É pouco provável que as discussões na União Europeia sobre a certificação de cibersegurança para serviços em nuvem (EUCS) avancem no primeiro semestre deste ano, apesar dos esforços da Polónia - que preside às reuniões da UE até julho - para chegar a um acordo, disseram à Euronews fontes relacionadas com o assunto.
Em 2019, a agência europeia de cibersegurança (ENISA)começou a trabalhar no EUCS, a pedido da Comissão. O EUCS deverá ser utilizado pelas empresas para demonstrar que as soluções de TIC certificadas têm o nível certo de proteção de cibersegurança para o mercado da UE, mas transformou-se numa batalha política sobre os requisitos de soberania.
A França, em particular, liderou a resistência e quer ter a certeza de que pode continuar a utilizar o seu próprio sistema - SecNum Cloud - após a adoção do EUCS.
A divisão política levou a um atraso, o que significa que o sistema ainda precisa de um parecer do Grupo Europeu de Certificação da Cibersegurança (ECCG) da ENISA. A próxima reunião do ECCG poderá ter lugar em fevereiro, na melhor das hipóteses.
A Polónia, que começou a presidir as reuniões governamentais da UE desde 1 de janeiro, está a dedicar o primeiro semestre de 2025 ao tema da cibersegurança, e já convocou uma reunião informal dos ministros das tecnologias da informação a 4 e 5 de março, e planeia acolher uma conferência sobre a normalização da ENISA.
No entanto, os grupos do setor estão céticos quanto ao avanço no impasse sobre a EUCS.
A BSA, um grupo ligado à indústria mundial de software, disse à Euronews que "lamenta" que o processo de adoção da EUCS continue incompleto, após quatro anos de discussão.
"A questão central não é a localização dos dados ou da empresa, mas sim a forma como os dados são protegidos. Por isso, é importante centrarmo-nos nos aspetos técnicos da cibersegurança e não em considerações políticas", afirmou um porta-voz da empresa.
"O último projeto do EUCS reflete este equilíbrio e apelamos à Comissão que adote o sistema o mais rapidamente possível. A Europa não se pode dar ao luxo de perder mais tempo para garantir a sua resiliência em matéria de cibersegurança", acrescentou a BSA.
Revisão da Lei da Cibersegurança
Outros consideram que a Comissão deveria aguardar a revisão do processo EUCS até que a Lei da Cibersegurança (CSA), o ato legislativo relacionado, tenha sido revisto.
A CSA está a ser avaliada, mas ainda não foi tomada uma decisão sobre a sua revisão", afirmou um porta-voz da Comissão Europeia à Euronews.
A CSA, que entrou em vigor em 2019, permite que a agência de cibersegurança da UE, a ENISA, prepare sistemas de certificação. No ano passado, foi objeto de uma revisão, mas esta ainda não teve lugar.
Dos dois outros certificados propostos desde 2019, apenas um foi aprovado, sobre produtos TIC de base; outro sobre 5G ainda está em curso.
A carta de missão da recém-eleita comissária da UE para a Soberania Tecnológica, Segurança e Democracia, Henna Virkkunen, afirmava que se comprometia a "contribuir para o reforço da cibersegurança [...] nomeadamente através da melhoria do processo de adoção de sistemas europeus de certificação da cibersegurança".