Ein EURACTIV vorliegendes, gemeinsames Papier beschreibt sechs mögliche Szenarien für den Umgang mit den umstrittenen Souveränitätsanforderungen im bevorstehenden Zertifizierungssystem für Cloud-Anbieter.
Die Europäische Kommission hat darauf gedrängt, Souveränitätsanforderungen in das Zertifizierungssystem für Cybersicherheit für Cloud-Dienste (EUCS) aufzunehmen. Dabei handelt es sich um das erste Zertifikat im Rahmen des EU-Cybersicherheitsgesetzes.
Diese Souveränitätsanforderungen sollen EU-Daten dem Zugriff ausländischer Gerichtsbarkeiten entziehen. Dabei sollen sie insbesondere die Lokalisierung europäischer Datenzentren, die Immunität von Nicht-EU-Gesetzen und Bedingungen für die Personen oder Organisationen, die den Cloud-Anbieter kontrollieren, vorschreiben.
Obwohl die Regelung an sich nicht verpflichtend ist, könnte ihr hohes Sicherheitsniveau für Sektoren wie Energieversorger und Banken verpflichtend werden, die gemäß der kürzlich überarbeiteten Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) als äußerst kritisch gelten.
Die Niederlande und kleinere Mitgliedstaaten haben sich gegen die Regelung ausgesprochen, während Frankreich, Italien und Spanien Kommissar Thierry Bretons Vorstoß in Richtung „technologische Souveränität“ unterstützt haben. Die beiden Lager haben in den letzten Wochen über einen möglichen Kompromiss verhandelt.
Das gemeinsame Papier vom 23. Januar wurde vor diesem Hintergrund erstellt und stellt sechs Szenarien vor, um die anderen Mitgliedstaaten zu einer Stellungnahme zu bewegen. In dem Papier heißt es, dass künftige Diskussionen die Marktteilnehmer einbeziehen und die Auswirkungen der Souveränitätskriterien auf künftige Regelungen berücksichtigen sollten.
Darüber hinaus wird die Kommission aufgefordert, die potenziellen wirtschaftlichen Auswirkungen dieser Anforderungen zu bewerten und zu prüfen, inwieweit sie mit dem Handelsrecht vereinbar wären.
Zusätzliche Garantiestufe
Die erste Option besteht darin, eine zusätzliche Garantiestufe in das System aufzunehmen, indem die Stufe „substanziell“ in zwei Stufen aufgeteilt wird, und die darunter liegende Stufe „hoch“ die Immunitätsanforderungen beibehält. Die zweite Stufe „substanziell“ wäre im Wesentlichen eine „hoch“ Stufe, enthält aber keine Souveränitätsanforderungen.
Als Vorteile nennt das Dokument, dass Anbieter kritischer Dienste die Immunitätsanforderungen erfüllen müssen. Diese bieten umfassenden Schutz vor dem Zugriff ausländischer Regierungen, sowie dass die ursprünglichen technischen Anforderungen beibehalten werden und dass das EUCS mit ähnlichen Systemen vergleichbar bleibt.
Als Nachteile werden angeführt, dass der Anwendungsbereich zu weit gefasst ist, da er im Rahmen der NIS2 verpflichtend werden könnte. Somit bleiben die Auswirkungen auf den Markt unklar. Ebenso könnte die Zahl der Anbieter von Cloud-Diensten der Stufe „hoch“ begrenzt bleiben und es könnte zu Unstimmigkeiten mit dem Cybersicherheitsgesetz kommen.
Aufteilung der höchsten Sicherheitsstufe
Eine Alternative wäre die Aufteilung der höchsten Sicherheitsstufe in eine „hohe“ Stufe ohne Immunitätskriterien und eine „hohe+“ Stufe, welche die Kriterien enthält. Diese hohe+ Stufe würde für bestimmte kritische Verwendungszwecke gelten, die von den Nutzer:innen auf der Grundlage allgemeiner Leitlinien selbst bewertet werden würden.
Vorteile dieses Ansatzes wäre seine Zielgerichtetheit, da die Immunitätskriterien auf die Arten von Daten beschränkt wären, die diesen Schutz benötigen, während die anderen Nutzer:innen in der Lage wären, Cloud-Dienste mit hoher Cybersicherheit zu erkennen, was dem Markt Klarheit verschaffen würde.
