I 27 stanno valutando nuove norme sui “bollini” di sicurezza informatica che riguarderebbero i colossi statunitensi, a cui verrebbe richiesto di operare tramite joint-venture con aziende europee
L’Unione europea sta pensando di ampliare il suo schema di certificazione per la sicurezza cibernetica, includendo anche cloud, banche e compagnie aeree. Come sottolinea l’agenzia Reuters che ha visionato le bozze dell’Agenzia dell’Unione europea per la cibersicurezza (Enisa), le nuove norme sull’etichettatura arriverebbero in una fase particolare, in cui le Big Tech (come Amazon, Google e Microsoft) puntano sul mercato del cloud delle pubbliche amministrazioni per la loro crescita nei prossimi anni e il boom dell’intelligenza artificiale sta aumentando la domanda di servizi cloud.
L’ultima proposta dell’Enisa riguarda un sistema di certificazione (Eucs) che garantisce la sicurezza informatica dei servizi cloud e determina come governi e aziende dei 27 selezionano un fornitore per le loro attività. Il documento rivelato da Reuters mantiene le disposizioni fondamentale contenute nelle bozze precedenti, come il requisito per i colossi statunitensi di creare una joint-venture con un’azienda con sede nell’Unione europea per qualificarsi per il bollino di cybersicurezza. Un’altra disposizione stabilisce che i servizi cloud devono essere gestiti e mantenuti dall’Unione europea, mentre tutti i dati dei clienti dei servizi cloud devono essere conservati ed elaborati nell’Unione europea, con le leggi dell’Unione europea che hanno la precedenza sulle leggi extra-Ue relative al fornitore di servizi cloud. Questi obblighi si applicano ai livelli di sicurezza più elevati, che sono quattro. L’ultima bozza prevede la possibilità di estendere questi severi requisiti al terzo livello di sicurezza. I Paesi europei stanno ora esaminando l’ultima bozza, dopodiché la Commissione europea adotterà uno schema definitivo.
Secondo il gruppo di lobbying Ccia, l’ampliamento dell’ambito di applicazione interesserebbe una fascia più ampia di industrie. “Forse la parte più sorprendente di questa nuova bozza è che l’Enisa ora suggerisce che i requisiti che discriminano i fornitori di cloud stranieri potrebbero essere estesi anche a livelli di garanzia inferiori”, ha dichiarato Alexandre Roure, direttore delle politiche pubbliche di Ccia Europa. “Questo includerebbe le banche, ma anche le compagnie aeree, le società di servizi e i settori fortemente regolamentati”, ha aggiunto.
Nei giorni scorsi la Federazione bancaria europea (Ebf), insieme al Gruppo europeo delle casse di risparmio (Esbg), all’Associazione per i mercati finanziari in Europa (Afme), alla Federazione europea degli istituti di pagamento (Epif) e ad Insurance Europe hanno criticato i requisiti di sovranità previsto nel nuovo schema.
