Es ist von entscheidender Bedeutung, dass das Cybersecurity Certification Scheme for Cloud Services (EUCS) der Europäischen Union technologieneutral, risikobasiert und auf konkrete Cybersicherheitsergebnisse ausgerichtet bleibt, schreibt Pascal Kerneis.
Mehrere Elemente des aktuellen Vorschlags, der erstmals vor einigen Jahren diskutiert wurde, geben Anlass zur Sorge. Sie könnten Auswirkungen haben, die weit über den Cyberspace hinausgehen, etwa die Schädigung der europäischen Handelsbeziehungen zu einer Zeit, in der wir stabile, vertrauenswürdige Partnerschaften mit unseren engsten Verbündeten aufbauen sollten.
Das dringendste Problem ist der Versuch, Souveränitätsanforderungen in das EUCS einzuführen, insbesondere die Bestimmung, dass Cloud-Dienstanbieter mit der höchsten Akkreditierungsstufe ihren Hauptsitz in der EU haben müssen und nicht im Besitz oder unter der Kontrolle einer Nicht-EU-Einheit sein dürfen.
Seit der ersten Vereinbarung des Allgemeinen Abkommens über den Handel mit Dienstleistungen (GATS) in den 1990er Jahren sind digitale Dienste zu einem integralen Bestandteil des Geschäftsbetriebs geworden und haben eine immer stärker vernetzte Welt mit frei fließendem grenzüberschreitendem Handel mit Dienstleistungen geschaffen.
Für diejenigen von uns beim European Services Forum ist dies positiv. Unsere Organisation wurde gegründet, um die Mission des freien und offenen Handels mit Dienstleistungen sowohl innerhalb der EU als auch mit Drittländern voranzutreiben.
Die Europäer profitieren von diesem Handel, genießen die Nutzung modernster digitaler Tools aus dem In- und Ausland, ziehen Investitionen und Innovationen an, sorgen für Wirtschaftswachstum und schaffen zahlreiche gut bezahlte Arbeitsplätze.
Ein wesentlicher Bestandteil davon ist die Schaffung eines robusten europäischen Cybersicherheitsrahmens, der die Sicherheit der Europäer gewährleistet und ihnen gleichzeitig ermöglicht, die Vorteile von Innovationen zu nutzen. Ziel des EUCS ist es, die Herausforderung fragmentierter Cybersicherheitsstandards durch die Schaffung von Harmonie auf europäischer Ebene zu bewältigen.
Die Souveränitätsdebatte
Das ist ein willkommenes Ziel. Doch das EUCS geht darüber hinaus, insbesondere mit der Einführung von Souveränitätsforderungen.
Angesichts zunehmender geopolitischer Bedrohungen könnten Souveränitätsanforderungen als sinnvolle Vorsichtsmaßnahme erscheinen, um kritische Sektoren vor ruchlosen Akteuren zu schützen. Aber regelbasierter Handel und nichtdiskriminierende Behandlung sind ein Eckpfeiler der EU-Politik, der Exporte und des Wohlstands.
In der Praxis wurden diese Souveränitätsanforderungen als rein protektionistisch interpretiert, was den transatlantischen Beziehungen sicherlich schaden würde, wenn führende Anbieter von Cloud-Diensten aus Ländern wie Australien, Japan, Kanada und den USA ausgeschlossen würden.
Die Anforderungen könnten auch dem Wohlstand und der Sicherheit Europas schaden, da es uns an einheimischen Alternativen mangelt, die über die Kapazität und Komplexität verfügen, um bestimmte kritische Sektoren zu bedienen.
Bisher hat ein offener Handelsansatz es europäischen Unternehmen ermöglicht, Innovationen unter Einsatz der besten verfügbaren Technologien zu entwickeln.
Die Zahl der US-amerikanischen Anbieter von Cloud-Lösungen übersteigt bei weitem die Zahl der europäischen Wettbewerber auf dem Markt, die in der Lage sind, die von europäischen Unternehmen benötigten Cloud-Dienste bereitzustellen. Der Experte für Internetpolitik, Konstantinos Komaitis, schrieb im November in Cyberscoop, dass der europäische Cloud-Markt „noch nicht existiert“. Komplett geformt”.
