L’etichetta Eucs per la cybersicurezza del cloud europeo deve includere il requisito di sovranità: contro l’ipotesi di una versione “edulcorata” dello schema di certificazione per i servizi cloud nell’Unione intervengono 18 “fornitori e utenti del cloud” in Europa, tra cui Aruba e Tim, con un joint statement (SCARICA QUI IL TESTO COMPLETO) che invita gli Stati membri “a prendersi il tempo necessario per tenere pienamente conto delle implicazioni di una potenziale rimozione delle disposizioni sulla sovranità dal corpo principale del sistema Eucs”.
Nei giorni scorsi, una bozza del nuovo quadro di certificazione per i cloud provider in Unione europea (Eucs) sembrava non contenere più l’obbligo per i fornitori stranieri di servizi cloud (come Aws, Google e Microsoft) di aderire a specifici requisiti di cybersicurezza, tra cui l’indipendenza da leggi extra-Ue, elemento indispensabile per garantire il rispetto delle regole europee sulla privacy ed evitare l’uso di dati e informazioni sensibili da parte di governi esteri, specialmente se lontani dai valori e dalle norme di diritto europei. Di fatto, questo testo potrebbe rappresentare un passo indietro dai valori della sovranità digitale nel cloud e dai principi sottesi al progetto Gaia-X.
I firmatari insistono sull’importanza di assicurare piena trasparenza e protezione per i dati più sensibili degli utenti del cloud europei contro gli accessi illegali.
“L’Ue non deve abbandonare il suo obiettivo generale di promuovere la sovranità, un obiettivo tanto più rilevante in un contesto di incertezza geopolitica”, scrivono i firmatari A1, Airbus, Aruba, Capgemini, Dassault Systemes, Deutsche Telekom, Edf, Exoscale, Gigas, Ionos, OpenNebula Systems, Orange, Ovhcloud, Proximus, Eutelsat group, Sopra Steria, StackIT, Tim.
Eucs, i requisiti di sovranità sono “necessari”
“Tenendo presente che Eucs è concepito come schema di certificazione volontaria, riteniamo che dovrebbe basarsi sulle prassi di mercato e sulle preferenze degli utenti, garantendo allo stesso tempo trasparenza e protezione agli utenti laddove necessario”, si legge nella dichiarazione congiunta. “Riteniamo che l’inclusione dei requisiti di sovranità sia necessaria per superare la frammentazione del mercato, proteggere i dati più sensibili delle organizzazioni europee e incoraggiare lo sviluppo di soluzioni cloud sovrane in Europa. L’eliminazione di qualsiasi riferimento alle disposizioni sulla sovranità dallo schema principale (anche se trasferiti nell’Icpa, International company profile attestation) chiaramente non soddisfa questi obiettivi. Ciò non solo contraddirebbe quanto proposto nei precedenti schemi Eucs in due anni, ma significherebbe anche rinunciare agli sforzi collettivi intrapresi dall’Enisa, dalla Commissione europea e dagli Stati membri”.
Un passo, indietro, dunque, anche sul Data act e il Gdpr, il cui rispetto non sarebbe garantito da uno schema Eucs meno severo.
I due criteri al centro del dibattito
Quanto a Gaia-X, la sua policy “progettata tra l’altro per garantire la sovranità dei dati, include esplicitamente sia un quartier generale dell’Ue (Eu-Hq, criterio P5.1.4) che un controllo europeo (criterio P5.1.5) per il livello di garanzia più elevato (label 3). Gaia-X indica la strada da seguire per Eucs”, affermano i firmatari.
Al centro del dibattito ci sono, infatti, proprio questi due requisiti che la bozza circolata tra i Paesi membri sembra aver eliminato: la necessità di un headquarter in Unione Europea (Eu-Hq) e il controllo europeo. Senza questi criteri, il fornitore cloud resta soggetto a leggi non-Ue, tra cui la Chinese National intelligence law o lo US Cloud act, che possono essere in conflitto con le norme dell’Ue.
“L’Ue rinuncerebbe ai suoi strumenti più efficaci per mitigare il rischio di accesso illecito ai dati”, si legge nell’appello delle aziende europee. “Di conseguenza, gli utenti del cloud che non vogliono correre il rischio di accesso illecito continueranno ad essere lasciati senza vere alternative e un chiaro quadro che soddisfi le loro necessità”. Inoltre, “si minerebbe fortemente la capacità dei fornitori cloud dell’Ue di investire in soluzioni cloud sovrane”.
Cloud europeo, a rischio gli investimenti
“Invitiamo gli Stati membri a respingere qualsiasi proposta che rimuova i requisiti di sovranità dallo schema Eucs, perché solo ciò permette di affrontare il rischio di accesso illegale ai dati, grazie ai requisiti Eu-Hq e European control nello schema principale, che proteggono gli utenti europei da prassi basate su legislazioni estere non compatibili col Gdpr”, scrivono i firmatari.
E ancora: “L’Europa digitale e sovrana richiede l’accesso alle migliori tecnologie cloud supportando al tempo stesso lo sviluppo di soluzioni cloud sovrane in Europa. Crediamo che questi due obiettivi possano andare di pari passo, sostenendo l’inclusione di una serie armonizzata di requisiti di sovranità nel quadro normativo del sistema Eucs”. Che resta, comunque, volontario.