Skip to content

Certificazione Cloud

Progetto Ue di certificazione cloud, cosa succede e gli interessi in ballo

Rinviato a maggio il voto sull'Eucs, il quadro di regole relative al sistema di certificazione della sicurezza informatica per i servizi cloud. A chi piace e a chi non piace la versione finale della proposta Ue

Rimandato a maggio il voto sull’etichetta europea di sicurezza informatica per i servizi cloud.

Gli esperti nazionali, che si sono incontrati il 15 e 16 aprile per negoziare l’Eucs, il futuro quadro europeo per i fornitori di servizi cloud, non hanno dato il via libera all’ultima versione proposta, segnala Reuters.

Eucs è l’acronimo di “schema europeo di certificazione della sicurezza informatica” con riferimento al cloud computing. La Commissione europea ha rilasciato, tramite l’agenzia europea per la cybersecurity Enisa, l’ultima bozza del nuovo Eucs nel 2020, modificata dal Belgio che attualmente detiene la presidenza di turno dell’Ue.

Come rimarca con Startmag un analista del settore che chiede l’anonimato, “il gruppo si è concentrato principalmente lunedì su l’EUCC (European Cybersecurity Certification Scheme on Common Criteria, schema che riguarda prodotti ICT hardware e software) e martedì su Eucs. Il parere formale e la votazione avverranno probabilmente a maggio”.

La proposta al vaglio degli esperti elimina i cosiddetti requisiti di sovranità da una bozza precedente che obbligava i giganti tecnologici statunitensi (come Google, Amazon e Microsoft) a creare una joint venture o cooperare con una società con sede nell’Ue per archiviare ed elaborare i dati dei clienti nell’Ue al fine di qualificarsi per il livello più alto di Etichetta di cybersicurezza dell’Ue. Ciò aprirebbe loro la strada per raggiungere il livello più alto di etichetta di sicurezza informatica all’interno dell’Ue, simile al “SecNumCloud” francese.

Ma per ora non c’è una decisione, con il voto rinviato al mese prossimo.

“L’Europa non ha (ancora?) detto addio alla sua “sovranità” digitale” commenta 01net. In ballo c’è la sicurezza dei dati degli utenti europei archiviati nelle “nuvole”.

Dopo il voto degli esperti, il passo successivo è il parere dei paesi dell’Ue e la decisione finale della Commissione europea prevista probabilmente in autunno.

Tutti i dettagli.

IN ATTESA DELLA VOTAZIONE FINALE SULLO SCHEMA DI CERTIFICAZIONE PER IL CLOUD UE

Bruxelles vuole introdurre uno schema di certificazione della sicurezza informatica (Eucs) per garantire la sicurezza informatica dei servizi cloud e aiutare i governi e le aziende a scegliere un fornitore sicuro e affidabile per le loro attività di cloud computing.

Tuttavia, i disaccordi sull’opportunità di imporre requisiti rigorosi alle Big Tech per qualificarsi per il livello più alto del marchio di sicurezza informatica dell’Ue hanno ostacolato gli sforzi.

IL NODO DEI REQUISITI DI SOVRANITÀ NELLA CERTIFICAZIONE CLOUD UE

L’ultima versione ha eliminato infatti i cosiddetti requisiti di sovranità da una proposta precedente, che obbligava i giganti tecnologici statunitensi a creare una joint venture o cooperare con una società con sede nell’Ue per archiviare ed elaborare i dati dei clienti nel blocco al fine di qualificarsi per il livello più alto dell’etichetta di cybersicurezza europea.

ESULTANO LE BIG TECH AMERICANE

Hanno tirato così un sospiro di sollievo le Big Tech statunitensi. In questo modo Amazon, Google di Alphabet e Microsoft – che insieme detengono più di tre quarti del mercato europeo – potranno presentare offerte per contratti di cloud computing altamente sensibili nell’Ue, hanno spiegato le fonti citate da Reuters.

MENO LE AZIENDE EUROPEE COME LE ITALIANE TIM E ARUBA

L’ultima versione per la certificazione di sicurezza informatica per i servizi cloud (Eucs) ha sollevato invece i cori di proteste da parte delle società europee.

Diciotto aziende, tra cui Airbus, OVHCloud, Orange, Capgemini e le italiane Tim e Aruba hanno pubblicato una lettera il 10 aprile “invitando gli Stati membri a respingere qualsiasi proposta priva di criteri di sovranità”.

Senza tali requisiti, i dati europei potrebbero essere accessibili ai governi stranieri sulla base delle loro leggi come il Cloud Act statunitense o la Chinese National intelligence law, hanno avvertito i firmatari. Alla luce di ciò, le aziende europee hanno affermato che l’etichetta di sicurezza informatica dell’Ue dovrebbe seguire l’esempio della piattaforma europea di cloud computing Gaia-X creata per ridurre la dipendenza dell’Ue dai giganti della Silicon Valley e che ha requisiti di sovranità.

Anche se lo schema di certificazione sarà volontario, è comunque destinato a guidare le autorità degli Stati membri nel prendere decisioni sui fornitori. “La mancanza di clausole di sovranità potrebbe anche ostacolare i nascenti fornitori di servizi cloud dell’Ue rispetto ai loro maggiori rivali statunitensi” si legge ancora nella lettera.

LA POSIZIONE DEL SOTTOSEGRETARIO ALLA PRESIDENZA DEL CONSIGLIO BUTTI

Sulla mancata votazione attesa a inizio settimana è intervenuto stamani Alessio Butti, sottosegretario alla presidenza del Consiglio con delega all’Innovazione, in una intervista al quotidiano La Verità.

“È stato un incontro operativo tra rappresentati dei governi europei competenti nel campo della sicurezza cibernetica. L’Agenzia per la cyberiscurezza nazionale (Acn) ha rappresentato l’Italia in questa importante riunione, durante la quale non sono state prese decisioni formali. Il fulcro della discussione era la proposta di una nuova certificazione europea per la sicurezza dei servici cloud. La Presidenza belga ha avanzato una proposta che, se accettata, comporterebbe una riduzione dei requisiti di sicurezza attualmente richiesti” ha illustrato Butti.

“Questa modifica permetterebbe ai fornitori di servizi cloud, anche quelli che operano sotto la giurisdizione di governi esterni all’Ue, di essere certificati come sicuri. Tale iniziativa ha trovato il favore di alcuni Paesi nordici, che vedono in questa mossa un potenziale vantaggio competitivo per le aziende all’interno del proprio tessuto economico. Altri paesi invece, tra cui l’Italia, hanno sollecitato l’adozione di standard più elevati e rigorosi, ponendo l’accento sulla necessità di garantire un livello di protezione più alto per i dati degli utenti europei” ha aggiunto il sottosegretario a La Verità.

IL COMMENTO DELL’ANALISTA

Infine, secondo l’analista sentito da Startmag, “la proposta belga di compromesso è ormai consolidata; l’obiettivo è concludere tutto durante il mandato di questa Commissione Europea. La Francia sta spingendo per aggiungere alcuni requisiti di trasparenza aggiuntivi e cerca chiarimenti dalla Commissione sulle condizioni in cui possono mantenere gli schemi nazionali (quello francese, SecNum Cloud, è infatti alla base della loro proposta EUCS)”.

Non resta quindi che attendere il prossimo mese per conoscere quale proposta avrà la meglio sul futuro schema di certificazione Eucs per i servizi cloud.

Torna su