A Agência Europeia de Segurança de Redes e Informações (ENISA) está desenvolvendo novos requisitos mais rigorosos para provedores de nuvem em termos de armazenamento de dados dentro da UE, a fim de excluir a possibilidade de governos estrangeiros acessarem os dados do bloco, escreve Bloomberg, que se familiarizou com o projeto de nova lei. De acordo com as novas regras, para receber a mais alta certificação de segurança cibernética, uma empresa precisará armazenar dados na UE.
Como explicou o recurso, na prática, isso significa que os provedores de serviços em nuvem dos EUA, como Amazon, Microsoft e Google, terão que garantir que o governo dos EUA não possa acessar dados em nuvem europeus de acordo com os novos requisitos. Ao mesmo tempo, os provedores de nuvem estrangeiros terão que administrar uma entidade legal separada na UE, independentemente da empresa controladora, ou criar uma JV com uma empresa de nuvem europeia.
Fonte da imagem: Pixabay
A ENISA propõe a introdução de uma classificação de segurança cibernética de nível “alto” em dois níveis. A maioria dos provedores de nuvem dos EUA cumpre o padrão “EL3” proposto, que estabelece um certo nível de transparência de dados. O nível mais alto de segurança cibernética, a certificação EL4, exige que os dados sejam armazenados na UE sem acesso do governo estrangeiro. Ter a mais alta certificação de segurança cibernética será um pré-requisito para selecionar empresas que receberão um contrato para armazenar dados governamentais confidenciais.
As empresas americanas temiam que a ENISA, como condição para uma certificação superior, incluísse nos novos requisitos regras de propriedade de dados em nuvem da UE semelhantes às já em vigor na França. No entanto, como se viu, será mais fácil para eles implementar a proposta da ENISA. Por exemplo, de acordo com fontes da Bloomberg, a solução Sovereign Cloud da Oracle provavelmente já atende aos requisitos de certificação EL4 propostos.