Frankreich hinterfragt neuestes EU-Zertifizierungsschema für Cloud-Dienste
Frankreich hat Sicherheitsbedenken gegenüber dem neuesten EU-Zertifizierungssystem für Cloud-Dienste (EUCS) geäußert. Das System ermöglicht es den Mitgliedstaaten, nationale Anforderungen in Bezug auf Cybersicherheit festzulegen.
Frankreich hat Sicherheitsbedenken gegenüber dem neuesten EU-Zertifizierungssystem für Cloud-Dienste (EUCS) geäußert. Das System ermöglicht es den Mitgliedstaaten, nationale Anforderungen in Bezug auf Cybersicherheit festzulegen.
Die EUCS zielt darauf ab, die Cloud-Sicherheitsanforderungen in der EU zu harmonisieren, und der jüngste Vorschlag der EU-Cybersicherheitsagentur ENISA, der Euractiv vorliegt, verwendet einen dreistufigen Ansatz.
Die Sorgen Frankreichs gehen aus einem durchgesickerten Brief an den Juristischen Dienst der Europäischen Kommission hervor.
Es ist unklar, welcher Teil der französischen Behörden den Brief verfasst hat, der auf der Kurznachrichtenplattform X veröffentlicht wurde. Eigentlich fällt es in den Aufgabenbereich die Ständige Vertretung Frankreichs bei der EU, sich an den Juristischen Dienst der Kommission zu wenden.
Die Ständige Vertretung Frankreichs lehnte es ab, den Brief zu kommentieren.
Zusätzliche Anforderungen
Französische Politiker haben sich für zusätzliche Anforderungen eingesetzt, darunter etwa 2.000 Cybersicherheitsanforderungen auf der dritten Ebene dieses neuen EU-Systems.
Diese hoheitlichen Anforderungen würden Unternehmen mit Sitz in einem EU-Mitgliedstaat dazu verpflichten, die höchste Zertifizierungsstufe zu erreichen. Dies würde den Verkauf von Dienstleistungen an öffentliche oder private Einrichtungen ermöglichen, die mit hochsensiblen Daten umgehen.
Sie argumentieren, dass es wichtig sei, strategisch wichtige europäische Daten vor der extraterritorialen Reichweite US-amerikanischer und chinesischer Gesetze zu schützen.
Deutschland unterstützte den Vorschlag zunächst, wechselte dann aber die Seite und schloss sich Irland, der Slowakei, den Niederlanden und anderen kleineren Ländern an, die den Vorschlag ablehnten.
Ihrer Ansicht nach würden diese Anforderungen kleinere Staaten von erstklassigen Cloud-Diensten ausschließen, die hauptsächlich von Unternehmen mit Sitz in den USA gemietet werden.
Um die beiden gegensätzlichen Standpunkte zu vereinen, erlaubt der jüngste EUCS-Vorschlag den Staaten, ihre eigenen Standards zusätzlich zu den vom System vorgeschriebenen festzulegen.
Dies würde es Frankreich und gleichgesinnten Staaten ermöglichen, ihre eigenen souveränen Anforderungen zu definieren.
In dem durchgesickerten Dokument scheinen die Franzosen auch diese Lösung abzulehnen.
Sie versuchen auch, einige wichtige Punkte des jüngsten EUCS-Entwurfs zu klären, die über das Zertifizierungssystem selbst hinausgehen.
Der Juristische Dienst der Kommission habe den Mitgliedstaaten zuvor mitgeteilt, dass der Cybersecurity Act 2019 (CSA) nicht die extraterritoriale Reichweite von Nicht-EU-Staaten abdecke, heißt es in dem Schreiben. Der CSA forderte Zertifizierungssysteme für Cybersicherheit wie das EUCS.
Die französischen Verfasser des Schreibens bitten den Juristischen Dienst, diese Einschätzung der CSA zu bestätigen.
Sie stellen auch die Frage, ob das Cybersicherheitsgesetz und das EUCS tatsächlich darauf abzielen, die Standards zu vereinheitlichen und nicht zu spalten, was darauf hindeuten könnte, dass die derzeitige Lösung zu einer Fragmentierung der Regeln innerhalb der Union führen könnte.
Frankreich möchte bekräftigen, dass es seine eigenen Souveränitätsanforderungen definieren kann, auch wenn diese nicht Teil des EUCS sind.
Es möchte aber auch über die nationale Sicherheit hinausgehen und die strengsten Kriterien „in sehr spezifischen Fällen […] in Bezug auf bestimmte Kategorien sensibler Daten“ anwenden.
EU-Cloud-Anbieter und große Unternehmen haben auch argumentiert, dass der jüngste Vorschlag zu einer Fragmentierung des Marktes führen wird.
[Bearbeitet von Alice Taylor/Kjeld Neubert]
