Künstliche Intelligenz

EU setzt auf eigene Cloud-Standards – gegen oder mit US-Dominanz


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Europäische Kommission hat ein detailliertes Bewertungssystem für Cloud-Dienste vorgestellt und kündigt gleichzeitig eine Beschaffungsinitiative im Volumen von 180 Millionen Euro an. Das neue Cloud Sovereignty Framework soll EU-Institutionen und -Agenturen dabei helfen, Cloud-Services nach einheitlichen Souveränitätskriterien auszuwählen. Damit will Brüssel die Abhängigkeit von außereuropäischen Anbietern reduzieren.

Weiterlesen nach der Anzeige

Das Framework definiert erstmals konkrete Metriken für Cloud-Souveränität und will so abstrakte Prinzipien durch messbare Größen ersetzen. Im Zentrum stehen acht Souveränitätsziele, die strategische, rechtliche, operative und technologische Dimensionen abdecken. Jedes Ziel lässt sich anhand des Sovereign European Assurance Level (SEAL) bewerten – einem Ranking-System, das Cloud-Anbieter nach ihrer Übereinstimmung mit EU-Souveränitätsstandards einstuft.

Die acht Souveränitätsziele umfassen unter anderem die Kontrolle über Datenstandorte, Schutz vor extraterritorialer Rechtsdurchsetzung, Transparenz der Lieferketten sowie technologische Unabhängigkeit bei Schlüsselkomponenten. Besonders relevant ist dabei die Bewertung, inwieweit Cloud-Dienste dem Zugriff durch Nicht-EU-Behörden entzogen sind – eine direkte Reaktion auf den US Cloud Act und ähnliche Regelungen.

SEAL-System bewertet Souveränität in Stufen

Das SEAL-Bewertungssystem arbeitet mit verschiedenen Assurance Levels, die den Grad der Souveränität quantifizieren. Cloud-Anbieter müssen dabei Nachweise erbringen, dass ihre Dienste den definierten Kriterien entsprechen. Dazu gehören etwa Angaben zur Unternehmensstruktur, zu Datenverarbeitungsstandorten, zur eingesetzten Technologie und zu möglichen rechtlichen Einflussmöglichkeiten durch Drittstaaten.

Die Bewertung berücksichtigt sowohl technische als auch organisatorische Aspekte: Von der Frage, wo Anbieter die Verschlüsselungsschlüssel speichern, über die Herkunft von Hardware-Komponenten bis hin zur rechtlichen Kontrolle über Tochtergesellschaften. Auch die Lieferkette wird durchleuchtet – CPUs, GPUs, Speicherkomponenten oder Netzwerk-Hardware müssen auf ihre EU-Herkunft oder zugesicherte Transparenz geprüft werden.




Wie können Unternehmen und Behörden ihre IT aus den Abhängigkeiten von US-Hyperscalern, amerikanischen oder chinesischen KI-Anbietern und Softwareherstellern lösen? Das diskutieren Fachleute aus Politik, Wirtschaft und Wissenschaft am 11. und 12. November auf dem IT Summit by heise in München. Vorträge und Speaker finden Sie im Programm des IT Summit. Am ersten Konferenztag findet zudem ein kostenloser Workshop statt, der zeigt, wie Open-Source-Lösungen zur digitalen Souveränität und Cybersicherheit beitragen können. Buchen Sie jetzt Ihr Ticket.

Auswirkungen auf den europäischen Cloud-Markt

Weiterlesen nach der Anzeige

Die geplante Beschaffung von 180 Millionen Euro für souveräne Cloud-Dienste könnte den europäischen Cloud-Markt nachhaltig beeinflussen. Auf den ersten Blick soll das Framework europäischen Anbietern dienen, es könnten jedoch genauso US-Hyperscaler profitieren: Microsoft, Google und Amazon haben bereits europäische Tochtergesellschaften gegründet und bieten spezielle EU-Cloud-Dienste an, die lokale Datenhaltung garantieren sollen.

All diese Kriterien könnten für etablierte US-Anbieter leichter zu erfüllen sein, als für kleinere europäische Cloud-Provider, die möglicherweise nicht alle technologischen Anforderungen stemmen können. Die Kommission betont jedoch, dass gerade die Bewertung der Kontrollstrukturen und der rechtlichen Unabhängigkeit echte europäische Anbieter bevorzugen würde.

Das Framework fügt sich in die breitere EU-Digitalstrategie ein, die neben der Datenschutz-Grundverordnung (DSGVO) auch Initiativen wie Gaia-X und den geplanten Cloud and AI Development Act umfasst. Während Gaia-X als föderierte Dateninfrastruktur konzipiert ist, setzt das Cloud Sovereignty Framework auf konkrete Bewertungskriterien für die öffentliche Beschaffung.

Praktische Umsetzung für Behörden und Unternehmen

EU-Institutionen und -Agenturen sollen das Framework ab sofort bei Ausschreibungen anwenden können. Auch nationale Behörden und private Unternehmen können die Kriterien für ihre Cloud-Strategie nutzen. Die Überwachung der Einhaltung soll durch regelmäßige Audits und Zertifizierungsstellen erfolgen, wobei Details zum Enforcement-Mechanismus noch ausgearbeitet werden.

Offen bleibt, wie sich das Framework zur bestehenden Cloud-Zertifizierung nach dem europäischen Cybersecurity Act verhält und ob eine Harmonisierung der verschiedenen Bewertungssysteme geplant ist. Für Cloud-Anbieter bedeutet das Framework jedenfalls zusätzlichen Dokumentationsaufwand, wenn sie sich mit nachweisbarer Souveränität am Markt positionieren wollen.


(fo)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen