Cloud-Zertifizierungssystem: Souveränitätsanforderungen trotz Widerstand beibehalten

"Das Ziel dieser spezifischen Anforderungen ist es, mögliche Eingriffe von Staaten außerhalb der EU in den Betrieb von zertifizierten Cloud-Diensten angemessen zu verhindern und zu begrenzen", heißt es in dem Entwurf des Zertifizierungssystems für Cybersicherheit für Cloud-Dienste (EUCS). [NicoElNino/Shutterstock]

Der Entwurf des Zertifizierungssystems für Cybersicherheit für Cloud-Dienste (EUCS), den EURACTIV einsehen konnte, enthält trotz des starken Widerstands einiger Mitgliedstaaten und des Privatsektors Anforderungen an die Souveränität in Bezug auf die Lokalisierung europäischer Daten und die Immunität gegenüber ausländischem Recht.

Die Europäische Kommission hatte die Agentur der Europäischen Union für Cybersicherheit (ENISA), die für die Entwicklung des EUCS verantwortlich ist, gebeten, Anforderungen an die Souveränität einzubeziehen.

„Das Ziel dieser spezifischen Anforderungen ist es, mögliche Eingriffe von Staaten außerhalb der EU in den Betrieb von zertifizierten Cloud-Diensten angemessen zu verhindern und zu begrenzen“, heißt es in dem Entwurf.

Dieser Ansatz würde die Anforderungen widerspiegeln, die vor kurzem in Frankreichs nationalem Zertifizierungssystem für Cybersicherheit, bekannt als SecNumCloud, eingeführt wurden. Er würde sich auf die Anbieter von Cloud-Diensten erstrecken und sicherstellen, dass das EU-Recht Vorrang hat und dass Wartung, Betrieb und Daten in der EU angesiedelt sein müssen.

Die Immunität gegenüber Zugriffen von außerhalb der EU würde auch dadurch gewährleistet, dass verlangt wird, dass Anbieter von Cloud-Diensten ihren Hauptsitz in Europa haben müssen und nicht von Unternehmen außerhalb der EU kontrolliert werden dürfen.

Dabei ist der Begriff „Kontrolle“ sehr restriktiv definiert. Die Unternehmen sollen völlig unabhängig von Rechtsvorschriften aus Drittländern sein, wobei Eigentumsverhältnisse, Rechte oder Verträge einen entscheidenden Einfluss auf ein Unternehmen haben, so der Entwurf.

Der Austausch zwischen Cloud-Service-Anbietern und Anbietern mit Sitz außerhalb der EU müsste besondere Anforderungen in Bezug auf Sicherheitsüberprüfung und Aufsicht erfüllen. Selbst Unternehmen mit Hauptsitz in der EU, aber ausländischen Investoren oder Betrieben, könnten einen beschränkten Zugang haben.

„Dies wird [Cloud-Anbietern] direkt schaden und im weiteren Sinne bedeuten, dass die europäische Wirtschaft an Auswahl und Qualität bei Cloud-Angeboten verlieren wird“, sagte ein Sprecher von Digital Europe gegenüber EURACTIV.

Im Entwurfstext heißt es zwar, dass es sich um „technische Maßnahmen“ handelt, aber einige Mitgliedstaaten und mehrere Vertreter der Tech-Industrie sind dagegen. Sie drängen darauf, die Gespräche nicht ausschließlich auf der technischen Ebene zu führen, und bestehen auf einer politischen Debatte.

Was ist das EUCS? 

Das EUCS ist eine sekundäre Gesetzgebung im Rahmen des EU-Cybersicherheitsgesetzes, die darauf abzielt, das Vertrauen und die Sicherheit in wichtige Produkte und Dienstleistungen zu erhöhen. Bei dem System handelt es sich um einen freiwilligen, EU-weiten Rahmen für Cybersicherheitszertifikate, der die Fragmentierung zwischen den Mitgliedsstaaten ausgleichen, den Handel erleichtern und das Verständnis für Sicherheitsmerkmale fördern soll.

Produkte und Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie (IKT) werden nach einem umfassenden Katalog von Regeln, technischen Anforderungen, Standards und Verfahren zertifiziert.

Die Nutzer:innen sollen über das Cybersicherheitsrisiko mittels drei Sicherheitsstufen informiert werden: grundlegend, wesentlich und hoch, wobei die letzte Stufe bedeutet, dass ein zertifiziertes Produkt die höchsten Sicherheitstests bestanden hat. Die vorgeschlagenen Anforderungen an die Souveränität würden nur für die hohe Sicherheitsstufe gelten.

