La Digital Sme Alliance sostiene l’inclusione dei cosiddetti criteri di “immunità” o “sovranità” nell’European Cybersecurity Certification scheme for Cloud Users (Eucs), ponendoli come requisiti armonizzati per proteggere gli utenti del cloud e i dati sensibili europei dagli accessi illegali. Si tratta di un appello che l’associazione che riunisce le piccole e medie imprese ICT in Europa rivolge alle istituzioni di Bruxelles, che dal 2020 sanno lavorando a uno schema di certificazione europea della cybersicurezza per gli utenti del cloud, l’Eucs appunto. La proposta mira “a rafforzare ulteriormente le condizioni del mercato interno dell’Unione per i servizi cloud, migliorando e semplificando le garanzie di cybersecurity”.
Cosa chiede la Digital Sme Alliance
“Questo schema”, si legge nel documento della Digital Sme Alliance, “sarà probabilmente composto da almeno tre livelli di certificazione della sicurezza informatica per i fornitori di servizi cloud (base, sostanziale e lato, ndr), con l’obiettivo di sviluppare la fiducia nei fornitori di servizi cloud. Sebbene il sistema sia volontario ai sensi del Cyber Security Act, alcuni enti soggetti alla Nis2, tra cui le pubbliche amministrazioni e le aziende utenti, potrebbero essere obbligati a conformarsi dagli Stati membri a livello nazionale”.
Le discussioni politiche sull’Eucs si sono concentrate sull’inclusione o meno di criteri che eviterebbero l’accesso illegale ai dati memorizzati sui servizi cloud in Europa, ovvero i cosiddetti requisiti di “immunità” o “sovranità”. In una recente evoluzione di tali discussioni, il livello di garanzia più alto – High+ – che include i requisiti di immunità, è stato eliminato dallo schema. I requisiti di immunità sono stati sostituiti da attestazioni obbligatorie del profilo aziendale internazionale, che dettagliano le informazioni sulla conservazione dei dati, i metodi di elaborazione dei dati e le giurisdizioni pertinenti per i fornitori internazionali di cloud.
Per la Digital Sme Alliance i requisiti di immunità devono essere mantenuti nel corpo principale del testo. In questo modo si darebbe impulso al mercato europeo dei fornitori di servizi cloud e si affermerebbe il primato di principi europei quali la sovranità dei dati e l’armonizzazione del mercato in uno dei più grandi mercati di servizi digitali. In questo modo, i responsabili politici possono garantire che l’Eucs aumenti la fiducia degli utenti di servizi cloud in merito alla sicurezza dei loro fornitori di cloud e dei loro dati.
Un sistema armonizzato di certificazione favorirebbe soprattutto le pmi
Digital Sme ritiene che l’inclusione di disposizioni armonizzate per la sicurezza informatica e la sovranità dei dati contribuirà all’armonizzazione dei mercati dell’Ue. “Altrimenti, se la responsabilità ricade sui responsabili degli appalti a livello nazionale, la frammentazione diventa inevitabile. Inoltre, l’Eucs dovrebbe integrare altri atti legislativi dell’Ue, come il Data Act, per garantire l’armonizzazione dei principi giuridici dell’Ue e non creare regimi giuridici complementari. Questo aspetto avrebbe un impatto particolare sulle pmi: con un sistema armonizzato di certificazione informatica dell’Ue, esse saranno in grado di accedere ai servizi cloud garantendo il massimo livello di protezione dei loro dati in linea con la legislazione e i principi dell’Ue. Va riconosciuto che la sovranità dei dati e la prevenzione dell’accesso illegale ai dati europei dovrebbero essere uno degli obiettivi principali di tutti i programmi di sicurezza informatica relativi ai dati”.
Annacquare il principio di sovranità rende più difficile la trasparenza
Per la Digital Sme Alliance, d’altra parte, l’eliminazione dei requisiti di sovranità indebolisce le tutele per i cittadini e le imprese europee e contraddice lo scopo di altri regolamenti dell’Ue, in particolare il Gfpr e il Data Act. “Sebbene lo schema rimanga volontario e siano state inserite altre disposizioni per consentire agli utenti del cloud di capire dove possono essere conservati i loro dati, l’annacquamento del principio di sovranità rende più difficile la trasparenza. Allo stesso tempo, va sottolineato che lo stato attuale del mercato e le potenziali interruzioni dell’attività devono essere prese in considerazione quando si creano schemi di certificazione, soprattutto se volontari. La maggior parte delle aziende europee fa ancora affidamento su hyperscaler non europei per i servizi cloud e il conflitto tra i requisiti dello schema (se vengono mantenuti i requisiti di sovranità) e l’attuale diffusione dei servizi cloud potrebbe ostacolare l’adozione della certificazione. Pertanto, a seguito degli atti di esecuzione del Csa che istituiscono l’Eucs, l’Ue dovrebbe cogliere l’opportunità di promuovere l’interoperabilità e sfidare il “lock-in” dei fornitori di cloud”.
Nel complesso, Digital Sme desidera richiamare i responsabili politici dell’Ue sull’importanza di sostenere i principi europei, in particolare per salvaguardare l’integrità dei dati delle persone e delle imprese. “Inoltre, garantire l’armonizzazione dei mercati europei del cloud attraverso uno schema di certificazione europeo uniforme e altamente sicuro è essenziale per raggiungere l’obiettivo di un vero mercato unico digitale”.
