Von drei seit 2019 vorgeschlagenen Zertifikaten wurde nur eines genehmigt, zwei weitere sind noch in Bearbeitung.
Laut einem Dokument des nationalen Zentrums für Cybersicherheit, das Euronews vorliegt, versucht Belgien, den politischen Stillstand bei einem EU-Cybersicherheits-Zertifizierungssystem für Cloud-Dienste zu überwinden, indem es vorschlägt, Souveränität von funktionalen Anforderungen zu trennen. Die nationalen EU-Regierungen und die Europäische Kommission führen seit drei Jahren Gespräche zu diesem Thema.
Im Dezember 2019 forderte die Kommission die Cybersicherheitsagentur ENISA der Union auf, ein freiwilliges Cybersicherheits-Zertifizierungssystem für Cloud-Dienste (EUCS) auszuarbeiten, mit dem Unternehmen nachweisen können, dass zertifizierte IKT-Lösungen das richtige Maß an Cybersicherheitsschutz für den EU-Markt bieten.
EUCS wurde Gegenstand einer politischen Debatte, als Frankreich versuchte, Souveränitätsanforderungen in den Text aufzunehmen, um Cloud-Unternehmen außerhalb der EU von der Qualifizierung für die höchsten Sicherheitsoptionen auszuschließen. Dieser Vorschlag stieß bei mehreren EU-Ländern und der Industrie auf heftigen Widerstand, da sie ihn als protektionistischen Schritt empfanden, und seitdem wurde keine Einigung erzielt. Das nächste Treffen der EUCS-Expertengruppe ist für März geplant.
Belgien, das im ersten Halbjahr 2024 den Vorsitz bei den Treffen der EU-Minister führt, schlägt nun vor, funktionale Anforderungen von Souveränitätserklärungen zu trennen. Beide würden weiterhin in das System einbezogen, jedoch mit einem anderen Ansatz und Status.
Das Land schlägt vor, tatsächlich nur die funktionalen Sicherheitsanforderungen zu zertifizieren, während Souveränitätserklärungen im International Company Profile Attestation (ICPA) deklariert würden, und dies nur für die höchste Zertifizierungsstufe. Dies würde ein gewisses Maß an Harmonisierung auf EU-Ebene ermöglichen und gleichzeitig den 27 Mitgliedstaaten die Möglichkeit geben, ihre nationalen Souveränitätsanforderungen nur für die sensibelsten Anwendungsfälle umzusetzen.
In dem Papier wird behauptet, dass dieses vorgeschlagene EUCS-Zertifikatsystem „nicht-EU-Cloud-Anbietern die Zertifizierung auf höchstem Niveau und den uneingeschränkten Zugang zum EU-Markt vollständig ermöglichen würde, was den Wettbewerb bei allen Ausschreibungen ermöglichen würde, für die eine ‚Hoch‘-Zertifizierung obligatorisch gemacht werden könnte. unbeschadet möglicher zusätzlicher nationaler Souveränitätsanforderungen für einige Einheiten.“
Dieser Ansatz würde auch „einen freien Markt und einen maßgeschneiderten Ansatz für ein unterschiedliches Risikoniveau ermöglichen, abhängig von der potenziellen geopolitischen Bedrohung“.
ENISA
Von den beiden anderen seit 2019 vorgeschlagenen Zertifikaten wurde nur eines genehmigt, und zwar für grundlegende IKT-Produkte; ein weiteres zu 5G ist noch in Arbeit.
Euronews berichtete Anfang des Monats (20. Februar), dass die Kommission Feedback von der Industrie und den nationalen Regierungen zur Funktionsweise, Effizienz und zum Arbeitsumfang der ENISA einholt.
Ziel des Fragebogens ist es, die Arbeitspraktiken der ENISA sowie die mögliche Notwendigkeit einer Änderung des Mandats der Agentur und etwaige finanzielle Auswirkungen zu bewerten.
Der Schritt erfolgt, da der Cybersecurity Act (CSA) der EU, der 2019 in Kraft trat und der ENISA den Auftrag erteilte, die Umsetzung EU-weiter Cybersicherheitsvorschriften zu überwachen, diesen Sommer zur Überprüfung ansteht.
