Eine Einigung über das ausstehende EUCS-Programm könnte frühestens Ende Mai erfolgen.
Frankreichs Antrag auf rechtliche Klärung der bevorstehenden Cybersicherheitszertifizierung für Cloud-Dienste (EUCS) sei vom EU-Rat zurückgewiesen worden, sagte ein Sprecher gegenüber Euronews.
Der Mitte April übermittelte Antrag der Franzosen blockierte eine Einigung der nationalen Regierungen über das von der EU-Cyberagentur ENISA entworfene Zertifizierungssystem, das es Unternehmen ermöglichen würde, nachzuweisen, dass zertifizierte IKT-Lösungen das richtige Maß an Cybersicherheitsschutz für den EU-Markt bieten.
Frankreich wollte klarstellen, wie sich die Einführung des EUCS auf die Zukunft nationaler Systeme auswirken würde. Das Land verfügt über eine eigene inländische Sicherheitsqualifikation – SecNumCloud – die von der französischen Nationalen Agentur für Cybersicherheit (ANSSI) entwickelt wurde und die Robustheit von Cloud-Lösungen bei zunehmenden Cyberangriffen gewährleisten soll.
Der Sprecher des Rates sagte, dass es sich bei der für die Arbeit am Zertifizierungssystem zuständigen Expertengruppe nicht um ein Vorbereitungsgremium des Rates, sondern um eine von der Europäischen Kommission eingesetzte technische Expertengruppe handele, die sich allgemeiner mit der Umsetzung von Cyber-Regeln befasse. Die Rechtsabteilung des Rates kann daher nicht eingreifen, um eine Stellungnahme zu den Rechtsvorschriften abzugeben.
Sackgasse
Seit drei Jahren wird über eine freiwillige Zertifizierung von Cloud-Diensten diskutiert, nachdem die Europäische Kommission die ENISA 2019 mit der Ausarbeitung eines solchen Schemas beauftragt hatte.
EUCS könnte nun frühestens bei einem informellen Treffen der Expertengruppe im Mai oder Juni grünes Licht geben, wenn ein formelles Treffen geplant ist. Der Versuch vom letzten Monat, eine Einigung zu erzielen, scheiterte trotz des neuen Textentwurfs der ENISA, der darauf abzielte, einen Stillstand in den Verhandlungen zu überwinden.
Der jüngste Text hatte sogenannte Souveränitätsanforderungen weggelassen. Frankreich hat zuvor versucht, solche Anforderungen in den Text aufzunehmen, um Nicht-EU-Cloud-Unternehmen von der Qualifizierung für die höchsten Sicherheitsoptionen auszuschließen. Dieser Vorschlag stieß bei mehreren EU-Ländern und der Industrie auf heftigen Widerstand, da sie darin einen protektionistischen Schritt sahen.
Letzten Monat (10. April) forderten EU-Unternehmen, darunter der Flugzeughersteller Airbus sowie die Telekommunikationsunternehmen Orange und Deutsche Telekom, die 27 EU-Mitgliedstaaten in einem offenen Brief auf, Souveränitätsanforderungen in den Vorschlag aufzunehmen.
Die französische Cybersicherheitsbehörde reagierte nicht rechtzeitig zur Veröffentlichung auf eine Bitte um einen Kommentar.
