Os requisitos de soberania quase certamente não serão incluídos no esquema de certificação de nuvem da UE (EUCS), que deve ser concluído até o final de 2024, disse uma fonte próxima ao assunto à Euractiv.
O esquema EUCS altamente técnico, porém controverso, está no centro de um debate sobre quais medidas a Europa deve tomar para proteger sua infraestrutura de atores de países terceiros.
O EUCS visa definir critérios em toda a UE para certificar provedores de nuvem sobre seus atributos de segurança. Essas certificações ajudariam governos e empresas no bloco a determinar os atributos de segurança cibernética de qualquer provedor de nuvem ao comprar tais serviços.
O assunto foi retirado da pauta da reunião de 18 de junho do Grupo Europeu de Certificação de Cibersegurança (ECCG)composta por autoridades de segurança cibernética dos estados-membros sob a tutela da Comissão. Esta foi uma decisão baseada em prioridades, disse a fonte.
Outra fonte familiarizada com o assunto explicou que os estados-membros esperavam orientação da Comissão Europeia sobre como tais requisitos poderiam ser implementados fora do esquema da UE, razão pela qual o item da pauta foi descartado.
Assim que o projeto de esquema for finalizado, o ECCG emitirá um parecer.
É provável que o ECCG aprove qualquer coisa que a ENISA lhe submeta sem grandes mudanças, já que muitas das pessoas que fazem parte do grupo ad hoc da ENISA que elabora o esquema são especialistas nacionais que também fazem parte do ECCG, disse a fonte.
Com base nisso, o rascunho poderá ser ajustado mais uma vez e depois passar pelo processo de comitologia, onde será revisado por representantes dos estados-membros e comitês do Parlamento antes que a Comissão finalmente adote um ato implementado.
O processo de comitologia poderia inviabilizar o esquema e reacender o debate sobre soberania, mas ter o acordo dos estados-membros no grupo ad hoc e no ECCG torna isso menos provável.
O ponto de discórdia
O processo técnico normalmente árido de definição de critérios para certificação de provedores de nuvem tomou um rumo inesperado quando, em 2022, quatro países da UE, França, Alemanha, Espanha e Itália, pediram o envolvimento da Comissão Europeia, explicou a primeira fonte.
Esses países já tinham ou estavam considerando seus próprios requisitos de soberania, que levam em conta considerações territoriais, para decidir o que é uma nuvem segura.
Nesse ponto, a ENISA começou a analisar como esses requisitos de soberania poderiam ser incluídos no esquema, o que a fonte descreveu como semelhante à devida diligência antes de comprar uma empresa.
Na semana passada, a Amazon Web Services anunciou dois investimentos multibilionários em “nuvem soberana” na Espanha e na Alemanha.
A França tem sido particularmente expressiva em seu apoio às exigências de soberania e está trabalhando em suas próprias leis.
A ideia é evitar uma situação em que empresas chinesas ou norte-americanas possam bisbilhotar dados sensíveis da UE se tiverem jurisdição sobre os provedores de nuvem. Os críticos, no entanto, chamaram as medidas de protecionistas.
No EUCS, essas disposições exigiriam que os provedores de serviços de nuvem para infraestrutura crítica ou governo fossem majoritariamente de propriedade de investidores sediados na UE.
Tais critérios foram posteriormente adicionados ao esquema e novamente removidos do último rascunho de março de 2024, informou a Euractiv.
O esquema é principalmente técnico, com cerca de 600 critérios usados, disse a pessoa. Os requisitos de soberania teriam impedido as empresas de obter o mais alto nível de certificação com base em critérios não técnicos. Isso poderia incluir estar sediada na UE ou em um estado-membro específico, bem como ser majoritariamente de propriedade de investidores europeus.
O nível mais alto de certificação seria necessário para vender serviços a entidades importantes, como governos ou provedores de infraestrutura crítica.
(Editado por Zoran Radosavljevic)
Leia mais com Euractiv
