[ad_1]
Un document conjoint obtenu par EURACTIV détaille six scénarios possibles pour faire face aux exigences controversées de souveraineté dans le futur système de certification des fournisseurs de cloud.
La Commission européenne a fait pression pour inclure des exigences de souveraineté dans le système de certification de cybersécurité pour les services cloud (EUCS), le premier certificat en vertu de la loi sur la cybersécurité de l’UE.
Ces exigences de souveraineté visent à mettre les données de l’UE hors de portée des juridictions étrangères, notamment en imposant la localisation des centres de données européens, l’immunité vis-à-vis des lois et des conditions non européennes pour les personnes ou les organisations qui contrôlent le fournisseur de cloud.
Bien que le système en soi ne soit pas obligatoire, son niveau d’assurance « élevé » pourrait devenir obligatoire pour des secteurs tels que les opérateurs énergétiques et les banques, jugés très critiques en vertu de la directive sur les réseaux et les systèmes d’information (NIS2) récemment révisée.
Les Pays-Bas et les petits États membres se sont opposés au programme, tandis que la France, l’Italie et l’Espagne se sont ralliées à la poussée du commissaire Thierry Breton vers la « souveraineté technologique ». Les deux camps ont discuté d’un éventuel compromis ces dernières semaines.
Le document conjoint, daté du 23 janvier, a été élaboré dans ce contexte, car il présente six scénarios pour susciter un retour d’information des autres États membres. Le document officieux stipule que les futures discussions devraient impliquer les acteurs du marché et tenir compte de l’effet des critères de souveraineté sur les futurs schémas.
En outre, il demande à la Commission d’évaluer l’impact économique potentiel de ces exigences et dans quelle mesure elles seraient compatibles avec le droit commercial.
Sub/Sub+ et Haut
La première option consiste à mettre en place un niveau d’assurance supplémentaire dans le schéma en divisant en deux le niveau « substantiel », celui en dessous du niveau élevé, ce dernier maintenant les exigences d’immunité. Le niveau substantiel deux serait essentiellement un niveau élevé sans les exigences de souveraineté.
En tant que pros, le document mentionne que les fournisseurs de services critiques doivent se conformer aux exigences d’immunité offrant une protection étendue contre l’accès des gouvernements étrangers, les exigences techniques d’origine seraient maintenues et l’EUCS resterait comparable à des systèmes similaires.
Par contre, le champ d’application est jugé trop large car il pourrait devenir obligatoire sous NIS2, l’impact sur le marché reste flou, le nombre de fournisseurs de services cloud au niveau « élevé » resterait limité, et il pourrait y avoir des incohérences avec la loi sur la cybersécurité.
Élevé+ (utilisations critiques)
Une autre option consisterait à diviser le niveau d’assurance le plus élevé, en créant un «élevé» sans critères d’immunité et un «élevé +» avec les exigences. Ce high+ s’appliquerait à des utilisations critiques spécifiques qui seraient auto-évaluées par les utilisateurs sur la base de lignes directrices générales.
Du côté positif, cette approche serait plus ciblée, car les critères d’immunité seraient limités aux types de données nécessitant cette protection, tandis que les autres utilisateurs seraient en mesure d’identifier les services cloud à haute cybersécurité, ce qui apporterait de la clarté au marché.
L’inconvénient est similaire au premier scénario, notamment en ce qui concerne le flou et la cohérence juridique. De plus, « ne couvre pas tous les niveaux d’assurance et pourrait rendre le niveau d’assurance » élevé « quelque peu hors de propos », indique le document.
Profils d’extension
La troisième possibilité est de créer des profils d’extension qui introduisent les critères de souveraineté, quels que soient les niveaux d’assurance, pour l’utilisation du cloud dans des secteurs spécifiques, comme la santé ou l’armée.
Étant donné que la plupart des prestataires de l’UE manquent encore de ressources pour le niveau d’assurance «élevé», cette option leur conférerait tout de même un avantage concurrentiel par rapport aux concurrents étrangers, car elle s’appliquerait à tous les niveaux d’assurance. De plus, cette alternative permet une flexibilité et une approche au cas par cas pilotée par le client.
Cependant, le document note également que les critères d’immunité seraient nécessaires pour protéger les données sensibles, qui ne seraient pas suffisamment protégées avec des niveaux d’assurance « de base » et « substantiel ».
Cinq niveaux d’évaluation
La quatrième option combine les deux premières, créant des sous-niveaux pour « élevé » et « substantiel ». Le côté positif est que cette approche offrirait tous les avantages des profils d’extension tout en étant plus facile à communiquer et à opérationnaliser.
Néanmoins, le document conjoint réitère ses préoccupations concernant l’imprécision, la nature obligatoire, le manque de flexibilité, les défis juridiques et le manque de cohérence avec d’autres systèmes de certification.
Évaluation de la fiabilité
Une alternative proposée sort du champ d’application de la loi sur la cybersécurité et consisterait à introduire un mécanisme d’évaluation européen basé sur la fiabilité des opérateurs et des fournitures de cloud hors UE comme condition préalable à l’entrée dans le marché unique.
L’évaluation pourrait être fondée sur des critères de sécurité et législatifs, tels que la législation extraterritoriale, les transferts de données et le respect des règles européennes en matière de protection des données. La loi allemande sur la sécurité informatique 2.0 et les profils de risque de la boîte à outils 5G sont mentionnés comme des éléments de base potentiels.
Cette approche n’affecterait pas la certification technique, laissant une flexibilité maximale pour personnaliser les exigences de nature politique. Néanmoins, cela retarderait davantage le processus puisqu’une nouvelle initiative serait nécessaire.
Les inconvénients supplémentaires sont que le champ d’application peut difficilement être rendu pérenne, la compatibilité avec les accords commerciaux devrait être évaluée, les choix des utilisateurs pourraient être limités et cela créerait une incertitude pour les fournisseurs non européens.
Intégration par la conformité
L’idée finale est d’introduire les exigences d’immunité dans la législation de l’UE comme la loi sur les données, qui comprend déjà des dispositions sur les transferts internationaux de données.
Par conséquent, les critères ne figureraient pas dans le système lui-même, mais pour être éligibles au système, les fournisseurs de cloud devraient prouver qu’ils se conforment à la législation pertinente.
Les avantages énumérés sont que ces critères seraient discutés politiquement, que l’EUCS avancerait et que l’approche pourrait être ciblée et appliquée à tous les niveaux d’assurance et aux futurs programmes.
Néanmoins, ce scénario nécessiterait de modifier la législation actuelle ou à venir pour ajouter l’aspect immunité, ce qui prendrait beaucoup plus de temps.
[Edited by Alice Taylor]
[ad_2]
Source link -42