Der von EURACTIV eingesehene Entwurf des Cybersecurity Certification Scheme for Cloud Services (EUCS) enthält Souveränitätsanforderungen zur europäischen Datenlokalisierung und Immunität nach ausländischem Recht, trotz des starken Widerstands einiger Mitgliedstaaten und des Privatsektors.
Das hatte die EU-Kommission gefragt Agentur der Europäischen Union für Cybersicherheit (ENISA), die für die Entwicklung und Wartung des EUCS verantwortlich ist, um dem System Souveränitätsanforderungen hinzuzufügen.
„Das Zielsetzung von diese Spezifisch Bedarf ist zu angemessen verhindern und Grenze möglich Einmischung von Staaten außen von das EU mit das Betrieb von zertifiziert Wolke Dienstleistungen“, heißt es in dem Entwurfsdokument.
Dieser Ansatz würde die kürzlich in Frankreich eingeführten Anforderungen widerspiegeln nationales Zertifizierungssystem für Cybersicherheit, bekannt als SecNumCloud, und auf dem EU-Markt tätige Anbieter von Cloud-Diensten beeinträchtigen und sicherstellen, dass das EU-Recht Vorrang hat und dass Wartung, Betrieb und Daten innerhalb der EU angesiedelt sein müssen.
Auch die Immunität vor außereuropäischem Zugriff wäre dadurch gewährleistet fordern, dass Anbieter von Cloud-Diensten ihren Hauptsitz in Europa haben und nicht von Nicht-EU-Einheiten kontrolliert werden.
Der Begriff „Kontrolle“ ist sehr eng definiert. Unternehmen sollen völlig unabhängig von Nicht-EU-Recht sein, da Eigentums-, Rechts- oder Vertragsverhältnisse als maßgeblicher Einfluss auf ein Unternehmen gelten, so der Entwurf.
Der Austausch zwischen Cloud-Diensteanbietern und Anbietern mit Sitz außerhalb der EU müsste bestimmte Anforderungen in Bezug auf Sicherheitsüberprüfung und Überwachung erfüllen. Sogar Unternehmen mit EU-Hauptsitz, aber ausländischen Investoren oder Betrieben könnten eingeschränkten Zugang haben.
„Das wird weh tun [cloud service providers] direkt und wird im weiteren Sinne bedeuten, dass die europäische Wirtschaft Auswahl und Qualität bei Cloud-Angeboten verlieren wird“, sagte ein Sprecher von Digital Europe gegenüber EURACTIV.
Während es sich im Textentwurf um „technische Maßnahmen“ handelt, sind einige Mitgliedsstaaten und mehrere Vertreter der Tech-Industrie nicht einverstanden, die Gespräche auf rein technischer Ebene zu führen, und drängen auf eine politische Diskussion.
Was ist die EUCS?
Die EUCS ist eine sekundäre Gesetzgebung im Rahmen des EU-Cybersicherheitsgesetzes, die darauf abzielt, das Vertrauen und die Sicherheit in wichtige Produkte und Dienstleistungen zu erhöhen. Das Schema ist ein freiwilliger, EU-weiter Rahmen für Cybersicherheitszertifikate, der der Fragmentierung zwischen den Mitgliedstaaten entgegenwirken, den Handel und das Verständnis von Sicherheitsmerkmalen erleichtern soll.
IKT-Produkte und -Dienste sind nach einem umfassenden Regelwerk, technischen Anforderungen, Standards und Verfahren zu zertifizieren.
Die Benutzer werden über das Cybersicherheitsrisiko durch drei Sicherheitsstufen informiert: einfach, erheblich und hoch, wobei die neueste bedeutet, dass ein zertifiziertes Produkt die höchsten Sicherheitstests bestanden hat. Die vorgeschlagenen Souveränitätsanforderungen würden nur für hochrangige Assurance gelten.
