Nadszedł czas, aby zapewnić odporność europejskich dostawców usług w chmurze na eksterytorialne przepisy spoza UE. Czas wzmocnić niezależność Unii Europejskiej w zakresie przechowywania i przetwarzania danych!
W swoim niedawnym komunikacie pt. „Europejska dekada cyfrowa: cele cyfrowe w 2030 r.” Komisja Europejska (KE) słusznie podkreśliła, że „obecnie dane wytwarzane w Europie są zwykle przechowywane i przetwarzane poza Europą. Poza Europą na ich bazie budowana jest też wartość. Chociaż przedsiębiorstwa generujące i wykorzystujące dane powinny zachować swobodę wyboru w tym względzie, warto pamiętać, że taki stan może nieść ze sobą zagrożenia w zakresie bezpieczeństwa cybernetycznego czy dostaw, ograniczenie możliwości zmiany dostawców, czy ryzyko bezprawnego dostępu do danych przez państwa trzecie.
Dostawcy usług w chmurze z siedzibą w UE mają jedynie niewielki udział w rynku chmurowym, co naraża Unię Europejską na takie ryzyka i ogranicza potencjał inwestycyjny europejskiej branży cyfrowej w obszarze przetwarzania danych”. Zgodnie z naszą wiedzą. jest to pierwszy raz, gdy Komisja Europejska tak wyraźnie podkreśliła w oficjalnej publikacji potencjalne ryzyko w zakresie bezpieczeństwa i suwerenności danych wytwarzanych w Europie, wynikające z eksterytorialnych przepisów spoza Unii.
Będąc francuskim, a tym samym europejskim dostawcą usług w chmurze (CSP – Cloud Service Provider – przyp. red.), posiadającym i obsługującym centra danych wyłącznie na terenie UE – co oznacza, że dane naszych klientów pozostają w całości pod jurysdykcją UE – opinię Komisji powitaliśmy z wdzięcznością i zrozumieniem. Uzupełniając analizę KE, chcielibyśmy podzielić się:
- Naszymi spostrzeżeniami dotyczącymi potrzeb i oczekiwań rynku oraz dotychczas stwierdzonych na szczeblu UE niedociągnięć w tym temacie;
- Proponowanym sposobem na złagodzenie, w krótkim i średnim okresie, szkodliwego wpływu eksterytorialnych przepisów spoza UE na bezpieczeństwo i suwerenność danych wytwarzanych w Europie.
1. Spostrzeżenia Scaleway
Bazując na naszym doświadczeniu i opiniach klientów, zaufanie do usług w chmurze w dużej mierze zależy od kwestii związanych z suwerennością danych. Tymczasem wiele europejskich firm zdaje się ignorować fakt, że mogą stanąć w obliczu negatywnych skutków wynikających z narażenia na pozaunijne przepisy eksterytorialne, niekoniecznie łatwe do zidentyfikowania. W związku z tym mogą poruszać się w zewnętrznych przepisach prawa z dużą niepewnością.
Napotykamy również sytuacje, w których klienci CSP nie mają możliwości obiektywnego, dokładnego i przejrzystego pomiaru poziomu narażenia ich danych na pozaeuropejskie przepisy eksterytorialne, niezależnie od tego, czy są one przechowywane i przetwarzane na terytorium Europy, czy też nie. Ten brak przejrzystych informacji nie tylko szkodzi suwerenności i wolności wyboru naszych klientów – bo trudniej im podejmować dobrze udokumentowane decyzje strategiczne – ale także uniemożliwia europejskim CSP oferującym rozwiązania chroniące suwerenność danych (co zwykle jest wynikiem konsekwentnych, celowych inwestycji) odróżnienie się od swoich konkurentów w kluczowym aspekcie dla dzisiejszych i przyszłych użytkowników chmury w Europie. A zauważamy znaczny wzrost oczekiwań klientów i potencjalnych klientów, co oznacza świetne perspektywy rozwoju europejskiego ekosystemu chmury.
Zgodnie z tymi obserwacjami:
- Brakuje nam spójnej i jasnej unijnej oceny, w jakich okolicznościach europejskie przedsiębiorstwa mogą być narażone na jurysdykcję eksterytorialną przy przetwarzaniu danych oraz jakie konflikty z prawodawstwem UE może to powodować.
- Chociaż w pełni popieramy prace instytucji UE, państw członkowskich i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w zakresie cyberbezpieczeństwa, uważamy, że aktualne podejście do tego zagadnienia, stosowane do usług przetwarzania w chmurze, pomija podstawowy czynnik: przejrzystą ocenę odporności CSP na prawodawstwo pozaeuropejskie, co może mieć skutki eksterytorialne (w zakresie przetwarzania i przechowywania danych).
2. Proponowane dalsze kroki
ENISA przygotowuje obecnie projekt certyfikacji cyberbezpieczeństwa dla dostawców usług w chmurze, który niedawno został poddany konsultacjom społecznym; naszym zdaniem wprowadzenie przepisów związanych z odpornością na prawa eksterytorialne w zakresie przetwarzania i przechowywania danych jest absolutnie konieczne, aby ta certyfikacja odniosła prawdziwy sukces: jak dotąd jedynym celem, nawet przy „wysokim” poziomie pewności certyfikacji, jest zapewnienie przejrzystych informacji w tym zakresie.
Konkretyzując: sposobem na uzyskanie wymaganego poziomu zaufania do certyfikowanych usług w chmurze byłoby wprowadzenie wymogu przechowywania danych w regionie, w centrum danych fizycznie zlokalizowanym w UE, którego właścicielem jest podmiot z siedzibą w Unii. Uzupełniając ostatnie zalecenia Europejskiej Rady Ochrony Danych (EROD), uważamy również, że powinno się wymagać prawem udzielenia większej ilości informacji w odniesieniu do całego zestawu usług przetwarzania w chmurze – od informacji o lokalizacji nieruchomości po komponenty oprogramowania, które składają się na chmurę – aby zapewnić pełną przejrzystość w zakresie obowiązującej jurysdykcji, zgodnie z warunkami przechowywania, obliczania i przetwarzania danych. Jest to, naszym zdaniem, jedyny sposób, aby zagwarantować pewność co do poziomu odporności certyfikowanych CSP na przepisy eksterytorialne.
Taka ewolucja mogłaby być prawdziwym przełomem w Europie. W związku z tym apelujemy do wszystkich odpowiednich instytucji i agencji o potraktowanie tej kwestii jako znaczącej przy okazji nadchodzących dyskusji i do wykorzystania unijnego systemu certyfikacji cyberbezpieczeństwa jako lewaru służącego szerszym ambicjom instytucji UE w zakresie wzmocnienia suwerenności cyfrowej Europy.- Yann Lechelle, CEO Scaleway, wiodącego europejskiego dostawcy usług publicznej chmury obliczeniowej
https://itreseller.com.pl/itrnewsustainable-finance-czyli-zrownowazony-rozwoj-sektora-bankowego-microsoftmowi/
