Szigorítaná az uniós adatok kezelésére vonatkozó kiberbiztonsági minősítések megszerzésének feltételeit az EU. A Reuters által röviden ismertetett tervezet szerint a nem uniós szolgáltatók (Amazon, Google, Microsoft és tsa.) csak olyan vegyesvállalaton keresztül szerezhetnék meg az EU-ból származó érzékeny adatok kezelésére jogosító kiberbiztonsági tanúsítványt, amelyet valamely uniós székhelyű partnerükkel hoztak létre. A vegyesvállalatban azonban csak kisebbségi részesedésük lehetne, és az uniós adatokhoz hozzáférő alkalmazottaknak át kellene esniük egy speciális átvilágítási folyamaton.

A tervezet előírná, hogy a minősített szolgáltatásokat az EU-ból kell üzemeltetni, valamennyi adatot az EU-ban kell tárolni és feldolgozni. A vegyesvállalatok esetében az EU felhőszolgáltatókra vonatkozó jogszabályai elsőbbséget élveznének minden más, nem uniós jogszabállyal szemben.

Önkéntes a csatlakozás...

Nagyon fontos hangsúlyozni, hogy ezeket a feltételeket csupán egy megszerezhető – de nem kötelezően megszerzendő – tanúsítványhoz írnák elő. De a tanúsítványok – ha széles körű az elfogadottságuk – komoly hatalmat is jelentenek. Már rövid távon is jelentős hatást gyakorolhatnak arra, hogy a tagállamok kormányai és vállalatai milyen feltételeket határoznak meg a szolgáltatóválasztásnál.

A tervezeten az ENISA több évig dolgozott, de a tagállami viták miatt a Bizottság csak pár napja adta át a Európai Kiberbiztonsági Tanúsítási Csoportnak. A vitát egyébként az okozta, hogy a tagállamok egy része úgy ítélte meg, hogy az Unió ezzel lényegében kizárja a külső felhőszolgáltatókat az EU piacáról.

Az ENISA az önkéntességet hangsúlyozza, illetve azt, hogy egy ilyen rendszer növeli a felhőszolgáltatásokba vetett bizalmat, aminek komoly gazdasági előnyi lehetnek. A szervezet azonban azt is hozzáteszi, hogy a tanúsítvány átmenetet jelentene a nemzeti rendszerek és egy egységes uniós kiberbiztonsági tanúsítási séma között.

Az Euroactiv ugyanakkor arra hívja fel a figyelmet, a minősítés megszerzése akár kötelezővé is válhat olyan vállalat számára, amit az EU-s hálózat- és információbiztonsági irányelv (NIS2) alapján az Unió fontosnak ítélt. Ilyenek lehetnek azok az entitások, melyek különösen érzékeny személyes, valamint olyan nem személyes adatokat kezelnek, melyek esetében egy esetleges jogsértés negatív hatással lehet a közrendre, a közbiztonságra, az emberi életre, egészségre, vagy sérti a szellemi tulajdonhoz való jogot.

Kritikák bentről és kintről

Ha a tervezet ebben a formájában megy tovább, az nem hogy egységesíti, hanem szétaprózza az EU piacát, mert minden országnak teljes mérlegelési jogkört ad arra vonatkozóan, hogy milyen esetben követeli meg a szigorúbb tanúsítványt, mondta a Reutersnek egy iparági forrás.

Az amerikai kereskedelmi kamara pedig már korábban is kifejtette, hogy a rendszer hátrányos helyzetbe hozza az amerikai vállalatokat.