EU on valmistelemassa uutta kyberturvallisuusmerkkiä, jonka saaminen vaatii merkittävien reunaehtojen täyttämistä. Teknologiajätit, kuten markkinajohtaja Amazon, tuskin hyväksyvät niitä ilman protestia. EU-komissio päättää asiasta kuun lopussa.
Luonnoksen mukaan EU:n kyberturvallisuusmerkin voi myöntää ainoastaan yritykselle, jonka omistuksesta enemmistö on EU-alueella. EU:n ulkopuolisten toimijoiden tulee olla vain vähemmistöomistajana yrityksessä, jolle merkki myönnetään, kertoo luonnoksen nähnyt uutistoimisto Reuters.
Ehdotus on osa EU:n kyberturvallisuusvirasto ENISAn sertifiointijärjestelmää (EUCS), joka pyrkii takaamaan pilvipalveluiden turvallisen käytön. Merkin saamisen oletetaan vaikuttavan siihen, minkä palveluntarjoajan valtiot ja yritykset valitsevat.
Kaikki pilvipalvelun asiakastiedot olisivat sekä tallennettava että käsiteltävä EU:ssa tämän lakien alaisuudessa. Lisäksi EU-dataa käsittelevien työntekijöiden tulisi läpäistä henkilökohtainen seulonta ja asua EU-alueella.
Asiakirjan mukaan suuryritykset, kuten Amazon, Google ja Microsoft, eivät saisi turvallisuusmerkkiä eurooppalaisen tytäryhtiön avulla. Lisäksi lakiluonnoksen mukaan EU:n ulkopuolella pääkonttoriaan pitävillä yrityksillä ei saa olla suoraa hallintaa kyberturvallisuusmerkkiä hakeviin yrityksiin.
”Sertifioituja pilvipalveluja tarjoavat vain EU:ssa sijaitsevat yritykset, eikä mikään EU:n ulkopuolinen taho voi tosiasiallisesti valvoa pilvipalvelun tarjoajaa, jotta voidaan vähentää riskiä, että EU:n ulkopuoliset tahot heikentävät EU:n säännöksiä, normeja ja arvoja”, asiakirjassa todetaan.
Luonnos herättää todennäköisesti kritiikkiä EU:n ulkopuolisilta teknologiajäteiltä. The Registerin mukaan Amazon, Google ja Microsoft tarjosivat vuonna 2022 noin 70 prosenttia EU:n pilvipalveluista. Tutkimusyhtiö IDC:n ennusteen mukaan EU:n pilvimarkkina kasvaa tänä vuonna 148 miljardiin euroon.
Asiakirjassa todetaan, että erityisen arkaluonteisiin henkilötietoihin sovellettaisiin ankarampia tietosuojavaatimuksia. Niitä noudatettaisiin myös, jos tietovuodolla voisi olla kielteinen vaikutus yleiseen järjestykseen, turvallisuuteen, terveyteen tai tekijän- ja teollisoikeuksien suojeluun.
Viimeisin asiakirjaluonnos voi eriyttää EU:n sisämarkkinoita, koska kullakin maalla on täysi harkintavalta asettaa vaatimuksia silloin, kun se katsoo sen tarpeelliseksi, eräs lähde kertoi Reutersille.
Yhdysvaltain kauppakamari on aiemmin sanonut, että suunnitelma asettaa yhdysvaltalaiset yritykset eriarvoiseen asemaan. EU:n mukaan toimet ovat välttämättömiä tietosuojaoikeuksien ja yksityisyyden suojaamiseksi.
EU-maat tarkastelevat luonnosta myöhemmin tässä kuussa, minkä jälkeen Euroopan komissio päättää lopullisen turvamerkkijärjestelmän.
Euroopan unionissa olevat yritykset ovat jääneet pahasti takamatkalle pilvipalveluiden tarjoamisessa. Suuret kasvuyritykset ovat muualla kuin EU-alueella. Sen sijaan yksityisyydensuojassa ja regulaatiossa EU on kärkijoukoissa.