Американская облачная служба Oracle объявила в понедельник (30 октября), что Европейская комиссия решила включить услуги Oracle Cloud Infrastructure в свои предложения, что подняло вопросы о согласованности предлагаемых ею схем облачной безопасности.

Исполнительный директор ЕС выбрал Oracle Cloud Infrastructure для шестилетнего всеобъемлющего рамочного соглашения, которое позволяет американской компании предлагать облачные услуги учреждениям, органам и агентствам ЕС.

«Облако — это вопрос цифрового и промышленного суверенитета», — заявил ранее в апреле комиссар по внутреннему рынку Тьерри Бретон на Форуме по кибербезопасности.

Бретон возглавил усилия Франции по созданию европейской копии своего сертификата облачной безопасности SecNumCloud, вводя требования суверенитета в Европейские облачные сервисы (EUCS).

Таким образом, решение Комиссии включить американскую Oracle в свои предложения облачных сервисов, доступные администрации ЕС, похоже, противоречит ее хваленому стремлению к технологическому суверенитету.

Мультиоблачная стратегия

Представитель Комиссии сообщил Euractiv, что «Европейская комиссия применяет мультиоблачную стратегию», пояснив, что институты, органы и агентства ЕС теперь будут иметь возможность «проводить мини-конкурсы, удовлетворяющие их потребности в поставках ИТ», а затем выбирать облачного провайдера, который, по их мнению, лучше всего соответствует их потребностям.

Oracle не является первым и единственным поставщиком облачных услуг за пределами ЕС, получившим рамочный контракт и, следовательно, получившим возможность предлагать свои услуги администрации ЕС.

Однако примечательно, что эти иностранные поставщики облачных услуг не могут претендовать на высший уровень гарантий EUCS, который, согласно проектам, распространенным в мае и августе этого года, потребует, чтобы поставщик облачных услуг «контролировался» европейской компанией.

Спорная схема

Другими словами, Комиссия, возможно, устанавливает более высокий стандарт, чем следует.

Хотя EUCS является добровольной схемой, она может стать обязательной для организаций, которые считаются важными для европейской экономики в соответствии с пересмотренной Директивой о сетях и информационных системах (NIS2).

Однако попытка Комиссии ввести требования суверенитета столкнулась с серьезным сопротивлением со стороны промышленности и растущей коалиции государств-членов во главе с Нидерландами.

После политизации того, что должно было стать техническим обсуждением, Европейский парламент также недавно принял поправку к Закону о кибербезопасности, правовой основе EUCS, которая предоставит членам Европарламента право голосовать против схем сертификации кибербезопасности.

Французский подход теряет динамику

Один эксперт, беседуя с Euractiv на условиях анонимности, сказал, что французская схема сертификации облаков SecNumCloud теряет популярность в ЕС.

А именно, требование о том, что акциями провайдера облачных услуг не могут владеть более 24% одной компании со штаб-квартирой за пределами ЕС, теперь отменяется по всей Европе, за исключением французской сертификации SecNumCloud.

Это согласуется с решением немецкого агентства по кибербезопасности BSI предоставить AWS European Sovereign Cloud сертификат C5, сертификат облачной безопасности, основанный на тех же международных нормах, что и SecNumCloud, и желание Комиссии ЕС не исключать ни одного поставщика из Европейский рынок.

Напротив, французские законодатели из Сената попытались сделать протекционистский шаг, внеся в законопроект о регулировании цифрового пространства обязательство для всех государственных органов загружать свои данные только в облачные сервисы с сертификацией SecNumCloud.

Позже он был отклонен докладчиком Национальной ассамблеи, который посчитал, что облачные сервисы, сертифицированные SecNumCloud, не смогут справиться с загрузкой такого огромного количества данных.

Некоторые, такие как французский депутат-центрист Филипп Латомб или австрийский активист по защите данных Макс Шремс, рассматривают американские гиперскейлеры (термин, используемый для описания американских поставщиков облачных услуг с масштабными операциями) как опасность для европейских компаний.

Латомбе осознает потенциальную опасность того, что американские компании и власти могут получить доступ к данным европейских компаний и, следовательно, заняться «экономической разведкой, получением коммерческих секретов ЕС и нацелиться на промышленную базу и базу знаний ЕС», сказал он Euractiv.

Шремс также выразил сомнение в том, что США станут «мировым поставщиком облачных услуг», поскольку они придерживаются «точки зрения, что иностранцы не имеют права на конфиденциальность», и впредь критикуя Европейскую комиссию за согласие с США на соглашение, разрешающее использование персональных данных ЕС. будут переданы в США в соответствии с Законом о конфиденциальности данных.

[Edited by Luca Bertuzzi/Nathalie Weatherald]

Узнайте больше с EURACTIV