Uno dei cambiamenti più significativi degli ultimi anni a cui governi e aziende si sono dovuti adeguare è stata la rivoluzione del cloud ed è proprio per “blindare” la sicurezza dei servizi cloud forniti dalle big tech che l’Europa sta pensando a un bollino di provider “sicuro” certificato dall’UE.
Secondo una bozza di documento dell’UE visionata da Reuters, l’ENISA starebbe lavorando ad un documento ufficiale di regolamentazione, all’interno del sistema di certificazione Eucs, per i fornitori di servizi cloud.
Tale bozza sottolineerebbe la volontà dell’Unione Europea di garantire la sicurezza informatica dei servizi cloud richiedendo aziende del settore non europee, quali Amazon, Alphabet’s Google e Microsoft, dei requisiti minimi per operare in territorio comunitario in termini di cyber security e gestione di dati sensibili.
Indice degli argomenti
La proposta ENISA per la sicurezza dei servizi cloud
Nello specifico, i fornitori di servizi cloud non appartenenti all’Unione Europea che desiderano ottenere un marchio di sicurezza informatica dell’UE (Eucs) per gestire dati sensibili, possono farlo solo attraverso una joint venture, con partecipazione minoritaria, con un’azienda con sede nell’UE.
L’obbiettivo, da quanto riportato nel documento, è di assicurare che “nessuna entità al di fuori dell’UE abbia un controllo effettivo sul CSP (Cloud Service Provider, fornitore di servizi cloud), per mitigare il rischio di poteri interferenti non-Ue che compromettano i regolamenti, le norme e i valori dell’UE”.
Inoltre, verrebbe richiesto ai dipendenti che hanno accesso ai dati dell’Unione Europea di sottoporsi a controlli specifici e di operare fisicamente in uno dei 27 Paesi.
Infine, “le imprese la cui sede legale o il cui quartier generale non sono stabiliti in uno Stato membro dell’UE non possono, direttamente o indirettamente, da sole o congiuntamente, detenere un controllo effettivo positivo o negativo del CSP che richiede la certificazione di un servizio cloud”.
Quest’ultimo punto ricalca un altro aspetto legale della bozza che sottolineerebbe come le leggi dell’UE prevalgono sulle leggi extra-UE per quanto riguarda il fornitore di servizi cloud.
L’importanza di usare servizi cloud certificati
Tuttavia, non è di recente che l’ENISA si è mossa nel settore del cloud sia da un punto di vista normativo che di valutazione dei rischi.
Nel 2009, l’ente aveva prodotto un documento incentrato sulla valutazione dei rischi per la sicurezza del cloud, a cui seguì un framework per la gestione dei rischi per la sicurezza delle informazioni nell’utilizzo di tecnologie cloud e nel 2011 un rapporto sulla sicurezza e la resilienza nei cloud governativi.
Inoltre, nel marzo 2023 l’ente ha prodotto un documento incentrato sull’analisi del mercato della cyber security nel cloud, dove si evidenziava come un numero significativo di fornitori non utilizza ancora alcuna certificazione per i servizi offerti.
Sembra che la maggiore propensione al rischio del lato della domanda possa essere spiegata dalla mancanza di consapevolezza in materia di cyber security o da una maggiore priorità di costo/prestazioni.
Ciononostante, il desiderio del lato della domanda di utilizzare servizi certificati (circa il 50%) non trova piena corrispondenza con il lato dei fornitori, se si considera il livello di certificazioni supportate dei servizi cloud offerti.
Le critiche alla proposta di ENISA
La proposta di un sistema di certificazione del cloud dell’Unione europea, oltre alle critiche mosse dalle aziende statunitensi al sistema Eucs, è stata oggetto di ulteriori critiche da parte di un think tank politico europeo, anche se risulta che il suo rapporto sia stato commissionato dalla Computer & Communications Industry Association (CCIA), un’organizzazione internazionale senza scopo di lucro con sede a Washington DC che rappresenta gli interessi dell’industria informatica e delle comunicazioni statunitense.
