Spór o cyberbezpieczeństwo w chmurze: czy UE ugnie się pod presją branży?
W lutym 2025 roku dwadzieścia trzy europejskie organizacje branżowe zwróciły się do Henny Virkkunen, Wiceprzewodniczącej Wykonawczej Komisji Europejskiej ds. Suwerenności Technologicznej, Bezpieczeństwa i Demokracji, z apelem o pilne przyjęcie zmienionego projektu Europejskiego Systemu Certyfikacji Cyberbezpieczeństwa dla Usług w Chmurze (EUCS). Zmiany wprowadzone w marcu 2024 roku miały na celu ułatwienie dostępu do najwyższego poziomu certyfikacji dla globalnych dostawców chmurowych, takich jak Amazon, Google i Microsoft, bez konieczności tworzenia spółek joint venture z firmami z siedzibą w UE.
Ewolucja EUCS: od restrykcji do inkluzywności
Pierwotna wersja EUCS, opracowana przez unijną agencję cyberbezpieczeństwa ENISA w 2020 roku, zawierała przepisy wymagające od dostawców spoza UE tworzenia wspólnych przedsięwzięć z europejskimi firmami w celu uzyskania najwyższego poziomu certyfikacji. Jednakże, po konsultacjach i analizach, w marcu 2024 roku zdecydowano się na złagodzenie tych wymogów, koncentrując się bardziej na technicznych aspektach bezpieczeństwa niż na kryteriach politycznych.
Apel branży: równowaga między bezpieczeństwem a otwartym rynkiem
W liście z 11 lutego 2025 roku, skierowanym do Wiceprzewodniczącej Virkkunen, organizacje branżowe podkreśliły znaczenie szybkiego wdrożenia zmienionego EUCS. Zauważyły, że marcowe zmiany “poczyniły dobre postępy w równoważeniu solidnych standardów bezpieczeństwa a inkluzywnymi, otwartymi zasadami rynku, które mają kluczowe znaczenie dla wzrostu i odporności europejskiej gospodarki cyfrowej”.
Szerokie poparcie dla zmienionego EUCS
Sygnatariuszami listu były różnorodne organizacje, w tym Allied for StartUps, Amerykańska Izba Handlowa w Estonii, Finlandii, Włoszech, Rumunii i Hiszpanii, Stowarzyszenie Niemieckich Banków, Niemieckie Stowarzyszenie Przemysłu Internetowego oraz włoska grupa startupowa InnovUp. List podpisały również Irlandzka Konfederacja Biznesu i Pracodawców, holenderska grupa Nederland Digitaal oraz Portugalskie Stowarzyszenie Promocji i Rozwoju Społeczeństwa Informacyjnego.
Stanowisko Komisji Europejskiej
Komisja Europejska potwierdziła otrzymanie listu i zadeklarowała, że odpowie na niego w odpowiednim czasie.Obecnie trwają dyskusje na temat ostatecznego kształtu EUCS, a branża z niecierpliwością oczekuje na decyzje, które mogą wpłynąć na przyszłość usług chmurowych w Europie.
Znaczenie certyfikacji cyberbezpieczeństwa w dobie cyfryzacji
Certyfikacja cyberbezpieczeństwa, taka jak EUCS, ma na celu formalne uznanie, że produkty i usługi ICT są godne zaufania i mogą chronić zarówno sprzęt, jak i oprogramowanie, z którego korzystają użytkownicy. W kontekście rosnącej liczby cyberzagrożeń, takie inicjatywy są kluczowe dla zapewnienia bezpieczeństwa danych i infrastruktury cyfrowej w Europie.
