L’European Cybersecurity Certification Scheme for Cloud Services (EUCS) è uno dei principali schemi di sicurezza informatica in Europa. Progettato dall’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA), mira a rafforzare le politiche di sicurezza dei fornitori di servizi cloud.
Nello specifico verrà richiesto un timbro ufficiale di approvazione da parte delle autorità europee. I prodotti e i servizi dovranno essere certificati in base a un insieme di regole, requisiti tecnici e procedure.
Ma cosa significa applicare queste certificazioni per i fornitori di servizio, in particolar modo per le Big Tech? Non sono mancate le critiche e si preannuncia una battaglia tutt’altro che breve.
Libero flusso di dati solo con il timbro
L’iniziativa è nata da un gruppo di lavoro ad hoc presso l’ENISA che comprende funzionari di grosse aziende, tra le quali anche Amazon.
Il progetto comprende le misure tecniche necessarie per ottenere il timbro di approvazione, ma non solo. Si parla di misure per attribuire ai tribunali europei i mezzi per risolvere le controversie. Fondamentale evitare rischi residui relativi a leggi non UE. Inoltre bisognerà indicare nei contratti che i dati rientrino nel diritto comunitario.
Un’altra proposta dell’ENISA è il divieto di controllo dei servizi cloud da parte di enti e investitori extra europei.
La sfida consiste nell’affrontare un insieme diversificato di attori presenti sul mercato e omologarlo a un unico quadro normativo comunitario. Ciò permetterebbe ai vari sistemi nazionali di non restare in balìa di grosse fughe di dati. Inoltre si risolverebbero controversie giuridiche troppo spesso irrisolvibili dalla legge del singolo Stato.
L’obiettivo finale è presentare il progetto EUCS come un sistema orizzontale che fornisca garanzie di cyber security lungo tutta la catena di approvvigionamento del cloud.
Critiche da Big Tech e qualche Stato europeo
Gli enti tecnologici europei che rappresentano le grandi aziende statunitensi hanno espresso forti obiezioni.
ITI, CCIA Europe, BSA e Amcham EU hanno chiesto di riconsiderare i requisiti di tale progetto.
La richiesta presentata dagli enti fa luce sulla contraddizione con le leggi statunitensi sull’accesso ai dati. Essa ritiene che tale proposta dell’UE creerà complesse procedure di conformità legale, non migliorando i livelli di sicurezza informatica.
La critica più forte è sul concetto di “controllo” il quale è, per i canoni delle Big Tech, troppo restrittivo.
Secondo i rappresentanti di industrie come Microsoft e Google, il nuovo quadro normativo rischia di avere pesanti ricadute sui fornitori di servizi cloud e in generale sulla competitività dell’UE nel mondo.
Sebbene Paesi come Francia, Italia, Germania e Spagna abbiano redatto una dichiarazione congiunta a favore di tale bozza, non sono mancate le critiche da alcuni Stati europei.
I Paesi Bassi, la Svezia e l’Irlanda hanno sottoscritto un documento non ufficiale sulla difficoltà dei requisiti richiesti. Secondo questi Stati la sovranità non sarebbe implementata, né ben verificata, con costi elevati e ripercussioni sulla concorrenza. Il risultato sarebbe quello di limitare i fornitori a un gruppo troppo ristretto.
