AWS, Azure, GCP e altri fornitori di servizi cloud potrebbero presto richiedere un'etichetta di sicurezza informatica europea per gestire dati sensibili.
I fornitori di servizi cloud (CSP) come Google, Amazon e Microsoft potrebbero trovarsi ad affrontare nuove sfide normative nell’Unione Europea (UE) come regione starebbe lavorando a un progetto di norma che obbligherà i CSP non europei a collaborare con le aziende europee se vogliono gestire dati sensibili sul mercato. nuvola. Un’etichetta di sicurezza informatica dell’UE verrà rilasciata ai CSP se intendono gestire dati sensibili e sarà subordinata al requisito che viene costituita una joint venture tra un fornitore di servizi cloud non europeo e un'impresa europea, di cui quest'ultima ne detiene la maggioranza associazione.
La bozza del documento, vista da Reuters, presenta anche altre notevoli restrizioni. Il personale che ha accesso a dati sensibili dovrebbe risiedere nell’UE e deve superare un processo di screening per poter essere idoneo a questo ruolo. Inoltre, i servizi cloud che ospitano questi dati dovrebbero essere gestiti e mantenuti dall’UE e qualsiasi trattamento dei dati dovrebbe avvenire allo stesso modo all’interno di questo confine geografico. Inoltre, ai CSP si applicheranno sanzioni più severe se una violazione dei dati comporta impatti negativi sulla sicurezza pubblica, sulla salute umana o sulla proprietà intellettuale. In un altro estratto del documento si legge inoltre:
I servizi cloud certificati sono gestiti solo da aziende con sede nell’UE, senza che nessun ente esterno all’UE abbia un controllo effettivo rispetto al CSP (cloud service provider), per mitigare il rischio di interferenze di poteri extra-UE che minano regolamenti, norme e valori dell’UE.
Le imprese la cui sede legale o direzione generale non sono stabilite in uno Stato membro dell'UE non possono, direttamente o indirettamente, da soli o congiuntamente, detengono il controllo effettivo positivo o negativo del CSP che richiede la certificazione di un cloud servizio.'
Se il progetto di norma diventerà legge, avrà importanti implicazioni sia per i CSP non europei che per i loro clienti europei. Per rispettare la legge, le due parti dovranno garantire che il marchio di sicurezza informatica dell'UE sia presente sui servizi cloud utilizzati. Il requisito potrebbe avere un impatto anche sulle aziende che già utilizzano piattaforme come Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP) per i loro processi che coinvolgono dati sensibili, poiché saranno tenuti a disporre dell'etichetta di sicurezza informatica per poter Continua.
La tempistica per l'implementazione di queste nuove regole è attualmente sconosciuta, il che ha senso dato che è attualmente in fase di bozza. Si prevede che i paesi del blocco UE rivedano questo documento alla fine di questo mese.