure-technologie, in kwalificatieproces)
- **Numspot** (JV van Docaposte/Bouygues/Dassault/Banque des Territoires)
- **Worldline** (specifieke aanbiedingen)
- Diverse kleinere gespecialiseerde aanbieders
De lijst is bewust klein — SecNumCloud is gepositioneerd als een signaal van hoge zekerheid, geen commodity-certificering.
## Waarom SecNumCloud ertoe doet
### 1. De benchmark voor cloudsoevereiniteit
SecNumCloud 3.2 zette de technische en structurele benchmark neer voor wat 'echte' cloudsoevereiniteit betekent. Andere Europese nationale regelingen (BSI C5, het Italiaanse ACN, het Spaanse ENS) convergeren in toenemende mate naar vergelijkbare modellen.
### 2. Toegangspoort voor publieke aanbestedingen
De Franse 'doctrine cloud au centre' (cloud-first-doctrine) verplicht SecNumCloud-gekwalificeerde cloud voor gevoelige workloads in de publieke sector. Dit is een aanbestedingspijplijn van meerdere miljarden euro.
### 3. Beheerders van essentiële diensten (NIS2)
Operators van essentiële diensten in Frankrijk onder [NIS2](/nl/glossary/nis2/) kijken steeds vaker naar SecNumCloud als de standaard manier om cloudsecurity aan te tonen. ANSSI-richtlijnen onder NIS2 verwijzen rechtstreeks naar SecNumCloud.
### 4. Het patroon voor EUCS High
Het 'High'-niveau van het omstreden [EUCS](/nl/glossary/eucs/)-schema — indien afgerond met soevereiniteitscriteria — zou SecNumCloud 3.2 waarschijnlijk dicht volgen.
### 5. Joint ventures van hyperscalers
S3NS (Thales + Google Cloud) en Bleu (Capgemini/Orange + Microsoft) bestaan *vanwege* SecNumCloud. Het joint-venturemodel is de enige manier waarop Amerikaanse hyperscaler-technologie SecNumCloud-verplichte workloads kan bedienen.
## SecNumCloud vs SOC 2 / ISO 27001 / BSI C5
| Aspect | SecNumCloud | SOC 2 / ISO 27001 | BSI C5 |
|--------|-------------|---------------------|--------|
| Security-basis | Uitgebreid | Uitgebreid | Uitgebreid |
| Soevereiniteitseisen | **Ja (streng)** | Geen | Zacht (documenteert blootstelling) |
| EU-bedrijfsstructuur | Vereist | Niet vereist | Niet vereist |
| Immuniteit voor buitenlands recht | Vereist | Niet behandeld | Niet vereist |
| Auditstrengheid | Zeer hoog | Gemiddeld-hoog | Hoog |
| Typische kosten | Hoog | Gemiddeld | Gemiddeld-hoog |
| Markt | Franse gereguleerde sectoren | Internationaal | Duitse gereguleerde sectoren |
SecNumCloud is uniek door een sterke security-basis te combineren met bindende soevereiniteitscriteria.
## Wat SecNumCloud in de praktijk betekent
### Voor Franse afnemers
SecNumCloud is de standaardverwachting voor gevoelige workloads. Voor gereguleerde sectoren (bank, zorg, defensie) en de publieke sector is het feitelijk verplicht.
### Voor Europese cloudaanbieders
SecNumCloud-kwalificatie is een dure maar waardevolle investering om de Franse gereguleerde markten te kunnen bedienen. De certificering creëert een concurrerende slotgracht.
### Voor Amerikaanse hyperscalers
Directe SecNumCloud-kwalificatie is structureel onmogelijk door blootstelling aan de CLOUD Act. Deelname vereist een joint-venturemodel (S3NS, Bleu) waarbij de Franse partner meerderheidszeggenschap heeft.
### Voor Europese bedrijven in het algemeen
SecNumCloud-gekwalificeerde aanbieders zijn geloofwaardige opties ongeacht hun nationale herkomst. Hun kwalificatie is een betekenisvol bewijs van soevereiniteitsuitlijning.
## Wat 2026-2027 brengt
- **SecNumCloud 4.0** verwachte revisie afgestemd op NIS2 en EUCS-werk
- **AI-workload-uitbreidingen** terwijl ANSSI cloudrichtlijnen voor de AI Act ontwikkelt
- **Meer JV-kwalificaties** naarmate Amerikaanse hyperscalers hun Europese JV-partnerschappen uitbreiden
- **Convergentie met EUCS** als het pan-Europese schema wordt afgerond met sterke soevereiniteitscriteria
- **Handhaving in de publieke sector** naarmate Franse instanties hun cloud-first-migraties afronden
## Praktische implicaties
Voor de meeste Europese tech-afnemers:
- **Als je in de Franse publieke sector of in een gereguleerde branche werkt**: SecNumCloud is direct van belang
- **Als je Franse gereguleerde klanten bedient**: SecNumCloud-gekwalificeerde cloud wordt steeds vaker geëist in je toeleveringsketen
- **Als je cloudsoevereiniteit in brede zin beoordeelt**: SecNumCloud is het meest volwassen Europese kader — de eisen zijn de benchmark
- **Voor alledaagse SaaS-keuzes**: SecNumCloud is achtergrondcontext
Was dit nuttig?
Bedankt voor je feedback!