La Unión Europea está considerando ampliar el alcance de las normas propuestas de etiquetado de ciberseguridad que afectarían no sólo a Amazon, Google de Alphabet y Microsoft, sino también a bancos y aerolíneas, según el último borrador de las normas.

La iniciativa de la UE de establecer un sistema de este tipo se produce en un momento en el que las grandes tecnológicas esperan que el mercado gubernamental de la nube impulse su crecimiento en los próximos años, mientras que un posible auge de la inteligencia artificial tras el éxito viral del ChatGPT de OpenAI también podría impulsar la demanda de servicios en la nube.

La última propuesta de la agencia de ciberseguridad de la UE, ENISA, se refiere a un sistema de certificación de la UE (EUCS) que avale la ciberseguridad de los servicios en la nube y determine cómo los gobiernos y las empresas del bloque seleccionan a un proveedor para sus negocios.

El documento mantiene disposiciones clave contenidas en borradores anteriores, como el requisito de que los gigantes tecnológicos estadounidenses establezcan una empresa conjunta con una compañía con sede en la UE para poder optar a la etiqueta de ciberseguridad de la UE.

Otra disposición establece que el servicio en la nube debe operarse y mantenerse desde la UE, mientras que todos los datos de los clientes del servicio en la nube deben almacenarse y procesarse en la UE, y las leyes de la UE tienen prioridad sobre las de fuera de la UE en lo que respecta al proveedor del servicio en la nube.

Estas obligaciones se aplican al nivel de seguridad más alto, de los que hay cuatro. El último borrador establece la posibilidad de que estos duros requisitos se amplíen al tercer nivel de seguridad más alto.

Los países de la UE están revisando ahora el último borrador, tras lo cual la Comisión Europea adoptará un régimen definitivo.

El grupo de presión tecnológico CCIA afirmó que la ampliación del ámbito de aplicación afectaría a una franja mayor de industrias.

"Quizá lo más llamativo de este nuevo borrador es que ENISA sugiere ahora que los requisitos que discriminan a los proveedores extranjeros de servicios en la nube podrían ampliarse también a niveles de garantía más bajos", afirmó Alexandre Roure, director de políticas públicas de CCIA Europa.

"Eso incluiría a los bancos, pero también a las aerolíneas, las empresas de servicios públicos y los sectores fuertemente regulados", añadió.

La Federación Bancaria Europea (EBF), junto con la Agrupación Europea de Cajas de Ahorros (ESBG), la Asociación de Mercados Financieros de Europa (AFME), la Federación Europea de Entidades de Pago (EPIF) y Insurance Europe criticaron el martes los requisitos de soberanía. (Reportaje de Foo Yun Chee; edición de Jonathan Oatis)