European Cybersecurity Certification Scheme for Cloud Services
ALERTA
30 de novembro de 2023
A APDSI alerta para os potenciais riscos económicos e de restrição ao desenvolvimento digital da Europa derivados dos requisitos em discussão do European Cybersecurity Certification Scheme for Cloud Services (EUCS).
A
APDSI manifesta a sua preocupação relativamente ao European Cybersecurity
Certification Scheme for Cloud Services (EUCS), que está a ser discutido no
âmbito da diretiva da União Europeia Network and Information Systems 2 (NIS 2),
e ao seu potencial impacto negativo no desenvolvimento tecnológico na Europa.
A
União Europeia (UE) comprometeu-se a liderar a atual década digital, através de
reformas que pretendem intensificar a confiança e o investimento na
conetividade digital e na inovação.
Reconhecemos
a importância do objetivo do EUCS, e consideramos a sua importância para o
ecossistema europeu, no entanto, alertamos que os requisitos do atual projeto
podem colocar em causa a evolução da cibersegurança, a adoção de cloud e o
desenvolvimento tecnológico na Europa, em particular no desenvolvimento de IA
generativa em setores críticos.
Atualmente,
o projeto impede os fornecedores de serviços de nuvem (Cloud Service Providers
- CSP) que não tenham a sua sede global na Europa e que não sejam totalmente
detidos por uma entidade da UE de se qualificarem para o nível mais elevado de
certificação de cibersegurança. No texto em discussão, o nível mais elevado de
certificação destina-se a ser amplamente aplicado aos dados relacionados com a
ordem pública, a segurança pública, a saúde pública ou o desempenho de funções
governamentais essenciais.
A
Agência Europeia para a Segurança das Redes e da Informação (ENISA) desenhou o
European Cybersecurity Certification Scheme for Cloud Services (EUCS)[1],
concebido inicialmente como um sistema voluntário de certificação de
cibersegurança para que as empresas demonstrassem a sua fiabilidade e a
eficácia dos seus métodos de segurança[2].
A
pedido da Comissão Europeia e de alguns Estados-Membros da UE, a ENISA
acrescentou requisitos de soberania, promovendo a "soberania digital"
europeia, impedindo fornecedores não europeus de serviços de computação em
nuvem.
Embora
o EUCS possa, em última análise, promover o crescimento dos prestadores de
serviços de computação em nuvem europeus através de políticas comerciais e de
investimento especiais, o seu impacto imediato seria o de limitar as empresas
europeias nos serviços de computação em nuvem que podem contratar.
Os
requisitos de “soberania digital”, isto é, a exigência de que as empresas
tenham sede na União Europeia, armazenem dados europeus na União Europeia e que
só permitam o acesso a esses dados por parte de pessoal da União Europeia, para
obter a certificação mais elevada, são requisitos que serão uma barreira ao
acesso ao mercado. Pode-se prever que,
a.
Estes requisitos vão criar barreiras à entrada
de empresas sediadas fora da UE e de empresas da UE com operações e
investimentos internacionais, o que irá limitar a concorrência no mercado da
computação em nuvem, aumentar o custo dos serviços e limitar a escolha de
parceiros tecnológicos de confiança para as empresas europeias.
b. Impedem que a grande maioria dos fornecedores não europeus de serviços de computação em nuvem ofereçam os seus serviços aos clientes da UE que exigem o nível mais elevado (High+) de certificação, limitando consideravelmente a adoção da certificação pelo mercado e atrasando a digitalização dos serviços e processos da UE.
Neste contexto sugerimos a
leitura de The Economic Impacts of the Proposed EUCS Exclusionary Requirements:
Estimates for EU Member States [3], desenvolvido
por o European Centre for Internacional Political Economy (ECIPE).
Assim
a APDSI, perante este quadro, alerta para o risco real da medida European
Cybersecurity Certification Scheme for Cloud Services (EUCS) discriminar as
clouds não europeias e criar um problema aos seus clientes europeus e muito
particularmente no contexto português.
Sem comentários:
Enviar um comentário