Die EU will ein Zertifizierungssystem für Cloud-Cybersicherheit (EUCS) einrichten. Die Luft- und Raumfahrt-, Sicherheits- und Verteidigungsindustrie haben dagegen Bedenken, die sie in einem geplanten Positionspapier äußern wollen, wie Vertreter gegenüber Euractiv mitteilten.
Das Zertifikationssystem war Gegenstand einer hitzigen Debatte über sogenannte Souveränitätsanforderungen. Die Bestimmungen hätten Anforderungen an den Sitz eines Unternehmens, die Gründung von Joint Ventures mit lokalen Firmen oder die Mehrheitsbeteiligung von EU-Investoren festlegen können, um die höchste Stufe der Cybersicherheitszertifizierung zu erreichen.
Das Zertifizierungssystem wird als Schlüsselfaktor für den Schutz kritischer europäischer Daten vor Drittstaaten in einer Zeit geopolitischer Spannungen angesehen.
Die Association of Space and Defence (ASD) vertritt laut eigenen Angaben 4.000 Unternehmen. In einem Positionspapier, das der Europäischen Kommission bereits zugesandt wurde und in Kürze veröffentlicht werden soll, fordert sie Bestimmungen zur Datenlokalisierung und vertragliche Garantien. Damit solle sichergestellt werden, dass Industriedaten nicht in fremde Hände fallen, erklärte Giorgio Mosca, Vorsitzender der ASD-Taskforce für Cybersicherheit, gegenüber Euractiv.
„Für uns ist das keine Frage der Souveränität. Vielmehr ist es eine Frage des Standorts. Man muss wissen, wo sich seine Daten befinden und eine höhere Garantie haben, dass man [ohne Störungen] auf sie zugreifen kann“, sagte Mosca.
Vertragliche Garantien würden EU-Unternehmen vor der extraterritorialen Reichweite von Gesetzen aus Drittstaaten schützen. Zudem würden sie sicherstellen, dass Cloud-Anbieter Daten nicht an ausländische Behörden weitergeben, erklärte er.
Große Industrie- und Technologieunternehmen hatten zuvor ähnliche Bedenken wie die Association of Space and Defence geäußert.
Eine Gruppe von Unternehmen, zu der auch Airbus gehört, hat Anfang Juni ein ähnliches Schreiben veröffentlicht, das derzeit für Unterschriften verbreitet wird.
„Wir wissen, dass von uns in der neuen europäischen Strategie für die Verteidigungsindustrie gewisse Garantien verlangt werden“, so Mosca. Dazu gehöre auch eine Regelung für die Sicherheitsversorgung, über die noch diskutiert werde.
Damit die Verteidigungsindustrie in der Lage sei, die Sicherheit ihrer Lieferkette zu gewährleisten, benötige sie „ein gewisses Maß an Kontrolle“ darüber, wie sie ihre Beziehungen zu ihren Auftragnehmern verwalte. Dies umfasse heutzutage unweigerlich auch Daten und die Cloud, sagte er.
Die Verteidigungsindustrie ist besonders besorgt über den potenziellen Diebstahl von geistigem Eigentum oder Sicherheitsprobleme bei ihren Industrie- und Lieferkettendaten, erklärte Mosca.
Die eigene Souveränität wählen
Es könnte jedoch zu spät sein, da die Souveränitätsanforderungen voraussichtlich Anfang Juli auf einer Sitzung der Europäischen Gruppe für Cybersicherheitszertifizierung (ECCG) erörtert werden. Diese setzt sich aus Experten der Cybersicherheitsbehörden der Mitgliedstaaten zusammen und wird von der EU-Kommission beaufsichtigt.
Die Souveränitätsanforderungen werden für das Zertifizierungssystem voraussichtlich keine Rolle spielen und auch nicht in den Durchführungsrechtsakt der Kommission aufgenommen werden, teilte eine mit der Angelegenheit vertraute Quelle unter der Bedingung der Anonymität Euractiv mit.
Auch nach der Fertigstellung des Entwurfs muss das System noch einige Hürden innerhalb der Kommission und des Europäischen Parlaments überwinden, bevor es verabschiedet wird.
Dennoch können die Mitgliedstaaten ihre eigenen Regeln aufstellen, um die Datensouveränität außerhalb des Systems zu gewährleisten.
Große Unternehmen wie Amazon Web Services und Oracle haben Pläne für eine „souveräne Cloud“ für EU-Staaten angekündigt. Diese sollen unabhängig vom Rest ihrer Infrastruktur betrieben werden und die Daten verbleiben dabei innerhalb der Grenzen des jeweiligen Landes.
Viele Unternehmen des Verteidigungssektors arbeiten in mehreren Mitgliedstaaten. Sie verfügen zunehmend über harmonisierte Regeln, die dazu beitragen könnten, die regulatorische Belastung zu verringern, so Mosca. Dies war zum Teil der Grund für die Schaffung eines EU-weiten Systems.
„Die Verlagerung der Verantwortung für die Festlegung von Anforderungen auf die nationale Ebene würde unweigerlich zu [Divergenzen] führen“, heißt es im Positionspapier der Association of Space and Defence, das Euractiv vorliegt.
[Bearbeitet von Kjeld Neubert]