La Unión Europea (UE) ha revisado sus normas de etiquetado de ciberseguridad para facilitar que Amazon, Google y Microsoft presenten ofertas por contratos de computación en la nube de la UE.
Según lo informado por primera vez por Reuters, el cambio ha hecho que la UE elimine el requisito de que los proveedores sean independientes de las leyes de fuera de la UE.
La UE ha estado debatiendo un esquema de certificación de ciberseguridad (CCS) para ayudar a los gobiernos y empresas a seleccionar proveedores que se confirme que son seguros.
La Ley de Ciberseguridad de la UE que se adoptó en 2019 formó la base legal para la certificación de proveedores de nube en toda la UE, y en diciembre de 2020, la agencia de ciberseguridad de la UE, ENISA, inició consultas públicas para lograr un conjunto revisado de reglas.
Un borrador anterior requería que los hyperscalers estadounidenses establecieran una empresa conjunta con una empresa con sede en la UE y almacenaran y procesaran datos de clientes en Europa para calificar para la etiqueta, similar a las regulaciones impuestas en Francia en 2021. Esto recibió muchas críticas. Los clientes de los proveedores de computación en la nube argumentan que las regulaciones deberían basarse en disposiciones técnicas, no en obligaciones políticas y de soberanía.
Este es el requisito que se eliminó en el último borrador. En cambio, los proveedores de la nube solo deben proporcionar información sobre la ubicación del almacenamiento y procesamiento de los datos de los clientes. Este borrador está actualmente siendo revisado por los países de la UE, después de lo cual será adoptado por la Comisión Europea.
Los proveedores de la nube han abordado los desafíos de la soberanía de los datos de diversas maneras. En Francia, donde las leyes nacionales exigían el enfoque de "empresa conjunta", Google se unió a Thales para crear una empresa compatible, y Microsoft se asoció con Capgemini y Orange. Google también adoptó un enfoque similar en Alemania con T-Systems y en Bélgica con Proximus.
Oracle (OCI) tiene dos regiones de nube soberana en Europa ubicadas en España y Alemania. En noviembre, la Comisión de la UE seleccionó a OCI para un acuerdo de seis años en el que las instituciones, organismos y agencias de la UE utilizarían sus servicios de computación en la nube.
Microsoft Cloud for Sovereignty se lanzó en diciembre de 2023 y está disponible en todas las regiones de Azure. La oferta permite a los clientes implementar políticas en las que los datos y las aplicaciones deben mantenerse dentro de ciertos límites geográficos, y también tendrá acceso a controles soberanos para proteger y cifrar datos confidenciales que se han habilitado a través de las zonas de aterrizaje soberanas (una Azure Landing Station con la información necesaria), controles de privacidad, seguridad y soberanía) y Azure Confidential Computing.
AWS también está planeando una región de nube europea en Europa, la primera de las cuales se ubicará en Alemania.