Glossario · Cybersicurezza UE EUCS (European Cybersecurity Certification Scheme for Cloud Services)
Schema di certificazione di cybersicurezza paneuropeo proposto per i servizi cloud, destinato ad armonizzare gli approcci nazionali e a definire livelli comuni di garanzia. Politicamente controverso per i requisiti di sovranità; nel 2026 ancora in sviluppo.
## Cosa è davvero EUCS
EUCS — European Cybersecurity Certification Scheme for Cloud Services — è un quadro di certificazione paneuropeo proposto, sviluppato ai sensi dell'**EU Cybersecurity Act (2019)**. Mira a fornire un modo unico e armonizzato con cui i fornitori cloud possano dimostrare la garanzia di cybersicurezza in tutta l'UE, sostituendo l'attuale mosaico di schemi nazionali ([Cloud de Confiance](/it/glossary/cloud-de-confiance/), [BSI C5](/it/glossary/bsi-c5/), ACN italiano, ENS spagnolo, ecc.).
EUCS è sviluppato da **ENISA** (Agenzia dell'UE per la cybersicurezza) in coordinamento con gli Stati membri. All'inizio del 2026 lo schema **non è ancora finalizzato**: è politicamente controverso dal 2022 circa, soprattutto per quanto rigorosamente il suo più alto livello di garanzia debba richiedere la sovranità.
## Struttura proposta
EUCS definisce **tre livelli di garanzia**:
### Basic
Autovalutazione o verifica da parte di un organismo di valutazione della conformità. Adatto a servizi cloud a basso rischio. Il fornitore dichiara la conformità ai criteri EUCS Basic.
### Substantial
Audit di terza parte rispetto a controlli più stringenti. Grosso modo equivalente a una base ISO 27001 + 27017. Adatto ai carichi di lavoro aziendali generali.
### High
Il più rigoroso. Audit di terza parte con monitoraggio continuo. Pressappoco il livello necessario per carichi regolamentati, dati sensibili del settore pubblico e operatori di servizi essenziali ai sensi della [NIS2](/it/glossary/nis2/).
La battaglia politica ha riguardato soprattutto cosa 'High' debba richiedere in termini di sovranità.
## La controversia sulla sovranità
La bozza originaria (2022) di EUCS High includeva **requisiti di sovranità** sostanzialmente simili a SecNumCloud / Cloud de Confiance francesi: il fornitore doveva essere strutturalmente immune dal diritto extra-UE (in particolare il CLOUD Act statunitense e gli obblighi cinesi di sicurezza nazionale).
**Francia, Spagna, Italia e Germania** hanno inizialmente sostenuto criteri di sovranità forti al livello High. **Irlanda, Paesi Bassi, Svezia, Polonia e i paesi nordici** vi si sono opposti sostenendo che:
1. I criteri di sovranità sono protezionisti (escludono deliberatamente gli iperscaler statunitensi)
2. La certificazione di cybersicurezza deve riguardare la *sicurezza*, non la giurisdizione giuridica
3. Escludere gli iperscaler riduce la scelta dell'acquirente
Sono circolate più bozze riviste. Alcune hanno eliminato del tutto la sovranità da High; altre l'hanno spostata in uno strato facoltativo separato; altre ancora hanno mantenuto versioni più morbide. Al 2026 lo schema non è stato adottato e la questione della sovranità resta il principale blocco.
## Perché EUCS è importante
### 1. Mercato unico UE per la certificazione cloud
Se finalizzato, EUCS sostituirebbe gli schemi nazionali con un'unica qualifica a livello europeo, riducendo sostanzialmente il carico di conformità per i fornitori cloud.
### 2. Linea di base predefinita di cybersicurezza ai sensi della NIS2
Le entità essenziali e importanti previste dalla NIS2 guarderanno sempre più a EUCS come al modo canonico per dimostrare la sicurezza dei fornitori cloud. Finché EUCS non sarà finalizzato, faranno affidamento sugli schemi nazionali.
