Glossar · EU-souveräne Cloud SecNumCloud (ANSSI Cloud Computing Security Qualification)
Qualifizierung der französischen nationalen Cybersicherheitsbehörde (ANSSI) für Cloud-Dienste. Verbindet ein hochsicheres Security-Niveau mit Souveränitätsanforderungen (Immunität gegenüber Nicht-EU-Recht). Die technische Grundlage des Labels Cloud de Confiance.
## Was SecNumCloud eigentlich ist
SecNumCloud ist die Cloud-Computing-Sicherheitsqualifizierung, ausgestellt von der **ANSSI** (Agence nationale de la sécurité des systèmes d'information) — der französischen nationalen Cybersicherheitsbehörde. Die aktuelle Version, **SecNumCloud 3.2**, wurde 2022 veröffentlicht und verschärfte die früheren Souveränitätskriterien erheblich.
SecNumCloud dient als technische Grundlage für das umfassendere Label [Cloud de Confiance](/de/glossary/cloud-de-confiance/). Während Cloud de Confiance der breitere politische Rahmen ist, ist SecNumCloud die spezifische technische Qualifizierung.
## Was SecNumCloud verlangt
SecNumCloud 3.2 schreibt rund **300 Sicherheitskontrollen** in mehreren Bereichen vor, darunter:
### Technische Sicherheit
- Kryptografische Kontrollen (FIPS-konforme Algorithmen, Schlüsselverwaltung unter EU-Kontrolle)
- Netzwerksegmentierung und Verkehrsisolation
- Audit-Logging und Incident Detection
- Vulnerability Management und Patching
- Backup und Disaster Recovery
### Betriebssicherheit
- Personalüberprüfung für Mitarbeitende mit administrativem Zugriff (müssen in der EU ansässig sein)
- Physische Sicherheit der Rechenzentren
- Betriebsabläufe mit formellem Change Management
- Sicherheit der Lieferkette
### Souveränität (das Unterscheidungsmerkmal)
SecNumCloud 3.2 hat ausdrückliche Souveränitätsanforderungen eingeführt, die es von internationalen Standards wie ISO 27001 unterscheidet:
- **Keine Exposition gegenüber extraterritorialem Recht**: Anbieter muss strukturell immun gegen Nicht-EU-Recht sein, einschließlich [CLOUD Act](/de/glossary/cloud-act/) und FISA 702
- **EU-kontrollierte Unternehmensstruktur**: mehrheitlich europäisches Eigentum; keine ausländische Muttergesellschaft mit tatsächlicher Kontrolle
- **EU-Datenresidenz**: Kundendaten und Metadaten müssen in der EU verbleiben
- **EU-Personal**: Mitarbeitende mit administrativem Zugriff müssen EU-Ansässige sein, die dem EU-Recht unterliegen
Die Souveränitätsanforderungen sind der Grund, warum die meisten US-Hyperscaler SecNumCloud nur über Joint Ventures mit französischen Firmen (S3NS, Bleu) erreichen können.
## Wie SecNumCloud-Audits funktionieren
Der Qualifizierungsprozess umfasst:
1. **Antrag** bei der ANSSI
2. **Audit durch ein von der ANSSI qualifiziertes Common-Criteria-Evaluationslabor** (Centre d'évaluation de la sécurité des technologies de l'information, CESTI)
3. **Technische Prüfung** durch die ANSSI
4. **Verleihung der Qualifizierung**, sofern die Kriterien erfüllt sind
5. **Periodische Rezertifizierung** (typischerweise alle 3 Jahre)
Das Audit ist umfangreich und teuer — typischerweise 12-18 Monate und mehrere hunderttausend Euro für einen glaubwürdigen Anbieter. Diese Hürde stellt sicher, dass nur ernsthafte souveräne Cloud-Akteure sie erhalten.
## Aktuell qualifizierte Anbieter (Auswahl)
Stand 2026 zählen zu den Anbietern mit SecNumCloud-3.2-Qualifizierung:
- **OVHcloud** (bestimmte Angebote)
- **Outscale** (Dassault Systèmes)
- **S3NS** (Thales-kontrollierte Google-Cloud-Technologie)
- **Bleu** (Capgemini/Orange Microsoft-Azure-Technologie, im Qualifizierungsprozess)
- **Numspot** (JV von Docaposte/Bouygues/Dassault/Banque des Territoires)
- **Worldline** (bestimmte Angebote)
- Verschiedene kleinere spezialisierte Anbieter
Die Liste ist bewusst klein — SecNumCloud ist als Signal für hohe Sicherheit positioniert, nicht als Massenzertifizierung.
## Warum SecNumCloud wichtig ist
### 1. Der Maßstab für Cloud-Souveränität
SecNumCloud 3.2 hat den technischen und strukturellen Maßstab dafür gesetzt, was 'echte' Cloud-Souveränität bedeutet. Andere europäische nationale Schemata (BSI C5, italienisches ACN, spanisches ENS) nähern sich zunehmend vergleichbaren Modellen an.
