sicurezza informatica

Le nuove certificazioni cloud europee: cosa sono e perché preoccupano le big-tech

Un insieme di regole, requisiti tecnici, standard e procedure che rafforzino la cybersicurezza dei servizi e dei prodotti ICT offerti ai cittadini europei. Ecco cosa prevede lo European Cybersecurity Certification Scheme for Cloud Services di Enisa e perché le aziende Usa sono già sul piede di guerra

22 Giu 2022
Davide Agnello

Analyst, Hermes Bay

cloud

L’European Cybersecurity Certification Scheme for Cloud Services (EUCS) costituisce uno dei primi schemi di sicurezza informatica in Europa progettati dall’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA). Esso mira a spingere i fornitori di cloud a rafforzare le loro politiche di cybersecurity per ottenere un timbro ufficiale di approvazione da parte delle autorità europee.

I prodotti e i servizi ICT devono essere certificati in base a un insieme di regole, requisiti tecnici, standard e procedure.

Un “bollino” per la cybersecurity made in Ue: l’iniziativa ECSO

Un “timbro” per il libero flusso di dati in tutta l’Unione

L’iniziativa dell’UE segue l’esperienza francese dell’etichetta SecNumCloud ed è sviluppata da un “gruppo di lavoro ad hoc” presso l’ENISA che comprende funzionari di aziende come SAP, T-Systems di Deutsche Telekom, Cisco, Amazon e altri.

WHITEPAPER
Cloud: 8 punti per scoprire subito se serve alla tua azienda
Cloud
Cloud storage

Oltre alle misure tecniche necessarie per ottenere il timbro di approvazione, il gruppo di lavoro sta anche prendendo in considerazione misure per attribuire ai tribunali europei la giurisdizione sulle controversie, per elencare “rischi residui relativi a leggi non UE con applicazione extraterritoriale” e per indicare nei contratti che i dati rientrino nel diritto comunitario. Un’altra possibile proposta potrebbe essere il divieto di “controllo” dei servizi cloud da parte degli investitori extracomunitari.

La discussione su questo sistema di certificazione mette in luce l’intenzione di ENISA di migliorare le condizioni dei servizi cloud interni al mercato europeo, attraverso il rafforzamento le proposte presenti e l’armonizzazione dei punti dell’EUCS con i regolamenti europei, gli standard internazionali, le best practices del settore e le certificazioni già presenti negli Stati membri.

Data l’importanza crescente di tale servizio per i cittadini e per le imprese, soprattutto a seguito dell’esperienza del lockdown, il Direttore Esecutivo dell’ENISA Juhan Lepassaar ha dichiarato che tale certificazione risulta fondamentale per consentire il libero flusso di dati in tutta l’Unione e che rappresenta un fattore importante per la promozione dell’innovazione e della competitività del mercato.

Alla fine del 2020, durante la conferenza ENISA sulle certificazioni di cybersicurezza, il Direttore del Digital Society, Trust and Cybersecurity at the European Commission Directorate-General for Communications Networks, Content and Technology (DG CONNECT) Lorena Boix Alonso ha affermato che deve essere garantito un sistema certificativo equilibrato che segua un “approccio ragionevole basato sul rischio, con soluzioni flessibili e schemi progettati per evitare che diventino rapidamente obsoleti”.

Sicurezza del cloud, verso un unico quadro normativo comunitario

La sfida è quindi affrontare un insieme diversificato di attori presenti sul mercato, strutture complesse, un panorama dei servizi cloud in continua evoluzione e l’esistenza di sistemi diversi negli Stati Membri. L’obiettivo finale è presentare il progetto EUCS come un sistema orizzontale e tecnologico che fornisca le garanzie di cyber security lungo tutta la catena di approvvigionamento del cloud mediante tre livelli: “Base”, “Sostanziale” e “Alto”. Questo piano d’azione consentirebbe una transizione dagli attuali sistemi nazionali verso un unico quadro normativo comunitario.

Il progetto è uno schema volontario, la cui certificazione, triennale e rinnovabile, potrà essere messa in atto in tutti i paesi dell’UE. Sarà applicabile a ogni servizio cloud, dall’infrastruttura alle applicazioni, aumentando i livelli di fiducia in tali servizi e definendo un set di requisiti di sicurezza a cui fare riferimento.