Die Nachteile sind ähnlich wie beim ersten Szenario, insbesondere was die Unbestimmtheit und die rechtliche Kohärenz betrifft. Außerdem „werden nicht alle Sicherheitsstufen abgedeckt und die Sicherheitsstufe „hoch“ könnte irrelevant werden“, heißt es in dem Papier.
Erweiterungsprofile
Die dritte Möglichkeit besteht darin, Erweiterungsprofile zu erstellen, die unabhängig von den Sicherheitsstufen die Souveränitätskriterien für die Cloud-Nutzung in bestimmten Sektoren wie dem Gesundheitswesen oder dem Militär einführen.
Da den meisten EU-Anbietern noch immer die Ressourcen für die Sicherheitsstufe „hoch“ fehlen, würde ihnen diese Option weiterhin einen Wettbewerbsvorteil gegenüber ausländischen Konkurrenten verschaffen, da sie für alle Sicherheitsstufen gelten würde. Darüber hinaus ermöglicht diese Alternative Flexibilität und ein und ein fallweiser Ansatz, der sich am Kunden orientiert.
In dem Dokument wird jedoch auch darauf hingewiesen, dass die Immunitätskriterien zum Schutz sensibler Daten erforderlich wären, die mit den Sicherheitsstufen „einfach“ und „substanziell“ nicht ausreichend geschützt wären.
Fünf Bewertungsstufen
Die vierte Option kombiniert die ersten beiden und schafft Unterebenen für „hoch“ und „substanziell“. Positiv ist, dass dieser Ansatz alle Vorteile der Ausdehnungsprofile bieten würde und gleichzeitig einfacher zu kommunizieren und zu operationalisieren wäre.
Dennoch werden im gemeinsamen Dokument erneut Bedenken hinsichtlich der Unbestimmtheit, des obligatorischen Charakters, der mangelnden Flexibilität, der rechtlichen Probleme und der fehlenden Kohärenz mit anderen Zertifizierungssystemen geäußert.
Zuverlässigkeitsbewertung
Eine vorgeschlagene Alternative liegt außerhalb des Geltungsbereichs des Cybersicherheitsgesetzes und würde die Einführung eines europäischen Bewertungsmechanismus auf der Grundlage der Vertrauenswürdigkeit von Nicht-EU-Cloud-Betreibern und -Anbietern als Voraussetzung für den Zugang zum Binnenmarkt beinhalten.
Die Bewertung könnte auf Sicherheits- und Rechtskriterien basieren, wie zum Beispiel extraterritoriale Gesetzgebung, Datentransfers und Einhaltung der europäischen Datenschutzbestimmungen. Das deutsche IT-Sicherheitsgesetz 2.0 und die Risikoprofile der 5G-Toolbox werden als mögliche Bausteine genannt.
Dieser Ansatz würde sich nicht auf die technische Zertifizierung auswirken und ein Höchstmaß an Flexibilität für die Anpassung der Anforderungen politischer Natur bieten. Dennoch würde dies den Prozess weiter verzögern, da eine neue Initiative erforderlich wäre.
Weitere Nachteile sind, dass der Anwendungsbereich kaum zukunftssicher gemacht werden kann, dass die Vereinbarkeit mit Handelsabkommen geprüft werden müsste, dass die Wahlmöglichkeiten der Nutzer:innen eingeschränkt sein könnten und dass dies zu Unsicherheiten für Anbieter aus Nicht-EU-Ländern führen würde.
Integration durch Konformität
Die letzte Idee besteht darin, die Anforderungen an die Immunität im Rahmen von EU-Rechtsvorschriften wie dem Datengesetz einzuführen, das bereits Bestimmungen über internationale Datenübermittlungen enthält.
Die Kriterien wären also nicht in der Regelung selbst enthalten, aber um sich für die Regelung zu qualifizieren, müssten Cloud-Anbieter die Einhaltung der einschlägigen Rechtsvorschriften nachweisen.
Die aufgeführten Vorteile bestehen darin, dass diese Kriterien politisch diskutiert würden, das EUCS vorankäme und der Ansatz zielgerichtet auf alle Sicherheitsniveaus und künftigen Systeme angewendet werden könnte.
Allerdings müssten bei diesem Szenario die aktuellen oder künftigen Rechtsvorschriften geändert werden, um den Aspekt der Immunität aufzunehmen, was erheblich mehr Zeit in Anspruch nehmen würde.
[Bearbeitet von Alice Taylor]