Der neue Textentwurf baut auf Vorschlägen Belgiens auf.
WERBUNGUnternehmen könnten die Genehmigung der Cybersicherheitszertifizierung für Cloud-Dienste (EUCS) bis zum 15. April erhalten, nachdem die EU-Cybersicherheitsagentur ENISA einen neuen Textentwurf veröffentlicht hatte, der darauf abzielt, einen aktuellen Stillstand in den Verhandlungen zu überwinden.
Seit drei Jahren wird über ein freiwilliges Zertifizierungssystem für Cloud-Dienste diskutiert, nachdem die Europäische Kommission die ENISA 2019 mit der Ausarbeitung eines solchen Systems beauftragt hatte. Damit könnten Unternehmen nachweisen, dass zertifizierte IKT-Lösungen das richtige Maß an Cybersicherheitsschutz für den EU-Markt bieten.
Laut dem Euronews vorliegenden Textentwurf vom 22. März verzichtet der aktuelle Vorschlag auf sogenannte Souveränitätsanforderungen.
„Das EUCS ist ein technisches Tool, das dazu dient, Kunden Informationen bereitzustellen und ihnen zu ermöglichen, fundierte Entscheidungen zu treffen“, heißt es im neuen Text.
„Daher erzwingt das EUCS keine Beschränkungen hinsichtlich des geografischen Standorts von Daten oder der Verarbeitung oder der geltenden Gesetze; Es erfordert jedoch, dass der Cloud-Dienstanbieter diese Informationen auf allen Bewertungsebenen transparent macht […]“, heißt es im Text.
Nicht-EU-Unternehmen
Dies geschah, nachdem Belgien, das in der ersten Hälfte dieses Jahres den Vorsitz bei den EU-Ministertreffen innehat, in einem im Februar verbreiteten Textentwurf genau dies vorgeschlagen hatte, wie Euronews berichtete.
In dem belgischen Papier wurde vorgeschlagen, Cloud-Anbietern außerhalb der EU wie Amazon Web Services und Microsoft die Möglichkeit zu geben, sich auf höchstem Niveau zertifizieren zu lassen und uneingeschränkten Zugang zum EU-Markt zu erhalten, unbeschadet möglicher zusätzlicher nationaler Souveränitätsanforderungen für einige Unternehmen.
Für einige Länder, darunter Frankreich, widersprachen die bisherigen Texte den bestehenden nationalen Gesetzen. Das Land versuchte, Souveränitätsanforderungen in den Text aufzunehmen, um Cloud-Unternehmen außerhalb der EU von der Qualifizierung für die höchsten Sicherheitsoptionen auszuschließen.
Dieser Vorschlag stieß bei mehreren EU-Ländern und der Industrie auf heftigen Widerstand, da er darin einen protektionistischen Schritt sah.
Das nächste Treffen der Expertengruppe zum EUCS ist für den 15. April angesetzt und Ziel ist es, dass sich die Mitgliedstaaten dann auf den Text einigen. Anschließend kann mit dem Prozess des Durchführungsrechtsakts begonnen werden.
Von den beiden anderen von der Kommission seit 2019 vorgeschlagenen Zertifikaten wurde nur eines genehmigt, und zwar für grundlegende IKT-Produkte; ein weiteres zu 5G ist noch in Arbeit.