SREN
In breve
La legge francese del 2024 che disciplina lo spazio digitale. In particolare, essa impone allo Stato di archiviare i propri dati sensibili su cloud certificati con il massimo livello di sicurezza.
▶ Definizione precisa
Legge del 21 maggio 2024 volta a garantire la sicurezza e a regolamentare lo spazio digitale, che recepisce diversi atti normativi europei e aggiunge disposizioni nazionali. Il suo articolo 31 impone alle amministrazioni e ai loro operatori di ricorrere a un'offerta cloud certificata SecNumCloud per l'hosting dei dati particolarmente sensibili, il che di fatto riserva una parte degli appalti pubblici nel settore cloud ai fornitori certificati dall'ANSSI.
La nostra analisi
La legge SREN, promulgata il 21 maggio 2024, è un testo di ampio respiro che riguarda la tutela dei minori online, la lotta contro i contenuti illeciti, la regolamentazione dei giochi con oggetti digitali monetizzabili e la regolamentazione del mercato del cloud. Essa recepisce nel diritto francese diversi regolamenti europei, tra cui il regolamento sui servizi digitali e il regolamento sui mercati digitali, aggiungendovi al contempo disposizioni specifiche per la Francia. La parte relativa al cloud è quella che interessa direttamente i dirigenti che devono decidere in merito alle loro scelte di hosting.
Il punto più determinante per il settore pubblico è l’articolo 31. Esso impone alle amministrazioni statali, ai loro enti e ai loro operatori di ricorrere a un’offerta cloud certificata SecNumCloud quando affidano a terzi il hosting di dati particolarmente sensibili. La portata pratica è chiara: in questo ambito, gli appalti pubblici nel settore cloud sono riservati ai fornitori in possesso della qualifica rilasciata dall’ANSSI, mentre un fornitore non qualificato ne è escluso, indipendentemente dalle sue argomentazioni commerciali o tecniche.
È tuttavia necessario chiarire ciò che il testo non prevede. L’obbligo riguarda i dati sensibili della sfera pubblica, non l’insieme dei dati pubblici né i dati delle imprese private, che rimangono libere nelle loro scelte. La legge non crea nemmeno una nuova qualifica: si basa su SecNumCloud, di cui eredita i punti di forza e i punti deboli. Essa stabilisce un requisito di acquisto, senza garantire di per sé che l’uso che ne verrà fatto sia realmente sovrano.
L’articolo 31 illustra lo spostamento del dibattito dalla sovranità giuridica alla sovranità industriale. Inserire un obbligo nella legge crea una domanda vincolata, ma non genera l’offerta: occorrono comunque attori in grado di fornire questi servizi su larga scala, nel lungo periodo, con un livello di maturità paragonabile a quello dei fornitori globali. Una forte tutela giuridica che si basasse su un tessuto industriale insufficiente rimarrebbe una sovranità solo sulla carta. È questa la posta in gioco del prossimo decennio, ed è il motivo per cui la SREN non va letta isolatamente, ma come un segnale di politica industriale oltre che come una norma di diritto.
Vedi anche