Облачната схема на ЕС се нуждае от повече гаранции за поверителност, казва френският надзорен орган
Тъй като няма повече планирани срещи, сертифицирането вероятно ще се забави още повече.
Гаранциите за защита на данните в планираната схема на ЕС за сертифициране на облачни услуги, EUCS, трябва да бъдат подобрени, се казва в изявление, публикувано късно в петък (19 юли) от френската организация за защита на личните данни CNIL.
Притесненията засилват съмненията на френското правителство относно отдавна закъснялата схема, която има за цел да гарантира, че ИКТ пакетите, продавани на пазара на ЕС, са защитени от кибератаки, но която е измъчвана от забавяния.
„В сегашното си състояние европейската схема за сертифициране на облачни услуги вече не позволява на доставчиците да демонстрират, че защитават съхранените данни срещу достъп от чужда сила“, каза френският орган за защита на данните, като направи контраст с Собствената вътрешна система на Франция.
„CNIL призовава нивото на защита на личните данни в това сертифициране да бъде подобрено чрез повторно въвеждане на такива гаранции“, добави той.
CNIL казва, че за най-чувствителната информация – относно здравеопазването, престъпността или децата – данните, хоствани в ЕС, не трябва да бъдат изложени на риск от неоторизиран достъп от органи извън блока.
Безизходица
През последните години изискванията за суверенитет на EUCS се превърнаха в политическа битка.
Европейската комисия поиска от Enisa – Европейската агенция за киберсигурност – да подготви сертифицирането още през декември 2019 г., тъй като вторично законодателство съгласно Закона за киберсигурността.
Когато се договаряха проектоправилата, Франция се опита да изключи облачните компании извън ЕС от управлението на най-сигурните системи.
Това щеше да направи плановете на ЕС по-близки до неговите собствени национален облачен сертификат SecNumCloud, но също така ще има значително въздействие, като се има предвид, че основните доставчици - включително AWS и Microsoft - са всички американски.
Предложението на Франция срещна силна съпротива от няколко държави и индустрия от ЕС, които го възприеха като протекционистки ход и оттогава не беше постигнато споразумение.
Европейската група за сертифициране на киберсигурността — експерт група, съставена от представители на национални органи за сертифициране на киберсигурността — все още чака Комисията да й предостави насоки дали държавите-членки могат да добавят допълнителни правила за суверенитет в допълнение към тези на ЕС и изглежда, че може да се наложи да почакат още малко.
Срещата за изготвяне на проектотекста, първоначално планирана за средата на юли, не се състоя, каза говорител на Комисията пред Euronews и в момента не е планирана нова среща.
Ако експертите дадат зелена светлина, Комисията ще започне обществена консултация, преди да публикува своя акт за изпълнение, който ще влезе в сила след още 18 месеца. Продължаващото забавяне прави малко вероятно споразумение в рамките на мандата на настоящата Комисия, който изтича в края на октомври.
От другите два сертификата, предложени от 2019 г. насам, само един е одобрен за базови ИКТ продукти ; друг за 5G все още се изпълнява.
