„Kivettek az EUCS-ből egy olyan követelményt, amely hátrányosan érintette a nem uniós felhőszolgáltatókat.
Enyhítettek az Európai Unió kiberbiztonsági tanúsítási rendszer, az EUCS (EU Cybersecurity Certification Scheme) felhőszolgáltatókra vonatkozó szabályain, értesült a Reuters.
Az Unió kiberbiztonsági ügynöksége, az ENISA által kidogozott eredeti tervezet szerint a nem uniós szolgáltatók (pl. az Amazon, a Google vagy a Microsoft) csak olyan vegyesvállalaton keresztül szerezhetnék meg az EU-ból származó érzékeny adatok kezelésére jogosító kiberbiztonsági tanúsítványt, amelyet valamely uniós székhelyű partnerükkel hoztak létre, és amelyben csak kisebbségi részesedésük van. További követelmény volt, hogy a vegyesvállalatok esetében az EU felhőszolgáltatókra vonatkozó jogszabályai elsőbbséget élveznek a nem uniós jogszabályokkal szemben.
A Reuters szerint a szöveg új változatában már nem szerepel ez a megkötés, azaz nem követeli meg a szállítóktól, hogy függetlenek legyenek a nem uniós jogszabályoktól.
Az ENISA tervezetével szemben külső és belső kritikák is megfogalmazódtak. Egy 2023 tavaszán publikált tanulmány szerint a szabályozás egyértelműen politikai indíttatású, melynek célja, hogy kiszorítsa – vagy legalább visszaszorítsa – az EU-n kívüli szolgáltatókat. De a tanulmány készítői szerint egy ilyen szabályozás összességében a felhőszolgáltatásokat használó uniós vállalkozásokat is hátrányosan érinti.
A tanulmány egyébként reális veszélynek látta, hogy a korlátozások elfogadása megágyazna annak, hogy más adatintenzív ágazatokat (energetika, egészségügy, autonóm vezetés stb.) is hasonló módon szabályozzanak. Az elemzés készítői szerint a diszkriminatív intézkedésre az EU kereskedelmi partnerei megtorló intézkedésekkel válaszolhatnak.
Érthető módon a leginkább érintett (elsősorban amerikai) vállalatok a kezdetektől kritizálták a tervezetet, de a globális piacokon jelenlevő európai bankoknak, biztosítócsoportoknak, sőt egyes startupoknak sem nagyon tetszett. Utóbbiak szerint a politika felülírja az innovációt, és akadályozza az uniós vállalkozások növekedését.
Szuverenitás vs hatékonyság?
Az Ursula von der Leyen vezette Európai Bizottság 2020-ban mutatta be azt a digitális stratégiát, amelynek legfőbb célja az EU „technológiai szuverenitásának” megteremtése. Az EUCS is ennek a szellemében született.
Eközben a nagy amerikai szolgáltatók komoly beruházásokba fogtak azért, hogy be tudjanak szállni az egyre növekvő – és jövedelmező – kormányzati felhőpiacba. Az Oracle például hivatalosan tavaly jelentette be az EU Sovereign Cloud szolgáltatását, amely teljes egészében az EU-ban működik, és elkülönítették az Oracle többi felhős régiójától.
Az EU döntéshozóit azonban az ilyen bejelentések kevéssé nyugtatták meg. Megfogalmazódtak kiberbiztonsági aggályok (illegális állami megfigyelések), de a szabályozási keret kialakítását a piaci viszonyok is vezérelték. Az EU felhőpiacának közel háromnegyedét ugyanis a három nagy szolgáltató, az Amazon, a Google és a Microsoft uralja.
Az EUCS módosított tervezetét már vizsgálják a tagállamok.”
Forrás:
Apró, de fontos változás az EU-s kiberbiztonsági tanúsítási rendszerben; Bitport; 2024. április 4.