Dei tre certificati proposti dal 2019, solo uno è stato approvato, altri due sono ancora in corso.
Il Belgio sta cercando di sbloccare la situazione politica su un sistema di certificazione della sicurezza informatica dell’UE per i servizi cloud proponendo di separare la sovranità dai requisiti funzionali, secondo un documento redatto dal Centro nazionale di sicurezza informatica, visto da Euronews. I governi nazionali dell’UE e la Commissione europea hanno tenuto colloqui sulla questione negli ultimi tre anni.
Nel dicembre 2019 la Commissione ha chiesto all’agenzia per la sicurezza informatica ENISA di preparare uno schema volontario di certificazione della sicurezza informatica sui servizi cloud (EUCS) che le aziende possono utilizzare per dimostrare che le soluzioni ICT certificate hanno il giusto livello di protezione della sicurezza informatica per il mercato dell’UE.
L’EUCS è diventata oggetto di un dibattito politico quando la Francia ha tentato di introdurre requisiti di sovranità all’interno del testo progettato per escludere le società cloud extra-UE dall’ammissibilità delle opzioni di sicurezza più elevate. Questa proposta ha incontrato una forte resistenza da parte di diversi paesi e dell’industria dell’UE, percependola come una mossa protezionistica, e da allora non è stato raggiunto alcun accordo. La prossima riunione del gruppo di esperti EUCS è prevista per marzo.
Il Belgio, che presiederà le riunioni dei ministri dell’UE nella prima metà del 2024, propone ora di separare i requisiti funzionali dalle dichiarazioni di sovranità. Entrambi rimarrebbero inclusi nel regime, ma con un approccio e uno status diversi.
Il Paese suggerisce che solo i requisiti di sicurezza funzionale verrebbero effettivamente certificati, mentre le dichiarazioni di sovranità sarebbero dichiarate nell’International Company Profile Attestation (ICPA), e questo solo per il più alto livello di certificazione. Ciò consentirebbe un livello di armonizzazione a livello dell’UE, pur mantenendo la possibilità per i 27 Stati membri di attuare i propri requisiti di sovranità nazionale solo per i casi d’uso più sensibili.
Il documento afferma che questo sistema di certificazione EUCS proposto “consentirebbe pienamente ai fornitori cloud extra-UE di essere certificati al livello più alto e di avere pieno accesso al mercato dell’UE, consentendo la concorrenza in tutte le gare per le quali la certificazione ‘Elevata’ potrebbe essere resa obbligatoria, fatti salvi eventuali requisiti aggiuntivi di sovranità nazionale per alcune entità.”
Questo approccio “consentirebbe inoltre un libero mercato e un approccio su misura per un diverso livello di rischio, a seconda della potenziale minaccia geopolitica”.
ENISA
Degli altri due certificati proposti dal 2019, solo uno è stato approvato, sui prodotti ICT di base; un altro sul 5G è ancora in corso.
Euronews ha riferito all’inizio di questo mese (20 febbraio) che la commissione sta cercando feedback da parte dell’industria e dei governi nazionali sul funzionamento, l’efficienza e la portata del lavoro dell’ENISA.
Lo scopo del questionario è valutare le pratiche di lavoro dell’ENISA, nonché la potenziale necessità di modificare il mandato dell’agenzia e le eventuali implicazioni finanziarie.
La mossa arriva mentre il Cybersecurity Act (CSA) dell’UE, entrato in vigore nel 2019 e che ha conferito all’ENISA il mandato di supervisionare l’attuazione delle norme sulla sicurezza informatica a livello europeo, sarà rivisto quest’estate.
Image:Getty Images
