2022 podría marcar un punto de inflexión para el sector cloud en Europa. El Esquema Europeo de Certificación de Ciberseguridad en los Servicios en la Nube (EUCS), en el que ya está trabajando ENISA, establecerá unos estándares comunes para todos los proveedores de servicios en la nube que quieran operar en Europa. Desde Adigital, apoyamos esta iniciativa clave para el desarrollo del sector, aunque es importante que su alcance se limite a los aspectos técnicos y no se acabe utilizando como marco para hacer operativos objetivos políticos.
En los últimos meses, han comenzado a proliferar en los estados miembro de la UE esquemas de seguridad y normas de contratación de servicios en la nube. Esta diversidad de propuestas podría, sin embargo, provocar una gran fragmentación normativa y dificultar la prestación de este tipo de servicios, con los perjuicios que esto causa tanto para las empresas proveedoras como para clientes públicos y privados. En respuesta a esta situación, la UE ha comenzado a trabajar en una certificación de ciberseguridad para los servicios en la nube que pretende aportar mayor seguridad técnica a proveedores y clientes y reducir cargas administrativas.
El conocido como Esquema Europeo de Certificación de Ciberseguridad en los Servicios en la Nube (EUCS) es consecuencia del Reglamento sobre la Ciberseguridad aprobado a principios de 2019, que creó un marco europeo de certificación de la ciberseguridad para los productos, servicios y procesos de las TIC. El EUCS es la segunda de estas propuestas, después del esquema de certificación de la ciberseguridad (EUCC), y será diseñado por la Agencia Europea de Ciberseguridad (ENISA).
El principio de “inmunidad a las leyes ajenas”
De acuerdo con el Reglamento de Ciberseguridad, un esquema europeo de certificación de la ciberseguridad podrá especificar uno o más de los niveles de garantía siguientes para los productos, servicios y procesos de TIC: «básico», «sustancial» o «elevado». En este sentido, el nivel de garantía reflejará el nivel de riesgo asociado al uso previsto de un producto, servicio o proceso de TIC, en términos de probabilidad y repercusiones de un incidente.
Uno de los aspectos más complejos de este esquema tiene que ver con el nivel de garantía “elevado” que este propone. La propuesta inicial impondría a los proveedores de servicios en la nube ser “inmunes” a las leyes ajenas a la UE y a las leyes extranjeras, entendiendo esa “inmunidad” como la obligación a ajustarse exclusivamente a la normativa europea correspondiente en sus operaciones en la región.
Esta medida incluida en el EUCS tiene su origen en la Doctrina de la Nube francesa de julio de 2021, que, además, la Agencia Francesa de Seguridad Informática (ANSSI) incorporó, en octubre, en su proyecto de certificación nacional, SecNumCloud, que incluía, entre otras cosas, una nueva sección 19.6 sobre la Inmunidad a las leyes no comunitarias, en línea con la mencionada Doctrina de la Nube francesa de julio de 2021.
Desde Adigital, sin embargo, consideramos que esta propuesta no está exenta de desafíos.
Hace un marco común y equilibrado que no lastre la competitividad
Tanto el EUCS como otros programas de cumplimiento son claves para el correcto funcionamiento y desarrollo de la economía digital en Europa. Sin embargo, desde Adigital, donde se encuentran representadas las principales empresas del sector cloud en España, consideramos importante que su alcance se limite a aspectos técnicos y operativos, y que, en ningún caso, este tipo de esquemas se convierta en el marco para formular y hacer operativos objetivos políticos como la «inmunidad a las leyes no comunitarias» para el mercado de la nube en Europa.
Por otro lado, creemos que los temas relacionados con cuestiones como la soberanía digital o los datos, con capacidad de impactar de forma sistémica en los 27 estados miembro, requieren, como mínimo, de un consenso político. Por ello, deben ser decididos por las instituciones de la UE (Parlamento Europeo, Comisión Europea y el Consejo de la UE) como parte de los procesos y procedimientos legislativos establecidos.
Por último, tampoco se puede perder de vista que propuestas como las de inmunidad frente a normas extranjeras podrían tener consecuencias imprevisibles para la economía europea, que podría ver mermada su capacidad de beneficiarse del gran crecimiento de los flujos de datos internacionales, al cerrarse el acceso a proveedores internacionales. De hecho, esta medida va mucho más allá de los requisitos de la sentencia Schrems II del TJUE y de las directrices del Comité Europeo de Protección de Datos (EDPB) sobre cómo proteger contra el acceso de las autoridades extranjeras a los datos en la UE.