Obwohl dies die Zukunft verändern könnte – eine wirklich aufregende Aussicht für Europas Technologieinnovatoren –, hilft dies europäischen Unternehmen, die jetzt Cloud-Lösungen benötigen, nicht.
Sollte das EUCS in seiner jetzigen Form fortgeführt werden, könnten Dienstleister, die ihren Sitz nicht in der EU haben, ihre europäischen Kunden nicht mehr bedienen.
Kurz- bis mittelfristig könnte der Betrieb einer sehr großen Zahl europäischer Unternehmen gestört werden, was potenziell katastrophale Folgen für die digitale Transformation Europas haben und letztendlich die Cybersicherheit der EU gefährden könnte.
Weit davon entfernt, die europäische Innovation zu fördern, könnten die Souveränitätsanforderungen im EUCS europäische Unternehmen dazu zwingen, Cloud-Lösungen mit potenziell niedrigeren Standards zu nutzen, was die Cybersicherheitsrisiken eher erhöht als verringert.
Globale Konsequenzen
Ganz zu schweigen von den Folgen für den internationalen Handel. Das EUCS birgt nicht nur das Risiko, die Beziehungen zu einem der wichtigsten Verbündeten der EU zu gefährden, sondern verstößt auch direkt gegen die GATS-Abkommen der WTO zum freien Datenverkehr und zu technischen Handelshemmnissen, was eindeutig diskriminierend ist.
Eine solche protektionistische Politik ist kurzsichtig und kann nach hinten losgehen: Wenn Drittländer ähnliche Regeln einführen, würde dies die Fähigkeit europäischer Unternehmen einschränken, ihre eigenen Produkte und Dienstleistungen zu exportieren oder im Ausland zu investieren, und letztendlich das Wirtschaftswachstum Europas bremsen.
Belgien hat derzeit den Vorsitz im Europäischen Rat inne und hat vorgeschlagen, die Frage der Souveränität von der Frage der Funktionalität zu trennen, aber auch das löst das Problem möglicherweise nicht: Wenn man den Mitgliedstaaten erlaubt, ihre eigenen Souveränitätsanforderungen einzuführen, könnte dies stattdessen zu einer noch stärkeren Fragmentierung führen der angebliche „EU-Binnenmarkt“.
Ein weiterer Bereich, der Anlass zur Sorge gibt, ist die Notwendigkeit, dass das EUCS freiwillig bleiben muss. Nominell ist genau das jetzt der Fall.
Angesichts der Breite und Vielfalt der Sektoren, die eine „hohe“ Klassifizierung erfordern – von professionellen Dienstleistungen bis zum Baugewerbe – könnte das EUCS jedoch tatsächlich verbindlich werden und seinen strengen Anforderungen große und kleine Unternehmen auferlegen.
Um es deutlich zu sagen: Die potenziell vom EUCS betroffenen Sektoren sind sowohl in ihrem Umfang als auch in ihren Auswirkungen breit gefächert und umfassen Energie, Finanzdienstleistungen, Gesundheitswesen und den öffentlichen Sektor.
All dies ist für die Wirtschaft und Sicherheit Europas von entscheidender Bedeutung, und wenn man sie dazu zwingt, Störungen, geringere Lösungen oder beides zu ertragen, wird dies eine Reihe von Folgewirkungen haben.
Die Debatte über Cybersicherheit hat sich zu einer politischen Debatte entwickelt und nicht mehr zu dem ursprünglich für das EUCS vorgesehenen technischen Standard.
Anstatt strenge Souveränitätsanforderungen einzuführen, die den europäischen Handel weniger wettbewerbsfähig und weniger sicher machen könnten, ist es dringend erforderlich, dass die politischen Entscheidungsträger die Cloud-Lösungen, die europäische Unternehmen täglich nutzen, noch einmal unter die Lupe nehmen und sicherstellen, dass sie dies auch weiterhin können in Zukunft verwendet werden.