Frankreich hat den neuesten Entwurf des EU-Cloud-Zertifizierungssystems (EUCS) in Frage gestellt, der es den Mitgliedstaaten ermöglichen würde, nationale Souveränitätsanforderungen auf der höchsten Cybersicherheitsstufe des Systems festzulegen, heißt es in einem durchgesickerten Brief an den Juristischen Dienst der Europäischen Kommission.
Das EUCS zielt darauf ab, die Cloud-Sicherheitsanforderungen in der EU zu harmonisieren, und der neueste Vorschlag der EU-Cybersicherheitsagentur ENISA, den Euractiv gesehen hat, verwendet einen dreistufigen Ansatz.
Es ist unklar, welcher Teil der französischen Behörden den durchgesickerten Brief des ehemaligen Euractiv-Tech-Redakteurs Luca Bertuzzi verfasst hat. Allerdings ist es in der Regel die ständige Vertretung des Landes bei der EU, die sich an den Juristischen Dienst der Kommission wendet.
Die Ständige Vertretung Frankreichs lehnte eine Stellungnahme zu dem Brief ab.
Zusätzliche Anforderungen
Französische Politiker drängen auf zusätzliche Anforderungen, darunter etwa 2.000 Cybersicherheitsanforderungen, auf der dritten Ebene dieses neuen EU-Systems.
Diese Souveränitätsanforderungen würden erfordern, dass Unternehmen ihren Hauptsitz in EU-Mitgliedstaaten haben, um die höchste Zertifizierungsstufe zu erreichen, um Dienstleistungen an öffentliche oder private Einrichtungen verkaufen zu dürfen, die hochsensible Daten verarbeiten.
Sie argumentieren, dass es wichtig sei, strategisch wichtige europäische Daten vor der extraterritorialen Reichweite der US-amerikanischen und chinesischen Gesetze zu schützen.
Deutschland unterstützte den Vorschlag zunächst, wechselte dann aber die Seite und schloss sich Irland, der Slowakei, den Niederlanden und anderen kleineren Ländern an, die dagegen waren.
Ihrer Ansicht nach würden diese Anforderungen sicherstellen, dass kleinere Länder keine erstklassigen Cloud-Dienste erhalten, die größtenteils von in den USA ansässigen Unternehmen gemietet werden.
Um den beiden gegensätzlichen Ansichten Rechnung zu tragen, ermöglicht der jüngste EUCS-Vorschlag den Ländern, ihre eigenen Standards zusätzlich zu den im System vorgeschriebenen Standards festzulegen.
Dies würde es Frankreich und gleichgesinnten Ländern ermöglichen, ihre eigenen Souveränitätsanforderungen festzulegen.
In dem durchgesickerten Dokument scheinen die Franzosen auch diese Lösung abzulehnen.
Sie versuchen außerdem, einige wichtige Punkte des neuesten EUCS-Entwurfs zu klären, die über das Zertifizierungssystem selbst hinausgehen.
Der Juristische Dienst der Kommission habe den Mitgliedstaaten zuvor mitgeteilt, dass der Cybersecurity Act (CSA) von 2019 nicht die extraterritoriale Reichweite von Nicht-EU-Staaten abdeckt, heißt es in dem Schreiben. Die CSA forderte Zertifizierungssysteme für Cybersicherheit wie das EUCS.
Die französischen Verfasser des Schreibens bitten den Juristischen Dienst, diese Einschätzung des CSA zu bestätigen.
Sie stellen auch die Frage, ob der Cybersecurity Act und das EUCS tatsächlich dazu gedacht sind, Standards zu vereinheitlichen und nicht zu trennen, was möglicherweise darauf hindeutet, dass die aktuelle Lösung zu einer Fragmentierung der Regeln im gesamten Block führen wird.
Frankreich möchte bekräftigen, dass es seine eigenen Souveränitätsanforderungen festlegen kann, auch wenn diese nicht Teil des EUCS sind. Es geht aber auch darum, über Fälle der nationalen Sicherheit hinauszugehen und die strengsten Kriterien „in sehr spezifischen Fällen“ anzuwenden […] bezüglich bestimmter Kategorien sensibler Daten.“
Auch EU-Cloud-Anbieter und große Unternehmen argumentierten, dass der jüngste Vorschlag zu einer Marktfragmentierung führen werde.
[Edited by Alice Taylor]