Certificazione Cloud dell’UE in una fase di stallo

Al centro della controversia vi è la questione se i cosiddetti requisiti di sovranità – come l’obbligo di archiviare i dati esclusivamente all’interno dell’UE – debbano far parte di tale schema di certificazione. L’obiettivo è proteggere i dati europei da accessi non autorizzati da parte di paesi terzi e, al contempo, rafforzare la sovranità dell’Unione Europea.

Secondo gli esperti del Centre for European Policy (cep), l’EUCS può rafforzare in modo significativo la fiducia delle imprese e delle istituzioni pubbliche dell’UE nei servizi cloud sicuri dal punto di vista informatico. «Includere i requisiti di sovranità nell’EUCS è comprensibile dal punto di vista geopolitico e della sicurezza», afferma Philipp Eckhardt, esperto digitale del cep. «Tuttavia, integrarli nello schema così come attualmente previsto è giuridicamente problematico», avverte la giurista del cep Anja Hoffmann. «Non si tratta semplicemente di una specificazione apolitica delle norme previste dal Regolamento europeo sulla cybersicurezza (Cybersecurity Act – CSA), ma di una questione che deve essere decisa dai legislatori dell’UE». Se l’Unione Europea considera sensati i requisiti di sovranità, dovrebbe disciplinarli mediante una legge e non esclusivamente attraverso un atto di esecuzione. «Anche dal punto di vista economico, l’inclusione di requisiti di sovranità non comporta solo vantaggi», aggiunge Eckhardt. Limitare l’utilizzabilità dei fornitori di paesi terzi potrebbe falsare la concorrenza e ridurre la disponibilità di servizi cloud innovativi per gli utenti dell’UE.

Per evitare ulteriori ritardi nel necessario rafforzamento della cybersicurezza dei servizi cloud, gli esperti del cep sostengono che la Commissione europea dovrebbe adottare al più presto l’EUCS senza requisiti di sovranità. Inoltre, il cep propone modifiche concrete alle normative europee sulla sicurezza informatica (incluso il CSA, che la Commissione intende rivedere nel 2025) e alle direttive UE sugli appalti pubblici, invitando anche la Commissione a sviluppare linee guida sulla sovranità cloud come soluzione transitoria. «Le infrastrutture cloud sono una pietra angolare della trasformazione digitale e, allo stesso tempo, un settore particolarmente sensibile dal punto di vista della sicurezza», sottolinea Eckhardt. «L’UE dovrebbe trovare rapidamente un approccio complessivo che rafforzi la cybersicurezza e, allo stesso tempo, tenga conto delle preoccupazioni relative a un ulteriore indebolimento della sovranità digitale nel cloud». «Qualsiasi approccio futuro dovrà comunque essere solido sul piano giuridico e compatibile con il diritto europeo e internazionale», conclude Hoffmann.

Questa versione in inglese del cepInput è un aggiornamento ampliato di un contributo già pubblicato dal cep in tedesco nel dicembre 2024.