Glossar · EU-Cybersicherheit EUCS (European Cybersecurity Certification Scheme for Cloud Services)
Vorgeschlagenes EU-weites Cybersicherheits-Zertifizierungsschema für Cloud-Dienste, das nationale Ansätze harmonisieren und gemeinsame Assurance-Stufen definieren soll. Wegen Souveränitätsanforderungen politisch umstritten; 2026 weiterhin in Entwicklung.
## Was EUCS tatsächlich ist
EUCS — European Cybersecurity Certification Scheme for Cloud Services — ist ein vorgeschlagener EU-weiter Zertifizierungsrahmen, der nach dem **EU Cybersecurity Act (2019)** entwickelt wird. Er soll eine einheitliche, harmonisierte Möglichkeit bieten, mit der Cloud-Anbieter Cybersicherheits-Assurance in der gesamten EU nachweisen können, und damit den derzeitigen Flickenteppich nationaler Schemata ([Cloud de Confiance](/de/glossary/cloud-de-confiance/), [BSI C5](/de/glossary/bsi-c5/), italienisches ACN, spanisches ENS usw.) ersetzen.
EUCS wird von der **ENISA** (EU-Agentur für Cybersicherheit) in Abstimmung mit den Mitgliedstaaten entwickelt. Anfang 2026 ist das Schema **noch nicht finalisiert** — es ist seit etwa 2022 politisch umstritten, vor allem darüber, wie streng seine höchste Assurance-Stufe Souveränität verlangen soll.
## Vorgeschlagene Struktur
EUCS definiert **drei Assurance-Stufen**:
### Basic
Selbstbewertung oder Verifizierung durch eine Konformitätsbewertungsstelle. Geeignet für Cloud-Dienste mit geringem Risiko. Der Anbieter erklärt die Einhaltung der EUCS-Basic-Kriterien.
### Substantial
Drittauditierung anhand strengerer Controls. Grob äquivalent zu ISO 27001 + 27017 als Basis. Geeignet für allgemeine Geschäfts-Workloads.
### High
Am strengsten. Drittauditierung mit kontinuierlicher Überwachung. Etwa das Niveau, das für regulierte Workloads, sensible Daten des öffentlichen Sektors und Betreiber wesentlicher Dienste nach [NIS2](/de/glossary/nis2/) erforderlich ist.
Der politische Streit drehte sich vor allem darum, was 'High' in puncto Souveränität verlangen sollte.
## Die Souveränitätskontroverse
Der ursprüngliche Entwurf (2022) von EUCS High enthielt **Souveränitätsanforderungen**, die im Wesentlichen dem französischen SecNumCloud / Cloud de Confiance ähnelten: Der Anbieter musste strukturell immun gegen Recht außerhalb der EU sein (insbesondere US-CLOUD-Act und chinesische nationale Sicherheitsverpflichtungen).
**Frankreich, Spanien, Italien und Deutschland** unterstützten zunächst strenge Souveränitätskriterien auf der High-Stufe. **Irland, die Niederlande, Schweden, Polen und die nordischen Länder** lehnten dies mit der Begründung ab, dass:
1. Souveränitätskriterien protektionistisch sind (US-Hyperscaler werden absichtlich ausgeschlossen)
2. Cybersicherheits-Zertifizierung sich auf *Sicherheit*, nicht auf rechtliche Zuständigkeit beziehen sollte
3. Der Ausschluss von Hyperscalern die Käuferauswahl verringert
Es zirkulierten mehrere überarbeitete Entwürfe. Einige strichen Souveränität ganz aus High; andere verschoben sie auf eine separate optionale Ebene; wieder andere behielten weichere Versionen bei. Stand 2026 ist das Schema nicht verabschiedet, und die Souveränitätsfrage bleibt der wichtigste Blocker.
## Warum EUCS wichtig ist
### 1. Einheitlicher EU-Markt für Cloud-Zertifizierung
Sobald finalisiert, würde EUCS die nationalen Schemata durch eine einzige EU-weite Qualifikation ersetzen — ein erheblicher Rückgang des Compliance-Aufwands für Cloud-Anbieter.
### 2. Standard-Cybersicherheitsbasis unter NIS2
Wesentliche und wichtige Einrichtungen nach NIS2 werden EUCS zunehmend als kanonischen Weg ansehen, um die Sicherheit von Cloud-Anbietern nachzuweisen. Bis EUCS finalisiert ist, verlassen sie sich auf nationale Schemata.
