Aanvulling op artikel over toezicht op cloudproviders door RDI

In dit artikel:

Maandag publiceerde ITchannelPRO de mededeling van toezichthouder RDI over proactief toezicht op cloudproviders. Naar aanleiding daarvan stelden lezers vragen die RDI heeft beantwoord; de kernpunten:

- Een hostingprovider is niet automatisch een cloudprovider, maar kan wel clouddiensten aanbieden.
- Een Managed Service Provider (MSP) kan eveneens als cloudserviceprovider worden aangemerkt wanneer hij clouddiensten levert.
- Onder het Cdw/CBW-toezicht is leveranciersmanagement essentieel: een cloudserviceprovider moet zicht hebben op alle partijen die belangrijk zijn voor de levering van zijn dienst.
- Er bestaat geen verplichting voor een cloudprovider om klanten te informeren dat hij onder Cdw-toezicht valt; informeren mag wel.
- Fysieke beveiliging moet volgens het NIS-kader bestaan uit een set maatregelen die netwerk- en informatiesystemen beschermt tegen schade via een all-hazards, risico-gebaseerde aanpak, waarbij onder meer systeemstoringen, menselijke fouten, kwaadwillige acties en natuurrampen worden meegenomen.

Kortom: RDI benadrukt dat verantwoordelijkheid voor leveringszekerheid en ketenzicht bij de cloudprovider zelf ligt, ook wanneer die via derden werkt.