Trwają prace nad europejskim schematem certyfikacji cyberbezpieczeństwa usług chmurowych (EUCS), który zdefiniuje wymagania dla technologii cloud i ich dostawców.

Przewiduje się wprowadzenie trzech poziomów certyfikacji bezpieczeństwa usług. Wątpliwości organizacji branży cyfrowej z krajów CEE budzą wymagania dotyczące certyfikatu „wysokiego” poziomu.

Chodzi o zapisy dotyczące “wymagań niezależności” (sovereignty requirements), które mówią m.in, że siedziba główna dostawców usług, którzy chcą uzyskać najwyższy poziom certyfikacji, musi znajdować się w Europie i nie mogą oni podlegać podmiotom spoza UE.

Szef Cyfrowej Polski: grozi chmurowy chaos prawny

Jak twierdzi Michał Kanownik, prezes Związku Cyfrowa Polska, nie doprecyzowano, dla jakich narzędzi i w jakich sektorach wymagane miałoby być uzyskanie certyfikatu najwyższego poziomu bezpieczeństwa usług chmurowych. To z kolei grozi niejednolitą interpretacją przepisów w poszczególnych państwach członkowskich i chaosem prawnym w UE. 

„Ryzykujemy naruszeniem zasad jednolitego rynku wewnętrznego Unii Europejskiej” – twierdzi Michał Kanownik, który stoi na czele koalicji CEE Digital Coalition (organizacje branży z Czech, Litwy, Polski, Rumunii i Słowacji).

Legalni dostawcy mogą stracić prawo świadczenia usług

Prezes Cyfrowej Polski ostrzega, że proponowane zapisy mogą utrudnić lub uniemożliwić legalnie działającym w Unii dostawcom usług chmurowych ubieganie się o certyfikat „wysokiego” bezpieczeństwa ich produktów.

„Stracą oni możliwość świadczenia usług konsumentom w UE i klientom biznesowym” – twierdzi Michał Kanownik.

Branża proponuje, czego trzeba wymagać

Nad regulacjami pracuje unijna organizacja cyberbezpieczeństwa ENISA.

Organizacje branżowe z krajów CEE proponują zastąpienie kontrowersyjnej regulacji wymaganiem legalnej działalności oddziału dostawcy chmury na terenie UE, by mógł uzyskać certyfikat „wysokiego” poziomu bezpieczeństwa.

Chcą też konsultacji społecznych dotyczących projektu, przejrzystości procesu legislacyjnego i analizy ryzyka, obejmującego także użytkowników chmury w różnych branżach.