Es ist längst keine Neuigkeit mehr, dass die Cloud mit Blick auf die kontinuierlich wachsende Menge an zu speichernden und verarbeitenden Daten zu einem unverzichtbaren Treiber für Innovation, Sicherheit und Effizienz geworden ist. Daher sind die Arbeiten der EU an einem Standard zur Cybersicherheitszertifizierung für Clouddienste (EUCS) mit dem Ziel, die sichere Cloudnutzung im Binnenmarkt voranzutreiben, eine Initiative, die von der europäischen Wirtschaft aktiv unterstützt wird.
Ausgestattet mit einem Mandat aus dem Cybersecurity Act, definieren Expertinnen und Experten der Mitgliedstaaten und der Industrie einen Anforderungskatalog, der Cloudnutzer in die Lage versetzen soll, Services und Dienstleister auszuwählen, die den Sicherheitsansprüchen ihres Anwendungsfalles entsprechen.
Im Kontext dieses technischen Zertifizierungsstandards entzündete sich zuletzt die Diskussion vor allem an sogenannten Immunitätskriterien, die Daten vor Zugriff aus und durch Drittstaaten schützen sollen. Diese würden für das höchste Sicherheitsniveau nicht nur technische Anforderungen wie Datenlokalisierung mit sich bringen. Zusätzlich müssten nach aktuellem Stand bspw. Verträge unter dem Recht eines Mitgliedstaates abgeschlossen werden und Cloudanbieter mit ihrem Hauptsitz in der EU ansässig sein. Nicht zuletzt müsste jegliche Kontrolle aus Drittstaaten ausgeschlossen sein, finanziell wie operativ.
Die praktischen Auswirkungen des EUCS scheinen signifikant: Zwar ist eine Zertifizierung zunächst freiwillig, allerdings enthalten diverse Rechtsakte wie die NIS2 und auch der Cybersecurity Act selbst heute bereits Optionen für ein zukünftige Pflicht zur Nutzung zertifizierter Clouddienste. Ebenfalls nicht zu unterschätzen ist eine faktische Bindungswirkung, die sich für regulierte Industrien aus Erwartungen der Aufsicht oder Reputationsgesichtspunkten ergeben kann. Durch einen weit gefassten Cloudbegriff sind längst nicht nur Infrastrukturdienste (IaaS), sondern auch cloudbasierte Softwareapplikationen umfasst. Dazu stellt sich grundsätzlich die Frage, ob und inwieweit
„souveräne“ Cloudangebote, die sich am Markt etablieren, den Anforderungen genügen können, wie internationale Zusammenarbeit möglich sein wird und ob eine „immune“ Lösung per se höherer Sicherheit entspricht.
Es ist verständlich und notwendig, in der aktuellen geopolitischen Lage ein gemeinsames Zielbild politischer und juristischer Souveränität auch und gerade mit Blick auf Schlüsseltechnologien zu entwickeln und zu verfolgen. Dennoch stellt sich die Frage, ob ein Implementierungsrechtsakt in Form eines technischen Standards der richtige Ort für politische Entscheidungen dieser Dimension ist.
Eines ist jedoch klar: die Relevanz technischer Standards auch aus politischer Perspektive wächst und aktive Beteiligung der Stakeholderinnen und Stakeholder ist wichtiger denn je.