Il Cloud Act europeo: un disordinato tentativo di indipendenza digitale

6

La Commissione Europea ha appena abbandonato il Cloud and AI Development Act. Oppure CADA. È il loro ultimo tentativo di risvegliare il settore del cloud locale.

Vogliono rimodellare le infrastrutture. Cambiare il modo in cui il settore pubblico acquista la tecnologia. Costruisci una vera autonomia.

Il piano poggia su tre pilastri. Investire nella ricerca. Sviluppare capacità.

In realtà triplicare il mercato europeo dei data center entro cinque-sette anni.

Questa è una grande domanda. La cronologia è aggressiva. Forse troppo aggressivo.

L’accoglienza è, nella migliore delle ipotesi, mista

La gente non esulta ancora.

La CCIA Europa ritiene che la proposta sia discriminatoria. La loro logica è semplice. Le nuove regole obbligherebbero i membri dell’UE a verificare se i casi d’uso richiedono livelli di sovranità che le aziende extra-UE “non sarebbero in grado di soddisfare”. Per impostazione predefinita. A loro sembra un’esclusione.

Mikolaj Barcenciewicz, un avvocato tecnologico polacco, non è d’accordo con l’approccio categorico. Egli sostiene un sistema basato sul rischio. Mantieni le cose specifiche. Non generalizzare. Lasciamo respirare la sussidiarietà.

In Svezia, l’eurodeputato Jörgen Warborn non è soddisfatto del business case.

Obiettivi di sovranità? Bene. Ma semplificare le norme. Migliorare le condizioni.

Egli sottolinea una dura realtà economica.

“La stragrande maggioranza della ricchezza globale è detenuta al di fuori dell’UE”

Allora perché respingerlo? Pensa che le app di sicurezza nazionale necessitino di controlli rigorosi. Sicuro. Ma le aree meno sensibili dovrebbero accogliere favorevolmente gli investimenti esteri. Altrimenti il ​​denaro resta offshore.

Non tutti vogliono meno regolamentazione. L’eurodeputata finlandese Aura Salla vuole più centralizzazione. Dipendenze da stress test più difficili. Valutare i rischi a livello di Stato membro.

Poi c’è Nextcloud, l’azienda di software tedesca. Dicono che non è abbastanza. Nemmeno vicino.

Vogliono che le regole siano estese anche al settore privato.

Il mito dei dodici mesi

È qui che le cose si complicano.

CADA Titolo III promette velocità. Due meccanismi: Zone di accelerazione del Data Center. Progetti strategici.

Gli Stati membri hanno sei mesi. Solo sei.

Designare almeno una zona. Integratelo nei piani locali. Verifica la disponibilità della rete. Preferire le aree dismesse rispetto ai campi verdi.

Se un progetto si adatta a questo contesto, o ottiene uno status strategico speciale, raggiunge un “corridoio verde”. Il tetto massimo dei permessi?

Dodici mesi al massimo

Sembra efficiente. Probabilmente non lo sarà.

L’elenco delle conformità è pesante. I KPI di sostenibilità standardizzati sono obbligatori. L’allocazione delle risorse locali sarà attentamente controllata. Nessun accumulo speculativo. Nessun ostacolo alla concorrenza.

Realisticamente? Stai concedendo ai pianificatori sei mesi per ridisegnare le mappe. Allora vuoi un permesso tra un anno?

Esistono colli di bottiglia fisici. I costruttori con certificazioni sono scarsi. Ogni fase è sottoposta a audit. Una piccola struttura può impiegare anni per rialzarsi dalla sporcizia.

Aggiungere questi nuovi ostacoli burocratici alla crisi della catena di approvvigionamento?

L’obiettivo dei 12 mesi diventa privo di significato.

Gli appalti pubblici subiscono una scossa

Il Titolo IV cambia il modo in cui il governo acquista i cloud.

Non più tutti contro tutti solo in termini di prezzo e qualità.

Quattro livelli di garanzia. Mappato in base al rischio.

  • Livello 1 : sicurezza di base. La proprietà straniera va bene.
  • Livello 2 : sovranità sostanziale. La proprietà straniera è consentita, ma tutto rimane nell’UE. Personale, infrastrutture, supporto. I dati non possono essere utilizzati per addestrare l’intelligenza artificiale in altri paesi.
  • Livello 3 : Alta sicurezza. Nessun controllo societario straniero. Solo rare eccezioni.
  • Livello 4 : Autonomia critica. Il controllo straniero è stato completamente bandito.

Come funziona sul campo?

Nominare le autorità competenti. Controllare i fornitori. Concedere il riconoscimento.

Entro un anno, i membri devono effettuare una valutazione del rischio. Fallo ogni due anni dopo.

Scopri quali servizi cloud toccano dati sensibili. Abbina il livello di sicurezza.

È un enorme perno.

Precedentemente? Il prezzo contava di più. Anche le specifiche tecniche lo hanno fatto. Magari una certa gestione del rischio sovrano, se lo Stato se ne preoccupasse.

Ora? È necessario valutare il contributo del fornitore all’ecosistema europeo.

Non si tratta solo di una verifica tecnica. Questo è politico.

Un fornitore di servizi cloud “aiuta l’Europa” abbastanza da ottenere i tuoi soldi?

È una metrica difficile da definire. Ancora più difficile da applicare nei 27 Stati membri.