AWS, Azure, GCP og andre skytjenesteleverandører kan snart kreve et EU-nettsikkerhetsmerke for å håndtere sensitive data.
Skytjenesteleverandører (CSP) som Google, Amazon og Microsoft kan stå overfor nye regulatoriske utfordringer i EU (EU) som regionen jobber angivelig med et utkast til regel som vil tvinge ikke-europeiske CSP-er til å gå sammen med europeiske firmaer hvis de ønsker å håndtere sensitive data på Sky. Et EU-nettsikkerhetsmerke vil bli utstedt til CSP-er hvis de planlegger å håndtere sensitive data, og det vil være betinget av kravet om at det dannes et joint venture mellom en ikke-europeisk skyleverandør og et EU-selskap, hvor sistnevnte har en majoritetsandel i dette samarbeid.
Dokumentutkastet, sett av Reuters, har også andre bemerkelsesverdige begrensninger. Personell som har tilgang til sensitive data bør bo i EU og må bestå en screeningsprosess for å være kvalifisert for denne rollen. I tillegg bør skytjenestene som er vert for disse dataene, drives og vedlikeholdes fra EU, og all databehandling bør på lignende måte foregå innenfor denne geografiske grensen. I tillegg vil strengere straffer gjelde for en CSP hvis et databrudd resulterer i negative konsekvenser for offentlig sikkerhet, menneskers helse eller intellektuell eiendom. Et annet utdrag fra dokumentet lyder også:
"Sertifiserte skytjenester drives kun av selskaper basert i EU, uten at noen enheter utenfor EU har effektiv kontroll over CSP (cloud service provider), for å redusere risikoen for at makter utenfor EU undergraver EUs regelverk, normer og verdier.
Foretak hvis registrerte hovedkontor eller hovedkontor ikke er etablert i en medlemsstat i EU skal ikke, direkte eller indirekte, alene eller i fellesskap, ha positiv eller negativ effektiv kontroll over CSP-en som søker om sertifisering av en sky service.'
Hvis regelutkastet blir lov, vil det få store konsekvenser for både ikke-europeiske CSP-er og deres europeiske kunder. For å overholde loven, må de to partene sørge for at EUs cybersikkerhetsmerke er tilstede på skytjenestene som benyttes. Kravet kan til og med påvirke bedrifter som allerede bruker plattformer som Microsoft Azure, Amazon Web Services (AWS) og Google Cloud Plattform (GCP) for deres prosesser som involverer sensitive data, da de vil bli pålagt å ha cybersikkerhetsmerket på plass for å Fortsette.
Tidslinjen for utrullingen av disse nye reglene er foreløpig ukjent, noe som er fornuftig gitt at det for øyeblikket er på utkaststadiet. Land i EU-blokken forventes å vurdere dette dokumentet senere denne måneden.