La politica del cloud sovrano prevista dal Cybersecurity act spacca l’Unione europea in due: il sistema di certificazione per i servizi cloud (Eucs) trova il suo fronte del no in un gruppo di 11 Paesi membri. Le motivazioni, ma anche le possibili soluzioni, sono contenute nel joint non-paper “Perspective on Cloud certification and data sovereignty under the Cybersecurity Act” (SCARICA QUI IL DOCUMENTO COMPLETO) firmato da Danimarca, Estonia, Finlandia, Grecia, Irlanda, Lettonia, Lituania, Polonia, Slovacchia, Svezia e Paesi Bassi.
Sul fronte opposto ci sono Francia, Italia e Spagna, che sostengono fortemente la linea del commissario Ue Thierry Breton sulla sovranità tecnologica. Nelle ultime settimane le due parti opposte hanno cercato un potenziale compromesso. Il documento congiunto è stato sviluppato in questo contesto, in quanto stabilisce sei scenari per stimolare il feedback degli altri Stati membri.
Il non-paper è un documento informale o non ufficiale che viene fatto circolare in maniera ufficiosa a scopo esplorativo, per tastare il terreno su potenziali accordi senza che chi lo presenta debba pronunciarsi ufficialmente sulle questioni in discussione.
Il dibattito sul cloud sovrano
Il Cybersecurity certification scheme for cloud services (Eucs) è il primo sistema di certificazione per i fornitori cloud ai sensi della legge sulla sicurezza informatica dell’Ue. È stato fortemente voluto dalla Commissione europea, che ha incaricato l’Enisa della redazione dei criteri. Questi requisiti di sovranità hanno lo scopo di impedire che i dati dell’Ue finiscano nelle mani di giurisdizioni straniere, in particolare imponendo la localizzazione dei data center in Europa e l’immunità dalle leggi non-Ue.
Sebbene il sistema di per sé non sia obbligatorio, il livello di garanzia “alto” potrebbe diventare obbligatorio per settori come l’energia e la finanza, ritenuti altamente critici nella nuova direttiva sulle reti e i sistemi informativi (Nis 2).
I rischi per il mercato
Alcuni Stati membri sono favorevoli all’introduzione dei criteri per la certificazione Eucs poiché ritengono che ciò consentirebbe alle aziende di differenziare sul mercato del cloud i servizi che garantiscono un elevato livello di protezione dalle leggi di paesi terzi in grado di minacciare la riservatezza dei dati degli utenti europei ospitati nel cloud, si legge nel documento non ufficiale (definito “non paper”).
Altri Stati membri nutrono forti preoccupazioni al riguardo, perché prevedono conseguenze economiche enormi e negative per il settore cloud, i suoi partner nella catena del valore online e i suoi clienti, prosegue il non-paper. Questi Stati membri si rammaricano anche dell’assenza di una valutazione dell’impatto economico sui requisiti per il cloud sovrano e preferirebbero cercare prima un mandato politico. Inoltre, temono un’inutile “corsa verso l’alto”, ovvero verso il livello di garanzia elevato.
Il documento chiede alla Commissione di valutare il potenziale impatto economico dei requisiti di sicurezza e in che misura sarebbero compatibili con le leggi sul libero commercio.
Sei possibili scenari
Questi i sei scenari proposti per stimolare il feedback di altri Stati membri.
Sub/Sub+ and High. La prima opzione comporta l’istituzione di un livello aggiuntivo di garanzia nello schema suddividendo in due il livello “substantial”, uno leggermente inferiore che mantiene i requisiti di immunità e il secondo che resta alto ma senza i requisiti di sovranità. Il vantaggio è che i fornitori di servizi critici devono rispettare i requisiti di immunità fornendo un’ampia protezione dall’accesso dei governi straniero, i requisiti tecnici originali sarebbero mantenuti e l’Eucs rimarrebbe paragonabile a schemi simili. Lo svantaggio è che l’ambito di applicazione è considerato troppo ampio in quanto potrebbe diventare obbligatorio ai sensi del Nis 2, l’impatto sul mercato rimane poco chiaro, il numero di fornitori di servizi cloud a livello “alto” rimarrebbe limitato e potrebbero esserci incongruenze con il Cybersecurity act.
