Die Europäische Union erwägt, den Geltungsbereich der vorgeschlagenen Regeln für die Kennzeichnung der Cybersicherheit zu erweitern, die nicht nur Amazon, Alphabets Google und Microsoft, sondern auch Banken und Fluggesellschaften betreffen würden, wie aus dem jüngsten Entwurf der Regeln hervorgeht.

Der Vorstoß der EU, ein solches System einzurichten, kommt zu einem Zeitpunkt, an dem Big Tech auf den staatlichen Cloud-Markt blickt, um das Wachstum in den kommenden Jahren anzukurbeln, während ein potenzieller Boom im Bereich der künstlichen Intelligenz nach dem viralen Erfolg von OpenAIs ChatGPT auch die Nachfrage nach Cloud-Diensten ankurbeln könnte.

Der jüngste Vorschlag der EU-Cybersicherheitsbehörde ENISA betrifft ein EU-Zertifizierungssystem (EUCS), das für die Cybersicherheit von Cloud-Diensten bürgt und bestimmt, wie Regierungen und Unternehmen in der EU einen Anbieter für ihr Geschäft auswählen.

Das Dokument behält wichtige Bestimmungen aus früheren Entwürfen bei, z. B. die Anforderung, dass US-Tech-Giganten ein Joint Venture mit einem in der EU ansässigen Unternehmen gründen müssen, um sich für das EU-Cybersicherheitssiegel zu qualifizieren.

Eine weitere Bestimmung besagt, dass der Cloud-Service von der EU aus betrieben und gewartet werden muss, während alle Daten der Cloud-Service-Kunden in der EU gespeichert und verarbeitet werden müssen, wobei EU-Gesetze Vorrang vor Nicht-EU-Gesetzen in Bezug auf den Cloud-Service-Anbieter haben.

Diese Verpflichtungen gelten für die höchste Sicherheitsstufe, von denen es vier gibt. Der neueste Entwurf sieht die Möglichkeit vor, diese strengen Anforderungen auf die dritthöchste Sicherheitsstufe auszuweiten.

Die EU-Länder prüfen nun den jüngsten Entwurf, nach dem die Europäische Kommission eine endgültige Regelung annehmen wird.

Die Tech-Lobbygruppe CCIA sagte, dass eine Ausweitung des Geltungsbereichs eine größere Anzahl von Branchen betreffen würde.

"Der vielleicht auffälligste Teil dieses neuen Entwurfs ist, dass die ENISA nun vorschlägt, dass die Anforderungen, die ausländische Cloud-Anbieter diskriminieren, auch auf niedrigere Sicherheitsstufen ausgedehnt werden könnten", sagte Alexandre Roure, CCIA Europe's Public Policy Director.

"Das würde Banken, aber auch Fluggesellschaften, Versorgungsunternehmen und stark regulierte Sektoren einschließen", sagte er.

Die Europäische Bankenvereinigung (EBF) kritisierte am Dienstag gemeinsam mit der Europäischen Sparkassenvereinigung (ESBG), der Association for Financial Markets in Europe (AFME), der European Payment Institutions Federation (EPIF) und Insurance Europe die Souveränitätsanforderungen. (Berichterstattung von Foo Yun Chee; Bearbeitung durch Jonathan Oatis)