Zum Hauptinhalt
Flagge der Europäischen Union
DeutschDeutsch
Forum zur Europäischen Bürgerinitiative

Souveräne Kontrollzertifizierung der EU für kritische digitale Infrastrukturen

Autor: Nikitas Bastas |
Aktualisiert am: 08 June 2026 |
Anzahl der Ansichten: 617

Ziele der Initiative

Wir fordern die Europäische Kommission auf, Rechtsvorschriften innerhalb des EU-Rahmens für die Cybersicherheitszertifizierung, einschließlich der Verordnung (EU) 2019/881 oder eines Nachfolgegesetzes, vorzuschlagen oder zu unterstützen, um eine optionale, risikobasierte und gestaffelte EU-Zertifizierungskomponente für die staatliche Kontrolle kritischer digitaler Infrastrukturdienste zu schaffen.


Die Komponente sollte sich von der reinen Cloud-Cybersicherheitszertifizierung, der Cybersicherheitszertifizierung von Einrichtungen, Lieferantenbeschränkungen mit hohem Risiko und allgemeinen Instrumenten für das Lieferkettenrisiko unterscheiden und diese ergänzen. Sie sollte ein freiwilliges und überprüfbares Signal auf Dienstebene zur Resilienz der staatlichen Kontrolle liefern.


Sie sollte eine Bewertung der tatsächlichen Eigentumsverhältnisse und der materiellen Kontrolle vornehmen; EU-Gerichtsbarkeit und operative Kontrolle kritischer Funktionen; Rechtsrisiken oder Risiken der Unternehmenskontrolle aus Drittländern; wesentliche kritische Abhängigkeiten; Schutzmaßnahmen gegen unrechtmäßigen Zugang oder unrechtmäßige Eingriffe von Drittstaaten; unabhängige Prüfungen, Zuverlässigkeitsstufen und Neubewertung nach wesentlichen Änderungen.


Der zertifizierte Status sollte als objektives Beschaffungs- oder Transparenzkriterium verwendet werden können, wenn dies durch Cybersicherheit, Resilienz, Datenschutz, Dienstkontinuität oder die rechtmäßige Wahl der Nutzer gerechtfertigt ist.


Bestimmungen der Verträge, die Ihrer Ansicht nach für die vorgeschlagene Maßnahme relevant sind

Artikel 114 und 16 AEUV; gegebenenfalls Artikel 53 Absatz 1, Artikel 62 und Artikel 173 AEUV für die Harmonisierung des Binnenmarkts, den Datenschutz, die Cybersicherheitszertifizierung, den Handel mit Dienstleistungen, die Resilienz und die industrielle Wettbewerbsfähigkeit der EU.

Anlage zum Thema, zu den Zielen und zum Hintergrund der Initiative

Betreff


Diese Initiative betrifft eine optionale, risikobasierte und gestaffelte EU-Zertifizierungskomponente für die staatliche Kontrolle kritischer digitaler Infrastrukturdienste innerhalb des EU-Rahmens für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 oder einem Nachfolgegesetz.
 

Sie fordert kein Verbot ausländischer Anbieter, eine verpflichtende ausschließliche Nutzung durch die EU, Zensur, Vertragsänderungen oder digitale Isolierung. Er fordert einen rechtmäßigen, freiwilligen und überprüfbaren EU-Mechanismus, damit Bürgerinnen und Bürger, Unternehmen, Behörden und EU-Organe Dienste ermitteln können, die eine stärkere Widerstandsfähigkeit gegenüber Kontrollen außerhalb der EU, ausländischem Rechtsdruck, undurchsichtigen kritischen Abhängigkeiten und unrechtmäßigem Zugang zu Drittländern bieten.
 

Diese Initiative baut auf der Debatte über die EUCS-Cloud-Zertifizierung auf, unterscheidet sich aber von ihr. Das EUCS betrifft die Cloud-Cybersicherheitszertifizierung. Im Rahmen dieser Initiative wird eine breitere Rechtsgrundlage für ein Profil der staatlichen Kontrolle auf Dienstebene gefordert, das kritische digitale Infrastrukturen wie Cloud, Hosting, DNS, CDN, Zertifizierungsstelle, Identität und Authentifizierung, verwaltete Cybersicherheit und andere kritische IKT-Dienste abdeckt.
 

Bedarf und Rechtslücke


Das EU-Recht befasst sich bereits mit wichtigen Teilen des Problems. Die DSGVO schützt personenbezogene Daten. NIS2 stärkt die Cybersicherheitsaufgaben wesentlicher und wichtiger Einrichtungen. Das Datengesetz befasst sich mit dem rechtswidrigen staatlichen Zugang von Drittländern zu nicht personenbezogenen Daten, die in der Union von Datenverarbeitungsdienstleistern gespeichert sind. Mit dem Cybersicherheitsgesetz wird ein EU-Rahmen für die Cybersicherheitszertifizierung geschaffen.
 

