Сертификацията на облачни услуги в ЕС продължава да буксува

• Какво става, ако данните на бизнеса ти са в американски облак вместо в европейски?

Към днешна дата държавите все още се опитват да намерят компромис помежду си, като обсъждат три възможни сценария за финалния вариант на схемата за сертифициране на доставчици на облачни услуги. Нито един от тях не изглежда оптимален. Вероятността за забавяне до следващия мандат би била проблем.

Преговорите по техническата схема стават все по-политически

По време на среща на националните министри в Съвета по транспорт, телекомуникации и енергетика в Брюксел в края на миналата година Нидерландия инициира коалиция, подкрепена от 12 държави, срещу въпросната схема за сертифициране. Опасенията са, че новите правила могат да създадат бариера за достъп до пазара с облачни услуги, което може да се отрази отрицателно на стратегически партньорства на ЕС със страни като САЩ или Япония.

Полша също е изразила притеснения, че приемането на проектосхемата в този вид може да доведе до увеличаване на разходите за облачни услуги и да възпрепятства достъпа на най-добрите играчи до европейския пазар. Силен аргумент е и очакван спад на БВП в повечето държави членки, както изчисляват от реномираното НПО в областта на търговията в Брюксел European Centre for International Political Economy (ECIPE).

Анализът на икономическото въздействие на една от най-развитите цифрови държави в Европа, Естония, също потвърждава това. Според него по-малките и развиващи се в областта на дигиталните технологии държави членки ще пострадат най-много. Естония не е съгласна още, че локализирането на данни ще подобри киберсигурността в Европа.

Германия иска дискусия по темата, защото изискванията за суверенитет на EUCS са по-скоро политически, а не технически или експертен въпрос. На коренно противоположна позиция е Франция, която е един от основните играчи на пазара с облачни услуги в Европа и отдавна има национално законодателство, което залага на същите принципи за "суверенитет". Наскоро базираната в Рубе OVH Cloud обяви, че е получила сертификат от френската киберагенция за най-високото ниво на сигурност за облачни услуги за Франция. Самата компания казва в прессъобщението си, че е в "уникална позиция" да помогне на организации и институции да модернизират своите IT системи.

"Не можем да лишим европейските нации от защитата на техните най-чувствителни данни от закони извън ЕС, поне за тези, които желаят да си позволят такава защита. Нашите международни партньори трябва да се адаптират и да спазват нашите правила; не зависи от нас да се адаптираме и да спазваме техните извънтериториални закони", коментира източник от Франция в съвета.

Експерти, пожелали анонимност, спекулират, че "суверенните" изисквания в EUCS са моделирани така, че да се създаде "предимството на първия", конкретно за шепа по-големи европейски играчи в бранша.

Чехия също изрази опасения, че настоящият проект е разработен с минимален принос от държавите членки и е формулиран предимно от европейската агенция за киберсигурност ENISA, без адекватни консултации с множество заинтересовани страни.

Българската позиция е по-скоро изчаквателна. "В момента се работи по подобрен вариант на схемата в някои аспекти, за да бъде постигнат подходящ балансиран текст, който да не възпрепятства добрите икономически отношения с партньори на ЕС като САЩ и Япония", коментираха от своя страна от Министерството на електронното управление (МЕУ) за "Капитал".

Какви са опциите на масата

Поради факта, че настоящият проект не е бил предмет на надлежно обществено обсъждане (последният беше през 2020 г., в края на 2023 също имаше неуспешен опит за дискусия), широк кръг от субекти от ЕС и извън него споделиха своите виждания и изразиха загриженост относно въздействието на тези изисквания върху търговията, инвестициите, киберсигурността и глобалната конкурентоспособност на ЕС. Сред тях са немски здравни асоциации, застрахователни асоциации, AFME (Асоциация за финансови пазари в ЕС), EBF (Европейска банкова федерация), включително и Американската търговска камара в Брюксел.

Милена Ябуркова, заместник-председател на Конфедерацията на индустрията на Чешката република в Брюксел и директор по правителствени въпроси в чешкия клон на IBM, обобщава тези позиции за "Капитал" така: "Включването на подобни изисквания ще бъде стъпка назад и в крайна сметка ще подкопае реалната конкуренция на европейския пазар, ще намали избора за облак клиенти и ще навреди на европейските индустрия и граждани."

В момента се обсъждат три варианта как да се продължи напред. И трите не изглеждат обещаващо. Тъй като обсъжданията в експертната група изглеждат в задънена улица, неофициално в Брюксел се обсъжда сценарият най-високо ниво на сигурност на облачните структури да се дава само на тези, които се ползват от стратегически национални ведомства/министерства, отговарящи за сигурността, отбраната и други. Макар това да изглежда приемлив вариант, националната сигурност на държавите според договора за ЕС е изцяло техен прерогатив и отговорност. В тази връзка насоки и актове за прилагане по тази тема от ЕК изглеждат напълно излишни и нелогични.

Втората опция на масата е най-високото ниво на сигурност да бъде опция между два варианта - с европейска и неевропейска компания. Всяка страна членка да избира стратегически сектори в по какъв начин да сертифицира и с какви компании. Но, ако вземем за пример жп транспорта. И Нидерландия реши да пази данни на пътници в неевропейски облак, но Франция например избере европейски, трябва ли компаниите, извършващи жп превози между двете държави в Шенген, да се регистрират по различни сертификационни схеми и на двете места? Това би създало твърде много бюрокрация и излишно усложняване на процес с неясни ползи накрая.

Третият вариант е най-високата степен на сигурност да се предоставя на европейски компании и на такива, с които Европа е сключила двустранно споразумение. В такъв случай Япония и САЩ са "в безопасност", но мерките ще изглеждат твърде целенасочени срещу китайски облачни компании. За кого е добре това на финала също не е твърде сигурно.

Затъването в темата от страна на Брюксел без работещо решение би било сериозна щета за ЕК, за целия закон за киберсигурността и за заложената цифрова стратегия на блока, защото законът изисква Европейската комисия да оцени функционирането на сертификационни схеми до 31 декември 2023. Уви, сертификационни схеми не са одобрени.