È uno schema che propone un nuovo approccio ispirato ai sistemi preesistenti e alle norme internazionali, includendo prerogative di trasparenza, come il luogo di elaborazione e archiviazione dei dati, e permettendo la consultazione pubblica. Riguardo quest’ultimo punto, le parti interessate potranno fornire una valutazione sul progetto, il cui esito sarà successivamente condiviso. Un altro aspetto di primaria importanza concerne l’immunità dall’accesso extraeuropeo, la quale verrebbe tutelata richiedendo ai fornitori di stabilire la loro sede nell’Unione e di non essere controllati da entità esterne all’UE.

Le obiezioni delle aziende Usa

Alla luce dei requisiti di sicurezza informatica cloud suggeriti dall’ENISA, alcuni enti tecnologici dell’UE che rappresentano le aziende statunitensi hanno espresso le loro obiezioni. ITI, CCIA Europe, BSA e Amcham EU hanno presentato una richiesta in cui si chiede di riconsiderare i requisiti che contraddicono le leggi statunitensi sull’accesso ai dati, poiché ritengono che tale proposta creerà complesse procedure di conformità legale, senza che vengano incrementati i livelli di sicurezza informatica.

Una delle maggiori criticità riguarda il concetto di “controllo”, il quale è definito in modo molto restrittivo. Secondo la bozza, le aziende devono essere completamente indipendenti dalle leggi extra-UE, poiché le relazioni costituite da proprietà, diritti o contratti sono considerate come aventi un’influenza decisiva su un’impresa. Gli scambi tra fornitori di servizi cloud e fornitori con sede al di fuori dell’Unione Europea dovranno soddisfare requisiti specifici in termini di autorizzazione e supervisione della sicurezza. Anche le aziende locate nell’UE ma con investitori o attività estere potrebbero avere un accesso limitato.

Secondo i rappresentanti delle maggiori industrie tecnologiche presenti come Amazon, Microsoft o Google, il nuovo quadro normativo rischia di avere pesanti ricadute sui fornitori di servizi cloud e più in generale sulla competitività dell’economia europea.

Se da una parte il disegno di legge afferma che si tratta di “misure tecniche“, alcuni Stati membri e diversi rappresentanti dell’industria tecnologica non sono d’accordo sul fatto di mantenere i colloqui solamente su questo livello e stanno spingendo per una discussione che spazi anche in ambito politico.

I Paesi Ue in ordine sparso

Nel mese di aprile, i Paesi Bassi, la Svezia e l’Irlanda hanno sottoscritto un documento non ufficiale in cui si sostiene che i requisiti di sovranità proposti sono difficili da implementare e da verificare, con conseguenti costi elevati e ripercussioni sulla concorrenza. Il risultato potrebbe essere quello di limitare i fornitori a un gruppo ancora più ristretto.

Da parte loro, Stati come la Francia, l’Italia, la Germania e la Spagna hanno redatto una dichiarazione congiunta a favore dell’inclusione dei requisiti di immunità nello schema comunitario per limitare le possibili interferenze estere sui dati del cloud.

Il processo di elaborazione delle nuove normative è stato altresì criticato per la “limitata trasparenza e la mancanza di coinvolgimento delle parti interessate”, secondo quanto si afferma in una dichiarazione firmata da CCIA, ITI, BSA e AmCham EU. I rappresentanti dell’industria tecnologica hanno esortato l’ENISA e la Commissione Europea a informare le parti interessate sullo stato della discussione e a impegnarsi con loro durante il processo di finalizzazione. Chiedono inoltre agli Stati membri di richiedere una valutazione d’impatto più approfondita sulle nuove proposte.

In merito alla vicenda, l’ENISA ha dichiarato che i requisiti di sovranità sono ancora in fase di discussione e ha aggiunto che essi saranno applicati solamente ai servizi cloud che dimostrino il massimo livello di sicurezza. Inoltre, l’agenzia ha affermato che uno schema definitivo dovrà essere approvato formalmente dalle istituzioni dell’UE prima di entrare in vigore.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati