Cloud Zertifizierungssystem: Deutschland fordert politische Diskussionen

Deutschland hat die Europäische Kommission um eine politische Diskussion über die Souveränitätsanforderungen gebeten, wie aus einem Brief hervorgeht, der EURACTIV vorliegt. Die EU-Exekutive drängt darauf, diese Anforderungen in das europäische Zertifizierungssystem für Cybersicherheit-Clouds aufzunehmen.

Der Brief ist auf Montag (19. September) datiert und von Andreas Könen, Daniela Brönstrup und Ben Brake, den Generaldirektoren der deutschen Innen-, Wirtschafts- und Digitalministerien, unterzeichnet. Er ist an Roberto Viola, den Generaldirektor der Digitalabteilung der Kommission, gerichtet.

„Da die Diskussion auch eine politische Dimension erreicht hat, sehen wir einen hohen gemeinsamen Bedarf, die Frage der Transparenz des Entwurfsprozesses sowie die Notwendigkeit und die Art der Umsetzung solcher Immunitäts- oder Souveränitätsanforderungen zu diskutieren“, heißt es in dem Brief.

Bei dem System handelt es sich um einen Durchführungsrechtsakt zum Cybersicherheitsgesetz, mit dem eine EU-weite Zertifizierung mit mehreren Sicherheitsanforderungsstufen eingeführt werden soll. Obwohl das System freiwillig ist, wird erwartet, dass das hohe Sicherheitsniveau für die in der Richtlinie über Netz- und Informationssicherheit 2 (NIS2) aufgeführten wesentlichen Dienste verbindlich wird.

Genau wegen dieses hohen Sicherheitsniveaus hat die Kommission die Agentur der Europäischen Union für Cybersicherheit (ENISA), die für die Ausarbeitung des Systems zuständig ist, gebeten, das System um Souveränitätsanforderungen zu ergänzen. Damit soll die Immunität gegenüber ausländischen Gerichtsbarkeiten gewährleistet werden.

Laut einem Entwurf, über den EURACTIV im Juni berichtete, beinhaltete die Regelung die Immunität vor außereuropäischen Zugriffen, indem sie verlangte, dass die Cloud-Service-Anbieter nicht nur ihren Hauptsitz in Europa haben, sondern auch nicht von Unternehmen außerhalb der EU kontrolliert werden.

Dieser Ansatz wurde von einer wachsenden Zahl von EU-Ländern scharf kritisiert. Im Juli verbreiteten Dänemark, Estland, Griechenland, Irland, die Niederlande, Polen und Schweden ein Non-Paper, in dem sie „starke Zweifel“ an diesen Anforderungen äußerten.

Die Begründung lautet, dass der Ansatz der Kommission, der sich an das französische SecNumCloud-System anlehnt, den Konkurrenzkampf mit außereuropäischen Unternehmen, vor allem amerikanischen „Hyperscalern“, einschränken würde. Dies gilt selbst dann, wenn diese das gleiche oder sogar ein höheres Maß an Cybersicherheit bieten können.

Ähnliche Bedenken äußerten 14 Experten der Ad-hoc-Arbeitsgruppe für Cloud-Dienste der ENISA. In einem offenen Brief, ebenfalls vom Juli, stellten sie den Prozess in Frage, der zur Aufnahme der Anforderungen in das System führte.

Ein wichtiger Bestandteil der Kritik wies darauf hin, dass die Kommission versucht, politische Kriterien in ein eigentlich technisches Instrument aufzunehmen. Das zeigt sich auch in dem Gremium, das das System diskutieren soll, der Europäischen Cloud-Zertifizierungsgruppe, die sich aus nationalen Experten zusammensetzt.

Im Gegensatz dazu haben sich führende europäische Cloud-Anbieter sowie Frankreich, Italien und Spanien für die Souveränitätsanforderungen eingesetzt. Sie argumentieren, dass die Dateninfrastruktur eine entscheidende Dimension der technologischen Souveränität ist und dass die Maßnahmen dazu beitragen würden, den Cloud-Markt wieder ins Gleichgewicht zu bringen.

Die Arbeitsgruppe sollte den Entwurf der Regelung im September diskutieren. Die Diskussion wurde jedoch verschoben, da die Front gegen den Ansatz der Kommission wuchs. Insbesondere von Deutschland hieß es, dass es in dieser Angelegenheit zunehmend uneins sei.

Der neue Brief Deutschlands könnte den Ausschlag zugunsten derjenigen geben, die eine politische Diskussion fordern. Er fordert nämlich, dass die Verordnung auf den Tisch der Horizontalen Arbeitsgruppe für Cyberfragen oder der Arbeitsgruppe für Telekommunikation und die Informationsgesellschaft gebracht wird.

In dem Brief heißt es, dass die Vertreter der Mitgliedstaaten in der Lage sein werden, „auch die wirtschaftspolitische Perspektive zu berücksichtigen“. Das bedeutet, dass diese Frage nicht nur von Cybersecurity-Experten behandelt werden sollte.

Genauer gesagt, behauptet die deutsche Regierung, dass die möglichen handelspolitischen Auswirkungen der Souveränitätsanforderungen auf der Tagesordnung stehen sollten. Der Entwurf der Regelung hat jenseits des Atlantiks Aufmerksamkeit erregt, wo er als protektionistischer Schritt betrachtet wird.

Zu den Punkten, die Berlin erörtern möchte, gehören eine Erläuterung des Umfangs und der Kategorien der Einrichtungen, die nach den Vorstellungen der ENISA unter den Anwendungsbereich der Regelung fallen oder nicht. Dazu gehören auch mögliche Alternativen mit einer Kosten-Nutzen-Analyse, die potenziellen Konsequenzen für Nutzer und Anbieter sowie die Auswirkungen auf NIS2.