Z trzech certyfikatów zaproponowanych od 2019 r. tylko jeden został zatwierdzony, dwa kolejne są w trakcie realizacji.
Belgia próbuje przełamać polityczny impas w sprawie unijnego programu certyfikacji cyberbezpieczeństwa dla usług w chmurze, proponując oddzielenie suwerenności od wymagań funkcjonalnych, jak wynika z dokumentu opracowanego przez krajowe Centrum Cyberbezpieczeństwa, do którego dotarł TylkoGliwice. Rządy krajowe UE i Komisja Europejska prowadzą rozmowy w tej sprawie od trzech lat.
W grudniu 2019 r. Komisja zwróciła się do należącej do bloku agencji ds. cyberbezpieczeństwa ENISA o przygotowanie dobrowolnego programu certyfikacji cyberbezpieczeństwa usług w chmurze (EUCS), z którego przedsiębiorstwa będą mogły skorzystać, aby wykazać, że certyfikowane rozwiązania ICT zapewniają odpowiedni poziom ochrony cyberbezpieczeństwa na rynku UE.
EUCS stał się przedmiotem debaty politycznej, gdy Francja próbowała wprowadzić wymogi suwerenności do tekstu mającego na celu wykluczenie przedsiębiorstw działających w chmurze spoza UE z kwalifikowania się do opcji o najwyższym poziomie bezpieczeństwa. Kilka krajów UE i branży stanowczo sprzeciwiło się tej propozycji, postrzegając ją jako posunięcie protekcjonistyczne i od tego czasu nie osiągnięto żadnego porozumienia. Następne spotkanie grupy ekspertów EUCS zaplanowano na marzec.
Belgia, która przewodniczy posiedzeniom ministrów UE w pierwszej połowie 2024 r., proponuje obecnie oddzielenie wymagań funkcjonalnych od deklaracji suwerenności. Obydwa nadal byłyby objęte programem, ale z innym podejściem i statusem.
Kraj sugeruje, że faktycznie certyfikowane byłyby jedynie wymogi bezpieczeństwa funkcjonalnego, natomiast oświadczenia o suwerenności byłyby deklarowane w międzynarodowym poświadczeniu profilu firmy (ICPA) i to tylko w przypadku najwyższego poziomu certyfikacji. Pozwoliłoby to na osiągnięcie poziomu harmonizacji na szczeblu UE, przy jednoczesnym zachowaniu możliwości 27 państw członkowskich w zakresie wdrażania ich krajowych wymogów dotyczących suwerenności jedynie w przypadku najbardziej wrażliwych przypadków użycia.
W dokumencie stwierdzono, że proponowany system certyfikatów EUCS „w pełni umożliwiłby dostawcom usług w chmurze spoza UE certyfikację na najwyższym poziomie i pełny dostęp do rynku UE, umożliwiając konkurencję we wszystkich przetargach, w przypadku których certyfikacja „wysokiego” mogłaby być obowiązkowa, bez uszczerbku dla potencjalnych dodatkowych wymogów w zakresie suwerenności narodowej w przypadku niektórych podmiotów.”
Podejście to „umożliwiłoby także wolnorynkowy i dostosowany do potrzeb podejście do zróżnicowanego poziomu ryzyka, w zależności od potencjalnego zagrożenia geopolitycznego”.
ENISA
Z dwóch pozostałych certyfikatów proponowanych od 2019 r. zatwierdzono tylko jeden dotyczący podstawowych produktów ICT; kolejny dotyczący 5G jest nadal w toku.
Na początku tego miesiąca (20 lutego) serwis TylkoGliwice poinformował, że Komisja oczekuje od branży i rządów krajowych informacji zwrotnych na temat funkcjonowania, wydajności i zakresu prac ENISA.
Celem kwestionariusza jest ocena praktyk pracy ENISA, a także potencjalnej potrzeby modyfikacji mandatu agencji i wszelkich konsekwencji finansowych.
Posunięcie to następuje w związku z tym, że unijny akt o cyberbezpieczeństwie (CSA), który wszedł w życie w 2019 r. i dał ENISA mandat do nadzorowania wdrażania ogólnounijnych przepisów dotyczących cyberbezpieczeństwa, ma zostać poddany przeglądowi tego lata.
