Las deliberaciones sobre el esquema candidato de certificación de ciberseguridad de la UE sobre servicios en la nube (EUCS) han estado en marcha desde diciembre de 2019. Gran parte de las discusiones se han centrado en la inclusión de requisitos de inmunidad / soberanía. Como proveedores y usuarios europeos de la nube comprometidos con la competitividad digital de la UE, hemos estado abogando constantemente por la integración de requisitos transparentes y armonizados en el nivel de evaluación más alto del esquema EUCS para proteger los datos europeos más sensibles contra el acceso ilegal. Teniendo en cuenta que EUCS se concibe como un sistema de certificación voluntario, creemos que debe basarse en las prácticas de mercado existentes y en las preferencias de los usuarios, así como aportar transparencia y protección a los usuarios cuando sea necesario.
Creemos que la inclusión de requisitos de soberanía es necesario para superar la fragmentación del mercado, proteger los datos más sensibles de las organizaciones europeas y fomentar el desarrollo de soluciones soberanas en la nube en Europa. *Eliminar cualquier referencia a las disposiciones de soberanía del esquema principal (incluso si se cambia a un Certificado Internacional de Perfil de Empresa, ICPA) claramente no cumple estos objetivos.* Esto no sólo contradiría lo que se ha propuesto, durante más de dos años, en los anteriores esquemas EUCS, sino que también tiraría por tierra los esfuerzos colectivos emprendidos por ENISA, la Comisión Europea y los representantes de los Estados miembros. La UE no debe abandonar su objetivo general de fomentar la soberanía digital, un objetivo que resulta aún más pertinente en un contexto de incertidumbre geopolítica.
Por lo tanto, instamos a los Estados miembros a rechazar cualquier propuesta que elimine los requisitos de soberanía del cuerpo principal del esquema EUCS por las siguientes razones:
- Abordar el riesgo de acceso ilícito a los datos: la inclusión de los requisitos de sede de la UE y de control europeo en el esquema principal es necesario para mitigar el riesgo de acceso ilícito a los datos sobre la base de leyes extranjeras, incompatibles con el RGPD. La eliminación de estos criterios del cuerpo principal del esquema (incluso de un potencial nivel alto+/EL-4) significa que la adhesión a la soberanía de la UE ya no es necesaria para la certificación y que todos los proveedores en nube pueden potencialmente ser certificados en el nivel de seguridad más alto de EUCS, incluso si están sujetos a la legislación extraterritorial (por ejemplo, la Ley de Inteligencia Nacional de China o la Ley CLOUD de EE.UU.). El resultado es que el riesgo de acceso ilegal queda sin abordar por la propia certificación.
- Garantizar la coherencia en todo el mercado de la UE: la armonización de los requisitos de soberanía en Europa sólo puede lograrse estableciendo un conjunto uniforme de disposiciones en el cuerpo principal de las EUCS, mejorando la claridad y la coherencia en todo el mercado europeo. Trasladar esta responsabilidad a los responsables nacionales de contratación (por ejemplo, como se sugiere en la nota conceptual del Centro Belga de Ciberseguridad), que se supone que deben decidir por sí mismos qué «elementos de soberanía» consideran necesarios (o no), conducirá inevitablemente a la fragmentación. En contra del objetivo de la EUCS, es decir, lograr una mayor armonización, el resultado serán diferentes requisitos a nivel nacional y, en consecuencia, incertidumbres jurídicas, técnicas y económicas tanto para los proveedores como para los usuarios de la nube de la UE a la hora de aplicar sus estrategias en este ámbito.
- Ofrecer claridad y transparencia a los usuarios: los usuarios de la nube exigen transparencia acerca del nivel de protección de sus datos. Es muy probable que los usuarios confíen en el sistema de certificación para asegurarse de que sus datos están adecuadamente protegidos. Sin embargo, si un futuro sistema EUCS no tiene en cuenta el riesgo de acceso ilícito a los datos, puede dar lugar a situaciones en las que los usuarios de la nube confíen simplemente en el nivel más alto sin estar adecuadamente protegidos o informados sobre el riesgo de acceso ilícito derivado de la legislación extraterritorial. En última instancia, esto obstaculizará las inversiones en soluciones soberanas en la nube.
Incluir un conjunto claro y uniforme de requisitos de soberanía en el cuerpo principal del EUCS es fundamental para apoyar la transparencia, la elección del usuario y la disponibilidad de soluciones alternativas en la nube que se construyan de conformidad con los requisitos de soberanía. Por el contrario, la eliminación de tales requisitos del régimen socavaría gravemente la viabilidad de las soluciones de nube soberana en Europa, muchas de las cuales están en fase de desarrollo o ya están disponibles en el mercado. También impediría que los clientes europeos pudieran identificar con certeza soluciones suficientemente seguras para sus aplicaciones sensibles.
Además, sería inconsistente con la legislación europea, como la recientemente adoptada Ley de Datos1 e importantes iniciativas como Gaia-X. Las normas políticas de GAIA-X, concebidas, entre otras cosas, para garantizar la soberanía de los datos, incluyen explícitamente un requisito de sede central de la UE (criterio P5.1.4) y de control europeo (criterio P5.1.5) en el nivel de garantía más elevado (nivel de etiqueta 3). Por lo tanto, GAIA-X establece un modelo para EUCS, desarrollado y adoptado conjuntamente por proveedores y usuarios de la nube en Europa.
Por lo tanto, instamos a los responsables políticos a que se tomen el tiempo necesario para tener plenamente en cuenta las implicaciones de una posible eliminación de las disposiciones sobre soberanía del cuerpo principal del régimen EUCS para los proveedores y usuarios europeos de la nube, así como para la protección de los datos más sensibles de Europa en su conjunto. Una Europa digital y soberana requiere el acceso a las mejores tecnologías en nube, al tiempo que apoya el desarrollo de soluciones soberanas en nube en Europa. Creemos que estos dos objetivos pueden ir de la mano apoyando la inclusión de un conjunto armonizado de requisitos de soberanía en el marco de un esquema EUCS voluntario.
Firmado: A1, Airbus, Aruba S.p.A., Capgemini, Dassault Systemes, Deutsche Telekom, EDF, Exoscale, Gigas, Ionos SE, OpenNebula Systems, Orange, OVHcloud, Proximus, Eutelsat Group, Sopra Steria, StackIT, TIM.
*1 *El art. 32 de la Ley de Datos incluye una prohibición de acceso y transferencia gubernamentales internacionales ilícitos en relación con los datos no personales, https://eur-lex.europa.eu/eli/reg/2023/2854.
