Vorige week presenteerde de Europese Commissie een ambitieus pakket maatregelen om de digitale autonomie en technologische weerbaarheid van Europa te vergroten.
Dutch Cloud Community ziet hierin een positieve ontwikkeling. De plannen bieden Nederlandse en Europese aanbieders kansen om zich nadrukkelijker te positioneren in een markt waarin digitale soevereiniteit steeds belangrijker wordt. Een van de meest opvallende onderdelen van het pakket is de Cloud and AI Development Act (CADA). Wij hebben de CADA geanalyseerd.
Cloud and AI Development Act (CADA)
De Europese Commissie heeft een voorstel aangenomen voor de Cloud and AI Development Act (CADA), met als doel het cloud- en AI-ecosysteem, de investeringen en de infrastructuur binnen de Europese Unie te versterken.
De wet richt zich op drie hoofddoelstellingen
- Onderzoek, ontwikkeling en innovatie (R&D&I)
Dit onderdeel ondersteunt de ontwikkeling van de volgende generatie cloud- en AI-technologieën, met bijzondere aandacht voor frontier AI, industriële AI en fysieke AI.
Daarnaast worden zogenoemde grand challenges geïntroduceerd om onderzoeks- en innovatie-inspanningen te sturen. Ook stimuleert de wet de ontwikkeling van nationale cloud- en AI-strategieën binnen de lidstaten, ondersteund door Experience and Acceleration Centres for AI. - Capaciteit
De Europese Commissie wil de datacentercapaciteit binnen de EU in de komende vijf tot zeven jaar minimaal verdrievoudigen.
Om dit mogelijk te maken, worden vergunningsprocedures vereenvoudigd en versneld. Daarnaast moet de toegang tot energie, grond, water en financiering worden verbeterd. Ook wil de Commissie voldoende rekencapaciteit waarborgen voor AI-toepassingen, clouddiensten en andere data-intensieve workloads. - Autonomie (digitale soevereiniteit)
De CADA introduceert één EU-breed soevereiniteitskader voor cloud en AI. Daarnaast stimuleert de wet open-sourceoplossingen en wordt een gemeenschappelijk Europees aanbestedingskader ingevoerd, zodat overheden hun gezamenlijke inkoopkracht beter kunnen benutten. Tegelijkertijd blijft de markt grotendeels open voor internationale partners.
Context
De CADA maakt onderdeel uit van het bredere AI Continent Action Plan van de Europese Commissie en is ontwikkeld ter ondersteuning van bedrijven, cloudproviders, investeerders, onderzoekers en overheden. Daarnaast vormt de wet een aanvulling op bestaande Europese initiatieven, waaronder de Chips Act 2.0 en de EU Open Source Strategy.
Vier soevereiniteitsniveaus
Een belangrijk onderdeel van de wet is de introductie van vier niveaus van cloud- en AI-soevereiniteit.
Niveau 1: Locatie
Data wordt verwerkt en opgeslagen binnen infrastructuur op Europees grondgebied. Dit is de enige materiële eis op dit niveau. De juridische vestigingsplaats of eigendomsstructuur van de aanbieder speelt hierbij geen rol. Dit kent echter een belangrijke beperking die direct raakt aan de discussie rond de Cloud Act en FISA 702. Een Amerikaanse aanbieder, zoals AWS, Azure of Google Cloud, kan met Europese datacenters voldoen aan Niveau 1, maar blijft tegelijkertijd verplicht om data te verstrekken wanneer een Amerikaanse rechter of inlichtingendienst daarom vraagt.
Locatie is daarmee niet hetzelfde als juridische bescherming.
Niveau 1 is vooral bedoeld voor de bredere publieke sector, waarbij per toepassing een risicoanalyse wordt uitgevoerd.
Niveau 2: Onafhankelijkheid
Op dit niveau worden twee aanvullende eisen gesteld:
Ten eerste moeten aanbieders aantoonbaar onafhankelijk zijn van derde landen. Zij mogen niet onderworpen zijn aan buitenlandse wetgeving die hen kan verplichten data of toegang over te dragen.
Ten tweede wordt transparantie over de softwareleveringsketen verplicht. De aanbieder moet inzichtelijk maken welke partijen betrokken zijn bij de verschillende onderdelen van de softwarestack.
Het onderscheidende element van Niveau 2 is dat de verplichtingen uit de Cloud Act gekoppeld zijn aan de juridische vestigingsplaats van een organisatie en niet aan de fysieke locatie van de servers. Dit wordt op dit niveau expliciet geadresseerd.