High+ (critical uses). Un’opzione alternativa sarebbe quella di dividere il livello di garanzia superiore, creando un “alto” senza criteri di immunità e un “high+” con tutti i requisiti. Questo high+ si applicherebbe a specifici usi critici che sarebbero autovalutati dagli utenti sulla base di linee guida generali. Sarebbe un approccio più mirato, ma con svantaggi simili al primo scenario. Inoltre, “non copre tutti i livelli di garanzia e potrebbe rendere il livello di garanzia alto un po’ irrilevante”, si legge nel documento.
Profili di estensione. La terza possibilità è quella di creare profili di estensione che introducano i criteri di sovranità, indipendentemente dai livelli di garanzia, per l’utilizzo del cloud in settori specifici, come la sanità o l’esercito. Poiché la maggior parte dei fornitori dell’Ue non ha ancora le risorse per il livello di garanzia “alto”, questa opzione darebbe loro comunque un vantaggio competitivo rispetto ai concorrenti stranieri perché si applicherebbe a tutti i livelli di garanzia. Inoltre, questa alternativa consente flessibilità e un approccio caso per caso guidato dal cliente. Tuttavia, i criteri di immunità sarebbero necessari per proteggere i dati sensibili, che non sarebbero sufficientemente protetti con livelli di garanzia “di base” e “sostanziali”.
Cinque livelli di valutazione. La quarta opzione unisce le prime due, creando sotto-livelli sia per il livello ‘high’ che per il livello ‘substantial’. Il lato positivo dell’approccio è che fornirebbe tutti i benefici degli Extension profiles ma con maggiore facilità di realizzazione. Il lato negativo restano la vaghezza, la natura obbligatoria, la mancanza di flessibilità, i dubbi sul piano legale e la mancanza di coerenza con altri sistemi di cerficazione.
Valutazione dell’affidabilità. Un’altra alternativa esce al di fuori dell’ambito del Cybersecurity act per proporre l’introduzione di un meccanismo di valutazione europeo basato sull’affidabilità per gli operatori e le forniture di cloud non-Ue come prerequisito per entrare nel mercato unico. La valutazione potrebbe basarsi su criteri legislativi e di sicurezza, come la legislazione extraterritoriale, i trasferimenti di dati e il rispetto delle norme europee in materia di protezione dei dati. La legge tedesca sulla sicurezza informatica (IT Security Law 2.0) e i profili di rischio della 5G toolbox potrebbero fornire un modello. Questo approccio non influenzerebbe la certificazione tecnica, lasciando la massima flessibilità per personalizzare i requisiti di natura politica. Tuttavia, ritarderebbe ulteriormente il processo poiché sarebbe necessaria una nuova iniziativa. Inoltre, non appare come soluzione future-proof, dovrebbe essere valutata la compatibilità con gli accordi commerciali, potrebbe limitare la scelta degli utenti e creerebbe incertezza per i fornitori non-Ue.
Integrazione tramite compliance. La sesta proposta è quella di introdurre i requisiti di immunità previsti dalla legislazione dell’Ue, come il Data act, che include già disposizioni sui trasferimenti internazionali di dati. I criteri così non sarebbero nel sistema di certificazione, ma nella qualificazione per il sistema e i fornitori di cloud dovrebbero dimostrare la conformità alla legislazione pertinente. Il vantaggio è che questi criteri sarebbero discussi a livello politico, l’Eucs andrebbe avanti e l’approccio potrebbe essere mirato e applicato a tutti i livelli di garanzia e ai futuri schemi. Tuttavia questo scenario richiederebbe di modificare le leggi esistenti o futuri per aggiungere l’aspetto dell’immunità, allungando i tempi del processo.