### 3. Il dibattito sulla sovranità è esso stesso la storia
La lotta pluriennale rivela la politica cloud dell'UE. I sostenitori della sovranità vogliono strumenti regolatori per rendere visibile e selezionabile l'esposizione agli iperscaler. Gli Stati favorevoli agli iperscaler vogliono mercati competitivi senza protezionismo giuridico. L'esito finale plasmerà il panorama cloud dell'UE per un decennio.
### 4. Effetto trascinamento su altre normative
Il pensiero EUCS sta influenzando il [Cyber Resilience Act](/it/glossary/cyber-resilience-act/), le disposizioni di sicurezza dell'AI Act e i requisiti di sicurezza del Data Act.
## Stato attuale (al 2026)
- **Più bozze** sono circolate dal 2022
- **Nessuna adozione definitiva**
- **Gli schemi nazionali continuano** ad essere la realtà operativa
- **Cloud de Confiance e BSI C5 mantengono il primato** nei rispettivi mercati
- **Negoziato politico in corso** a livello UE
Lo schema non è ufficialmente abbandonato, ma i progressi sono lenti.
## Cosa significherebbe in pratica la finalizzazione di EUCS
### Se High include una sovranità forte
- Gli iperscaler dovranno operare tramite joint venture sotto controllo europeo (schema S3NS / Bleu) per soddisfare High
- Gli involucri di sovranità in stile francese diventano l'aspettativa a livello UE per i carichi regolamentati
- I fornitori cloud autenticamente europei (OVHcloud, Hetzner, Scaleway, Open Telekom Cloud) acquisiscono vantaggio competitivo negli appalti classificati High
### Se High rinuncia alla sovranità
- Gli iperscaler (AWS, Azure, Google) possono qualificarsi direttamente per High
- Gli schemi nazionali di sovranità (Cloud de Confiance) restano *più* rigorosi di EUCS High
- Gli acquirenti che cercano sovranità guardano oltre EUCS, agli schemi nazionali
### Se High richiede la sovranità come strato facoltativo
- L'High predefinito è raggiungibile dagli iperscaler
- 'EUCS High + sovranità' diventa il livello commercializzato per i carichi sensibili
- Compromesso che a nessuno piace ma che tutti tollerano
Il terzo esito appare il più probabile al 2026.
## EUCS vs. schemi correlati
| Schema | Ambito | Sovranità |
|--------|-------|-------------|
| EUCS (proposto) | Cyber cloud paneuropea | Contestata |
| Cloud de Confiance | Cloud sovrano francese | Rigorosa |
| BSI C5 | Base tedesca di sicurezza cloud | Soft (documenta l'esposizione) |
| SOC 2 | Internazionale generale | Nessuna |
| ISO 27001/27017/27018 | Cloud internazionale | Nessuna |
## Implicazioni pratiche
Per gli acquirenti tecnologici europei nel 2026:
- **EUCS non è ancora operativo**; fate affidamento sugli schemi nazionali
- **Osservate la risoluzione della sovranità a livello High** — segnalerà dove sta andando il cloud UE
- **Le joint venture cloud UE degli iperscaler** (S3NS, Bleu, Numspot) puntano su una sovranità rigorosa
- **Per i carichi altamente sensibili oggi**, utilizzate schemi nazionali che già offrono sovranità (Cloud de Confiance)
- **Per i carichi generali**, ISO 27001/27017 + C5 è la base di lavoro fino all'arrivo di EUCS
## Cosa porta il 2026-2027
- **Continuo negoziato politico** a livello di Consiglio e Commissione
- **Possibile finalizzazione** di EUCS nel 2026 o 2027
- **Gli Stati membri preparano l'attuazione** indipendentemente dalla forma finale
- **Il posizionamento degli iperscaler** tramite strutture di joint venture europee continua
EUCS resta l'elemento irrisolto di maggiore impatto nella regolamentazione cloud dell'UE.
Ti è stato utile?
Grazie per il tuo feedback!