L’European Cybersecurity Certification Scheme for Cloud Services (EUCS) costituisce uno dei primi schemi di sicurezza informatica in Europa progettati dall’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA). Esso mira a spingere i fornitori di cloud a rafforzare le loro politiche di cybersecurity per ottenere un timbro ufficiale di approvazione da parte delle autorità europee.
I prodotti e i servizi ICT devono essere certificati in base a un insieme di regole, requisiti tecnici, standard e procedure.
Un “bollino” per la cybersecurity made in Ue: l’iniziativa ECSO
Un “timbro” per il libero flusso di dati in tutta l’Unione
L’iniziativa dell’UE segue l’esperienza francese dell’etichetta SecNumCloud ed è sviluppata da un “gruppo di lavoro ad hoc” presso l’ENISA che comprende funzionari di aziende come SAP, T-Systems di Deutsche Telekom, Cisco, Amazon e altri.
Oltre alle misure tecniche necessarie per ottenere il timbro di approvazione, il gruppo di lavoro sta anche prendendo in considerazione misure per attribuire ai tribunali europei la giurisdizione sulle controversie, per elencare “rischi residui relativi a leggi non UE con applicazione extraterritoriale” e per indicare nei contratti che i dati rientrino nel diritto comunitario. Un’altra possibile proposta potrebbe essere il divieto di “controllo” dei servizi cloud da parte degli investitori extracomunitari.
La discussione su questo sistema di certificazione mette in luce l’intenzione di ENISA di migliorare le condizioni dei servizi cloud interni al mercato europeo, attraverso il rafforzamento le proposte presenti e l’armonizzazione dei punti dell’EUCS con i regolamenti europei, gli standard internazionali, le best practices del settore e le certificazioni già presenti negli Stati membri.
Data l’importanza crescente di tale servizio per i cittadini e per le imprese, soprattutto a seguito dell’esperienza del lockdown, il Direttore Esecutivo dell’ENISA Juhan Lepassaar ha dichiarato che tale certificazione risulta fondamentale per consentire il libero flusso di dati in tutta l’Unione e che rappresenta un fattore importante per la promozione dell’innovazione e della competitività del mercato.
Alla fine del 2020, durante la conferenza ENISA sulle certificazioni di cybersicurezza, il Direttore del Digital Society, Trust and Cybersecurity at the European Commission Directorate-General for Communications Networks, Content and Technology (DG CONNECT) Lorena Boix Alonso ha affermato che deve essere garantito un sistema certificativo equilibrato che segua un “approccio ragionevole basato sul rischio, con soluzioni flessibili e schemi progettati per evitare che diventino rapidamente obsoleti”.
Sicurezza del cloud, verso un unico quadro normativo comunitario
La sfida è quindi affrontare un insieme diversificato di attori presenti sul mercato, strutture complesse, un panorama dei servizi cloud in continua evoluzione e l’esistenza di sistemi diversi negli Stati Membri. L’obiettivo finale è presentare il progetto EUCS come un sistema orizzontale e tecnologico che fornisca le garanzie di cyber security lungo tutta la catena di approvvigionamento del cloud mediante tre livelli: “Base”, “Sostanziale” e “Alto”. Questo piano d’azione consentirebbe una transizione dagli attuali sistemi nazionali verso un unico quadro normativo comunitario.
Il progetto è uno schema volontario, la cui certificazione, triennale e rinnovabile, potrà essere messa in atto in tutti i paesi dell’UE. Sarà applicabile a ogni servizio cloud, dall’infrastruttura alle applicazioni, aumentando i livelli di fiducia in tali servizi e definendo un set di requisiti di sicurezza a cui fare riferimento.
È uno schema che propone un nuovo approccio ispirato ai sistemi preesistenti e alle norme internazionali, includendo prerogative di trasparenza, come il luogo di elaborazione e archiviazione dei dati, e permettendo la consultazione pubblica. Riguardo quest’ultimo punto, le parti interessate potranno fornire una valutazione sul progetto, il cui esito sarà successivamente condiviso. Un altro aspetto di primaria importanza concerne l’immunità dall’accesso extraeuropeo, la quale verrebbe tutelata richiedendo ai fornitori di stabilire la loro sede nell’Unione e di non essere controllati da entità esterne all’UE.
Le obiezioni delle aziende Usa
Alla luce dei requisiti di sicurezza informatica cloud suggeriti dall’ENISA, alcuni enti tecnologici dell’UE che rappresentano le aziende statunitensi hanno espresso le loro obiezioni. ITI, CCIA Europe, BSA e Amcham EU hanno presentato una richiesta in cui si chiede di riconsiderare i requisiti che contraddicono le leggi statunitensi sull’accesso ai dati, poiché ritengono che tale proposta creerà complesse procedure di conformità legale, senza che vengano incrementati i livelli di sicurezza informatica.
Una delle maggiori criticità riguarda il concetto di “controllo”, il quale è definito in modo molto restrittivo. Secondo la bozza, le aziende devono essere completamente indipendenti dalle leggi extra-UE, poiché le relazioni costituite da proprietà, diritti o contratti sono considerate come aventi un’influenza decisiva su un’impresa. Gli scambi tra fornitori di servizi cloud e fornitori con sede al di fuori dell’Unione Europea dovranno soddisfare requisiti specifici in termini di autorizzazione e supervisione della sicurezza. Anche le aziende locate nell’UE ma con investitori o attività estere potrebbero avere un accesso limitato.
Secondo i rappresentanti delle maggiori industrie tecnologiche presenti come Amazon, Microsoft o Google, il nuovo quadro normativo rischia di avere pesanti ricadute sui fornitori di servizi cloud e più in generale sulla competitività dell’economia europea.
Se da una parte il disegno di legge afferma che si tratta di “misure tecniche“, alcuni Stati membri e diversi rappresentanti dell’industria tecnologica non sono d’accordo sul fatto di mantenere i colloqui solamente su questo livello e stanno spingendo per una discussione che spazi anche in ambito politico.
I Paesi Ue in ordine sparso
Nel mese di aprile, i Paesi Bassi, la Svezia e l’Irlanda hanno sottoscritto un documento non ufficiale in cui si sostiene che i requisiti di sovranità proposti sono difficili da implementare e da verificare, con conseguenti costi elevati e ripercussioni sulla concorrenza. Il risultato potrebbe essere quello di limitare i fornitori a un gruppo ancora più ristretto.
Da parte loro, Stati come la Francia, l’Italia, la Germania e la Spagna hanno redatto una dichiarazione congiunta a favore dell’inclusione dei requisiti di immunità nello schema comunitario per limitare le possibili interferenze estere sui dati del cloud.
Il processo di elaborazione delle nuove normative è stato altresì criticato per la “limitata trasparenza e la mancanza di coinvolgimento delle parti interessate”, secondo quanto si afferma in una dichiarazione firmata da CCIA, ITI, BSA e AmCham EU. I rappresentanti dell’industria tecnologica hanno esortato l’ENISA e la Commissione Europea a informare le parti interessate sullo stato della discussione e a impegnarsi con loro durante il processo di finalizzazione. Chiedono inoltre agli Stati membri di richiedere una valutazione d’impatto più approfondita sulle nuove proposte.
In merito alla vicenda, l’ENISA ha dichiarato che i requisiti di sovranità sono ancora in fase di discussione e ha aggiunto che essi saranno applicati solamente ai servizi cloud che dimostrino il massimo livello di sicurezza. Inoltre, l’agenzia ha affermato che uno schema definitivo dovrà essere approvato formalmente dalle istituzioni dell’UE prima di entrare in vigore.
