DATEV Informationsbüro Brüssel, Mitteilung vom 08.01.2021
Die ENISA veröffentlichte den Entwurf des European Union Cybersecurity Certification Scheme on Cloud Services (EUCS) am 22.12.2020, dessen Erarbeitung bereits im Cybersecurity Act beschlossen wurde. Die EU-Kommission bittet um Stellungnahmen der Öffentlichkeit bis zum 07.02.2021.
Das übergeordnete Ziel des ausgearbeiteten Zertifikationsschemas für Cybersicherheit ist es, die Bedingungen des EU-Binnenmarkts für Cloud Service Provider (CSP) und Nutzer durch die Harmonisierung von EU-Vorschriften, internationalen Standards, bewährten Praktiken, sowie bestehenden Zertifizierungen der EU-Mitgliedstaaten zu verbessern.
Cloud-Dienste finden zunehmende Anwendung bei europäischen Bürgern und Unternehmen. Daher ist ihre Sicherheit für das Funktionieren des digitalen Binnenmarktes, sowie für den freien Datenfluss und die Wettbewerbsfähigkeit der EU von wesentlicher Bedeutung.
Der Entwurf des EUCS Schemas sieht eine freiwillige Zertifizierung vor, die für alle EU-Mitgliedstaaten identisch sein soll. Zudem sollen alle Arten der Cloud-Dienste zertifiziert werden können. Weiterhin sollen Sicherheitsanforderungen definiert werden, die die drei Sicherheitsstufen Basic, Substantial und High abdecken. Dabei ist der neue Ansatz von bereits bestehenden nationalen und internationalen Standards inspiriert und enthält einen Übergangspfad von nationalen Systemen zu dem einheitlichen europäischen Schema. Die Zertifizierung soll für drei Jahre gültig und erneuerbar sein. Sie enthält zusätzliche Transparenzanforderungen wie den Ort der Datenverarbeitung und -speicherung und soll so das Vertrauen der Nutzer in den Cloud-Anbieter steigern. Für bestimmte Branchen sind zusätzliche Anforderungen möglich.
Die Anforderungen an die Cloud-Dienste orientieren sich an den C5-Kriterien des BSI, an den SecNumCloud-Anforderungen der französischen Behörde ANSSI, der Arbeit des CSP-CERT und an den ISO/IEC 27000-Normen.
Quelle: DATEV eG Informationsbüro Brüssel