Gizliliğimizin koruyucusu bir basın bülteninde, bulut sağlayıcıları için gelecekteki Avrupa siber güvenlik çerçevesi olan EUCS ile ilgili son Avrupa müzakereleri konusunda endişeli. Otorite, sektördeki üç Amerikan liderini etkili bir şekilde dışlayan kriterler olan ekstraterritorial yasalardan muafiyet kriterlerinin yeniden getirilmesini öneriyor: AWS, Azure ve Google Cloud.
Bu bir “sorunu” temel hak ve özgürlüklerin korunması “, ve 19 Temmuz'da yayınlanan bir pozisyon belgesi. Bir görüşe göre, gizliliğimizin koruyucusu olan CNIL, “EUCS” adı verilen Avrupa bulut sertifikasyon projesinden (bulut bilişim) endişe duyuyor. Brüksel'de müzakere edilen son versiyonda, ” Bulut Hizmetleri için Avrupa Birliği Siber Güvenlik Sertifikasyon Programı “, bulut için gelecekteki teknik siber güvenlik gereksinimleri, buna izin vermeyecektir “Yabancı yetkililerin hassas verilere erişmesini engellemek için “Fransız ve Avrupalıların, bakanlıklardan veya sağlık verilerinden gelen verileri, CNIL'i üzüyor.
Ancak amaçlarından biri de şuydu: Bu tür verileri “güvenlik ihlallerinden” korumak için bir dizi standart tanımlamak görünüyor » dış, ister yabancı devletler, ister hackerlar olsun. Sonuç olarak, bu tür verileri işlemek veya depolamak zorunda kalabilecek bulut sağlayıcılarının “EUCS” sertifikalı olması gerekecektir.
Anlaşmazlığın özü: Yurt dışı yasalarından muafiyet
Sorun şu ki, 2020'den beri Avrupa Birliği'nin (AB) 27 devleti, Avrupa siber güvenlik düzenlemesi (veya “Siber Güvenlik Yasası”) tarafından sağlanan bu sertifika konusunda anlaşamadı. Fransa gibi bazı ülkeler, EUCS'nin en üst seviyesinin, barındırılan verilere yabancı ülkeler ve gizli servisleri tarafından herhangi bir müdahaleyi (herhangi bir görünümü) yasaklamasını istiyor. Bunu yapmak için, ilk versiyonda Avrupa egemenliğine bağlı bir koşul, yani ekstraterritorial yasalardan (çoğunlukla Amerikan) muafiyet yer alıyordu. FISA yasası veya Bulut Yasası gibi bu tür mevzuatlar, ABD'de bir yan kuruluşu veya ana şirketi olan şirketleri, barındırdıkları verileri CIA veya FBI gibi istihbarat teşkilatlarıyla, yurt dışında (ve dolayısıyla Avrupa'da) paylaşmaya zorluyor.
“Hukuki, ekonomik, teknolojik ve endüstriyel” sorunlar
Özgürlüklerin koruyucusu adına, “Dokunulmazlık” kriterini içeren bir düzeyin bulunmaması hukuki, ekonomik, teknolojik ve endüstriyel düzeyde sorunlara yol açıyor “Bu şart olmadan ilk önce” imkansızdır. Avrupa bulut arzını artırmak “İdareler ve şirketler, ekstraterritorial yasalara tabi olmayan bulut sağlayıcılarını seçmeye zorlanmayacaklarından – başka bir deyişle, Avrupa tedarikçilerini tercih etmeyebilirler. Bu, daha üst sınıfa geçip güç kazanabilecek olan ikincisi için kaçırılmış bir fırsat anlamına geliyor. Ancak, CNIL'in yazdığına göre, kamu alımları ve ABD'deki FedRAMP gibi programlar aracılığıyla, üç Amerikan sektör lideri nasıl baskın hale geldi.
Bu bakış açısı, çevrimiçi dosya depolama ve paylaşımı konusunda uzmanlaşmış bir Fransız şirketi olan Leviia'nın kurucu ortağı William Méauzoone tarafından da paylaşılıyor. CEO için, “ Sertifikasyonların Avrupa dışı mevzuata karşı sıkı dokunulmazlık ve egemenlik kriterlerini içermesi zorunludur. “. Amaç ” sadece hassas verileri korumakla kalmıyor, aynı zamanda Fransız şirketlerinin Bulut'taki yenilikçiliğini ve rekabet gücünü de teşvik ediyor ” diye yazdı Haberler.
