Le nuove regole per la certificazione dei fornitori cloud allo studio in Europa fanno scattare l‘allarme delle associazioni che rappresentano i provider extra-Ue. La Camera di Commercio degli Stati Uniti e altri 12 gruppi, tra cui il National foreign trade council, la Japan association of new economy, techUk, la Latin American internet association e la Computer & communications industry association, hanno inviato alle autorità dell’Ue una dichiarazione congiunta mettendo in guardia sull’adozione di norme che potrebbero escludere dal mercato europeo Amazon, Google, Microsoft e altri fornitori di servizi cloud non Ue.
La dichiarazione – vista da Reuters – è stata mandata ai commissari competenti della Commissione europea, ai governi nazionali, all’agenzia europea per la sicurezza informatica Enisa e ai legislatori dell’Ue. A preoccupare le big tech internazionali è infatti la proposta dell’Enisa, ancora in forma di bozza, che introduce un nuovo meccanismo di certificazione dell’Ue per garantire la sicurezza informatica dei servizi cloud e che influirà sul modo in cui i governi e le aziende del blocco selezionano un fornitore.
Cloud, certificazione più severa in Ue
La bozza dell’Enisa – anche questa vista da Reuters – stabilisce i requisiti per un fornitore di servizi cloud certificato (Csp) volto a prevenire e limitare le interferenze da parte di Stati non Ue nel funzionamento di servizi cloud certificati. La proposta indica che la sede centrale registrata e la sede globale del Csp dovranno essere stabilite in uno Stato membro dell’Unione europea.
I servizi cloud dovrebbero essere gestiti e mantenuti dall’Ue e tutti i dati dei clienti del servizio cloud conservati ed elaborati nell’Ue. Le leggi dell’Unione – continua la proposta – avranno la precedenza sulle leggi non Ue.
Possibili ripercussioni per i fornitori europei
La risposta della Camera di Commercio Usa e delle altre associazioni industriali parla chiaro: l’Ue dovrebbe astenersi dall’adottare requisiti di natura politica, piuttosto che tecnica, che escluderebbero i legittimi fornitori di cloud e non migliorerebbero l’efficacia dei controlli sulla sicurezza informatica, si legge nella dichiarazione congiunta.
Questi requisiti – continua il documento – “sembrano progettati per far sì che i fornitori non appartenenti all’Ue non possano accedere al mercato dell’Ue su un piano di parità, impedendo così alle industrie e ai governi europei di beneficiare pienamente delle offerte di questi fornitori globali”.
Se altri paesi dovessero perseguire politiche simili, “i fornitori di cloud europei potrebbero vedere diminuire le proprie opportunità nei mercati non Ue”, dicono le associazioni di settore.
Il gruppo guidato dalla Camera di Commercio Usa mette anche in dubbio la conformità della proposta all’accordo generale dell’Organizzazione mondiale del commercio sugli scambi di servizi e agli impegni dell’accordo sugli appalti pubblici dell’Ue.
La proposta dell’Enisa: i tre livelli di sicurezza
L’Enisa non ha commentato la proposta sulla nuova certificazione Ue per i fornitori di servizi cloud, ma ha chiarito che si tratta di un regime volontario su tre livelli.
“Il livello più alto è destinato ad essere applicabile solo a una piccola serie di casi d’uso che richiedono il più alto livello di sicurezza (ad esempio, applicazioni governative altamente sensibili e infrastrutturali altamente critiche), per i quali dovrà essere garantito un certo livello di indipendenza dalle leggi non Ue. Non tutti i servizi cloud”, ha detto un portavoce dell’agenzia europea per la cybersicurezza.
In linea con quanto indicato anche dalla Commissione europea, l’Enisa propone poi due livelli di certificazione per la garanzia “alta” per soddisfare le diverse esigenze identificate nell’industria europea e negli Stati membri.
L’Enisa ha inviato una proposta aggiornata alla Commissione a settembre; è in corso una consultazione che potrebbe comportare modifiche prima dell’adozione di un testo definitivo.
“Non è stata ancora presa alcuna decisione. Il regime dovrebbe essere pienamente in linea con il diritto dell’Ue, nonché con gli impegni internazionali dell’Ue, anche sul commercio”, ha assicurato un portavoce dell’esecutivo europeo.
