Opóźnienie daje Komisji czas na przedstawienie wytycznych dotyczących sposobu, w jaki państwa członkowskie mogą dodać własne wymagania.
Głęboko debatowana decyzja o kontynuacji dobrowolnego systemu certyfikacji usług w chmurze (EUCS) została przesunięta na połowę lipca, podają TylkoGliwice dwa źródła z UE.
Program ma być wykorzystywany przez przedsiębiorstwa do wykazania, że certyfikowane rozwiązania ICT zapewniają odpowiedni poziom ochrony cyberbezpieczeństwa na rynku UE, ale przekształcił się w polityczną bitwę o wymogi dotyczące suwerenności. Opóźnienie sprawia, że osiągnięcie porozumienia w ramach mandatu obecnej Komisji von der Leyen staje się mniej prawdopodobne.
EUCS został usunięty z dzisiejszego (18 czerwca) spotkania grupy roboczej ENISA – europejskiej agencji ds. cyberbezpieczeństwa – ponieważ Komisja Europejska nie przekazała jeszcze ekspertom wskazówek, w jaki sposób państwa członkowskie mogą dodawać własne wymagania, w szczególności związane z suwerennością.
To jeszcze bardziej opóźniło trwający impas: Komisja zwróciła się do Enisy o przygotowanie certyfikacji już w grudniu 2019 r.
Kwestia ta stała się przedmiotem debaty politycznej, gdy Francja próbowała wprowadzić wymogi suwerenności do tekstu, który miał na celu wykluczenie firm działających w chmurze spoza UE z kwalifikowania się do najwyższych opcji bezpieczeństwa, aby wyglądało to jak jej własny certyfikat chmury SecNumCloud.
Kilka krajów UE i branży zdecydowanie sprzeciwiło się tej propozycji, postrzegając ją jako posunięcie protekcjonistyczne i od tego czasu nie osiągnięto żadnego porozumienia.
Wyjaśnienie prawne
Belgia – przewodnicząca spotkaniom ministerialnym w pierwszej połowie 2024 r. – próbowała rozwiązać kwestie polityczne, proponując oddzielenie suwerenności od wymogów funkcjonalnych.
Jej propozycja, popierana przez większość państw członkowskich, „w pełni umożliwiłaby dostawcom usług w chmurze spoza UE certyfikację na najwyższym poziomie i pełny dostęp do rynku UE, umożliwiając konkurencję we wszystkich przetargach, w przypadku których certyfikacja „wysokiego” mogłaby być obowiązkowa, bez uszczerbku dla potencjalnych dodatkowych wymogów w zakresie suwerenności narodowej w przypadku niektórych podmiotów.”
W kwietniu Francja zwróciła się do Rady o wyjaśnienia prawne dotyczące oczekującego programu. Kraj chciał wiedzieć, jak jego przyjęcie może wpłynąć na przyszłość programów krajowych. Rada stwierdziła, że nie może komentować prac grupy ekspertów technicznych powołanej przez Komisję.
Po formalnym przyjęciu przez grupę roboczą Enisy należy pokonać więcej przeszkód.
Komisja będzie następnie musiała opublikować akt wykonawczy, który przed jego formalnym zatwierdzeniem zostanie poddany czterotygodniowym konsultacjom społecznym. Nawet po wejściu programu w życie po lecie przepisy będą obowiązywać dopiero 18 miesięcy po zawarciu umowy.
Z dwóch pozostałych certyfikatów proponowanych od 2019 r. zatwierdzono tylko jeden dotyczący podstawowych produktów ICT; kolejny dotyczący 5G jest nadal w toku.