CNIL, bu koşulun kaldırılmasının yasal bir sorunla da karşılaşacağını belirtiyor. Bugün, bulut sağlayıcıları, Devletin “Merkezde bulut” doktrini nedeniyle, en hassas veriler için Fransa'daki bu dokunulmazlık koşuluna saygı göstermek zorundadır.
Ayrıca okuyun: Sağlık verilerinin barındırılması: Verilerimiz yakında daha iyi korunacak mı?
Ancak, ulusal etiketlerin yerini alacak gelecekteki bir Avrupa sertifikasıyla Fransa gerekliliklerini düşürmeye zorlanacak mı? Fransa'da, ulusal SecNumCloud sertifikası, Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI) tarafından, hükümet veya sağlık verileri gibi en hassas veriler için bu dokunulmazlığı dayatmaktadır. CNIL, özünde Avrupa'da da aynı olması gerektiğini savunmaktadır. büyük sağlık veri tabanları, suç verileri veya küçüklerle ilgili veriler bir kuruluş tarafından işlenmeli ve barındırılmalıdır. ” yalnızca Avrupa yasalarına tabi olan ve uygun koruma düzeyini sunan hizmet sağlayıcı ” o inanıyor.
Bu Fransız-Fransız tavsiyesi, verilerimizi gümüş bir tepsiye koymaktan kaçınmanın bir yolu olan EUCS'deki egemenlik kriterlerinin sürdürülmesini savunan birçok (Fransız) sese ekleniyor… Amerikan bulut devlerinin erişimine açık. Yeni Avrupa Komisyonu yeniden kurulduğunda devam edecek olan gelecekteki müzakerelerde takip edilecek mi?
CNIL'in 19 Temmuz 2024 tarihli basın bülteni
Bu bir “sorunu” temel hak ve özgürlüklerin korunması “, ve 19 Temmuz'da yayınlanan bir pozisyon belgesi. Bir görüşe göre, gizliliğimizin koruyucusu olan CNIL, “EUCS” adı verilen Avrupa bulut sertifikasyon projesinden (bulut bilişim) endişe duyuyor. Brüksel'de müzakere edilen son versiyonda, ” Bulut Hizmetleri için Avrupa Birliği Siber Güvenlik Sertifikasyon Programı “, bulut için gelecekteki teknik siber güvenlik gereksinimleri, buna izin vermeyecektir “Yabancı yetkililerin hassas verilere erişmesini engellemek için “Fransız ve Avrupalıların, bakanlıklardan veya sağlık verilerinden gelen verileri, CNIL'i üzüyor.
Ancak amaçlarından biri de şuydu: Bu tür verileri “güvenlik ihlallerinden” korumak için bir dizi standart tanımlamak görünüyor » dış, ister yabancı devletler, ister hackerlar olsun. Sonuç olarak, bu tür verileri işlemek veya depolamak zorunda kalabilecek bulut sağlayıcılarının “EUCS” sertifikalı olması gerekecektir.
Anlaşmazlığın özü: Yurt dışı yasalarından muafiyet
Sorun şu ki, 2020'den beri Avrupa Birliği'nin (AB) 27 devleti, Avrupa siber güvenlik düzenlemesi (veya “Siber Güvenlik Yasası”) tarafından sağlanan bu sertifika konusunda anlaşamadı. Fransa gibi bazı ülkeler, EUCS'nin en üst seviyesinin, barındırılan verilere yabancı ülkeler ve gizli servisleri tarafından herhangi bir müdahaleyi (herhangi bir görünümü) yasaklamasını istiyor. Bunu yapmak için, ilk versiyonda Avrupa egemenliğine bağlı bir koşul, yani ekstraterritorial yasalardan (çoğunlukla Amerikan) muafiyet yer alıyordu. FISA yasası veya Bulut Yasası gibi bu tür mevzuatlar, ABD'de bir yan kuruluşu veya ana şirketi olan şirketleri, barındırdıkları verileri CIA veya FBI gibi istihbarat teşkilatlarıyla, yurt dışında (ve dolayısıyla Avrupa'da) paylaşmaya zorluyor.
