In aanloop naar Europese regelgeving rond de uitbouw van cloud en AI in de EU, vragen providers in een open brief om te voorkomen dat soevereiniteit gedefinieerd wordt als een hol begrip waar Amerikaanse hyperscalers van kunnen profiteren.
Verschillende Europese cloudproviders, verenigd in de belangenvereniging CISPE, vragen in een open brief aan Europa om echte soevereiniteit te verankeren in toekomstige wetgeving, en niet de illusie ervan.
De juiste definitie
De brief is gericht aan de Executive Vice-President for Tech Sovereignty Henna Virkkunen en heeft betrekking op de Cloud and AI Development Act (CADA) die momenteel door de Europese Commissie wordt uitgewerkt. Ze roepen op om soevereiniteit op een fatsoenlijke manier te definiëren en te voorkomen wat zij sovereignty washing noemen. Die term refereert naar greenwashing: een begrip voor organisaties die uitpakken met groene initiatieven die goed klinken maar in de praktijk niets voorstellen.
Een eerdere vage definitie van digitale soevereiniteit, afkomstig van de EU, heeft de deur immers al geopend voor een holle definitie. De Europese cloudproviders vrezen dat een verkeerde omschrijving van soevereiniteit er voor zal zorgen dat (Amerikaanse) hyperscalers hun dominante marktpositie nog kunnen versterken.
Gegronde vrees
Ongegrond is die vrees niet. Microsoft moest eerder in de rechtbank toegeven dat het niet in staat is om echte soevereiniteit te garanderen. Onze concrete vragen over het niveau van soevereiniteit van de nieuwe ‘soevereine’ oplossing van AWS, bleven onbeantwoord.
In de plaats daarvan kregen we te horen dat Europese cloudproviders soms toch ook onderhevig zijn aan Amerikaanse wetgeving, wat naast de kwestie is. Toch blijven Amerikaanse providers hun oplossing als soeverein in de markt zetten.
Open brief
De Europese providers vragen in hun brief daarom om vijf principes te verankeren in de CADA-regelgeving. Die moeten ervoor zorgen dat de toekomstige richtlijn echte Europese soevereiniteit ondersteunt. Ze stellen volgende zaken voor:
- Soevereiniteit moet gedefinieerd worden door controle, niet door EU-aanwezigheid of cyberbeveiliging. Soevereiniteitscriteria moeten effectieve controle, eigendom van technologie en bescherming tegen buitenlandse rechtsmacht weerspiegelen, in lijn met de beginselen die worden toegepast in het Europees Defensiefonds (EDF) en de EDIRPA-verordeningen. Cyberbeveiligingscertificering alleen garandeert geen soevereiniteit, omdat deze geen rekening houdt met blootstelling aan buitenlandse wetgeving zoals de Amerikaanse Cloud Act.
- Waar soevereine diensten niet beschikbaar zijn, moet veerkracht – of operationele autonomie – worden gewaarborgd. Diensten moeten operationele autonomie garanderen door effectieve controle en toegang tot cloudgegevens, infrastructuur en werkbelasting te waarborgen – met name in geval van bemoeienis door buitenlandse overheden of derde partijen.
- Voor gevoelige gegevens en workloads moet Europa gereserveerde aanbestedingsaandelen invoeren voor Europese cloudproviders. Als minimum moet openbare aanbesteding een duidelijk principe volgen: “Koop Europees – of Zorg voor Veerkracht – of Leg Uit.” Grootschalige aanbestedingskaders die Europese aanbieders effectief uitsluiten, moeten worden vermeden.
- Het Europese cloudbeleid moet concurrentie, interoperabiliteit en gefedereerde Europese cloudinitiatieven versterken, terwijl het tegelijkertijd anti-concurrentiële bundeling van AI- en clouddiensten moet voorkomen en het belang van open-source software moet erkennen.
- Met belastinggeld gefinancieerde investeringen in cloud- en AI-infrastructuur moeten prioriteit geven aan het Europese ecosysteem, de ontwikkeling van alternatieve lokale inkoop ondersteunen, waaronder sleutelcomponenten zoals geheugen en chips, en strenge milieuduurzaamheidseisen bevatten.
Eigen winkel
Het spreekt voor zich dat CISPE en de Europese cloudproviders voor de eigen winkel spreken. Een strikte definitie van soevereiniteit zal de organisaties met Europees hoofdkwartier ten goede komen.
Dat maakt de bezorgdheden niet minder relevant. Als soevereiniteit een thema is, lijkt het niet onlogisch dat het thema wordt behandeld op een manier die echt tegemoet komt aan de bezorgdheden daarrond.
Gaia-X Level 3
De soevereiniteit waar de providers voor pleiten, ligt in de lijn met de definitie van Gaia-X. Die non-profit deelt labels uit voor echt soevereine diensten, en doet dat ook op basis van controle. Enkel organisaties met een Europees hoofdkwartier, die dus niet onderhevig zijn aan regelgeving zoals de Cloud Act, kunnen het hoogste label krijgen.
In de praktijk zijn de Amerikaans hyperscalers dominant aanwezig op de Europese markt. Het aanbod van lokale providers is gefragmenteerd, en biedt doorgaans geen functioneel evenwaardig alternatief. De providers lijken te vrezen dat de marktdominantie en het lobbywerk van de grote internationale spelers hen opnieuw buiten spel zal zetten.
Voor CISPE is de Cloud and AI Development Act een uitgelezen kans om aan de hand van soevereiniteit het speelveld een beetje af te vlakken.