In questi giorni è in discussione a Bruxelles una versione rivista del regolamento europeo sulla certificazione della cybersecurity per i servizi cloud, noto come European Cybersecurity Certification Scheme (EUCS) for Cloud Services. Il documento, pubblicato per la prima volta dall’ENISA il 22 dicembre 2020, ha subito infatti a marzo 2024 un nuovo aggiornamento, il quale ha visto rimuovere dalla proposta i requisiti di sovranità, che imponevano ai colossi tecnologici statunitensi di creare joint venture o collaborare con aziende europee per poter gestire i dati all’interno dell’UE.
L’aggiornamento del marzo 2024: una svolta nelle regole?
La necessità di questo nuovo aggiornamento nasce proprio dalle contestazioni a questi requisiti, portate avanti da una serie di organizzazioni, tra cui la Camera di Commercio Americana in Europa – che già nel giugno 2022 aveva rilasciato un position paper sull’argomento, nel quale dichiarava che le discussioni sull’EUCS hanno mancato di trasparenza e coinvolgimento degli stakeholder – ma anche da gruppi industriali e aziende sia esteri che europei, lobbisti e mediatori, come la Japan Association of New Economy, centri di ricerca, come il Centro Europeo per l’economia politica internazionale (ECIPE), che a febbraio chiedeva all’ENISA di abbandonare questi requisiti, sostenendo che comporterebbero significative perdite economiche per gli Stati membri dell’UE e che potrebbero indebolire la competitività dell’industria europea, aumentando i rischi di sicurezza informatica e creando inefficienze operative, nonché alcuni Stati membri dell’UE, come ad esempio il Belgio, che sempre a febbraio ha proposto di separare i requisiti di sovranità dai requisiti funzionali, certificando solo i secondi, mentre le dichiarazioni di sovranità sarebbero state incluse nell’International Company Profile Attestation (ICPA) solo per il livello di certificazione più alto.
Se ne era parlato a febbraio, quando l’ECIPE (Centro Europeo per l’economia politica internazionale) aveva pubblicato un Occasional Paper N. 04/2023 intitolato “The Economic Impacts of the Proposed EUCS Exclusionary Requirements Estimates for EU Member States”, redatto a cura del direttore e di un dirigente del Centro, entrambi con pregresse esperienze di lavoro in Asia. Il paper riguardava lo schema di certificazione per la cyber security dei servizi Cloud (EUCS, “European Cybersecurity Certification Scheme for Cloud Services”) presentato a settembre dall’Agenzia per la Sicurezza delle Reti e dell’Informazione Europea, ENISA e argomentava possibili perdite nei PIL nazionali europei a causa di queste restrizioni legate alle proprietà extra europee di produzione ICT e alle restrizioni sulle localizzazioni delle case madri produttrici, sullo staff e sulla geolocalizzazione dei dati.
Il dibattito sulla sovranità digitale
I requisiti di sovranità erano volti a garantire che i dati sensibili degli europei fossero gestiti e conservati all’interno dei confini giuridici e geografici dell’UE. Le disposizioni miravano a rafforzare la sovranità digitale europea, proteggendo i dati dalle leggi extraterritoriali di paesi come gli Stati Uniti e la Cina, che potrebbero compromettere la sicurezza delle informazioni e la privacy degli utenti.
Nell’ultima versione dell’European Cybersecurity Certification Scheme (EUCS), tali requisiti sono però stati rimossi. Questo sviluppo rappresenta una battuta d’arresto per la strategia di sovranità digitale dell’Europa, poiché implica che le aziende fornitrici di servizi Cloud non debbano più essere situate all’interno dell’Unione, né controllate per poter ottenere il livello di certificazione più alto.
In aggiunta a ciò, con una lettera presentata il 17 giugno e indirizzata alla Commissione Europea, all’ENISA e ai governi degli Stati membri dell’UE, una coalizione di ventisei associazioni e organizzazioni, compresa la Camera di Commercio Americana, ha sollecitato la rapida adozione dell’ultima bozza, approvando la rimozione dei controlli sulla proprietà e dei requisiti di protezione contro l’accesso illegale (Protection against Unlawful Access, PUA) e l’immunità dalle leggi non comunitarie (Immunity to Non-EU Law, INL).
