AWS, Azure, GCP og andre cloud-tjenesteudbydere kan snart kræve et EU-cybersikkerhedsmærke for at håndtere følsomme data.
Cloud-tjenesteudbydere (CSP'er) såsom Google, Amazon og Microsoft kan stå over for nye regulatoriske udfordringer i EU (EU) som regionen arbejder angiveligt på et udkast til regel, der vil tvinge ikke-europæiske CSP'er til at slutte sig til europæiske virksomheder, hvis de ønsker at håndtere følsomme data på Sky. Et EU-cybersikkerhedsmærke vil blive udstedt til CSP'er, hvis de planlægger at håndtere følsomme data, og det vil være betinget af kravet om, at der dannes et joint venture mellem en ikke-europæisk cloud-udbyder og en EU-virksomhed, hvor sidstnævnte har en majoritetsandel i dette partnerskab.
Dokumentudkastet, set af Reuters, har også andre bemærkelsesværdige begrænsninger. Personale, der har adgang til følsomme data, bør opholde sig i EU og skal bestå en screeningsproces for at være berettiget til denne rolle. Derudover bør de cloud-tjenester, der hoster disse data, drives og vedligeholdes fra EU, og enhver databehandling bør ligeledes finde sted inden for denne geografiske grænse. Desuden vil strengere sanktioner gælde for en CSP, hvis et databrud resulterer i negative indvirkninger på den offentlige sikkerhed, menneskers sundhed eller intellektuel ejendom. Et andet uddrag fra dokumentet lyder også:
"Certificerede cloud-tjenester drives kun af virksomheder baseret i EU, uden en enhed uden for EU, der har effektiv kontrol over CSP (cloud service provider), for at mindske risikoen for, at ikke-EU-indblanding beføjelser underminerer EU's regler, normer og værdier.
Virksomheder, hvis registrerede hovedkontor eller hovedsæde ikke er etableret i en medlemsstat i EU, må ikke direkte eller indirekte, alene eller i fællesskab, have positiv eller negativ effektiv kontrol over CSP'en, der ansøger om certificering af en sky service.'
Hvis udkastet til regel bliver lov, vil det få store konsekvenser for både ikke-europæiske CSP'er og deres europæiske kunder. For at overholde loven skal de to parter sikre sig, at EU's cybersikkerhedsmærke er til stede på de cloudtjenester, der benyttes. Kravet kan endda påvirke virksomheder, der allerede bruger platforme som Microsoft Azure, Amazon Web Services (AWS) og Google Cloud Platform (GCP) for deres processer, der involverer følsomme data, da de vil være forpligtet til at have cybersikkerhedsmærket på plads for at Blive ved.
Tidslinjen for udrulningen af disse nye regler er i øjeblikket ukendt, hvilket giver mening, da det i øjeblikket er på udkaststadiet. Lande i EU-blokken forventes at gennemgå dette dokument senere på måneden.