Cybersicherheit-Zertifizierungssyteme: EU-Parlament fordert Beteiligung

Die Einführung von Zertifizierungssystemen für Cybersicherheit, wird voraussichtlich von allen großen Fraktionen des EU-Parlaments unterstützt. Die Abgeordneten fordern außerdem ein Mitspracherecht bei der Einführung, da das Thema zunehmend politisiert wurde. 

Der Änderungsantrag folgt auf die Politisierung des europäischen Zertifizierungssystems für Cybersicherheit für Cloud-Dienste, bei dem die Europäische Kommission versuchte, höchst umstrittene Souveränitätsanforderungen einzuführen, die nichteuropäische Anbieter von großen Teilen des EU-Cloud-Marktes ausschließen würden.

Frankreich war das erste Land, das diesen Ausschluss ausländischer Cloud-Anbieter in seinem nationalen System SecNumCloud einführte. Binnenmarktkommissar Thierry Breton versuchte, diesen Ansatz auf EU-Ebene zu übernehmen, stieß dabei aber auf den starken Widerstand von eher marktfreundlichen Ländern wie den Niederlanden.

„Die Diskussion über Zertifizierungssysteme sollte eigentlich technischer Natur sein. Da sie nun politisch geworden ist, müssen wir uns auch einmischen“, sagte Bart Groothuis, der Renew-Europaabgeordnete, der den Änderungsantrag zusammen mit anderen einflussreichen Abgeordneten der Digitalpolitik vorgelegt hat.

Einer der Unterzeichner ist Andrus Ansip, der zu der Zeit, als das Cybersicherheitsgesetz vorgeschlagen wurde, EU-Kommissar für den digitalen Binnenmarkt war.

Inhalt der Änderungsanträge

Die folgenreichste Änderung besteht darin, dass die Einführung von Zertifizierungssystemen im Rahmen des Cybersicherheitsgesetzes von einem Durchführungsrechtsakt in einen delegierten Rechtsakt umgewandelt wird. Infolgedessen wäre das EU-Parlament, das derzeit nicht involviert ist, befugt, das System in vollem Umfang zu billigen oder abzulehnen.

Darüber hinaus sollte die Kommission vor der Verabschiedung der Systeme in Zusammenarbeit mit der EU-Agentur für Cybersicherheit ENISA eine Folgenabschätzung und eine öffentliche Konsultation durchführen und sich mit den relevanten Interessenvertretern und nationalen Vertretern beraten.

Bei der Bewertung der Zertifizierungssysteme muss die EU-Kommission auch die Effizienz der Verfahren berücksichtigen, die zur Konsultation, Vorbereitung und Einführung der Zertifikate führen.

Diese Änderungen sind Teil der endgültigen Kompromissänderungsanträge für den Vorschlag zu Managed Security Services, die am Mittwoch (25. Oktober) im Ausschuss für Industrie, Forschung und Energie angenommen werden sollen.

Der Vorschlag ist eine gezielte Änderung des Cybersicherheitsgesetzes, das die EU-Kommission im April zusammen mit dem Cybersolidaritätsgesetz vorgelegt hat. Das Cybersolidaritätsgesetz soll eine „Cyber-Reserve“ aus privaten, vertrauenswürdigen Anbietern einzurichten, die bei groß angelegten Cyberangriffen helfen können.

Geplant war, dass die vertrauenswürdigen Anbieter ein Zertifizierungssystem durchlaufen müssen, um in diese Cyber-Reserve aufgenommen zu werden und privilegierten Zugang zu öffentlichen Aufträgen zu erhalten. Damit hat die Kommission jedoch auf naive Weise denjenigen den Rücken gestärkt, die über die Art und Weise, wie sie Zertifizierungssysteme verwaltet, unzufrieden sind.

Im Mai veröffentlichte Euractiv einen neuen Entwurf des Systems, in dem vorgeschlagen wurde, die strengsten Souveränitätsanforderungen in eine neue Sicherheitsstufe aufzunehmen. Während Zertifizierungssysteme freiwillig sind, könnte die Kommission sie für Einrichtungen, die im Rahmen der überarbeiteten Richtlinie über Netze und Informationssysteme (NIS2) als kritische Infrastruktur für die EU-Wirtschaft gelten, zur Pflicht machen.

Dieser mehrstufige Ansatz wurde in einer neuen Version des Dokuments, die im August in Umlauf gebracht wurde, bestätigt, konnte aber die Meinungsverschiedenheiten immer noch nicht aus der Welt schaffen.

Gewinn an Zustimmung

Die Idee, die Spielregeln für Cybersicherheitszertifikate neu zu gestalten, hat im EU-Parlament an Zustimmung gewonnen. Nach der Verabschiedung durch den Ausschuss in dieser Woche ist nach Informationen von Euractiv nicht einmal eine Abstimmung im Plenum erforderlich, um die interinstitutionellen Verhandlungen zu beginnen.

„Nach der laufenden Diskussion über das Cloud-Zertifizierungssystem und zur Sicherstellung eines nachhaltigen Wachstums des Marktes für Managed Security Services in einer Zeit allgegenwärtiger Cyber-Bedrohungen wollen wir eine Botschaft aussenden, die lautet, dass das Europäische Parlament involviert sein möchte, um sicherzustellen, dass die Interessen der EU-Bürger in diesem Prozess vertreten werden“, sagte Josianne Cutajar, die sozialdemokratische Abgeordnete, die dieses Dossier leitet, gegenüber Euractiv.

Die Unterstützung für den Groothuis-Änderungsantrag sollte jedoch nicht mit einer vollständigen Ablehnung der Souveränitätsanforderungen im Cloud-System verwechselt werden. Für mehrere Abgeordnete geht es eher darum, wie die EU-Kommission die Systeme vorangetrieben hat, als um ihren Inhalt.

„Wir teilen die Ansicht, dass dieses Thema politisch geworden ist, und wollen daher, dass das Europäische Parlament ein Mitspracherecht hat“, sagte die konservative Abgeordnete Angelika Niebler (EVP).

Groothuis hingegen möchte noch einen Schritt weiter gehen und erklärt, dass diese Initiative auch einen Präzedenzfall darstellt: „Wenn man eine delegierte Befugnis missbraucht, wird das Parlament sie einem wieder wegnehmen.“

Nach Ansicht des niederländischen Abgeordneten sollten ENISA und die Kommission ihre Souveränitätsanforderungen aus dem Cloud-System zurückziehen.

Das EU-Parlament und der Rat neigen dazu, darüber zu diskutieren, ob sekundäre Gesetzgebung ein Durchführungsrechtsakt oder ein delegierter Rechtsakt sein sollte. In diesem Fall könnte der Text der Europaabgeordneten jedoch Unterstützung in der Koalition der Länder finden, die sich bisher gegen den Ansatz der Kommission ausgesprochen haben.

Die Kommission soll das Cybersicherheitsgesetz bis Juni 2024 und damit vor der EU-Wahl offiziell überprüfen.

[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]