Argumente gegen Souveränitätsanforderungen
Im April teilten die Niederlande, Schweden und Irland ein von EURACTIV eingesehenes Non-Paper, in dem sie argumentierten, dass alle Anbieter von Cloud-Diensten wahrscheinlich eine Zertifizierung auf der dritten Ebene anstreben würden.weil Cloud-Anbieter oft Teil der Lieferkette für Sektoren wie Behörden und lebenswichtige Infrastrukturen und Dienste sind.“
Darüber hinaus erwarten Experten, dass die Zertifizierung in Zukunft verpflichtend wird.
„Daher könnten die vorgeschlagenen Anforderungen an die Souveränität im Cloud-System weitreichende Auswirkungen auf Unternehmen (Subunternehmer) haben, die an der Bereitstellung von Cloud-Diensten beteiligt sind, und auf ihre Fähigkeit, ihre Dienste zu entwickeln und auf dem Weltmarkt zu konkurrieren“, heißt es in dem Non-Paper .
Sie argumentieren auch, dass Souveränitätsanforderungen schwierig umzusetzen und zu prüfen seien, was zu hohen Kosten führe und den Wettbewerb beeinträchtige. Die Folge könnte eine Beschränkung des Wettbewerbs auf a sein kleinerer Pool von Anbietern.
„Diese Anforderungen haben nichts mit Cybersicherheitsbedenken zu tun, einige mögen sogar argumentieren, dass dies ein protektionistischer Ansatz ist, der von bestimmten nationalen Regierungen vorangetrieben wird“, sagte Alexandre Roure, Europadirektor für öffentliche Politik beim Handelsverband CCIA.
Diese Anforderungen wurden von Frankreich, Deutschland, Italien und Spanien vorangetrieben, bestätigten mehrere EU-Beamte.
Darüber hinaus könnten diese Anforderungen einen neuen Reibungspunkt zwischen der EU und den Vereinigten Staaten sowie anderen Handelspartnern schaffen, betonte Nigel Cory, stellvertretender Direktor der Information Technology and Innovation Foundation.
Mangel an Transparenz
Der Entwurfsprozess wurde laut a. auch wegen „begrenzter Transparenz und mangelnder Einbeziehung der Interessengruppen“ kritisiert Aussage unterzeichnet von den Vertretern der Technologiebranche von CCIA, ITI, BSA und AmCham EU.
„Wir waren besonders verblüfft darüber, wie Vorschläge für diese Anforderungen eingebracht wurden. Der Prozess wurde von einzelnen Akteuren und Mitgliedsstaaten vorangetrieben, wobei Interessengruppen aus der Industrie und andere Mitgliedsstaaten im Dunkeln gelassen wurden und nun aufgefordert werden, eine neue Version des Programms als zu akzeptieren beschlossene Sache“, sagte ein Sprecher von Digital Europe gegenüber EURACTIV.
Vertreter der Technologiebranche haben die ENISA und die Europäische Kommission aufgefordert, die Interessengruppen über den Stand der Diskussion zu informieren und sich während des gesamten Abschlussprozesses mit ihnen auszutauschen.
Sie fordern die Mitgliedstaaten außerdem auf, Souveränitätsanforderungen abzulehnen und eine gründlichere Folgenabschätzung zu fordern.
Nächste Schritte
„Derzeit liegt ein vollständiger finaler Entwurf mit allen Anforderungen vor, der von der AHWG (Ad-Hoc-Arbeitsgruppe) geprüft und der EKVG vorgelegt werden soll (Europäische Gruppe für Cybersicherheitszertifizierung) um ihre Meinung“, sagte ein ENISA-Sprecher gegenüber EURACTIV.
Diese Überprüfung und Stellungnahme kann dann zu weiteren Arbeiten führen, um das System fertigzustellen, bevor es der Kommission vorgelegt wird, die dann ein solches System durch den Durchführungsrechtsakt annehmen kann. Das nächste EBVG-Treffen ist für den 28. Juni angesetzt.
[Edited by Luca Bertuzzi/Nathalie Weatherald]