Französische Abgeordnete und die EU-Cybersicherheitsagentur ENISA werden am 10. und 15. April bahnbrechende Entscheidungen zur Cloud-Cybersicherheit treffeninmitten von Bedenken hinsichtlich Spionage und Fragmentierung des europäischen Cloud-Marktes.
Die französischen Abgeordneten werden über einen umfassenden Digitalgesetzentwurf (SREN) abstimmen, der spezifische Bestimmungen zur Cloud-Souveränität enthält und damit einen einjährigen Gesetzgebungsprozess abschließt.
Kurz darauf wird sich die spezielle Arbeitsgruppe der ENISA (ECCG) treffen, um das EU-Cybersicherheitszertifizierungssystem (EUCS) zu genehmigen, das darauf abzielt, nationale Cloud-Zertifizierungen zu harmonisieren.
In beiden Dokumenten waren die Anforderungen an die Cloud-Souveränität umstritten.
Diese Bestimmungen, auch Immunitätsanforderungen gegenüber extraterritorialen Gesetzen genannt, hätten EU-Cloud-Anbietern einen Vorteil verschafft.
Befürworter des freien Marktes haben sie als einen protektionistischen Schritt interpretiert, der der EU-Wirtschaft schadet, während einige EU-Cloud-Dienstleister und multinationale Unternehmen die Anforderungen als entscheidend für den Schutz der aufstrebenden Industrie der EU vor Spionage ansehen.
Während der französische Gesetzgeber und die ENISA beschlossen haben, die Kapitaleigentumsanforderungen nicht in ihre jeweiligen Dokumente aufzunehmen, wird erwartet, dass Frankreich sie später per Dekret umsetzt.
Der jüngste Kompromissentwurf der ENISA vom 22. März, den Euractiv eingesehen hat, ersetzte die Souveränitätsanforderungen durch verbindliche Transparenzbestimmungen, einschließlich Informationen zu Speicherorten und Datenverarbeitungsmethoden.
„Diese Transparenzregeln könnten zu einem verschleierten Weg zur Anerkennung von Souveränitätsanforderungen werden“, sagte Pascal Kerneis, Geschäftsführer des European Services Forum, einer Unternehmensorganisation, die sich für Freihandel einsetzt, gegenüber Euractiv.
In einem offenen Brief vom November 2023 an die ENISA unterstützten 19 Unternehmen „explizite und transparente Kriterien“ auf EU-Ebene, zu denen auch die Immunitätskriterien gehören könnten.
Sie betonten außerdem die Bedeutung eines „Systems auf europäischer Ebene“, um eine „Fragmentierung zwischen den Mitgliedstaaten“ zu verhindern.
Zu den Unterzeichnern gehörten die Cloud-Anbieter OVHcloud, Oodrive, NumSpot, 3DS Outscale, Cloud Temple und die Cloud-Nutzer Airbus, Deutsche Telekom, Orange und EDF.
Die Souveränitätsdebatte
Französische Senatoren wollten die umstrittensten Souveränitätsanforderungen gesetzlich festlegen: diejenigen zum Kapitalbesitz.
Sie schlugen vor, die Kapitaleigentumsanforderungen zu kopieren und einzufügen, die in Frankreichs sicherster Cloud-Zertifizierung festgelegt sind, die von der Cybersicherheitsagentur ANSSI, SecNumCloud 3.2, entwickelt wurde.
Cloud-Dienstleister außerhalb der EU, „die einzeln zu mehr als 24 % und gemeinsam zu mehr als 39 % gehalten werden“, wären nicht berechtigt, Daten von öffentlichen Einrichtungen zu verarbeiten.
Ähnliche Anforderungen wurden zwischen den 27 Cybersicherheitsbehörden und der ENISA bei der Aushandlung des EUCS-Cloud-Zertifizierungssystems erörtert, ein Prozess, der im Jahr 2020 begann.
Obwohl keines der beiden Dokumente Souveränitätsbestimmungen enthalten soll, wird erwartet, dass der französische Staatsrat innerhalb von sechs Monaten nach Inkrafttreten des SREN-Gesetzes die Kapitaleigentumsanforderungen per Dekret festlegt.
Befürworter der Immunitätsbestimmungen halten sie für eine wichtige Möglichkeit, EU-Unternehmen und Regierungen vor dem US-amerikanischen Foreign Intelligence Surveillance Act und dem Cloud Act zu schützen. Diese beiden US-Gesetze geben den nationalen Sicherheitsbehörden der USA Spielraum für den Zugriff auf Daten Dritter, die von US-amerikanischen Unternehmen verarbeitet werden.
„Es gibt besonders sensible Daten, die als solche nicht gelten sollten […] Man kann es einfach jedem Unternehmen anvertrauen“, sagte die gemäßigte französische Senatorin Catherine Morin-Desailly am Dienstag.
Doch die Gegner sind anderer Meinung. Diese Anforderungen „fordern, dass sich der Hauptsitz der Unternehmen in Europa befindet, was beispiellos ist und völlig im Widerspruch zu dem steht, was die EU tut“, sagte Kerneis.
Nächste Schritte
Sobald die ENISA das EUCS validiert hat, wird die Europäische Kommission einen Durchführungsakt zum Cybersecurity Act erlassen, der das System zu einem gemeinsamen EU-Rahmen macht, den alle Mitgliedstaaten freiwillig nutzen können.
Mitgliedstaaten können nationale Gesetze erlassen, die das System für einen bestimmten Datensatz verbindlich vorschreiben – genau wie das SREN-Gesetz dies für Gesundheits- oder nationale Sicherheitsdaten tut.
[Edited by Alice Taylor]