EU-Quantenbeschaffung: Beschaffungen, Normen und Zertifizierung

Europäische Politik, Forschung und Industrie bewegen sich in dieselbe Richtung: praktische Beschaffung, technische Normen und ein Prüfrahmen für Sicherheit sollen Hand in Hand gehen. Die Frage ist nicht mehr, ob die EU in Quanten‑Technologien investiert, sondern wie die einzelnen Bausteine — Vergabe, Standardisierung, Zertifizierung — zusammenspielen. In diesem Beitrag schauen wir auf den Status quo: EuroHPC‑Vergaben, die Rolle von CEN‑CENELEC/ETSI, die greifbaren Zertifizierungsoptionen und was das für Nutzer und Beschaffer bedeutet.

EuroHPC steht nicht nur für Exascale‑Pläne auf dem Papier – die Beschaffungen laufen. In den letzten Jahren hat die Europäische Union über die EuroHPC‑Initiative mehrere Vergaben für Hochleistungsrechner und Begleitsysteme ausgeschrieben und vergeben. Parallel werden Pilotprojekte gefördert, die Quantenkomponenten testen oder Hybridlösungen erforschen. Das heißt: Die Infrastruktur für Forschung und staatliche Anwender wächst, und das schafft einen Markt für Hardware‑Hersteller, Integratoren und Prüfstellen.

Wichtig ist: Die EuroHPC‑Awards decken verschiedene Ebenen ab. Es geht um klassische Supercomputer für Forschung und Industrie, um regionale Hosting‑Zentren und um kleinere, experimentelle Systeme, die Quantenkommunikations‑Module oder Test‑beds integrieren. Diese Beschaffungen sind oft öffentlich dokumentiert über EuroHPC‑Pressemitteilungen und die Host‑Institute; sie dienen gleichzeitig als Hebel, um Testinfrastruktur und frühe Standard‑Implementierungen zu etablieren.

“Beschaffung schafft Sichtbarkeit: wer heute testet, bestimmt morgen Schnittstellen und Praxisregeln.”

Aus Sicht der Beschaffer bedeutet das Pragmatismus: Ausschreibungen müssen technische Spezifikationen, Prüfverfahren und Migrationspfade enthalten. Für Anbieter heißt es, interoperabel und prüfbar zu liefern. Kurz: Die EU-Quantenbeschaffung erzeugt erste reale Anforderungsprofile und zwingt Markt und Normgeber zur konkreten Arbeit.

Tabellen sind nützlich, um Daten strukturiert darzustellen. Hier ein vereinfachter Überblick, wie aktuelle Vergaben thematisch sortiert auftreten:

Quellen: EuroHPC‑Publikationen und Host‑Mitteilungen geben die konkrete Grundlage; sie zeigen, dass Beschaffung jetzt praktisch wirkt, nicht nur geplant ist.

Standardisierung war lange ein Nebenthema, jetzt ist sie zentral. CEN‑CENELEC und ETSI sind die Hauptakteure, die technische Regeln, Testfälle und Schnittstellen definieren sollen. In diesem Zyklus arbeiten die Gremien enger mit der Europäischen Kommission zusammen — die jüngeren Statements von CEN‑CENELEC und die Positionen von ETSI zeigen, dass Normungsarbeit für Quantenkommunikation (insbesondere QKD‑Interoperabilität) auf der Agenda steht.

Warum das wichtig ist: Ohne gemeinsame Standards droht Fragmentierung. Hersteller könnten proprietäre Schnittstellen wählen, Betreiber hätten Integrationsprobleme, und Prüfer fänden keine gemeinsamen Messgrößen. Die Standardisierer adressieren genau diese Punkte: Messmethoden für QKD‑Systeme, Schnittstellen zu klassischen Netzen, Anforderungen an Management‑ und Schlüssel‑Lifecycle. Parallel wird diskutiert, wie Post‑Quantum Cryptography (PQC) und QKD koexistieren – Standardarbeit muss beide Wege abbilden.

Konkrete Instrumente sind schon in Arbeit: Roadmaps und Arbeitsgruppen (z. B. CEN‑CLC/JTC 22) koordinieren Deliverables; Test‑beds wie jene aus EuroQCI und Projekte wie NOSTRADAMUS liefern Benchmarks. Das schafft die Grundlage, damit Prüfstellen später standardisierte Tests anbieten können — ein notwendiger Schritt zur breiteren Marktreife.

Aus Sicht von Entwicklerteams heißt das: Frühzeitig Schnittstellen offenlegen, Testspezifikationen beobachten und an Pilotprojekten teilnehmen. Für Politik und Förderstellen lautet die Aufgabe, die Finanzierung von Testinfrastruktur zu sichern, damit Standards praktisch verifiziert werden können.

