Da keine weiteren Treffen geplant sind, dürfte sich die Zertifizierung noch weiter verzögern.
Die Datenschutzvorkehrungen im geplanten EU-Zertifizierungssystem für Cloud-Dienste, EUCS, müssen verbessert werden, erklärte die französische Datenschutzbehörde CNIL in einer am späten Freitag (19. Juli) veröffentlichten Erklärung.
Diese Bedenken verstärken die Zweifel der französischen Regierung an dem seit langem überfälligen Programm, das den Schutz von IKT-Paketen, die auf dem EU-Markt verkauft werden, vor Cyberangriffen gewährleisten soll. Doch es kommt immer wieder zu Verzögerungen.
„In seiner gegenwärtigen Form erlaubt das europäische Zertifizierungssystem für Cloud-Dienste den Anbietern nicht mehr, nachzuweisen, dass sie gespeicherte Daten vor dem Zugriff durch eine ausländische Macht schützen“, erklärte die französische Datenschutzbehörde und verwies damit auf den Gegensatz zum französischen nationalen System.
„Die CNIL fordert, das Niveau des Schutzes personenbezogener Daten in dieser Zertifizierung durch die Wiedereinführung solcher Garantien zu verbessern“, hieß es weiter.
Laut CNIL sollten die in der EU gespeicherten Daten für die sensibelsten Informationen – etwa über das Gesundheitswesen, Kriminalität oder Kinder – nicht dem Risiko eines unbefugten Zugriffs durch Behörden von außerhalb der Union ausgesetzt sein.
Sackgasse
In den letzten Jahren entwickelten sich die Souveränitätsanforderungen des EUCS zu einem politischen Kampf.
Die Europäische Kommission hatte die europäische Agentur für Cybersicherheit, Enisa, bereits im Dezember 2019 gebeten, die Zertifizierung als sekundäre Rechtsvorschrift im Rahmen des Cybersecurity Act vorzubereiten.
Als der Regelentwurf ausgehandelt wurde, versuchte Frankreich, Cloud-Unternehmen außerhalb der EU vom Betrieb der sichersten Systeme auszuschließen.
Dadurch hätten die Pläne der EU mehr an ihr eigenes nationales Cloud-Zertifikat SecNumCloud angeglichen, aber es hätte auch erhebliche Auswirkungen, da die großen Anbieter – darunter AWS und Microsoft – allesamt Amerikaner sind.
Der Vorschlag Frankreichs stieß bei mehreren EU-Ländern und der Industrie auf starken Widerstand, da sie ihn als protektionistischen Schritt betrachteten. Seitdem konnte keine Einigung erzielt werden.
Die European Cybersecurity Certification Group – eine Expertengruppe aus Vertretern nationaler Zertifizierungsbehörden für Cybersicherheit – wartet noch immer auf Leitlinien der Kommission dazu, ob die Mitgliedstaaten zusätzlich zu den Souveränitätsregeln der EU weitere Souveränitätsregeln erlassen können, und es sieht so aus, als müssten sie sich noch etwas länger gedulden.
Das ursprünglich für Mitte Juli geplante Treffen zur Ausarbeitung des Textentwurfs habe nicht stattgefunden, sagte ein Sprecher der Kommission gegenüber Euronews, und derzeit sei auch kein neues Treffen geplant.
Wenn die Experten grünes Licht geben, wird die Kommission eine öffentliche Konsultation einleiten, bevor sie ihren Durchführungsakt veröffentlicht, der dann nach weiteren 18 Monaten in Kraft treten wird. Die anhaltende Verzögerung macht eine Einigung unter dem Mandat der derzeitigen Kommission, das Ende Oktober ausläuft, unwahrscheinlich.
Von den beiden anderen seit 2019 vorgeschlagenen Zertifikaten wurde bisher nur eines genehmigt, und zwar eines für grundlegende IKT-Produkte; ein weiteres für 5G ist noch in Bearbeitung.