Europa está considerando una regulación de ciberseguridad que podría comprometer su seguridad a cambio de la soberanía digital. En el centro de esta discusión se encuentra el Esquema de Certificación de Ciberseguridad de la Unión Europea para Servicios en la Nube (EUCS), una propuesta de regulación que busca imponer requisitos estrictos de soberanía en el ámbito de Internet. Si bien el esquema es actualmente voluntario, algunos observadores temen que en el futuro se convierta en obligatorio, lo que podría tener consecuencias impredecibles.
El objetivo principal del EUCS es aumentar la confianza y la seguridad en los productos y servicios de la nube. Con este fin, la Comisión Europea ha diseñado un marco de certificación que permitiría a las empresas europeas demostrar la solidez de sus medidas de privacidad y seguridad. Esto es especialmente relevante en un momento en que Europa, al igual que el resto del mundo, ha experimentado un aumento en los ciberataques y vulnerabilidades de seguridad.
Sin embargo, la inclusión de requisitos de soberanía y localización de datos en la legislación plantea un desafío significativo. Según un borrador filtrado en mayo de 2023, se argumenta que estos requisitos son necesarios para garantizar la independencia de las leyes no pertenecientes a la Unión Europea y proteger las regulaciones, normas y valores europeos. En consecuencia, se emitiría el nivel más alto de garantía de seguridad para los servicios en la nube operados únicamente por empresas de la UE, sin que ninguna entidad externa tenga un control efectivo sobre el proveedor de servicios en la nube. Esto significa que las empresas no europeas serían descalificadas de participar en el esquema.
Este enfoque tiene implicaciones significativas para la competencia y la industria global de ciberseguridad. Al hacer que sea imposible para las empresas no europeas o las empresas de la UE con inversiones y operaciones internacionales operar a los niveles más altos de seguridad cibernética y entornos en la nube de la UE, se limita la competencia en el mercado de la nube y se favorece a la incipiente industria de la nube europea. Si bien es comprensible que Europa busque impulsar su propio mercado de la nube, cerrarse a la competencia y a la industria global de ciberseguridad puede ser, en el mejor de los casos, un enfoque equivocado.
Las implicaciones de esta política se extienden a todo el ecosistema de ciberseguridad, afectando a las empresas europeas que participan en la prestación de servicios en la nube. Limitar su capacidad para desarrollar servicios y competir a nivel global puede tener un impacto negativo en la innovación y la competitividad de Europa en este ámbito. Además, la adopción de requisitos de soberanía y localización de datos puede llevar a la violación de los compromisos de acceso al mercado y la no discriminación entre proveedores extranjeros y nacionales de servicios informáticos, tal como se establece en el Acuerdo General sobre el Comercio de Servicios de la Organización Mundial del Comercio (OMC).
Es importante destacar que esta postura de Europa no es aislada. Fuera de China, Europa es uno de los principales defensores de la idea de “soberanía digital”. Mucha de la legislación reciente de la UE ha sido impulsada por este concepto, y los estados miembros de la UE a menudo se refieren a la soberanía digital. Sin embargo, la falta de una comprensión común sobre el alcance de este concepto deja margen para una amplia interpretación por parte de la Comisión Europea.
De acuerdo a la Comisión Europea:
El objetivo del plan es mejorar aún más las condiciones del mercado interior de la Unión para los servicios en la nube mejorando y racionalizando sus garantías de ciberseguridad. El borrador del esquema EUCS pretende armonizar la seguridad de los servicios en la nube con las regulaciones de la UE, los estándares internacionales, las mejores prácticas industriales, así como con las certificaciones existentes en los Estados miembros de la UE.
El conjunto diverso de actores del mercado, los sistemas complejos y el panorama en constante evolución de los servicios en la nube, junto con los diferentes esquemas en los Estados miembros, plantean desafíos para la certificación de los servicios en la nube. El borrador del esquema EUCS aborda estos desafíos al exigir mejores prácticas de ciberseguridad en tres niveles de garantía y al permitir una transición desde los esquemas nacionales actuales en la UE. Al definir una base de seguridad para cada nivel de garantía, el borrador del esquema EUCS es un esquema horizontal y tecnológico que pretende brindar garantía de ciberseguridad en toda la cadena de suministro de la nube y formar una base sólida para los esquemas sectoriales.
Más específicamente, el borrador del esquema EUCS:
• Es un plan voluntario;
• Los certificados del plan serán aplicables en todos los Estados miembros de la UE;
• Es aplicable a todo tipo de servicios en la nube: IaaS, PaaS, SaaS y otros servicios en la nube;
• Aumenta la confianza en los servicios en la nube al definir un conjunto de requisitos de seguridad de referencia;
• Cubre tres niveles de garantía: “Básico”, “Sustancial” y “Alto”;
• Propone un nuevo enfoque inspirado en los sistemas nacionales existentes y las normas internacionales;
• Otorga una certificación de tres años renovable;
• Incluye requisitos de transparencia como la ubicación del procesamiento y almacenamiento de datos.
Con información de: CyberScoop y la Comisión Europea.
Artículo redactado con asistencia de diversas inteligencias artificiales generativas con supervisión humana (redacción AD).