Какво става, ако данните на бизнеса ти са в американски облак, вместо в европейски?

Темата за Европейската схема за сертифициране на доставчици на облачни услуги има своите противоречия и става чувствиетлна и за Европейския парламент, който засега има ограничени правомощия да вземе отношение

EUCS може да "изтласка" неевропейските доставчици от големи части на пазара на облачни услуги в ЕС и поставя европейския бизнес в трудно положение
EUCS може да "изтласка" неевропейските доставчици от големи части на пазара на облачни услуги в ЕС и поставя европейския бизнес в трудно положение
EUCS може да "изтласка" неевропейските доставчици от големи части на пазара на облачни услуги в ЕС и поставя европейския бизнес в трудно положение    ©  © vitanovski / Fotolia©
EUCS може да "изтласка" неевропейските доставчици от големи части на пазара на облачни услуги в ЕС и поставя европейския бизнес в трудно положение    ©  © vitanovski / Fotolia©
Темата накратко
  • Европейската схема за сертифициране на доставчици облачни услуги ще включва три нива на сигурност - "Основно", "Значително" и "Високо".
  • Според изтекла чернова на документа, най-високо ниво на сигурност биха получили само тези компании, чийто централи са разположени в рамките на съюза.
  • Новата доброволна сертификационна схема може и да доведе до допълнителни разходи за бизнеса за преминаване към друг доставчик на облачни услуги, оценка на въздействието обаче липсва и те трудно могат да бъдат изчислени.
  • В сряда, темата ще се обсъжда и в комисията по промишленост, изследвания и енергетика в Европейския парламент.

Европейската комисия продължава да се намесва в цифровия пазар, опитвайки се да наложи все по-спорни законодателни актове, чийто пряк ефект от една страна е насочен към големите американски технологични гиганти, но в крайна сметка първите засегнати отново са малките и средни предприятия в Европа. Ефектът от Европейския закон за цифровия пазар, например, бе налице миналата седмица, когато Илън Мъск, собственик на "Х" (преди това Twitter) обяви, че търси вариант да ограничи платформата в Европа, заради допълнителните такси и административни тежести, наложени от Брюксел.

Друг сходен ефект ще дойде и от Европейската схема за сертифициране на доставчици на облачни услуги - EUCS, чрез която комисията се опитва да въведе силно противоречиви изисквания за "суверенитет", предлагайки доброволна сертификация от три степени за облачните структури в блока. На теория, всичко звучи добре- предпочитан вариант са кооринираните действия в държавите членки, които да помогнат за цифровия преход и завършването на цифровия пазар. Дяволът обаче е в детайлите. Според изтекла чернова на документа, най-високо ниво на сигурност биха получили само тези компании, чийто централи са разположени в рамките на съюза. Това автоматично изключва неевропейските доставчици от големи части на пазара на облачни услуги в ЕС (и може да ги изтласка напълно), и поставя в трудно положение, както по-малкия бизнес в Европа, ползващ услугите на големите американски технологични компании, така и държавни институции, чийто сървари също разчитат на тяхната инфраструктура.

Проблемът е, че темата от твърде техническа се превръща в силно политическа, а информацията по нея е оскъдна. В тази връзка Европейският парламент гласува в сряда силна позиция, с която да увеличи правомощията си за промяна или изцяло премахване на проектопредложението.

За новата Европейска схема за сертифициране на облачни услуги

Европейската схема за сертифициране на доставчици на облачни услуги е доброволно сертифициране съгласно Закона за киберсигурността на ЕС, която в момента е в процес на преговори между държавите. "Първоначалният вариант на документа беше публикуван през 2020 г., но оттогава е претърпя редица изменения на различни нива. Очакваме да предоставим схемата на Европейската комисия, след като получим окончателното становище на Европейската група за сертифициране на киберсигурността (ECCG), която представлява позициите на държавите членки.", коментират за "Капитал" от Агенцията на Европейския съюз за киберсигурност - ENISA.

Очаква се, че сертификатите от схемата ще бъдат приложими във всички европейски страни и ще се използват за всички видове облачни услуги - IaaS, PaaS, SaaS др. Целта е повишаване на доверието в облачните услуги чрез дефиниране три нива на сигурност- "Основно", "Значително" и "Високо".

Изтекла чернова на схемата от миналата година предизвика остра реакция поради включването на изисквания за "суверенитет", които на практика биха изключили чуждестранните компании от голяма част от европейския облачен пазар. Франция беше първата, която въведе това изключване на чуждестранни облачни доставчици в своята национална схема SecNumCloud. Комисарят по въпросите на вътрешния пазар Тиери Бретон се опита да репликира този подход на ниво ЕС, но се сблъска със силна опозиция от по-пропазарни страни като Холандия. Франция обаче, както стана ясно, силно подкрепя предложението, защото може да я превърне в един от големите играчи на пазара.

От OVHcloud, една от най-големите европейски компании за облачни изчисления, специализирани сървъри и други уеб услуги (базирана във Франция) също коментираха за медията ни, че веднъж приета Европейската схема за сертифициране на доставчици на облачни услуги няма да замени веднага националните схеми за сертифициране. "Планиран е изчерпателен календар за плавен преходен период преди замяната на националните схеми за сертифициране. Вече има достатъчно и достатъчно базирани в ЕС доставчици на облачни услуги, които да предоставят услугите, необходими на европейския бизнес, независимо дали целта е (техническа, търговска, финансова или сигурност) и включително капацитет за осигуряване на най-високо ниво на киберсигурност.", казва говорител в OVHcloud.

