Unijny program certyfikacji cyberbezpieczeństwa w zakresie usług chmurowych powinien być tworzony przejrzyście oraz w ramach konsultacji z podmiotami, na które będzie miał on wpływ w Europie. Konieczne jest uwzględnienie jego korzyści i kosztów, a udział w nim musi pozostać dobrowolny – uważa Cyfrowa Polska. Organizacja zaapelowała do rządu, aby polscy ministrowie zabiegali o to w dyskusji na arenie europejskiej.
Prace nad Europejskim Programem Certyfikacji Cyberbezpieczeństwa w zakresie Usług Chmurowych (EUCS) prowadzone są obecnie przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. To obecnie w branży technologicznej jeden z kluczowych tematów. Tym bardziej, że regulacja może stać się obowiązującą w całej Wspólnocie normą dostarczania usług chmurowych.
Założenia projektu budzą jednak wątpliwości przedstawicieli polskiej branży cyfrowej. Stanowisko w sprawie certyfikacji zabrał Związek Cyfrowa Polska. Trafiło ono do premiera Mateusza Morawieckiego. – Chcemy wesprzeć rząd naszym doświadczeniem i wskazać kierunki, które pozwolą możliwie najlepiej wykorzystać potencjał technologii chmurowej w polskim i unijnym sektorze prywatnym oraz publicznym – mówi Michał Kanownik, prezes Cyfrowej Polski.
Ochronić potencjał rynku cyfrowego
Dlaczego to ważne? „Założenia projektu niosą znaczne ryzyko dla rozwoju sprawiedliwego, otwartego rynku cyfrowego, powstawania innowacyjnych usług korzystających z technologii chmury obliczeniowej i wzrostu ambitnych przedsiębiorstw, pragnących konkurować na światowych rynkach” – czytamy w piśmie wystosowanym przez Związek Cyfrowa Polska do premiera.
Najwięcej wątpliwości ekspertów budzi niejasne i nieprecyzyjne opisanie wymagań, których spełnienie będzie niezbędne do uzyskania tak zwanego certyfikatu EUCS. Szczególnie branżę niepokoi warunek tzw. suwerenności, który zakłada, że siedziba główna podmiotu kandydującego do uzyskania takiego certyfikatu najwyższego poziomu, musi być zlokalizowana w Europie, a sama firma nie może być w posiadaniu podmiotu spoza Unii. To zdaniem Cyfrowej Polski nie tylko będzie wymóg trudny do wdrożenia czy nawet jego późniejszej kontroli, to może on wprost uderzyć w dostawców usług chmurowych oraz firmy wykorzystujących ich usługi (w tym start-upy). „Taka sytuacja skutkowałaby uszczerbkiem na rozwoju innowacyjnych usług i rozwiązań w UE, uderzyłaby we wzrost cyfrowej gospodarki i potencjał tutejszych firm do konkurowania na światowych rynkach” – alarmują eksperci Cyfrowej Polski.
Przejrzystość na pierwszym miejscu
Dlatego Związek zwrócił się do polskiego rządu z apelem o zabieganie na poziomie unijnym, aby tworzone regulacje w sprawie bezpieczeństwa chmury były projektowane przejrzyście, a także w oparciu o konsultacje społeczne wśród ekspertów w dziedzinie cyberbezpieczeństwa i przedstawicieli branży. – To szczególnie istotne ze względu na niezwykle szeroki zakres podmiotów dotkniętych postanowieniami procesu certyfikacji. Uważamy, że konieczne jest, aby stojąca na czele projektu Agencja Unii Europejskiej ds. Cyberbezpieczeństwa regularnie publikowała projekt programu i informowała o istotnych postępach prac – podkreśla Michał Kanownik.
Cyfrowa Polska postuluje też, aby przedstawiono precyzyjną ocenę efektów projektu EUCS i przygotowano zestaw wskazówek oraz wytycznych dotyczących wdrażania nowego programu. Organizacja uważa, że konieczne jest również zapewnienie możliwości audytu i egzekwowania wymogów programu certyfikacji usług chmurowych. I wreszcie postuluje, aby udział w programie certyfikacji pozostał dobrowolny.
– Co do zasady program certyfikacji usług chmurowych nie może być oparty wyłącznie o wizję polityczną, ale przede wszystkim powinien odpowiadać na realia rynkowe. Uważamy, że istotne jest, aby polski rząd zabiegał na arenie europejskiej o korzystne dla całej branży cyfrowej rozwiązania. Przejrzystość, konsultacje i jasne wytyczne to podstawowe elementy prawidłowego wprowadzania nowych rozwiązań – ocenia prezes Związku Cyfrowa Polska.