La rimozione dei requisiti di sovranità è quindi presentata, in tale documento, come un passo positivo verso il rafforzamento delle relazioni commerciali con partner e alleati.
Infine, le organizzazioni firmatarie del documento enfatizzano la necessità di garantire l’accesso a una gamma diversificata di tecnologie cloud per prosperare in un mercato globale competitivo. Secondo i firmatari, l’implementazione dell’ultima bozza dell’EUCS migliorerà la disponibilità di tecnologie cloud sicure in Europa, supportando l’obiettivo dell’UE di far adottare i servizi di cloud computing, big data e intelligenza artificiale al 75% delle imprese dell’Unione.
La reazione dei fornitori di servizi cloud europei
La modifica dell’EUCS presentata a marzo, tuttavia, è stata accolta con preoccupazione da vari fornitori di servizi cloud europei, come Aruba e TIM, che hanno richiesto ulteriori riflessioni sulle implicazioni di tale eliminazione. Secondo questi attori, la mancanza di requisiti di sovranità potrebbe esporre i dati europei alle leggi e alle autorità di paesi terzi.
Nella dichiarazione congiunta rilasciata da tali fornitori si sottolinea l’importanza di includere requisiti di sovranità nell’EUCS. Le aziende firmatarie sostengono infatti che questi sono essenziali per superare la frammentazione del mercato, proteggere i dati più sensibili delle organizzazioni europee e favorire lo sviluppo di soluzioni cloud sovrane in Europa. La rimozione di tali requisiti dalla bozza principale dello schema non raggiungerebbe questi obiettivi e contraddirebbe gli sforzi collettivi fatti finora.
Secondo la dichiarazione, i requisiti previsti per le aziende di avere sede nell’UE e di essere controllate dalle entità europee sono necessari per ridurre il rischio di accesso illegale ai dati basato su leggi straniere, eventualmente incompatibili con il GDPR. Senza questi criteri, i fornitori di cloud soggetti a legislazioni extraterritoriali (come il CLOUD Act statunitense o la Legge di Intelligence cinese) potrebbero ottenere la certificazione al livello più alto, lasciando irrisolto il rischio di accesso illecito.
Inoltre, l’armonizzazione dei requisiti di sovranità in Europa può essere raggiunta solo con un set uniforme di disposizioni nel corpo principale dell’EUCS. Demandare questa responsabilità agli ufficiali di approvvigionamento nazionali porterebbe inevitabilmente a una frammentazione, con requisiti differenti a livello nazionale e incertezze legali, tecniche ed economiche per fornitori e utenti cloud dell’UE.
Infine, viene sottolineata la necessità di trasparenza sul livello di protezione dei dati degli utenti cloud. Secondo la dichiarazione, un’EUCS che non affronti il rischio di accesso illegale potrebbe indurre gli utenti a fare affidamento sull’organizzazione che possiede il livello più alto di certificazione senza essere adeguatamente protetti o informati sui rischi derivanti dalla legislazione extraterritoriale, ostacolando gli investimenti in soluzioni cloud sovrane.
Da questi punti di vista, includere i requisiti di sovranità nel corpo principale dell’EUCS è considerato fondamentale per supportare la trasparenza, la scelta degli utenti e la disponibilità di soluzioni cloud alternativi conformi ai requisiti di sovranità. La rimozione di tali requisiti comprometterebbe gravemente la fattibilità delle soluzioni cloud sovrane in Europa e impedirebbe ai clienti europei di identificare soluzioni sufficientemente sicure per le loro applicazioni sensibili.
Conclusioni
Il dibattito sulla certificazione EUCS per i servizi cloud riflette le tensioni tra esigenze di sicurezza all’interno dell’Unione e la spinta dei fornitori extra-UE per il mantenimento di un mercato libero e competitivo. La decisione finale sulla certificazione avrà implicazioni significative per il futuro della cybersecurity e dell’industria cloud in Europa, influenzando la capacità delle aziende europee di competere a livello globale e di proteggere i dati dei cittadini.