Chương trình chứng nhận an ninh mạng châu Âu cho dịch vụ đám mây: thay đổi lớn trong yêu cầu chứng nhận
- Chương trình Chứng nhận An ninh mạng Châu Âu cho Dịch vụ Đám mây (EUCS) đã trải qua nhiều thay đổi, với bản dự thảo mới nhất được cập nhật vào ngày 22 tháng 3 năm 2024.
- Các yêu cầu về chủ quyền dữ liệu ban đầu đã được loại bỏ, thay vào đó là yêu cầu chứng nhận cho các nhà cung cấp dịch vụ đám mây (CSP) muốn đạt mức chứng nhận "cao".
- Các yêu cầu chủ quyền có thể vẫn được áp dụng bởi các quốc gia thành viên EU riêng lẻ nhưng sẽ không ảnh hưởng đến quá trình chứng nhận.
- Cuộc họp nhóm chuyên gia tiếp theo dự kiến diễn ra vào ngày 15 tháng 4, nơi Nhóm Chứng nhận An ninh mạng Châu Âu có thể đồng ý với văn bản và tiến tới triển khai.
- Chương trình chứng nhận này, mặc dù về mặt kỹ thuật là tự nguyện, nhưng có thể trở thành bắt buộc đối với các khách hàng tư nhân và các ngành nhạy cảm như năng lượng và tài chính theo Chỉ thị NIS2.
- Các CSP sẽ phải cung cấp thông tin về vị trí lưu trữ và xử lý dữ liệu của khách hàng và chỉ ra các luật pháp mà họ phải tuân thủ.
- Các yêu cầu chứng nhận được chia thành bốn mức độ đảm bảo: cơ bản, đáng kể, cao và cao+, mỗi mức độ được xác định bởi mức độ rủi ro liên quan đến việc sử dụng dịch vụ đám mây.
- Mức độ cơ bản là mức tối thiểu chấp nhận được cho an ninh mạng đám mây; mức độ đáng kể bao gồm các biện pháp bảo mật nâng cao hơn; mức độ cao dành cho các dịch vụ đám mây xử lý dữ liệu nhạy cảm hoặc hoạt động quan trọng; và mức độ cao+ yêu cầu các biện pháp kiểm soát và yêu cầu bảo mật nghiêm ngặt nhất.
- Các CSP không đáp ứng các tiêu chuẩn an ninh mạng cơ bản có thể gặp khó khăn trong việc đạt được chứng nhận từ Cơ quan Đánh giá Sự phù hợp (CAB).
- Các yêu cầu chủ quyền ban đầu yêu cầu các CSP phải đặt trụ sở chính tại EU và lưu trữ dữ liệu châu Âu trong EU đã bị loại bỏ sau sự phản đối mạnh mẽ từ các quốc gia thành viên EU, các nhóm ngành công nghiệp, các công ty công nghệ và các nhà phân tích.
- Các CSP muốn đạt mức chứng nhận cao nhất sẽ phải nộp "Bản Tuyên bố Hồ sơ Công ty Quốc tế" (ICPA) để chỉ ra các luật pháp mà họ phải tuân thủ, thông tin này sẽ được truyền đạt đến khách hàng.
- Các quốc gia thành viên EU có thể bao gồm các yêu cầu chủ quyền trong bản tuyên bố, có thể được kết hợp vào các thỏa thuận hợp đồng mà không ảnh hưởng đến chứng nhận.
📌 Chương trình Chứng nhận An ninh mạng Châu Âu cho Dịch vụ Đám mây (EUCS) đã loại bỏ các yêu cầu chủ quyền dữ liệu ban đầu, thay vào đó là yêu cầu chứng nhận cho các CSP muốn đạt mức "cao". Các yêu cầu chủ quyền có thể vẫn được áp dụng bởi các quốc gia thành viên EU riêng lẻ.
https://www.rstreet.org/wp-content/uploads/2024/04/EUCS_DC_R2.pdf
Thảo luận
Follow Us
Tin phổ biến
