Unijne certyfikaty usług chmurowych – apel o niedyskryminowanie „big techów”

W przededniu kolejnej rundy rozmów o całokształcie unijnego systemu certyfikacji usług chmurowych EUCS szereg organizacji z obu stron Atlantyku wystosowało list otwarty. Apelują w nim o równe traktowanie wszystkich graczy rynkowych, w tym również tzw. „big techów”, czyli największe koncerny technologiczne takie jak Amazon, Alphabet czy Microsoft.

Prywatność (fot. Unsplash.com / Jason Dent)

EUCS, czyli EU Cybersecurity Certification Scheme for Cloud Services, to europejski system dobrowolnych certyfikacji usług chmurowych, za opracowanie którego jest odpowiedzialna Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA, przy wsparciu grupy roboczej i przedstawicieli państw członkowskich Unii.

Celem EUCS jest pomoc rządom i firmom w doborze bezpiecznych i zaufanych dostawców usług chmurowych (IaaS, PaaS, SaaS i innych) w oparciu o zdefiniowany, referencyjny zestaw wymogów i wynikające z nich poziomy bezpieczeństwa: podstawowy, znaczący i wysoki. Certyfikacje mają stanowić element strategii cyfrowej suwerenności Unii Europejskiej i zwiększać poziom bezpieczeństwa i ochrony danych użytkowników-obywateli państw członkowskich.

Zobacz również:

  • Nvidia AI Computing by HPE – wspólna oferta rozwiązań do obsługi środowisk AI
  • EY: transformacja cyfrowa wciąż priorytetem dla firm
  • Raport chmurowy Computerworld już do pobrania

Unijni dostawcy usług w chmurze postulowali wprowadzenie do EUCS wymogów dotyczących suwerenności, obawiając się, że rządy państw spoza UE mogą uzyskać dostęp do danych Europejczyków przechowywanych w centrach danych zlokalizowanych na ich terenie na podstawie własnych przepisów.

Projekt EUCS zakładał m.in., by dla dostawców usług krytycznych dla cyfrowej administracji istniał wymóg posiadania oddziału na terenie UE, przez co podlegaliby oni unijnej jurysdykcji, a dane europejskich klientów byłyby przez nią chronione.

Na przestrzeni czasu system przeszedł szereg zmian. W ostatniej wersji, z marca 2024 r., usunięto np. zapisy wymagające od wielkich pozaunijnych koncernów technologicznych zawierania spółek joint venture lub partnerstw z firmami z UE w zakresie przechowywania i przetwarzania danych użytkowników, aby móc uzyskać najwyższy certyfikat cyberbezpieczeństwa.

Troska o biznes czy lobbingowa wrzutka?

Na 18 czerwca, w ramach prac nad szczegółami schematów certyfikacji, planowana była kolejna sesja robocza z udziałem przedstawicieli Komisji Europejskiej, agencji ENISA i państw członkowskich. W przededniu spotkania 26 podmiotów zaapelowało o „równe traktowanie wszystkich uczestników rynku”. Przeciwnicy systemu certyfikacji w jego obecnej formie już wcześniej podnosili, że restrykcyjne propozycje lokalizacji danych w istocie dyskryminują przedsiębiorstwa spoza Unii, a przedsiębiorstwom ze Starego Kontynentu ograniczają dostęp do najnowszych technologii i kluczowych innowacji.

„Wierzymy, że inkluzywny i niedyskryminujący system EUCS, który wspiera swobodny przepływ usług w chmurze w Europie, pomoże naszym członkom prosperować w kraju i za granicą, przyczyni się do realizacji cyfrowych ambicji Europy oraz wzmocni jej odporność i bezpieczeństwo. Usunięcie zarówno wymogów kontroli własności, jak i ochrony przed bezprawnym dostępem / immunitetu wobec prawa pozaunijnego zapewnia, że ulepszenia bezpieczeństwa chmury są zgodne z najlepszymi praktykami branżowymi i zasadami niedyskryminacji” – taki fragment listu cytuje m.in. portal techzine.eu.

Wśród sygnatariuszy listu znalazły się m.in. Amerykańska Izba Handlu przy Unii Europejskiej oraz lokalne oddziały AmCham w Czechach, Estonii, Finlandii, Włoszech, Norwegii, Rumunii i Hiszpanii; European Payment Institutions Federation i Bundesverband deutscher Banken. W gronie tym jest też również polski Związek Cyfrowa Polska. Przedstawiciele ZIPSEE Cyfrowa Polska nie odpowiedzieli redakcji Computerworld na prośbę o komentarz do momentu publikacji artykułu.

Jak wynika z danych firmy analitycznej IDC globalni dostawcy usług chmury publicznej odnotowali w 2023 r. rekordowe przychody w wysokości ponad 669 mld dolarów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200