EU-Kommission will ein Zertifizierungssystem für die Sicherheit von Cloud-Diensten erarbeiten

Im Rahmen des Cybersecurity Acts wurde die Europäische Agentur für Cybersicherheit (ENISA) am 02.12.2019 von der EU-Kommission damit beauftragt, ein einheitliches europäisches Zertifizierungssystem für die Sicherheit von Cloud-Diensten zu entwickeln (
Cybersecurity certification: lifting the EU into the cloud
). Dadurch soll ein freier Fluss nicht personenbezogener Daten innerhalb der EU ermöglicht werden, was schließlich zu einem uneingeschränkten und grenzübergreifenden Transfer von Daten führen soll. Die Sicherheitszertifizierung von Cloud-Dienten soll auch zu mehr Vertrauen und Rechtssicherheit bei grenzüberschreitenden Datenverarbeitungen führen.

Eine EU-Arbeitsgruppe legte Anfang Juni 2019 umfangreiche
Empfehlungen
für die Entwicklung dieses Zertifizierungssystems vor.

Am 05.12.2019 veröffentlichte DigitalEurope eine
Stellungnahme
zu den Empfehlungen. Grundsätzlich unterstützt der Digitalverband die Idee eines europäischen Zertifizierungssystems, um fragmentierte Parallelstrukturen auf ein EU-weites System zu reduzieren. DigitalEurope fordert jedoch, dass bereits bestehende internationale Normen vorrangig behandelt werden müssen. Sollte es Lücken in den Normungssystemen geben, sollten diese mit dem Ziel einer internationalen Anerkennung geschlossen werden. Ferner sollten bereits bestehende nationale Regelungen innerhalb der EU anerkannt werden. Der Verband schlägt zudem die Einführung von aufeinander aufbauender Sicherheitsniveaus vor, um verschiedenen Sicherheitsanforderungen gerecht zu werden. Ein mögliches Zertifizierungssystem soll DigitalEurope zufolge zudem sektorspezifische Anforderungen berücksichtigen. Eine potenzielle Datenlokalisierung lehnt der Digitalverband hingegen ab.

ENISA wird nun auf Grundlage der Empfehlungen und den Stellungnahmen der Interessensgruppen einen Vorschlag für ein einheitliches Zertifizierungssystem unterbreiten.