Wymagania zw. z certyfikacją cyberbezpieczeństwa w zakresie usług chmurowych proponowane przez UE są zbyt ostre; zwłaszcza wymóg, by podmioty z najwyższym certyfikatem były firmami europejskimi - uważa Cyfrowa Polska, która apeluje o interwencję w tej sprawie do rządu.

Jak zauważa Związek Cyfrowa Polska, który reprezentuje firmy z branży cyfrowej i nowych technologii, Agencja Unii Europejskiej ds. Cyberbezpieczeństwa prowadzi prace nad Europejskim Programem Certyfikacji Cyberbezpieczeństwa w zakresie Usług Chmurowych (EUCS).

"To obecnie w branży technologicznej jeden z kluczowych tematów. Tym bardziej, że regulacja może stać się obowiązującą w całej Wspólnocie normą dostarczania usług chmurowych" - wskazuje Polska Cyfrowa w informacji prasowej na ten temat.

Założenia projektu budzą jednak zastrzeżenia Związku. Najwięcej wątpliwości jego ekspertów budzi "niejasne i nieprecyzyjne opisanie wymagań, których spełnienie będzie niezbędne do uzyskania tak zwanego certyfikatu EUCS".

"Szczególnie branżę niepokoi warunek tzw. suwerenności, który zakłada, że siedziba główna podmiotu kandydującego do uzyskania takiego certyfikatu najwyższego poziomu, musi być zlokalizowana w Europie, a sama firma nie może być w posiadaniu podmiotu spoza Unii. To zdaniem Cyfrowej Polski nie tylko będzie wymóg trudny do wdrożenia czy nawet jego późniejszej kontroli, to może on wprost uderzyć w dostawców usług chmurowych oraz firmy wykorzystujących ich usługi (w tym start-upy)" - wskazał Związek.

Jak poinformowano, Związek zwrócił się do polskiego rządu z apelem o zabieganie na poziomie unijnym, aby tworzone regulacje w sprawie bezpieczeństwa chmury były projektowane przejrzyście, a także w oparciu o konsultacje społeczne wśród ekspertów w dziedzinie cyberbezpieczeństwa i przedstawicieli branży.

Według Cyfrowej Polski to szczególnie istotne ze względu na niezwykle szeroki zakres podmiotów dotkniętych postanowieniami procesu certyfikacji. Jej zdaniem, konieczne jest, aby stojąca na czele projektu Agencja Unii Europejskiej ds. Cyberbezpieczeństwa regularnie publikowała projekt programu i informowała o istotnych postępach prac.

Cyfrowa Polska postuluje też, aby przedstawiono precyzyjną ocenę efektów projektu EUCS i przygotowano zestaw wskazówek oraz wytycznych dotyczących wdrażania nowego programu. Organizacja uważa, że konieczne jest również zapewnienie możliwości audytu i egzekwowania wymogów programu certyfikacji usług chmurowych. Postuluje także, aby udział w programie certyfikacji pozostał dobrowolny.

W ocenie Związku program certyfikacji usług chmurowych nie może być oparty wyłącznie o wizję polityczną, ale przede wszystkim powinien odpowiadać na realia rynkowe.

