La proposta dello schema di certificazione della cybersicurezza (European cybersecurity certification scheme, Eucs) per i servizi cloud non deve discriminare Amazon, Google e Microsoft. L’avvertimento arriva da 26 gruppi industriali europei, tra cui ci sono anche InnovUp, l’associazione che rappresenta l’ecosistema italiano dell’innovazione, e American Chamber of Commerce in Italy.
Il pressing sulla versione finale del framework
La lettera sottoscritta dai 26 soggetti è indirizzata alla Commissione europea, all’Agenzia europea per la sicurezza informatica Enisa e ai Paesi dell’Ue che si incontrano oggi per discutere un framework che ha subito diverse modifiche da quando l’Enisa ha presentato una bozza nel 2020. L’Eucs mira ad aiutare i governi e le aziende a scegliere un fornitore sicuro e affidabile per le loro attività di cloud computing.
La versione di marzo aveva eliminato i cosiddetti requisiti di sovranità da una proposta precedente, che richiedeva ai giganti tecnologici statunitensi di creare una joint venture o di cooperare con un’azienda con sede nell’Ue per archiviare ed elaborare i dati dei clienti nel blocco, al fine di qualificarsi per il livello più alto dell’etichetta di cybersicurezza dell’Unione. La bozza aveva suscitato la reazione di 18 fornitori e utenti del cloud in Europa, tra cui Aruba e Tim, che hanno invitato gli Stati membri “a prendersi il tempo necessario per tenere pienamente conto delle implicazioni di una potenziale rimozione delle disposizioni sulla sovranità dal corpo principale del sistema Eucs”.
In direzione opposta il nuovo assist alle big tech: “Riteniamo che un Eucs inclusivo e non discriminatorio che sostenga la libera circolazione dei servizi cloud in Europa aiuterà i nostri membri a prosperare in patria e all’estero, a contribuire alle ambizioni digitali dell’Europa e a rafforzarne la resilienza e la sicurezza”, hanno dichiarato i gruppi nella lettera congiunta, dove si legge anche che “l’eliminazione dei controlli sulla proprietà e dei requisiti di protezione dall’accesso illegale e di immunità da leggi non comunitarie garantisce che i miglioramenti della sicurezza del cloud siano in linea con le migliori pratiche del settore e con i principi di non discriminazione”.
Serve una gamma diversificata di tecnologie cloud resilienti
I sottoscrittori del documento hanno affermato che è fondamentale che i loro membri abbiano accesso a una gamma diversificata di tecnologie cloud resilienti e adatte alle loro esigenze specifiche per prosperare in un mercato globale sempre più competitivo. I fornitori di cloud dell’Ue, come Deutsche Telekom, Orange e Airbus, hanno invece spinto per i requisiti di sovranità nell’Eucs, nel timore che i governi di paesi terzi possano accedere illegalmente ai dati degli europei sulla base delle loro leggi.
Tra i firmatari della lettera figurano la Camera di commercio americana presso l’Unione europea in Repubblica Ceca, Estonia, Finlandia, Italia, Norvegia, Romania e Spagna e la Federazione europea delle istituzioni di pagamento. Ci sono poi la Confindustria ceca, la Dansk Industry danese, la Bundesverband deutscher Banken tedesca, la Digital Poland Association, il gruppo di lobby imprenditoriale irlandese Ibec, la Nl Digital olandese e la Start-up Association spagnola.
