Nel mondo privacy le sfide quotidiane sono numerose, ma una delle più difficili e affascinanti riguarda sicuramente stimolare i fornitori cloud a rafforzare le proprie politiche di Cybersecurity.
Il GDPR, ma la storia in generale, insegna che soprattutto attraverso le sanzioni o benefici immediati, reali e tangibili, gli interlocutori prestano attenzione e trasformano le parole in fatti.
Le abitudini sono difficili da estirpare, ma non è con la minaccia che l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) intende procedere, bensì con una sorta di gratificazione.
Da questa logica nasce l’European Cybersecurity Certification Scheme for Cloud Services (EUCS) che costituisce uno dei primi schemi di sicurezza informatica in Europa che permette di ottenere un timbro ufficiale di approvazione da parte delle autorità europee.
Lo scopo dell’European Cybersecurity Certification Scheme for Cloud Services (EUCS)
La base di partenza è abbastanza chiara: i prodotti e i servizi ICT devono essere certificati in base a un insieme di regole, requisiti tecnici, standard e procedure.
Per garantire la transizione dagli attuali sistemi nazionali verso un unico quadro normativo occorre coinvolgere l’insieme diversificato di attori, tutte le strutture e l’intero panorama dei servizi cloud.
L’obiettivo è valutare tutta la catena di approvvigionamento cloud, stabilendo il livello di garanzia di cyber security tra “Base”, “Sostanziale” e “Alto”.
Sarà applicabile a ogni servizio cloud, dall’infrastruttura alle applicazioni, aumentando i livelli di fiducia in tali servizi e definendo un set di requisiti di sicurezza a cui fare riferimento.
Cos’è European Union Cybersecurity Certification (EUCC)?
European Union Cybersecurity Certification (EUCC) è un nuovo schema per la certificazione di prodotti informatici in Europa.
Si tratta dell’aggiornamento del precedente SOG-IS MRA, uno schema di certificazione basato su Common Criteria.
Questa novità trae ispirazione dai sistemi già esistenti e alle norme internazionali per proporre un nuovo approccio che include prerogative di trasparenza (come il luogo di elaborazione e archiviazione dei dati).
L’EUCC permette la consultazione pubblica, fornendo alle parti interessate una valutazione sul progetto, il cui esito sarà successivamente condiviso.
Le novità introdotte dal nuovo EUCC: tra vantaggi e svantaggi
Come anticipato, non c’era bisogno di stravolgere i concetti fondamentali del precedente schema SOG-IS MRA, semplicemente cambiare alcuni protocolli di sicurezza informatica per ottenere la certificazione.
I principali vantaggi sono:
- Monitoraggio e gestione aggiuntivi delle conformità;
- Informazioni sulle vulnerabilità più trasparenti e pubblicamente disponibili;
- Maggiore supporto ai consumatori, come la gestione delle patch per i prodotti certificati.
Alcuni svantaggi di questo nuovo schema includono:
- Riconoscimento e accettazione limitati (solo nell'UE);
- Lento periodo di transizione;
- Requisiti aggiuntivi per gli sviluppatori;
- Sforzo aggiuntivo da parte degli sviluppatori.
La protesta degli stati Uniti per l’EUCC
Come ogni novità e cambiamento che si rispetti, anche in questo caso il nuovo schema ha suscitato polemiche. In questo caso provenienti dagli Stati Uniti, tramite però alcuni enti tecnologici europei di rappresentanza.
La richiesta è di riconsiderare i requisiti che contraddicono le leggi statunitensi sull’accesso ai dati, poiché ritengono che tale proposta creerà complesse procedure di conformità legale, senza che vengano incrementati i livelli di sicurezza informatica.
A finire sotto la lente di ingrandimento è il concetto di “controllo”, secondo gli americani eccessivamente restrittivo.
Secondo i rappresentanti delle maggiori industrie tecnologiche presenti come Amazon, Microsoft o Google, il nuovo quadro normativo rischia di avere pesanti ricadute sui fornitori di servizi cloud e più in generale sulla competitività dell’economia europea.