### 3. Die Souveränitätsdebatte ist selbst die Geschichte
Der mehrjährige Streit offenbart die EU-Cloud-Politik. Souveränitätsbefürworter wollen regulatorische Werkzeuge, um Hyperscaler-Exposition sichtbar und wählbar zu machen. Hyperscaler-freundliche Staaten wollen wettbewerbsfähige Märkte ohne rechtlichen Protektionismus. Das Endergebnis wird die EU-Cloud-Landschaft für ein Jahrzehnt prägen.
### 4. Auswirkungen auf andere Regelungen
EUCS-Denken beeinflusst den [Cyber Resilience Act](/de/glossary/cyber-resilience-act/), die Sicherheitsbestimmungen des AI Acts und die Sicherheitsanforderungen des Data Acts.
## Aktueller Stand (Stand 2026)
- **Mehrere Entwürfe** zirkulierten seit 2022
- **Keine endgültige Verabschiedung**
- **Nationale Schemata bleiben** die operative Realität
- **Cloud de Confiance und BSI C5 behalten ihre Vorrangstellung** in ihren jeweiligen Märkten
- **Laufende politische Verhandlungen** auf EU-Ebene
Das Schema ist nicht offiziell aufgegeben, aber die Fortschritte verlaufen langsam.
## Was die Finalisierung von EUCS in der Praxis bedeuten würde
### Wenn High starke Souveränität enthält
- Hyperscaler müssen über europäisch kontrollierte Joint Ventures (S3NS-/Bleu-Muster) operieren, um High zu erreichen
- Souveränitätshüllen nach französischem Vorbild werden zur EU-weiten Erwartung für regulierte Workloads
- Echte europäische Cloud-Anbieter (OVHcloud, Hetzner, Scaleway, Open Telekom Cloud) erlangen einen Wettbewerbsvorteil bei als High klassifizierten Beschaffungen
### Wenn High auf Souveränität verzichtet
- Hyperscaler (AWS, Azure, Google) können sich direkt für High qualifizieren
- Nationale Souveränitätsschemata (Cloud de Confiance) bleiben *strenger* als EUCS High
- Käufer auf der Suche nach Souveränität blicken über EUCS hinaus auf nationale Schemata
### Wenn High Souveränität als optionale Ebene verlangt
- Standard-High ist für Hyperscaler erreichbar
- 'EUCS High + Souveränität' wird zur vermarkteten Stufe für sensible Workloads
- Kompromiss, den niemand liebt, aber alle tolerieren
Das dritte Ergebnis erscheint Stand 2026 am wahrscheinlichsten.
## EUCS vs. verwandte Schemata
| Schema | Umfang | Souveränität |
|--------|-------|-------------|
| EUCS (vorgeschlagen) | EU-weite Cloud-Cyber | Umstritten |
| Cloud de Confiance | Französische souveräne Cloud | Streng |
| BSI C5 | Deutsche Cloud-Sicherheitsbasis | Weich (dokumentiert Exposition) |
| SOC 2 | International allgemein | Keine |
| ISO 27001/27017/27018 | Internationale Cloud | Keine |
## Praktische Implikationen
Für europäische Tech-Käufer im Jahr 2026:
- **EUCS ist noch nicht operativ**; verlassen Sie sich auf nationale Schemata
- **Beobachten Sie die Lösung der Souveränität auf High-Ebene** — sie zeigt, wohin sich die EU-Cloud entwickelt
- **Die EU-Cloud-Joint-Ventures der Hyperscaler** (S3NS, Bleu, Numspot) setzen auf strenge Souveränität
- **Für hochsensible Workloads heute**: Nutzen Sie nationale Schemata, die bereits Souveränität bieten (Cloud de Confiance)
- **Für allgemeine Workloads**: ISO 27001/27017 + C5 ist die Arbeitsgrundlage, bis EUCS kommt
## Was 2026-2027 bringt
- **Fortgesetzte politische Verhandlungen** auf Rats- und Kommissionsebene
- **Mögliche Finalisierung** von EUCS in 2026 oder 2027
- **Mitgliedstaaten bereiten Umsetzung vor** ungeachtet der endgültigen Form
- **Hyperscaler-Positionierung** über europäische JV-Strukturen geht weiter
EUCS bleibt der wichtigste unerledigte Punkt in der EU-Cloud-Regulierung.
War das hilfreich?
Danke für Ihr Feedback!