Europe’s Cloud Act: een rommelig bod voor digitale onafhankelijkheid

22

De Europese Commissie heeft zojuist de Cloud and AI Development Act laten vallen. Of CADA. Het is hun nieuwste poging om de lokale cloudindustrie wakker te schudden.

Ze willen de infrastructuur hervormen. Verander de manier waarop de publieke sector technologie koopt. Bouw een echte autonomie op.

Het plan rust op drie pijlers. Investeer in onderzoek. Capaciteit opbouwen.

Feitelijk zal de Europese datacentermarkt binnen vijf tot zeven jaar verdrievoudigen.

Dat is een grote vraag. De tijdlijn is agressief. Misschien te agressief.

De ontvangst is op zijn best gemengd

De mensen juichen nog niet.

De CCIA Europe vindt het voorstel discriminerend. Hun logica is eenvoudig. De nieuwe regels zouden de EU-leden dwingen om na te gaan of gebruiksscenario’s soevereiniteitsniveaus vereisen waaraan niet-EU-bedrijven ‘niet zouden kunnen voldoen’. Standaard. Dat klinkt voor hen als uitsluiting.

Mikolaj Barcenciewicz, een Poolse technologieadvocaat, is het niet eens met de categorische aanpak. Hij pleit voor een risicogebaseerd systeem. Houd de zaken specifiek. Generaliseer niet. Laat de subsidiariteit ademen.

In Zweden is Europarlementariër Jörgen Warborn niet blij met de business case.

Soevereiniteitsdoelstellingen? Prima. Maar vereenvoudig de regelgeving. Verbeter de omstandigheden.

Hij wijst op een harde economische realiteit.

“Een grote meerderheid van de mondiale rijkdom bevindt zich buiten de EU”

Dus waarom het wegduwen? Hij denkt dat nationale veiligheidsapps strenge controles nodig hebben. Zeker. Maar minder gevoelige gebieden zouden buitenlandse investeringen moeten verwelkomen. Anders blijft het geld offshore.

Niet iedereen wil minder regelgeving. Het Finse EP-lid Aura Salla wil meer centralisatie. Stresstest-afhankelijkheden moeilijker. Beoordeel de risico’s op lidstaatniveau.

Dan is er Nextcloud, het Duitse softwarebedrijf. Ze zeggen dat het niet genoeg is. Niet eens in de buurt.

Ze willen dat de regels ook worden uitgebreid naar de particuliere sector.

De mythe van twaalf maanden

Hier wordt het rommelig.

CADA Titel III belooft snelheid. Twee mechanismen: datacenterversnellingszones. Strategische projecten.

De lidstaten hebben zes maanden de tijd. Slechts zes.

Om ten minste één zone aan te wijzen. Integreer het in lokale plannen. Controleer de beschikbaarheid van het elektriciteitsnet. Geef de voorkeur aan brownfieldlocaties boven groene velden.

Als een project hier past, of een speciale strategische status krijgt, raakt het een ‘groene corridor’. Het vergunningsplafond?

Maximaal twaalf maanden.

Klinkt efficiënt. Dat zal waarschijnlijk niet zo zijn.

De nalevingslijst is zwaar. Gestandaardiseerde duurzaamheids-KPI’s zijn verplicht. Er zal streng toezicht worden gehouden op de lokale toewijzing van middelen. Geen speculatief hamsteren. Geen blokkering van de concurrentie.

Realistisch? U geeft planners een half jaar de tijd om kaarten opnieuw te tekenen. Dan wilt u over één jaar een vergunning?

Er zijn fysieke knelpunten. Bouwers met certificeringen zijn schaars. Elke fase wordt geconfronteerd met audits. Het kan jaren duren voordat een kleine faciliteit uit de grond is hersteld.

Deze nieuwe bureaucratische hindernissen bovenop die supply chain-crisis stapelen?

De doelpaal van twaalf maanden wordt betekenisloos.

Overheidsopdrachten krijgen een opschudding

Titel IV verandert de manier waarop de overheid wolken koopt.

Niet meer gratis voor iedereen alleen op prijs en kwaliteit.

Vier zekerheidsniveaus. In kaart gebracht op risico.

  • Niveau 1 : Basisbeveiliging. Buitenlandse eigendom oké.
  • Niveau 2 : Substantiële soevereiniteit. Buitenlands eigendom toegestaan, maar alles blijft in de EU. Personeel, infrastructuur, ondersteuning. Gegevens kunnen niet worden gebruikt om AI in andere landen te trainen.
  • Niveau 3 : Hoge beveiliging. Geen controle door buitenlandse bedrijven. Slechts zeldzame uitzonderingen.
  • Niveau 4 : kritische autonomie. Buitenlandse controle is volledig verboden.

Hoe werkt dit op de grond?

Benoem bevoegde autoriteiten. Leveranciers controleren. Erkenning verlenen.

Leden moeten binnen een jaar een risicobeoordeling doen. Doe het daarna elke twee jaar.

Ontdek welke cloudservices met gevoelige gegevens omgaan. Pas het beveiligingsniveau aan.

Het is een enorme spil.

Eerder? Prijs was het belangrijkst. Technische specificaties deden dat ook. Misschien wat soeverein risicobeheer als de staat er iets om geeft.

Nu? U moet de bijdrage van de aanbieder aan het Europese ecosysteem evalueren.

Dat is niet alleen een technische controle. Dat is politiek.

Helpt een cloudprovider Europa genoeg om uw geld te krijgen?

Dat is een lastige maatstaf om vast te pinnen. Nog moeilijker te handhaven in 27 lidstaten.