Ein neuer Entwurf des europäischen Cloud-Services-Systems, der von Euractiv eingesehen wurde, wurde vor einem Treffen der European Cybersecurity Certification Group am Montag (20. November) in Umlauf gebracht und enthält einige Verbesserungen an den umstrittenen Souveränitätsanforderungen.
Das Cloud-System hat sich als äußerst kontrovers erwiesen, da die Europäische Kommission unter der Leitung des französischen Kommissars Thierry Breton danach strebte, Souveränitätsanforderungen im Anschluss an die französische SecNumCloud einzuführen, die außereuropäische Cloud-Unternehmen von der Qualifizierung für die höchsten Sicherheitsstufen ausschließen würden.
Obwohl die Zertifizierung nach dem EU-Cybersicherheitsgesetz freiwillig ist, könnte sie gemäß der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie (NIS2) für Tausende von Unternehmen, die als wesentlich oder wichtig für die europäische Wirtschaft gelten, zur Pflicht gemacht werden.
Der Vorschlag löste heftigen Widerstand in mehreren EU-Ländern und einem beträchtlichen Teil der Industrie aus, die darin einen protektionistischen Schritt sahen, amerikanische Hyperscaler von großen Teilen des europäischen Marktes auszuschließen.
Im Mai enthüllte Euractiv, dass ein Kompromiss zwischen den beiden Lagern, dem von Frankreich angeführten Lager, das auf Cloud-Souveränität drängt, einerseits und dem liberalen Lager unter der Führung der Niederlande und mit zunehmender Unterstützung Deutschlands, durch einen abgestuften Ansatz angestrebt wird.
Während das Cybersecurity Act nur drei Sicherheitsstufen vorsah – einfach, substanziell und hoch – wurde mit dem Großteil der Souveränitätsanforderungen eine neue Stufe, „hoch+“, eingeführt.
Eine überarbeitete Fassung des Plans wurde im August in Umlauf gebracht, konnte jedoch die zögerlichsten EU-Länder noch immer nicht überzeugen. Dieser neue Entwurf ist in diesem Sinne als ein weiterer Versuch zu sehen, da die Souveränitätsanforderungen weiter abgeschwächt wurden.
Es bleibt abzuwarten, ob dieser Kompromiss erfolgreich sein wird oder ob die Kommission mit der Annahme des Systems fortfahren wird, da die Uhr tickt, um das System vor Ablauf der Amtszeit zu verabschieden.
Nationale Vertreter haben die Möglichkeit, den gesamten Text anzunehmen oder abzulehnen.
Vorstellung von Kontrolle
Ein entscheidender Aspekt der Souveränitätsanforderungen war, inwieweit die europäische Tochtergesellschaft eines Cloud-Anbieters als unter der Kontrolle der Muttergesellschaft oder des Konzerns stehend betrachtet werden kann.
Die Anforderung, dass die Cloud-Dienstanbieter nur von in der EU ansässigen Unternehmen betrieben werden dürfen, ohne dass eine außereuropäische Einheit eine wirksame Kontrolle ausübt, wurde für das Sicherheitsniveau „High+“ leicht abgeschwächt.
Der neue Text fügt insbesondere die Möglichkeit hinzu, nachzuweisen, dass sie wirksame technische, organisatorische und rechtliche Maßnahmen ergriffen haben, die verhindern, dass mit dem Cloud-Anbieter verbundene Nicht-EU-Unternehmen einen entscheidenden Einfluss auf Entscheidungen im Zusammenhang mit Untersuchungsanfragen ausüben.
An dieser Stelle weist ein Platzhalter darauf hin, dass diese Option sicherstellen soll, dass „vertrauenswürdige ausländische Cloud-Anbieter, die andere Anforderungen erfüllen, zertifiziert werden können“. Derselbe Platzhalter ist unter der Sicherheitsstufe „Hoch“ vorhanden, was darauf hindeutet, dass diese Anforderung auf diese Stufe ausgeweitet werden könnte.
Datenlokalisierung
Für das hohe Sicherheitsniveau wurden außerdem Lokalisierungsanforderungen eingeführt, die von den Cloud-Dienstanbietern verlangen, dass sie über mindestens einen dedizierten Standort in der Union verfügen. Hinsichtlich des Sicherheitsniveaus high+ blieb die Verpflichtung, alle Referenzstandorte in der EU zu haben, unberührt.
Vorrang des EU-Rechts
Die Anforderungen an den Vorrang des EU-Rechts wurden für beide Sicherheitsstufen „Hoch“ und „Hoch+“ geändert, wodurch die Idee gestrichen wurde, dass sie für alle Kontodaten im Zusammenhang mit der Vertragsbeziehung gelten würden, einschließlich Vorverkauf, Wartung, Betrieb und Beendigung.
Die Regelung, was die Anbieter von Cloud-Diensten in die Risikobewertung für die extraterritoriale Anwendung von Nicht-EU-Gesetzen einbeziehen sollten, wurde weniger präskriptiv gestaltet, während der Grundsatz, dass vertragliche Beziehungen der Gerichtsbarkeit eines EU-Landes unterliegen sollten, beibehalten wurde.
Den Cloud-Nutzern sollen zusätzliche Hinweise zu den mit der Nutzung des Cloud-Dienstes verbundenen Risiken gegeben werden, insbesondere hinsichtlich des Risikos eines unrechtmäßigen Zugriffs auf Daten und daraus abgeleitete Daten, einschließlich wirtschaftlich sensibler, vertraulicher und geschützter Geschäftsdaten.
Personalanforderungen
Für die hohe Sicherheitsstufe wurden die Anforderungen an die Mitarbeiter der Cloud-Dienste mit direktem oder indirektem Zugriff auf die Daten abgeschwächt. Die Mitarbeiter und ihre Vorgesetzten müssen sich weiterhin einer „angemessenen Überprüfung“ unterziehen und in der EU ansässig sein. Allerdings wurde die Idee verworfen, dass auch die Wartung einer Funktionskomponente protokolliert und überwacht werden sollte.
Internationale Abkommen
Es wurde eine Spezifikation eingeführt, die besagt, dass die Regelung nicht so verstanden werden sollte, dass sie die Anwendung einer Verpflichtung nach EU-Recht verhindert, einer Untersuchung oder anderen Anträgen auf Datenzugang Folge zu leisten, die im Rahmen internationaler Abkommen wie einem Rechtshilfeabkommen mit einem Drittland anerkannt sind.
Sensible Daten
Es wurde eine Definition von Daten im Einklang mit der des Digital Markets Act hinzugefügt, zusammen mit Kategorien sensibler Daten, d. h. personenbezogenen oder nicht personenbezogenen Daten, deren Offenlegung sich negativ auf die öffentliche Ordnung, Sicherheit, Gesundheit oder die Erfüllung wesentlicher Regierungsfunktionen auswirken könnte .
Branchenspezifische Anforderungen
Der neue Text legt fest, dass das hohe Sicherheitsniveau „auch für Cloud-Dienste geeignet sein soll, die darauf ausgelegt sind, branchenspezifische Anforderungen für globale Operationen zu erfüllen“, und nennt das Beispiel des Banken- und Finanzsektors.
[Edited by Nathalie Weatherald]
