La UE trabaja en una certificación de ciberseguridad para los servicios cloud

Recomendados:  Cloud: en busca de la agilidad Encuesta Claves para una estrategia multicloud de éxito Webinar La hoja de ruta de DevOps en materia de seguridad Leer

En los últimos meses, han comenzado a proliferar en los estados miembros de la UE esquemas de seguridad y normas de contratación de servicios en la nube, que pueden provocar una gran fragmentación normativa y dificultar la prestación de este tipo de servicios, con los perjuicios que esto causa tanto para las empresas proveedoras como para clientes públicos y privados. En respuesta a esta situación, la UE ha comenzado a trabajar en una certificación de ciberseguridad para los servicios en la nube que pretende aportar mayor seguridad técnica a proveedores y clientes y reducir cargas administrativas.

El conocido como Esquema Europeo de Certificación de Ciberseguridad en los Servicios en la Nube (EUCS) es consecuencia del Reglamento sobre la Ciberseguridad aprobado a principios de 2019, que creó un marco europeo de certificación de la ciberseguridad para los productos, servicios y procesos de las TIC. El EUCS es la segunda de estas propuestas, después del esquema de certificación de la ciberseguridad (EUCC), y será diseñado por la Agencia Europea de Ciberseguridad (ENISA).

De acuerdo con el Reglamento de Ciberseguridad, un esquema europeo de certificación de la ciberseguridad podrá especificar uno o más de los niveles de garantía siguientes para los productos, servicios y procesos de TIC: básico, sustancial o elevado. En este sentido, el nivel de garantía reflejará el nivel de riesgo asociado al uso previsto de un producto, servicio o proceso de TIC, en términos de probabilidad y repercusiones de un incidente.

Uno de los aspectos más complejos de este esquema tiene que ver con el nivel de garantía “elevado” que propone. La propuesta inicial impondría a los proveedores de servicios en la nube ser “inmunes” a las leyes ajenas a la UE y a las leyes extranjeras, entendiendo esa “inmunidad” como la obligación a ajustarse exclusivamente a la normativa europea correspondiente en sus operaciones en la región.

Desde Adigital, donde se encuentran representadas las principales empresas del sector cloud en España, consideran que esta propuesta no está exenta de desafíos. Es importante que su alcance se limite a aspectos técnicos y operativos, y que, en ningún caso, este tipo de esquemas se convierta en el marco para formular y hacer operativos objetivos políticos como la “inmunidad a las leyes no comunitarias” para el mercado de la nube en Europa. Tampoco se puede perder de vista que propuestas como las de inmunidad frente a normas extranjeras podrían tener consecuencias imprevisibles para la economía europea, que podría ver mermada su capacidad de beneficiarse del gran crecimiento de los flujos de datos internacionales, al cerrarse el acceso a proveedores internacionales.

Por otro lado, los temas relacionados con cuestiones como la soberanía digital o los datos, con capacidad de impactar de forma sistémica en los 27 estados miembro, requieren, como mínimo, de un consenso político. Por ello, deben ser decididos por las instituciones de la UE como parte de los procesos y procedimientos legislativos establecidos.