ЕС ще изисква облачните данни на европейците да се пазят в Европа

На практика това би означавало, че американските облачни доставчици ще трябва да намерят начин да гарантират, че американското правителство няма достъп до европейски облачни данни

16:00 | 14 май 2023
Автор: Екип на Bloomberg
Снимка: Bloomberg
Снимка: Bloomberg

Европейският съюз обмисля план, който ще изисква от облачните доставчици да съхраняват всичките си данни в рамките на блока, за да отговарят на изискванията за най-високия сертификат за киберсигурност.

ENISA, регулаторът на киберсигурността на ЕС, изготвя нови, по-строги изисквания, за да гарантира, че никое чуждо правителство не може да има достъп до данните на ЕС, според проект на предложението, видян от Bloomberg.

На практика това би означавало, че американските облачни доставчици като Amazon.com Inc., Microsoft Corp. и Alphabet Inc. ще трябва да намерят начин да гарантират, че американското правителство няма достъп до европейски облачни данни, за да отговарят на изискванията. Облачните компании извън ЕС ще трябва или да управляват юридическо лице в ЕС, отделно от компанията майка, или да бъдат част от съвместно предприятие с европейска облачна компания.

Говорител на AWS на Amazon отказа да коментира проектопредложението. Представители на Microsoft, Alphabet и ENISA не отговориха веднага на искане за коментар.

По-високият стандарт може да се използва за избор на компании, които да се конкурират за договори за съхраняване на чувствителни държавни данни. Проектопредложението, което беше съобщено за първи път от Euractiv, ще бъде доброволно и все още подлежи на промяна.

ENISA предлага двустепенна класификация на „високо“ ниво на киберсигурност. Повечето американски облачни доставчици вече могат да отговорят на предложения стандарт „EL3“, който изисква ниво на прозрачност относно данните. Най-високото ниво - сертифициране EL4 - ще изисква данните да се съхраняват в ЕС и да не бъдат обект на намеса на чуждо правителство.

Най-високото ниво ще изисква облачната услуга да бъде „оперирана само от компании, базирани в ЕС, без юридически лица извън ЕС, които да имат ефективен контрол върху CSP [доставчик на облачни услуги], за да се намали рискът от правомощия извън ЕС за намеса, подкопаващи ЕС правилата, норми и ценности“.

Главният офис и глобалната централа на облачната компания трябва да бъдат установени в страна от ЕС. Доставчиците на облачни услуги също не трябва да бъдат обект, пряко или косвено, на ефективния контрол на чуждестранни компании.

Американските компании бяха загрижени, че ENISA ще включи някакъв вид правила на ЕС за собственост върху облачни данни - подобно на това, което Франция вече има - за постигане на най-високо сертифициране. Предложението на ENISA ще бъде по-лесно за изпълнение от американските компании. Предложението на Oracle Sovereign Cloud, например, вероятно отговаря на предложените изисквания EL4, според двама души, запознати с подробностите.

Върховенство на правото на ЕС

Въвеждат се допълнителни предпазни мерки, за да се поставят данните от ЕС извън обсега на юрисдикциите на трети държави със закони за извънтериториално приложение, които могат да противоречат на ЕС или националното законодателство на държава членка, пише Euractiv.

За всички нива на сигурност проектът за сертифициране изисква договорите да се уреждат от правото на държава от ЕС и само съдилища, трибунали и арбитражни органи на ЕС ще имат юрисдикция за спорове, свързани с договора.

Нивото на сигурност „високо“ изисква облачните услуги да включват рисковете, свързани със законодателството извън ЕС с извънтериториално приложение, в тяхната глобална оценка на риска, обхващайки поне потенциалния достъп до чувствителна търговска информация и търговски тайни в данните на клиентите или извлечени данни.

Освен това доставчиците на облачни услуги ще трябва да информират своите клиенти за всеки остатъчен риск и да предоставят цялата необходима информация при поискване от клиентите, за да им позволят да извършат собствена оценка на риска.

Схемата също така задължава доставчика на услуги да включи в договора с клиента, че ще разглежда само искания за разследване, издадени съгласно правото на ЕС или националното законодателство на държава-членка.

Допълнителното изискване за ниво EL4 задължава доставчиците да въведат технически и организационни мерки, за да гарантират, че исканията за разследване от други юрисдикции не се разглеждат.