SREN
Kurz erklärt
Das französische Gesetz von 2024, das den digitalen Raum regelt. Es verpflichtet den Staat insbesondere dazu, seine sensiblen Daten in Clouds zu speichern, die die höchsten Sicherheitsstandards erfüllen.
▶ Präzise Definition
Gesetz vom 21. Mai 2024 zur Sicherung und Regulierung des digitalen Raums, mit dem mehrere europäische Rechtsakte umgesetzt und nationale Bestimmungen hinzugefügt werden. Artikel 31 verpflichtet Behörden und deren Betreiber, für das Hosting besonders sensibler Daten ein qualifiziertes SecNumCloud-Cloud-Angebot zu nutzen, wodurch ein Teil der öffentlichen Cloud-Aufträge de facto den von der ANSSI qualifizierten Anbietern vorbehalten bleibt.
Unsere Analyse
Das am 21. Mai 2024 verkündete SREN-Gesetz ist ein umfassendes Gesetz, das den Schutz von Minderjährigen im Internet, die Bekämpfung illegaler Inhalte, die Regulierung von Spielen mit monetarisierbaren digitalen Gegenständen sowie die Regulierung des Cloud-Marktes betrifft. Es setzt mehrere europäische Verordnungen im französischen Recht um, darunter die Verordnung über digitale Dienste und die Verordnung über digitale Märkte, und ergänzt diese gleichzeitig um spezifische Bestimmungen für Frankreich. Der Cloud-Teil ist für Führungskräfte von unmittelbarem Interesse, die über ihre Hosting-Entscheidungen entscheiden.
Der für den öffentlichen Sektor maßgeblichste Punkt ist Artikel 31. Er verpflichtet staatliche Verwaltungen, ihre Einrichtungen und Betreiber dazu, ein als „SecNumCloud” qualifiziertes Cloud-Angebot zu nutzen, wenn sie die Hosting-Dienstleistungen für besonders sensible Daten an einen Dritten übertragen. Die praktischen Auswirkungen sind eindeutig: In diesem Bereich beschränkt sich die öffentliche Cloud-Beschaffung auf Anbieter, die über die von der ANSSI erteilte Qualifikation verfügen, während ein nicht qualifizierter Anbieter ausgeschlossen ist, unabhängig von seinen kommerziellen oder technischen Argumenten.
Es muss jedoch klargestellt werden, was der Gesetzestext nicht vorsieht. Die Verpflichtung bezieht sich auf sensible Daten des öffentlichen Sektors, nicht auf alle öffentlichen Daten oder Daten privater Unternehmen, die weiterhin frei in ihrer Entscheidung sind. Das Gesetz schafft auch keine neue Qualifikation: Es stützt sich auf SecNumCloud, von der es sowohl die Stärken als auch die Schwachstellen übernimmt. Es legt eine Beschaffungspflicht fest, ohne allein zu gewährleisten, dass die Nutzung dieser Daten tatsächlich souverän erfolgt.
Artikel 31 verdeutlicht die Verlagerung der Debatte von der rechtlichen Souveränität hin zur industriellen Souveränität. Die Verankerung einer Verpflichtung im Gesetz schafft eine gebundene Nachfrage, schafft aber kein Angebot: Es bedarf weiterhin Akteure, die in der Lage sind, diese Dienste in großem Maßstab, langfristig und auf einem Reifegrad anzubieten, der mit dem globaler Anbieter vergleichbar ist. Ein starker Rechtsschutz, der sich auf ein unzureichendes industrielles Gefüge stützt, bliebe reine Papierhoheit. Darin liegt die zentrale Herausforderung des kommenden Jahrzehnts, und dies ist der Grund, warum SREN nicht isoliert zu betrachten ist, sondern sowohl als Signal der Industriepolitik als auch als Rechtsnorm.
Siehe auch