Voor organisaties die gevoelige gegevens verwerken, zoals ministeries, zorgregisters en financiële toezichthouders, zal dit waarschijnlijk het minimale vereiste niveau zijn.
Voor de meeste Amerikaanse hyperscalers lijkt dit binnen hun huidige bedrijfsstructuur niet haalbaar.
Niveau 3: EU-controle
Dit is het meest politiek gevoelige niveau.
Aanbieders moeten in Europese handen zijn, vanuit de EU worden bestuurd en voldoen aan aanvullende criteria, waaronder eisen rondom de nationaliteit van personeel. Tegelijkertijd behoudt de Europese Commissie de mogelijkheid om aanbieders uit derde landen te erkennen.
Juist deze erkennings-mogelijkheid vormt het meest geopolitiek gevoelige onderdeel van het voorstel. De vraag hoeveel ruimte hiervoor uiteindelijk overblijft tijdens de behandeling in het Europees Parlement en de Raad, is een belangrijke factor om te volgen. Verwacht mag worden dat een aanzienlijk deel van de lobby vanuit de hyperscalers zich op dit onderdeel zal richten.
De bepaling biedt ruimte voor diplomatieke afspraken, maar ook voor constructies waarbij een Amerikaanse aanbieder via een joint venture met een Europese partij alsnog toegang krijgt tot overheidscontracten.
In de praktijk zullen kritieke diensten, zoals gezondheidszorgsystemen, vergunningssystemen en rechtspraak, waarschijnlijk binnen deze categorie vallen.
Niveau 4: Soevereiniteit
Voor Niveau 4 is een EU Sovereign-certificering vereist.
Dit betekent onder meer dat zowel de cloudprovider als zijn directe subverwerkers binnen de EU gevestigd moeten zijn. Daarnaast mag er geen moederbedrijf, uiteindelijke belanghebbende of controlerende aandeelhouder zijn die onderworpen is aan niet-Europese overheidsorders.
Ook moeten alle gegevens uitsluitend binnen de Europese Unie worden opgeslagen en verwerkt. Verder zijn technische en organisatorische maatregelen vereist die buitenlandse overheidstoegang voorkomen. Tot slot geldt een jaarlijkse certificeringsaudit onder toezicht van ENISA.
Dit niveau is bedoeld voor het meest kritieke segment, waaronder defensietoepassingen. Naar verwachting betreft dit ongeveer één procent van de totale publieke aanbestedingsmarkt.
In de praktijk vereist dit niveau feitelijk Europese hardware en software. Hierdoor worden niet-Europese aanbieders uitgesloten. Organisaties als AWS, Azure en Google Cloud kunnen hier niet aan voldoen zolang zij onderdeel blijven van een Amerikaans moederbedrijf, ongeacht het aantal Europese datacenters dat zij exploiteren.
Niveau 4 is daarmee niet alleen een technische, maar vooral ook een structureel-juridische vereiste.
Tegelijkertijd ontstaat hiermee een gereguleerd marktsegment voor Europese AI- en cloudinfrastructuur, waarin hyperscalers binnen hun huidige bedrijfsstructuur niet kunnen deelnemen.
CADA ten opzichte van de EUCS
Het bestaande EUCS (EU Cybersecurity Certification Scheme for Cloud Services) van ENISA onderscheidt drie niveaus: Basic, Substantial en High.
De CADA voegt hier een vierde niveau aan toe: Sovereign.
Daarmee wordt het bestaande model niet volledig vervangen. De niveaus 1 tot en met 3 sluiten grotendeels aan op het huidige EUCS-spectrum, terwijl Niveau 4 een nieuwe categorie introduceert.
Een belangrijke praktische nuance is dat de CADA ruimte laat voor nationale interpretatie van het EU Cloud Sovereignty Framework. Er wordt dus niet gekozen voor een volledig geharmoniseerde aanpak.
Elke overheidsinstantie voert zelfstandig een risicoanalyse uit om te bepalen welk niveau passend is voor een specifieke toepassing.
Dat betekent dat de wet niet voorschrijft dat alle overheidsdiensten onder Niveau 4 moeten vallen. Een gemeente die straatverlichting beheert, zal waarschijnlijk uitkomen op Niveau 1, terwijl defensietoepassingen vrijwel zeker onder Niveau 4 vallen.
Dutch Cloud Community vindt vooral de vraag relevant welke Nederlandse cloudproviders en datacenters zich kunnen positioneren binnen Niveau 3 of Niveau 4. Juist daar creëert de CADA een concrete opening voor Europese alternatieven.