Kurz gesagt: Die Standardisierung ist nicht nur Konzeptarbeit mehr, sondern wird durch konkrete Projekte und koordinierte Roadmaps auf operative Ebene gehoben.

Europa verfügt bereits über einen generischen Zertifizierungsrahmen für IT‑Sicherheit (der EU‑Zertifizierungsrahmen nach dem Cybersecurity Act). Das schafft einen strukturierten Ansatz, um Sicherheitsanforderungen zu definieren und Prüfsiegel zu vergeben. Für Quantenlösungen bedeutet das: Es gibt Wege, erste Sicherheitsanforde­rungen in bestehende Schemen zu überführen und Produkte zumindest auf generische Aspekte wie Implementationssicherheit, Zufallszahl‑Qualität oder Management‑Interfaces zu prüfen.

Doch quantum‑spezifische Zertifikate, die QKD‑spezifische Eigenschaften oder quantenresiliente Algorithmen vollständig abdecken, sind noch in der Entstehung. Politische Initiativen der EU und Projekte wie NOSTRADAMUS zielen darauf ab, Testkriterien und Evaluationsprozesse bereitzustellen. Gleichzeitig arbeiten Standardisierer an Messmetriken, die als Grundlage für Prüfungen dienen können.

Das Ergebnis ist eine Zwischenphase: technisch fundierte, aber noch nicht vollständig harmonisierte Bewertungsbögen. Betreiber können heute bereits Teile ihrer Lösungen prüfen lassen – vor allem in Bezug auf IT‑Security‑Grundanforderungen. Für QKD‑spezifische Sicherheitsnachweise sind jedoch noch koordinierte Testbatterien und anerkannte Prüfinstanzen nötig. Bis diese etabliert sind, bleibt Zertifizierung ein hybrider Prozess: Teile über generische Schemen, Teile über projektbasierte Evaluierungen.

Praktische Konsequenz: Beschaffer sollten in ihren Ausschreibungen klare Anforderungen an Nachweise und Testbarkeit stellen und Zwischenlösungen (z. B. geprüfte Module, unabhängige Testberichte) zulassen. Anbieter sind gehalten, Testdaten offen zu legen und sich an Arbeitsgruppen zu beteiligen, damit Prüfverfahren schneller reifen.

Was heißt das alles konkret? Für Anwender — Behörden, Forschungseinrichtungen, kritische Infrastrukturen — bedeuten laufende Beschaffungen und wachsende Testinfrastruktur: frühzeitige Zugangsmöglichkeiten zu neuen Schutzmechanismen, aber auch die Pflicht, Migrationsstrategien zu planen. Viele Organisationen werden Hybridmodelle aus klassischen kryptografischen Maßnahmen, PQC‑Algorithmen und punktuellen QKD‑Einsätzen prüfen müssen.

Für die Industrie heißt die Botschaft: Standardkonforme, testbare Produkte haben heute einen Marktvorteil. Hersteller sollten ihre Lösungen offen dokumentieren, an Standardisierungsprozessen teilnehmen und Lieferketten sicher gestalten. Anbieter, die früh Prüfungen und Interoperabilität demonstrieren, stehen bei Ausschreibungen besser da — das zeigen EuroHPC‑Ausschreibungen und Host‑Requirements.

Politik und Förderer tragen die Aufgabe, den Weg zur Skalierung zu finanzieren: Testbeds, Zertifizierungsinfrastruktur und Know‑how‑Programme sind zentrale Hebel. Gleichzeitig sollten Beschaffungsstellen pragmatische Vorgaben nutzen, die sowohl Sicherheitsanforderungen als auch Innovationsfreiraum erlauben. Eine reine Papierlösung reicht nicht; Best Practice entsteht beim gemeinsamen Testen.

Kurzfristig heißt das: pilotieren, evaluieren, standardisieren. Mittelfristig: interoperable Systeme, anerkannte Prüfverfahren und ein klarer Zertifizierungsprozess. Und mittendrin steht die Frage, wie man Sicherheit, Kosten und Nutzen ausbalanciert — eine Frage, die alle Akteure jetzt praktisch angehen.

Die EU-Quantenbeschaffung ist kein abstraktes Vorhaben mehr; sie wird durch EuroHPC‑Vergaben und begleitende Projekte sichtbar. Standardisierung durch CEN‑CENELEC und ETSI schafft die Basis für Interoperabilität. Zertifizierung nutzt vorhandene EU‑Schemen, steht aber für quantum‑spezifische Nachweise noch am Anfang. Wer jetzt testet und dokumentiert, prägt die Praxis für die kommenden Jahre.