Avrupalılar bu koşulu ekleyerek aslında sektördeki Amerikan liderlerine, yani AWS (Amazon), Azure (Microsoft) ve Google Cloud'a kapıyı kapatıyorlardı, çünkü ikincisi gerçekten de bu ekstraterritorial yasalara tabidir. Ancak, tartışılan son versiyonda, ekstraterritorial yasalara karşı dokunulmazlık kaldırıldı” en yüksek sertifikasyon seviyelerinde bile ve hatta bir seçenek olarak bile “, CNIL'i kınamaktadır.
Şimdi eğer bu versiyon (dokunulmazlık olmaksızın) onaylanırsa, bu ” aktörler, bu tür bir işleme bağlamında Avrupa vatandaşlarının temel hak ve özgürlüklerinin korunmasını garanti altına almak için artık somut bir çerçeveye sahip olmayacaklar “, diye belirtiyor Ulusal Komisyon. Bu, diğer hak savunucuları, bazı Avrupa şirketleri ve hatta Paris tarafından da paylaşılan bir bakış açısıdır; onlar, bu koşul olmadan hassas verilerimizin yeterince korunmayacağına inanıyorlar.
“Hukuki, ekonomik, teknolojik ve endüstriyel” sorunlar
Özgürlüklerin koruyucusu adına, “Dokunulmazlık” kriterini içeren bir düzeyin bulunmaması hukuki, ekonomik, teknolojik ve endüstriyel düzeyde sorunlara yol açıyor “Bu şart olmadan ilk önce” imkansızdır. Avrupa bulut arzını artırmak “İdareler ve şirketler, ekstraterritorial yasalara tabi olmayan bulut sağlayıcılarını seçmeye zorlanmayacaklarından – başka bir deyişle, Avrupa tedarikçilerini tercih etmeyebilirler. Bu, daha üst sınıfa geçip güç kazanabilecek olan ikincisi için kaçırılmış bir fırsat anlamına geliyor. Ancak, CNIL'in yazdığına göre, kamu alımları ve ABD'deki FedRAMP gibi programlar aracılığıyla, üç Amerikan sektör lideri nasıl baskın hale geldi.
Bu bakış açısı, çevrimiçi dosya depolama ve paylaşımı konusunda uzmanlaşmış bir Fransız şirketi olan Leviia'nın kurucu ortağı William Méauzoone tarafından da paylaşılıyor. CEO için, “ Sertifikasyonların Avrupa dışı mevzuata karşı sıkı dokunulmazlık ve egemenlik kriterlerini içermesi zorunludur. “. Amaç ” sadece hassas verileri korumakla kalmıyor, aynı zamanda Fransız şirketlerinin Bulut'taki yenilikçiliğini ve rekabet gücünü de teşvik ediyor ” diye yazdı Haberler.
CNIL, bu koşulun kaldırılmasının yasal bir sorunla da karşılaşacağını belirtiyor. Bugün, bulut sağlayıcıları, Devletin “Merkezde bulut” doktrini nedeniyle, en hassas veriler için Fransa'daki bu dokunulmazlık koşuluna saygı göstermek zorundadır.
Ayrıca okuyun: Sağlık verilerinin barındırılması: Verilerimiz yakında daha iyi korunacak mı?
Ancak, ulusal etiketlerin yerini alacak gelecekteki bir Avrupa sertifikasıyla Fransa gerekliliklerini düşürmeye zorlanacak mı? Fransa'da, ulusal SecNumCloud sertifikası, Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI) tarafından, hükümet veya sağlık verileri gibi en hassas veriler için bu dokunulmazlığı dayatmaktadır. CNIL, özünde Avrupa'da da aynı olması gerektiğini savunmaktadır. büyük sağlık veri tabanları, suç verileri veya küçüklerle ilgili veriler bir kuruluş tarafından işlenmeli ve barındırılmalıdır. ” yalnızca Avrupa yasalarına tabi olan ve uygun koruma düzeyini sunan hizmet sağlayıcı ” o inanıyor.
Bu Fransız-Fransız tavsiyesi, verilerimizi gümüş bir tepsiye koymaktan kaçınmanın bir yolu olan EUCS'deki egemenlik kriterlerinin sürdürülmesini savunan birçok (Fransız) sese ekleniyor… Amerikan bulut devlerinin erişimine açık. Yeni Avrupa Komisyonu yeniden kurulduğunda devam edecek olan gelecekteki müzakerelerde takip edilecek mi?
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
CNIL'in 19 Temmuz 2024 tarihli basın bülteni