Französische Parlamentsabgeordnete und die EU-Cybersicherheitsbehörde ENISA werden am 10. und 15. April wegweisende Entscheidungen zur Cybersicherheit von Clouds treffen. Anlass sind Bedenken hinsichtlich Spionage und Fragmentierung des europäischen Cloud-Marktes.
Die französischen Abgeordneten werden über ein umfassendes digitales Gesetz (SREN) abstimmen. Dieses Gesetz enthält auch spezifische Bestimmungen zur Cloud-Souveränität und bildet den Abschluss eines einjährigen Gesetzgebungsverfahrens.
Kurz danach wird die spezielle Arbeitsgruppe der ENISA (ECCG) zusammenkommen, um das EU-Zertifizierungssystem für Cybersicherheit (EUCS) zu verabschieden. Dieses zielt darauf ab, die nationalen Cloud-Zertifizierungen zu harmonisieren.
In beiden Dokumenten sind die Anforderungen zur Cloud-Souveränität umstritten.
Diese Bestimmungen, auch Immunitätsanforderungen gegenüber extraterritorialen Gesetzen genannt, hätten europäischen Cloud-Anbietern einen Vorteil verschafft.
Befürworter der freien Marktwirtschaft haben sie als protektionistischen Schritt zum Nachteil der EU-Wirtschaft interpretiert. Einige Cloud-Anbieter und multinationale Unternehmen in der EU sehen die Bestimmungen hingegen als entscheidend für den Schutz der aufstrebenden EU-Industrie vor Spionage.
Die französischen Abgeordneten und die ENISA beschlossen, die Anforderungen an die Kapitalbeteiligung nicht in ihre jeweiligen Dokumente aufzunehmen. Es wird jedoch erwartet, dass Frankreich sie später per Dekret umsetzen wird.
Der jüngste Kompromissentwurf der ENISA vom 22. März, den Euractiv einsehen konnte, ersetzte die Souveränitätsanforderungen durch obligatorische Transparenzbestimmungen. Dazu gehören auch Informationen über den Speicherort und die Datenverarbeitungsmethoden.
„Diese Transparenzregeln könnten zu einem versteckten Hindernis für die Zulassung von Souveränitätsanforderungen werden“, erklärte Pascal Kerneis, Geschäftsführer des European Services Forum, einer Wirtschaftsorganisation, die sich für den freien Handel einsetzt, gegenüber Euractiv.
In einem offenen Schreiben vom November 2023 an die ENISA sprachen sich 19 Unternehmen für „explizite und transparente Kriterien“ auf EU-Ebene aus, zu denen auch die Immunitätskriterien gehören könnten.
Sie betonten außerdem die Wichtigkeit eines „Systems auf europäischer Ebene“, um eine „Fragmentierung zwischen den Mitgliedstaaten“ zu verhindern.
Zu den Unterzeichnern gehörten die Cloud-Anbieter OVHcloud, Oodrive, NumSpot, 3DS Outscale und Cloud Temple sowie die Cloud-Nutzer Airbus, Deutsche Telekom, Orange und EDF.
Die Souveränitätsdebatte
Die französischen Senatoren wollten die umstrittensten Souveränitätsanforderungen gesetzlich festschreiben: die Anforderungen an die Kapitalbeteiligung.
Sie schlugen vor, die Anforderungen an die Kapitalbeteiligung aus Frankreichs sicherster Cloud-Zertifizierung SecNumCloud 3.2 zu übernehmen. Diese wurde von der Cybersicherheitsagentur ANSSI entwickelt.
Cloud-Diensteanbieter, „von denen mehr als 24 Prozent der Anteile von Einzelpersonen und mehr als 39 Prozent der Anteile von Unternehmen gehalten werden“, die nicht in der EU ansässig sind, dürfen keine Daten von öffentlichen Einrichtungen verarbeiten.
Ähnliche Anforderungen wurden zwischen den 27 Cybersicherheitsagenturen und der ENISA bei den Verhandlungen über das EUCS-Cloud-Zertifizierungssystem erörtert. Dieser Prozess hatte bereits 2020 begonnen.
Keines der beiden Dokumente wird Bestimmungen zur Souveränität enthalten. Allerdings wird erwartet, dass der französische Staatsrat innerhalb von sechs Monaten nach Inkrafttreten des SREN-Gesetzes die Anforderungen an Kapitalbeteiligungen per Dekret festlegen wird.
Die Befürworter der Immunitätsbestimmungen sehen darin eine wichtige Möglichkeit, EU-Unternehmen und Regierungen vor dem US Foreign Intelligence Surveillance Act und dem Cloud Act zu schützen. Diese beiden US-Gesetze geben den nationalen Sicherheitsbehörden der USA Spielraum für den Zugriff auf Daten Dritter, die von US-Unternehmen verarbeitet werden.
„Es gibt besonders sensible Daten, die als solche nicht irgendeinem Unternehmen anvertraut werden sollten“, sagte die liberale französische Senatorin Catherine Morin-Desailly am Dienstag.
Doch ihre Kontrahenten sind anderer Meinung. Diese Anforderungen „verlangen, dass der Hauptsitz der Unternehmen in Europa liegt, was beispiellos ist und völlig im Widerspruch zu dem steht, was die EU tut“, sagte Kerneis.
Nächste Schritte
Sobald die ENISA das EU-Zertifizierungssystem für Cybersicherheit zugelassen hat, wird die Europäische Kommission einen Durchführungsrechtsakt im Rahmen des Cybersicherheitsgesetzes erlassen. Dadurch wird das System zu einem gemeinsamen EU-Rahmen, den alle Mitgliedstaaten freiwillig anwenden können.
Die Mitgliedstaaten können nationale Gesetze erlassen, die das System für einen bestimmten Datensatz verbindlich vorschreiben. Dies ist beim SREN-Gesetz für Gesundheits- oder nationale Sicherheitsdaten der Fall.
[Bearbeitet von Alice Taylor/Kjeld Neubert]