AWS, Azure, GCP e outros provedores de serviços em nuvem poderão em breve exigir um rótulo de segurança cibernética da UE para lidar com dados confidenciais.
Os provedores de serviços em nuvem (CSPs), como Google, Amazon e Microsoft, podem estar enfrentando novos desafios regulatórios na União Europeia (UE), à medida que a região está supostamente trabalhando em um projeto de regra que forçará os CSPs não europeus a se unirem a empresas europeias se quiserem lidar com dados confidenciais no nuvem. Será emitido um rótulo de cibersegurança da UE para os PSC caso planeiem tratar dados sensíveis e dependerá do requisito de que é formada uma joint venture entre um fornecedor de serviços de nuvem não europeu e uma empresa da UE, tendo esta última uma participação maioritária neste parceria.
O rascunho do documento, visto por Reuters, também tem outras restrições notáveis. O pessoal que tem acesso a dados sensíveis deve residir na UE e necessitar de passar por um processo de triagem para ser elegível para esta função. Além disso, os serviços de computação em nuvem que alojam estes dados devem ser operados e mantidos a partir da UE, e qualquer tratamento de dados deve igualmente ocorrer dentro desta fronteira geográfica. Além disso, serão aplicadas sanções mais rigorosas a um CSP se uma violação de dados resultar em impactos negativos na segurança pública, na saúde humana ou na propriedade intelectual. Outro trecho do documento também diz:
'Os serviços de nuvem certificados são operados apenas por empresas sediadas na UE, sem que nenhuma entidade de fora da UE tenha controle efetivo sobre o CSP (fornecedor de serviços em nuvem), para mitigar o risco de interferência de poderes de países terceiros, prejudicando os regulamentos, normas e valores da UE.
As empresas cuja sede social ou sede não esteja estabelecida num Estado membro da UE não devem, directa ou indiretamente, única ou conjuntamente, deter o controle efetivo positivo ou negativo do CSP que solicita a certificação de uma nuvem serviço.'
Se o projeto de regra se tornar lei, terá implicações importantes tanto para os CSPs não europeus como para os seus clientes europeus. Para cumprir a lei, as duas partes terão de garantir que o rótulo de cibersegurança da UE esteja presente nos serviços em nuvem utilizados. A exigência pode até impactar empresas que já usam plataformas como Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Plataforma (GCP) para seus processos que envolvem dados confidenciais, pois serão obrigados a ter o selo de segurança cibernética em vigor para continuar.
O cronograma para a implementação dessas novas regras é atualmente desconhecido, o que faz sentido, visto que está atualmente em fase de rascunho. Espera-se que os países do bloco da UE revejam este documento ainda este mês.