### 2. Eintrittstor für öffentliche Beschaffung
Die französische 'doctrine cloud au centre' (Cloud-first-Doktrin) schreibt SecNumCloud-qualifizierte Cloud für sensible Workloads im öffentlichen Sektor vor. Dies ist eine Beschaffungspipeline im Milliardenbereich.
### 3. Betreiber wesentlicher Dienste (NIS2)
[NIS2](/de/glossary/nis2/)-Betreiber wesentlicher Dienste in Frankreich orientieren sich zunehmend an SecNumCloud als kanonischer Weg zum Nachweis von Cloud-Sicherheit. ANSSI-Leitlinien im Rahmen von NIS2 verweisen direkt auf SecNumCloud.
### 4. Das Vorbild für EUCS High
Die 'High'-Stufe des umstrittenen [EUCS](/de/glossary/eucs/)-Schemas — sollte sie mit Souveränitätskriterien finalisiert werden — würde SecNumCloud 3.2 wahrscheinlich eng nachbilden.
### 5. Joint Ventures der Hyperscaler
S3NS (Thales + Google Cloud) und Bleu (Capgemini/Orange + Microsoft) existieren *aufgrund* von SecNumCloud. Das Joint-Venture-Modell ist der einzige Weg, wie US-Hyperscaler-Technologie SecNumCloud-pflichtige Workloads bedienen kann.
## SecNumCloud vs. SOC 2 / ISO 27001 / BSI C5
| Aspekt | SecNumCloud | SOC 2 / ISO 27001 | BSI C5 |
|--------|-------------|---------------------|--------|
| Sicherheitsbasis | Umfassend | Umfassend | Umfassend |
| Souveränitätsanforderungen | **Ja (strikt)** | Keine | Schwach (dokumentiert Exposition) |
| EU-Unternehmensstruktur | Erforderlich | Nicht erforderlich | Nicht erforderlich |
| Immunität gegen ausländisches Recht | Erforderlich | Nicht adressiert | Nicht erforderlich |
| Audit-Strenge | Sehr hoch | Mittel-hoch | Hoch |
| Typische Kosten | Hoch | Mittel | Mittel-hoch |
| Markt | Französische regulierte Sektoren | International | Deutsche regulierte Sektoren |
SecNumCloud ist einzigartig in der Verbindung einer starken Sicherheitsbasis mit verbindlichen Souveränitätskriterien.
## Was SecNumCloud in der Praxis bedeutet
### Für französische Käufer
SecNumCloud ist die Standarderwartung für sensible Workloads. Für regulierte Branchen (Banken, Gesundheit, Verteidigung) und den öffentlichen Sektor ist es faktisch verpflichtend.
### Für europäische Cloud-Anbieter
Die SecNumCloud-Qualifizierung ist eine teure, aber wertvolle Investition, um französische regulierte Märkte zu bedienen. Die Zertifizierung schafft einen Wettbewerbsvorteil.
### Für US-Hyperscaler
Eine direkte SecNumCloud-Qualifizierung ist aufgrund der CLOUD-Act-Exposition strukturell unmöglich. Eine Beteiligung erfordert ein Joint-Venture-Modell (S3NS, Bleu), bei dem der französische Partner die Mehrheitskontrolle hält.
### Für europäische Unternehmen allgemein
SecNumCloud-qualifizierte Anbieter sind glaubwürdige Optionen unabhängig von ihrer nationalen Herkunft. Ihre Qualifizierung ist ein aussagekräftiger Nachweis für Souveränitätsausrichtung.
## Was 2026-2027 bringt
- **SecNumCloud 4.0**: erwartete Überarbeitung im Einklang mit NIS2 und der EUCS-Arbeit
- **Erweiterungen für KI-Workloads**, da die ANSSI Cloud-Leitlinien zum AI Act entwickelt
- **Mehr JV-Qualifizierungen**, da US-Hyperscaler ihre europäischen JV-Partnerschaften ausweiten
- **Konvergenz mit EUCS**, falls das gesamteuropäische Schema mit starken Souveränitätskriterien finalisiert wird
- **Durchsetzung im öffentlichen Sektor**, während französische Behörden ihre Cloud-first-Migrationen abschließen
## Praktische Implikationen
Für die meisten europäischen Tech-Käufer:
- **Wenn Sie im französischen öffentlichen Sektor oder in einer regulierten Branche tätig sind**: SecNumCloud ist direkt entscheidend
- **Wenn Sie französische regulierte Kunden bedienen**: SecNumCloud-qualifizierte Cloud wird in Ihrer Lieferkette zunehmend gefordert
- **Wenn Sie Cloud-Souveränität breit bewerten**: SecNumCloud ist der reifste europäische Rahmen — seine Anforderungen sind der Maßstab
- **Für alltägliche SaaS-Entscheidungen**: SecNumCloud ist Hintergrundkontext
War das hilfreich?
Danke für Ihr Feedback!