Branża cyfrowa Europy Środkowo-Wschodniej ostrzega przed ryzykiem drastycznego ograniczenia dostępu do usług chmurowych w UE i szkodach dla konkurencyjności europejskiego rynku cyfrowego względem globalnej stawki. Sześć organizacji z Czech, Litwy, Polski, Rumunii i Słowacji złożyło podpisy pod stanowiskiem w sprawie powstających przepisów dot. certyfikacji bezpieczeństwa usług chmurowych, które zostało skierowane do władz państw regionu oraz instytucji UE.
W Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) trwają prace nad europejskim schematem certyfikacji cyberbezpieczeństwa usług chmurowych (EUCS), który zdefiniuje wymagania względem dostępnych na rynku technologii cloud i ich dostawców. Ma on zostać włączony do prawa unijnego stosownym aktem. Branża cyfrowa regionu Europy Środkowo-Wschodniej skupiona w CEE Digital Coalition skierowała do władz UE i liderów państw regionu stanowisko dotyczące projektowanych aktualnie przepisów. Pod stanowiskiem podpisały się organizacje branży cyfrowej z Czech (SPCR), Litwy (INFOBALT), Polski (Związek Cyfrowa Polska), Rumunii (APDTIC oraz ANIS) oraz Słowacji (SAPIE).
Grozi nam utrata konkurencyjności na unijnym rynku usług chmurowych
W myśl unijnego aktu o cyberbezpieczeństwie EUCS ma wprowadzić trzy poziomy certyfikacji bezpieczeństwa usług. Wątpliwości dostawców i odbiorców usług chmurowych w wielu branżach oraz części rządów państw członkowskich UE budzą proponowane wymogi niezbędne do uzyskania certyfikatu „wysokiego” poziomu bezpieczeństwa usług. Zdaniem organizacji sektora cyfrowego z Europy Środkowo-Wschodniej wymagania stawiane przez dostawcami usług, związane z uzyskaniem stosownego certyfikatu bezpieczeństwa oferowanych przez nich usług nie mogą stać na drodze rozwoju różnorodnego, sprawiedliwego i konkurencyjnego rynku oraz hamować innowacji w sferze technologii chmurowych we wspólnocie. – Zapisy dotyczące “wymagań niezależności” (ang. “sovereignty requirements”), które nie odnoszą się do technicznych aspektów cyberbezpieczeństwa są niepokojące. Stanowią m.in, że siedziba główna dostawców usług, chcących uzyskać najwyższy poziom certyfikacji, musi znajdować się w Europie, a sami dostawcy nie mogą podlegać podmiotom wywodzącym się spoza UE – zauważa Michał Kanownik, prezes Związku Cyfrowa Polska, który stoi na czele koalicji CEE Digital Coalition. – Co więcej, w projektowanych przepisach nie doprecyzowano dla jakich narzędzi i w jakich sektorach wymagane miałoby być uzyskanie certyfikatu najwyższego poziomu bezpieczeństwa usług chmurowych. To z kolei grozi niejednolitą interpretacją przepisów w poszczególnych państwach członkowskich i chaosem prawnym w UE. W efekcie ryzykujemy naruszeniem zasad jednolitego rynku wewnętrznego Unii Europejskiej – dodaje Michał Kanownik.
Prezes Cyfrowej Polski ostrzega, że proponowane zapisy mogą utrudnić lub zupełnie uniemożliwić legalnie działającym w Unii dostawcom usług chmurowych ubieganie się o certyfikat „wysokiego” bezpieczeństwa ich produktów. – Stracą oni możliwość świadczenia usług nie tylko indywidualnym konsumentom w UE, ale przede wszystkim swoim klientom biznesowym, co utrudni wzrost innowacji i dostęp do chmury we wspólnocie. Rynek europejski straci na konkurencyjności względem globalnej konkurencji, a my jako odbiorcy usług do dyspozycji mieć będziemy uboższą ofertę istotnych w erze cyfryzacji narzędzi – podkreśla podpisany pod stanowiskiem prezes Związku Cyfrowa Polska.
Postulaty cyfrowego Trójmorza
Ze względu na te obawy oraz inne wątpliwości organizacje branżowe z regionu zawarły w swoim stanowisku zestaw rekomendacji dla władz Unii Europejskiej. Pozwolą one ich zdaniem ograniczyć negatywny wpływ regulacji na cyfrowy rynek regionu. Branża wnosi przede wszystkim o rezygnacje z wymogów wobec pochodzenia i statusu własności podmiotów ubiegających się o certyfikat „wysokiego” poziomu bezpieczeństwa. „Równie skuteczny i wystarczający byłby w tym przypadku byłby wymóg legalnej działalności oddziału dostawcy na terenie UE” – piszą autorzy dokumentu. Apelują także m.in. o zagwarantowanie szeroko zakrojonych konsultacji społecznych dot. projektu, dbałość o przejrzystość procesu powstawania schematu certyfikacji oraz zachowanie dobrowolnego charakteru powstających ram certyfikacji. Przedstawiciele sektora cyfrowego wnioskują również o uwzględnienie głosu wszystkich zainteresowanych państw członkowskich UE w toku prac nad EUCS. W dokumencie podkreślono, że proponowane zapisy mogą mieć znaczny wpływ na kluczowe z punktu widzenia państw Europy Środkowo-Wschodniej transatlantyckie relacje biznesowe.
W stanowisku podkreślono ponadto, że nowe regulacje nie będą dotyczyć jedynie dostawców usług chmurowych, lecz także ich odbiorców z sektora bankowego, branży motoryzacyjnej, czy ochrony zdrowia, a także licznego grona małych i średnich przedsiębiorstw. „Ponieważ przepisy dotknąć bardzo szerokiego grona podmiotów gospodarczy, proces ich powstawania musi być przejrzysty i gwarantować proces konsultacji społecznych” – czytamy w stanowisku branży cyfrowej regionu. W swoim apelu wnosi ona też o przeprowadzenie dokładnej analizy ryzyka i ocenę wpływu powstających przepisów na podmioty, których dotyczą, a także o przygotowanie wytycznych, które pomogą dostosować się do planowanych obowiązków i wymogów.
– Apelujemy do wszystkich instytucji zaangażowanych w prace nad EUCS, aby pamiętały o wpływie regulacji na sprawiedliwą konkurencję na rynku cyfrowym UE oraz o ogromnej stawce, jaką jest dostęp do rozwiązań chmurowych. W dobie szybkiego postępu technologicznego regulacje dotyczące sfery cyfrowej powinny być kreowane w sposób, który zapewnia im odporność na upływ czasu i odpowiadać na bieżące realia jednolitego rynku cyfrowego. To szczególnie istotne w przypadku aktu implementacji EUCS, ponieważ zapisy te mogą skutkować ograniczeniem wachlarza usług chmurowych dostępnych dla europejskich odbiorców indywidualnych i przedsiębiorstw. Dlatego mamy obowiązek zwrócić się do władz UE i liderów państw naszego regionu, by z rozwagą rozwijać europejski schemat certyfikacji cyberbezpieczeństwa usług chmurowych – komentuje prezes Związku Cyfrowa Polska.