Souveränitätsanforderungen werden mit ziemlicher Sicherheit nicht in ein EU-Cloud-Zertifizierungssystem (EUCS) aufgenommen, das voraussichtlich bis Ende 2024 abgeschlossen sein wird, sagte eine mit der Angelegenheit vertraute Quelle gegenüber Euractiv.
Das hochtechnische, aber dennoch umstrittene EUCS-Programm steht im Mittelpunkt einer Debatte darüber, welche Schritte Europa unternehmen sollte, um seine Infrastruktur vor Akteuren aus Drittstaaten zu schützen.
Ziel des EUCS ist es, EU-weite Kriterien für die Zertifizierung von Cloud-Anbietern hinsichtlich ihrer Sicherheitsmerkmale festzulegen. Diese Zertifizierungen würden dann Regierungen und Unternehmen in der Union dabei helfen, die Cybersicherheitsmerkmale eines bestimmten Cloud-Anbieters zu bestimmen, wenn sie solche Dienste kaufen.
Die Angelegenheit wurde von der Tagesordnung der Sitzung der Europäischen Gruppe für Cybersicherheitszertifizierung (ECCG) am 18. Juni gestrichen. Die Gruppe besteht aus den Cybersicherheitsbehörden der Mitgliedstaaten unter der Schirmherrschaft der Kommission. Dies sei eine auf Prioritäten basierende Entscheidung gewesen, sagte die Quelle.
Eine andere mit der Angelegenheit vertraute Quelle erklärte, dass die Mitgliedstaaten von der Europäischen Kommission Leitlinien dazu erwarteten, wie solche Anforderungen außerhalb des EU-weiten Systems umgesetzt werden könnten. Aus diesem Grund wurde dieser Tagesordnungspunkt gestrichen.
Sobald der Entwurf der Regelung fertiggestellt ist, wird die ECCG eine Stellungnahme abgeben.
Die ECCG werde wahrscheinlich alles genehmigen, was die ENISA ihr vorlege, und zwar ohne größere Änderungen, da viele der Personen in der Ad-hoc-Gruppe der ENISA, die den Plan entwerfe, nationale Experten seien, die auch in der ECCG sitzen, so die Quelle.
Auf dieser Grundlage könnte der Entwurf noch einmal überarbeitet werden und dann den Komitologieprozess durchlaufen, in dem er von Vertretern der Mitgliedstaaten und den Ausschüssen des Parlaments geprüft wird, bevor die Kommission ihn schließlich in Form eines Umsetzungsrechtsakts verabschiedet.
Der Komitologieprozess könnte das Vorhaben zum Scheitern bringen und die Souveränitätsdebatte neu entfachen. Die Zustimmung der Mitgliedstaaten in der Ad-hoc-Gruppe und der ECCG macht dies jedoch weniger wahrscheinlich.
Der Knackpunkt
Der normalerweise trockene technische Prozess der Festlegung von Kriterien für die Zertifizierung von Cloud-Anbietern nahm eine unerwartete Wendung, als im Jahr 2022 vier EU-Länder – Frankreich, Deutschland, Spanien und Italien – die Europäische Kommission um ein Eingreifen baten, erklärte die erste Quelle.
Diese Länder verfügten bereits über eigene Souveränitätsanforderungen oder zogen diese in Erwägung, bei denen territoriale Aspekte berücksichtigt werden, um zu entscheiden, was eine sichere Cloud darstellt.
Zu diesem Zeitpunkt begann ENISA zu untersuchen, wie diese Souveränitätsanforderungen in das System integriert werden könnten, das die Quelle als eine Art Due-Diligence-Prüfung vor dem Kauf eines Unternehmens beschrieb.
Erst letzte Woche kündigte Amazon Web Services zwei milliardenschwere Investitionen in „Sovereign Cloud“ in Spanien und Deutschland an.
Frankreich hat seine Unterstützung für die Souveränitätsanforderungen besonders deutlich zum Ausdruck gebracht und arbeitet an eigenen Gesetzen.
Damit soll verhindert werden, dass chinesische oder US-Unternehmen sensible EU-Daten ausspionieren, wenn sie über die Cloud-Anbieter verfügen. Kritiker bezeichnen die Maßnahmen jedoch als protektionistisch.
Im EUCS hätten diese Bestimmungen erfordert, dass Cloud-Anbieter für kritische Infrastrukturen oder die Regierung mehrheitlich im Besitz von Investoren mit Sitz in der EU sein müssten.
Solche Kriterien wurden dem System später hinzugefügt und dann aus dem jüngsten Entwurf vom März 2024 wieder entfernt, berichtete Euractiv.
Das System sei vor allem technischer Natur und basiere auf rund 600 Kriterien, sagte der Informant. Die Souveränitätsanforderungen hätten Unternehmen daran gehindert, die höchste Zertifizierungsstufe auf der Grundlage nichttechnischer Kriterien zu erhalten. Dazu könnten beispielsweise gehören, dass sie ihren Hauptsitz in der EU oder einem bestimmten Mitgliedstaat haben oder mehrheitlich im Besitz europäischer Investoren sind.
Für den Verkauf von Diensten an Schlüsselorganisationen wie Regierungen oder Anbieter kritischer Infrastrukturen wäre dann die Zertifizierung auf höchstem Niveau erforderlich.
[Edited by Zoran Radosavljevic]
