Große europäische Branchenakteure wie Airbus, OVHcloud und Orange verurteilten in einem Brief, der Euractiv vorliegt, eine aktuelle Entscheidung der Europäischen Agentur für Cybersicherheit (ENISA), die Cloud-Anbieter nicht mehr nach ihrer Herkunft unterscheiden würde.
Die Cybersicherheitsagentur des Blocks, ENISA, die die Arbeit am EU-Cybersicherheitszertifizierungssystem (EUCS) koordiniert, hat beschlossen, in ihrem neuesten Entwurf vom 22. März, über den Euractiv berichtete, Verweise auf Souveränitätsanforderungen zu streichen.
Ziel des EUCS ist es, ein Zertifizierungssystem auf EU-Ebene zu schaffen, das Regierungen und Unternehmen in der Region dabei helfen soll, die Cybersicherheitsmerkmale eines bestimmten Cloud-Anbieters beim Kauf solcher Dienste zu bestimmen.
Das System legt je nach Sensibilität der verarbeiteten Daten unterschiedliche Schutzniveaus fest.
„Wir glauben, dass die Einbeziehung von Souveränitätsanforderungen notwendig ist, um die Marktfragmentierung zu überwinden“ und „die sensibelsten Daten europäischer Organisationen zu schützen“, schrieben die 18 Unterzeichner in dem offenen Brief.
In dem Brief werden die Mitgliedstaaten aufgefordert, „jedes abzulehnen.“ [EUCS] „Vorschlag“, der keine Souveränitätsbestimmungen enthält.
In dem Schreiben wird erneut darauf hingewiesen, dass Souveränitätsanforderungen wichtig sind, um dem Risiko eines unrechtmäßigen Datenzugriffs durch ausländische Regierungen zu begegnen. Daher schützen diese Bestimmungen auch die Privatsphäre der Nutzer, heißt es in dem Schreiben.
Die Bestimmungen werden von ihren Befürwortern als entscheidendes Instrument angesehen, um EU-Unternehmen und Regierungen vor den Befugnissen ausländischer Regierungen zu schützen.
Der Brief zitiert das chinesische National Intelligence Law und das US Cloud Act, vor denen europäische Cloud-Anbieter und -Nutzer geschützt werden sollten.
Diese Gesetze könnten nationalen Sicherheitsbehörden die Möglichkeit geben, auf Daten Dritter zuzugreifen, die von ihren einheimischen Unternehmen verwaltet werden.
Die Unterzeichner fügten hinzu, dass der aktuelle Entwurf der Regeln zu einer Marktfragmentierung führen werde, da die Verantwortung für die Definition souveräner Elemente bei den nationalen Regulierungsbehörden liegen werde.
Die Unternehmen wiesen darauf hin, dass das EUCS-System im Widerspruch zum EU-System stehe Gesetz zur Datenweitergabe; das Datengesetz.
Das Gesetz verbiete den unrechtmäßigen Zugriff ausländischer Regierungen auf nicht-personenbezogene Daten, betonten die Unterzeichner.
Die spezielle Arbeitsgruppe der ENISA soll am 15. April zusammenkommen, um das Cloud-Zertifizierungssystem zu besprechen.
Zu den Unterzeichnern gehörten der Energieversorger EDF, Dassault Systèmes, dem der Cloud-Dienstleister Outscale gehört, die Technologieunternehmen Sopra Steria und Capgemini sowie die Telekommunikationsunternehmen Deutsche Telekom, Telecom Italia und Proximus.
[Edited by Rajnish Singh]