Bestehende und vorgeschlagene Instrumente liefern jedoch nicht notwendigerweise ein klares, freiwilliges EU-Zertifizierungssignal für die Resilienz der staatlichen Kontrolle auf Ebene der Öffentlichkeit und der Dienste. Die technische Cybersicherheitszertifizierung, die Cybersicherheitszertifizierung von Einrichtungen, Instrumente für das Lieferkettenrisiko, Anbieterbeschränkungen mit hohem Risiko und reine Cloud-Systeme bieten für sich genommen keinen vergleichbaren Weg, um zu beurteilen, wer einen kritischen Dienst kontrolliert, welches Recht seine kritischen Funktionen erreichen kann und welche Abhängigkeiten die Kontinuität, Vertraulichkeit, Integrität oder den rechtmäßigen Zugang beeinträchtigen können.
 

Ein Dienst kann technisch sicher und rechtskonform sein, während er immer noch von Kontrollflugzeugen außerhalb der EU, Einfluss der Muttergesellschaft, rechtlichen Verpflichtungen von Drittländern, Fernverwaltung, Protokollierung, Telemetrie, DNS, CDN, Zertifizierungsstellendiensten, Identitätssystemen, Cloud-Diensten, Softwarelieferketten oder Unterauftragnehmern abhängt, die die Nutzer realistischerweise nicht inspizieren können.
 

Ziele

Die Kommission sollte Rechtsvorschriften vorschlagen oder unterstützen, um
 

1. Schaffung einer optionalen, risikobasierten und gestaffelten EU-Zertifizierungskomponente für die staatliche Kontrolle kritischer digitaler Infrastrukturdienste.
 

2. Bewertung des tatsächlichen Eigentums und der materiellen Kontrolle, einschließlich des wirtschaftlichen Eigentums, der Kontrolle durch die Muttergesellschaft, der Stimmrechte, des Einflusses des Leitungsorgans, der vertraglichen Kontrolle und anderer wesentlicher Einflüsse auf sicherheitsrelevante Entscheidungen oder kritische Operationen.
 

3. Bewertung der EU-Gerichtsbarkeit und operative Kontrolle kritischer Funktionen, einschließlich Datenverarbeitung, Schlüsselverwaltung, Protokollierung, Authentifizierung, Reaktion auf Vorfälle, Infrastrukturverwaltung, Aktualisierungsmechanismen und Fernverwaltung.
 

4. eine Bewertung der rechtlichen Verpflichtungen von Drittländern oder von Regelungen zur Unternehmenskontrolle zu verlangen, die geeignet sind, den Zugang, die Geheimhaltung, die Offenlegung, operative Eingriffe oder die Übertragung der Kontrolle über personenbezogene Daten, Metadaten, nicht personenbezogene operative Daten, Sicherheitsprotokolle, Verwaltungssysteme oder andere kritische Funktionen zu erzwingen.
 

5. Offenlegung wesentlicher kritischer Abhängigkeiten, soweit für den zertifizierten Dienst relevant, einschließlich Hosting-, Cloud-, Software-, Firmware-, DNS-, CDN-, Zertifizierungsstelle-, Identitäts-, Telemetrie-, Unterauftragnehmer- und Fernverwaltungsabhängigkeiten, die die Vertraulichkeit, Integrität, Verfügbarkeit, administrative Kontrolle, den rechtmäßigen Zugang oder die Kontinuität beeinträchtigen können.
 

6. Anforderung technischer, organisatorischer und rechtlicher Garantien gegen unrechtmäßigen Zugang oder unrechtmäßige Eingriffe aus Drittländern, einschließlich dokumentierter Bearbeitung von Zugangsanträgen, gerichtlicher Anfechtung, soweit möglich, privilegierter Zugangskontrollen, Auditprotokollen, Aufgabentrennung, Transparenzberichterstattung und gegebenenfalls EU-kontrollierter Schlüsselverwaltung.
 

7. Erfordern Sie unabhängige regelmäßige Prüfungen, Zusammenfassungen öffentlicher Prüfungen, messbare Sicherheitsniveaus, eine Neubewertung nach wesentlichen Änderungen und den Schutz von Geschäftsgeheimnissen, sensiblen Sicherheitsdetails und Verschlusssachen.
 

