Deutschland hat die Europäische Kommission um eine politische Diskussion über die Souveränitätsanforderungen gebeten, auf deren Aufnahme die EU-Exekutive in das europäische Cloud-Zertifizierungssystem für Cybersicherheit drängt, heißt es in einem Schreiben von EURACTIV.
Der Brief ist datiert von Montag (19. September) und unterzeichnet von Andreas Könen, Daniela Brönstrup und Ben Brake, den Generaldirektoren der deutschen Ministerien des Innern, der Wirtschaft und des Digitalministeriums. Es ist an Roberto Viola, den Generaldirektor der Digitalabteilung der Kommission, adressiert.
„Aufgrund der Tatsache, dass die Diskussion auch eine politische Dimension erreicht hat, sehen wir einen hohen gemeinsamen Bedarf, die Frage der Transparenz hinsichtlich des Ausarbeitungsprozesses sowie der Notwendigkeit und Art der Umsetzung solcher Immunitäts- oder Souveränitätsanforderungen zu diskutieren“, so der Bundesrat Brief lautet.
Das Schema ist ein Durchführungsrechtsakt nach dem Cybersecurity Act und soll die EU-weite Zertifizierung mit mehreren Vertrauensebenen etablieren. Obwohl das System freiwillig ist, wird erwartet, dass das hohe Sicherheitsniveau für die wesentlichen Dienste, die in der Richtlinie über Netz- und Informationssicherheit 2 (NIS2) aufgeführt sind, obligatorisch wird.
Genau auf diesem hohen Maß an Sicherheit hat die Kommission die Agentur der Europäischen Union für Cybersicherheit (ENISA), das für die Ausarbeitung des Systems zuständige Gremium, gebeten, dem System Souveränitätsanforderungen hinzuzufügen, um die Immunität gegenüber ausländischer Gerichtsbarkeit zu gewährleisten.
Laut einer von EURACTIV im Juni gemeldeten Entwurfsversion umfasste das System die Immunität vor außereuropäischem Zugriff, indem gefordert wurde, dass die Cloud-Dienstanbieter nicht nur ihren Hauptsitz in Europa haben, sondern auch nicht von Nicht-EU-Unternehmen kontrolliert werden.
Der Ansatz wurde von einer wachsenden Zahl von EU-Ländern heftig kritisiert. Im Juli verteilten Dänemark, Estland, Griechenland, Irland, die Niederlande, Polen und Schweden ein Non-Paper, in dem „starke Bedenken“ hinsichtlich dieser Anforderungen geäußert wurden.
Die Begründung lautet, dass der Ansatz der Kommission, der dem französischen SecNumCloud-Schema nachempfunden ist, den Wettbewerb von außereuropäischen Unternehmen, meist US-amerikanischen Hyperscalern, einschränken würde, selbst wenn sie das gleiche oder sogar ein höheres Cybersicherheitsniveau bieten könnten.
Ähnliche Bedenken wurden von 14 Experten der Ad-hoc-Arbeitsgruppe der ENISA zu Cloud-Diensten geäußert, die ebenfalls im Juli in einem offenen Brief den Prozess hinterfragten, der zur Aufnahme der Anforderungen in das System führte.
Tatsächlich wies ein wichtiger Teil der Kritik darauf hin, dass die Kommission versuchte, politische Kriterien in ein angeblich technisches Instrument aufzunehmen. Dies spiegelt sich in dem Gremium wider, das das System diskutieren soll, der European Cloud Certification Group, die sich aus nationalen Experten zusammensetzt.
Umgekehrt haben sich führende europäische Cloud-Diensteanbieter sowie Frankreich, Italien und Spanien für die Souveränitätsanforderungen eingesetzt und argumentiert, dass die Dateninfrastruktur eine entscheidende Dimension der technologischen Souveränität ist und dass die Maßnahmen dazu beitragen würden, den Cloud-Markt wieder ins Gleichgewicht zu bringen.
Die Gruppe sollte den Planentwurf im September erörtern. Die Diskussion wurde jedoch verschoben, da die Front gegen das Vorgehen der Kommission zunahm und insbesondere Deutschland zunehmend zwiespältig in der Sache sei.
Der neue Brief Deutschlands könnte das Gleichgewicht zugunsten derjenigen verändern, die eine politische Diskussion fordern, da er darauf drängt, dass das Schema der Horizontalen Arbeitsgruppe für Cyber-Fragen oder der Arbeitsgruppe für Telekommunikation und Informationsgesellschaft vorgelegt wird.
Wichtig ist, dass der Brief feststellt, dass die Vertreter der Mitgliedstaaten „auch die wirtschaftspolitische Perspektive berücksichtigen“ können, was impliziert, dass dies nicht etwas ist, das von Cybersicherheitsexperten behandelt werden sollte.
Konkret fordert die Bundesregierung, dass auf der Tagesordnung die möglichen handelspolitischen Implikationen der Souveränitätsanforderungen stehen sollten. Der Entwurf hat die Aufmerksamkeit jenseits des Atlantiks auf sich gezogen, wo er als protektionistischer Schritt angesehen wird.
Zu den Punkten, die Berlin erörtern möchte, gehören eine Erläuterung des Geltungsbereichs und der Kategorien der Einrichtungen, die nach Ansicht der ENISA unter oder außerhalb des Geltungsbereichs des Systems fallen werden, mögliche Alternativen mit einer Kosten-Nutzen-Analyse, die potenziellen Auswirkungen auf Benutzer und Anbieter und die Auswirkungen auf NIS2.
[Edited by Nathalie Weatherald]