Argumente gegen die Anforderungen an die Souveränität

Im April teilten die Niederlande, Schweden und Irland ein Non-Paper, das EURACTIV einsehen konnte. Darin heißt es, dass alle Anbieter von Cloud-Diensten wahrscheinlich eine Zertifizierung auf der dritten Stufe anstreben werden, „weil Cloud-Anbieter oft Teil der Lieferkette für Sektoren wie die Regierung und lebenswichtige Infrastrukturen und Dienste sind.“

Außerdem gehen Expert:innen davon aus, dass die Zertifizierung in Zukunft verpflichtend werden wird.

„Daher könnten die vorgeschlagenen Anforderungen an die Souveränität im Cloud-System weitreichende Auswirkungen auf Unternehmen (Unterauftragnehmer) haben, die an der Erbringung von Cloud-Diensten beteiligt sind, sowie auf ihre Fähigkeit, ihre Dienste zu entwickeln und auf dem globalen Markt zu konkurrieren“, heißt es in dem Non-Paper.

Sie argumentieren auch, dass die Anforderungen an die Souveränität schwer umzusetzen und zu prüfen sind, was zu hohen Kosten führt und den Wettbewerb beeinträchtigt. Das Ergebnis könnte sein, dass der Wettbewerb auf eine kleinere Gruppe von Anbietern beschränkt wird.

„Diese Anforderungen haben nichts mit Cybersicherheitsbedenken zu tun, einige könnten sogar behaupten, dass es sich um einen protektionistischen Ansatz handelt, der von bestimmten nationalen Regierungen vorangetrieben wird“, sagte Alexandre Roure, der europäische Direktor für öffentliche Politik beim Handelsverband CCIA.

Mehrere EU-Beamte bestätigten, dass diese Auflagen von Frankreich, Deutschland, Italien und Spanien vorangetrieben wurden.

Darüber hinaus könnten diese Vorschriften einen neuen Reibungspunkt zwischen der EU und den Vereinigten Staaten sowie anderen Handelspartnern schaffen, betonte Nigel Cory, Associate Director bei der Information Technology and Innovation Foundation.

Chef der EU-Cybersicherheitsagentur warnt vor Spillover-Effekten

Anlässlich des paneuropäischen Programms Cyber Europe 2022 zur Vorbereitung auf Cyberangriffe warnte der Exekutivdirektor der EU-Agentur für Internetsicherheit (ENISA), dass die Staaten weiterhin wachsam sein müssen.

Mangelnde Transparenz

Der Entwurfsprozess wurde auch wegen „begrenzter Transparenz und mangelnder Einbeziehung der Interessengruppen“ kritisiert, heißt es in einer Erklärung, die von den Vertreter:innen der Tech-Industrie von CCIA, ITI, BSA und AmCham EU unterzeichnet wurde.

„Wir waren besonders verwundert darüber, wie die Vorschläge für diese Anforderungen eingeführt wurden. Der Prozess wurde von einzelnen Akteuren und Mitgliedsstaaten vorangetrieben, wobei die Interessenvertreter der Industrie und andere Mitgliedsstaaten im Dunkeln gelassen wurden und nun aufgefordert werden, eine neue Version des Systems als Tatsache zu akzeptieren“, sagte ein Sprecher von Digital Europe gegenüber EURACTIV.

Vertreter:innen der Technologiebranche haben die ENISA und die Europäische Kommission aufgefordert, die Interessengruppen über den Stand der Diskussion zu informieren und sie während des gesamten Prozesses der Fertigstellung einzubeziehen.

Außerdem fordern sie die Mitgliedsstaaten auf, die Anforderungen an die Souveränität abzulehnen und eine gründlichere Folgenabschätzung zu verlangen.

Nächste Schritte

„Es gibt derzeit einen vollständigen endgültigen Entwurf mit allen Anforderungen, der von der AHWG (Ad-Hoc-Arbeitsgruppe) überprüft wird und der ECCG (Europäische Gruppe für Cybersicherheits-Zertifizierung) zur Stellungnahme vorgelegt werden soll“, teilte ein ENISA-Sprecher EURACTIV mit.

Diese Überprüfung und Stellungnahme kann dann zu weiteren Anstrengungen führen, um das System fertig zu stellen, bevor es der Kommission vorgelegt wird. Die Exekutive ihrerseits kann ein solches System durch einen Durchführungsrechtsakt verabschieden. Die nächste ECCG-Sitzung ist für den 28. Juni geplant.

[Bearbeitet von Luca Bertuzzi und Nathalie Weatherald]

Subscribe to our newsletters

Subscribe