Също, макар схемите да се предвижда да са доброволни, комисията може да ги направи задължителни за субекти, считани за основни за икономиката на ЕС (съгласно ревизираната Директива за мрежите и информационните системи (NIS2)). "Комисията ще оценява редовно схемите и ще преценява дали те трябва да станат задължителни при конкретни обстоятелства, но това трябва да бъде обосновано и да следва "отворен, прозрачен и приобщаващ" процес на консултация, наред с други неща.", добавят от ENISA.

Съзаконодателите искат по-голяма намеса на ЕП и оценка на въздействието

Липсата на ясни позиции в преговорите, както и на предварителен анализ за въздействието на законодателството върху бизнеса притесняват, както политиците, така и бизнеса. "Безпокойството ни е причинено от изтеклата информация, че схемата включва изисквания, които е трябвало да бъдат политически обсъдени (така наречените "изисквания за суверенитет"). Миналата година подчертахме, че няма приета дефиниция за "суверенитет" на ниво ЕС, която да оправдае включването на изисквания от политическо естество в подобни технически документи. Всяка намеса в свободата на стопанска дейност в ЕС трябва да бъде политически избор, взет с демократична легитимност и отчетност.", коментира за "Капитал" Светлана Стоилова, съветник дигитална икономика в BusinessEurope (най-голямата организация, представляваща бизнеса в Брюксел). Тя добавя, че предложението изисква солиден анализ на пазара на ЕС и възможностите на ЕС (като се вземат предвид нуждите на секторите, различните размери на компаниите и т.н.), който трябва да бъде извършен за ЕК. "Това е домашна работа на политиците, която трябва да бъде свършена.", добавя Стоилова.

"Не съм съгласен относно същността и процеса за приемане на Европейската схема за сертифициране на облачни услуги. Ето защо предложих изменения в Закона за киберсигурността, които ще бъдат гласувани в комисията по промишленост, изследвания и енергетика в сряда.", коментира за медията ни и нидерландския евродепутат Барт Грутуис. Те са свързани с възможността Европейския парламент да бъде упълномощен да одобри или отхвърли изцяло схемата. Други поправки, които предстои да бъдат гласувани включват задължително изискване на оценка на въздействието, обществена консултация със съответните групи от заинтересовани страни и национални представители и др.

От Министерството на електронното управление коментираха за "Капитал", че българската държава участва редовно в обсъжданията относно EUCS в специалните формати на ниво ЕС и следи развитието, но дискусиите са конфиденциални и държавите членки, съгласно приложимите правила, не могат да изнасят работна информация по отворени въпроси и особено по свързани с киберсигурността въпроси. Въпреки това те уверяват, че "българският интерес се защитава по възможно най-добрия начин. Със сигурност EUCS не води до самоцелно ограничаване на пазара на ЕС за доставчици от трети страни, а до възможност за повишаване на сигурността като цяло, доколкото не е със задължителен характер.". И допълват, че все пак очакват "провеждане на анализ за проучване за ефектите, преди да се вземе каквото и да е решение.".

За какво трябва да внимава бизнеса

Според Еворпейската агенция по киберсигурност както публичните, така и частните субекти трябва да решат въз основа на собствената си оценка на риска и разходите дали и от какво ниво на защита се нуждаят. "По отношение на ниво "високо", очакванията са, че сертифицираните облачни услуги на това ниво трябва да прилагат най-съвременни мерки, които могат да окажат влияние върху оперативните разходи. Въпреки това не очакваме повишения на цените, тъй като много доставчици на облачни услуги вече работят на това ниво, особено тези, които се различават по отношение на сигурността. Схемата ще насърчи доставчиците да диверсифицират своите облачни услуги, така че всяка организация да може да избере правилното ниво на защита за себе си.", смятат от агенцията.

Проблемът е как това ще се отрази на клиентите и дали те ще са съгласни да предоставят данните си на компании,използващи по-ниски нива на сигурност. "Ролята на схемата за сертифициране, независимо дали е национална или европейска, е да предложи различно ниво на защита за различни нужди и видове данни. И ако данните са особено чувствителни или са подложени на конкретна регулация, потребителят ще трябва да избере доставчик на облак, чиито услуги са съвместими с тази конкретна регулация.", казват от OVHcloud.

Той добавя, че според проучване на Accenture повече от една трета (37%) от компаниите вече са инвестирали в суверенни облачни решения, а близо половината (44%) планират да го направят през следващите две години. Освен това, почти 60% от тези компании или имат, или планират да създадат специален CIO екип, който да се съсредоточи върху регулациите, засягащи облачните инвестиции. От Европейската агенция за киберсигурност също потвърждават, че киберсигурността има своята цена, но не очакват новата сертификациионна схема да носи допълнителни разходи на компаниите. "Няма причина да са необходими промени за огромното мнозинство от МСП. За малцината, които трябва да работят с изключително чувствителни данни, сертифицирането като доброволна мярка може да бъде опция, която им помага да изберат подходящи доставчици за тези дейности.", казват от ENISA.

Колкото до сървърите, с които работят държавните администрации от агенцията коментират още, че "ние приемаме, че те са идентифицирали потенциалните рискове, свързани с доставчици на облачна инфраструктура, и ако е необходимо, са въвели подходящ контрол за сигурност. Сертификацията на техния доставчик на инфраструктура, независимо от произход (в или извън ЕС), трябва да им предостави допълнителна информация за услугата. От Министерството на електронното управление разсясняват, че "по отношение на инфраструктурата и услугите, които се поддържат от държавната администрация, голяма част от тях са обект на внимание на националната сигурност, при тях важат други регулации и сертифицирането на този етап няма да е необходимо."