8. Zulassen, dass der zertifizierte Status als objektives Beschaffungs- und Markttransparenzkriterium verwendet wird, wenn dies durch Cybersicherheit, Resilienz, Datenschutz, Kontinuität wesentlicher Dienste, Bedürfnisse des öffentlichen Sektors oder die rechtmäßige Wahl der Nutzer gerechtfertigt ist.
 

Relevanz und Compliance
 

Die Initiative ist keine schwarze Liste und keine starre Datenlokalisierungsregel. Es handelt sich um einen Transparenz- und Sicherungsmechanismus. Sie sollte EUCS, NIS2, das Datengesetz, Maßnahmen der Cybersicherheitsversorgungskette und die künftige Cloud-Politik ergänzen, ohne sie zu ersetzen.
 

Sie unterstützt den Binnenmarkt, den Datenschutz, die Cybersicherheit, die Resilienz und die technologische Souveränität der EU und bleibt dabei freiwillig, verhältnismäßig, risikobasiert und mit offenen Märkten vereinbar. Sie achtet die Zuständigkeiten der Mitgliedstaaten, einschließlich der nationalen Sicherheit, und die Freiheit der Bürger und Einrichtungen, digitale Beziehungen zu Drittländern aufrechtzuerhalten.

Kategorien
1
Stimme

Kommentieren

Um Kommentare hinzuzufügen, müssen Sie sich authentifizieren oder registrieren.

Kommentare

EBI-Forum-Nutzer*in  | 21 May 2026

Hallo Nikitas,

Ich bin definitiv nicht in diesem Thema oder sogar EBIs als Ganzes erfahren, aber ich habe einige Gedanken, wenn Sie denken, dass sie helfen werden.

1. Es ist zwar ein großartiges Thema, aber es ist ziemlich terminologielastig. Es wäre schwierig, es nicht terminologieschwer zu machen, weil das hier wirklich das thema ist. Also, ich weiß nicht, wie ich helfen soll. Die Kommission wäre damit einverstanden, aber eine Million Unterschriften zu erhalten, könnte zu schwierig sein, wenn die Leute das Thema nicht verstehen.

2. Ich denke, es gab einen ähnlichen Vorschlag mit dem Europäischen System zur Cybersicherheitszertifizierung für Cloud-Dienste (EUCS). Ich bin mir nicht sicher, ob es ein erfolgreicher oder sogar ein aktiver Vorschlag ist, aber eine Erwähnung wäre gut, so dass die Kommission nicht antwortet, dass zumindest einige Ihrer Ziele bereits vom EUCS abgedeckt sind. Aber ich bin kein Tech-Typ, also sind die Vorschläge vielleicht ganz anders und ich habe es nicht auf einen Blick erkannt.

Denken Sie jedoch, dass dies eine gute Initiative ist, die funktionieren kann, aber vielleicht sind einige kleine Verbesserungen und weitere Hilfe von außen erforderlich.

Beste Wünsche und viel Glück

Nikitas Bastas | 22 May 2026

Ja, Sie haben Recht! Sie überschneidet sich nicht nur mit dem EUCS-Vorschlag, sondern auch mit bestehenden Gesetzen und Verordnungen, laufenden Debatten, EU-Zukunftsplänen zur digitalen Selbständigkeit etc. 

Gerade unter bestimmten geopolitischen Umständen wurde schließlich erkannt, dass die EU-Selbständigkeit nicht nur im digitalen Teil, sondern im weiteren Sinne nicht mehr ein "nice to have", sondern eine absolute Notwendigkeit ist.

Ein Grund, der diesen Vorschlag als bescheidenen Beitrag/Idee unterscheidbar und wertvoll machen könnte, ist die Forderung nach "einem freiwilligen, dienstleistungsbezogenen, risikobasierten, unabhängig geprüften Zertifizierungsprofil für die Resilienz der staatlichen Kontrolle bei kritischen digitalen Infrastrukturdiensten", aber nicht beschränkt auf Cloud-Dienste (EUCS).

Ein zweiter Grund könnte sein, dass dieser Vorschlag von den europäischen Bürgern gefordert wird - nicht von EU-Instrumenten, politischen Entscheidungsträgern, mikropolitisch voreingenommenen Personen. Aus dieser Perspektive kann sie ein klares Signal an die EU-Kommission senden, an die Sorge, die Skepsis, die viele EU-Bürger bereits gegenüber der hohen digitalen Abhängigkeit und Datenexposition von digitalen Gütern außerhalb der EU haben.

banner
Eine Initiative registrieren?

Eine Initiative unterstützen? Alles über laufende oder frühere Initiativen erfahren?

Mehr dazu auf dem Portal der Europäischen Bürgerinitiative!