De Europese Commissie heeft vier cloudcontracten toegekend met een waarde van 180 miljoen euro. Post Telecom, StackIT, Scaleway en Proximus leveren daardoor de komende zes jaar cloudservices aan EU-instellingen. Met bewuste spreiding over meerdere aanbieders wil Brussel vendor lock-in vermijden en tegelijkertijd een standaard neerzetten voor soevereine cloudinfrastructuur binnen de Europese Unie.
De geselecteerde partijen zijn Post Telecom (in samenwerking met CleverCloud en OVHcloud), StackIT, Scaleway en Proximus. Proximus werkt daarbij samen met S3NS wat weer een joint venture van Thales en Google Cloud is, maar ook met Clarence en Mistral. Opvallend is dat er gekozen wordt voor vier partijen en niet één. Tegelijkertijd zorgt dat er wel voor dat de afhankelijkheid niet van een en dezelfde partij afhangt. De Europese Commissie wil daarmee de veerkracht van de Europese cloudinfrastructuur vergroten.
Beoordeling via Cloud Sovereignty Framework
De selectie is gebaseerd op het Cloud Sovereignty Framework van de Commissie. Dit raamwerk beoordeelt aanbieders op acht dimensies van soevereiniteit, waaronder juridische controle, operationele onafhankelijkheid, supply chain-transparantie, technologische openheid, beveiliging en duurzaamheid. Niet-Europese partijen mogen slechts beperkte controle uitoefenen over de geleverde technologieën.
Niet-Europese technologieën zijn wel toegestaan, mits ze binnen een strikt Europees kader opereren en voldoen aan de eisen rond controle en governance. Europa betaalt jaarlijks 265 miljard euro aan Amerikaanse cloud- en softwarediensten, wat de schaalomvang van de huidige afhankelijkheid illustreert.
Het Cloud Sovereignty Framework kent vijf niveaus van Sovereignty Effective Assurance Levels (SEAL), van SEAL-0 (geen soevereiniteit) tot SEAL-4 (volledige soevereiniteit). Dit raamwerk dient als basis voor soevereiniteitsinitiatieven in meerdere lidstaten, waaronder Nederland en België. De Dienst ICT Uitvoering lanceerde eerder ook al een eigen toetsingsinstrument voor soevereine cloud dat op dit raamwerk voortbouwt.
Launching customer en opmaat naar nieuwe wetgeving
De Europese Commissie wil het voortouw nemen bij het gebruik van Europese clouddiensten. Door zelf als eerste grote klant op te treden, hoopt de Commissie een voorbeeld te stellen voor andere overheden en organisaties binnen de Europese Unie. Dit is een belangrijke stap, omdat Europese cloudproviders eerder hebben gewaarschuwd voor ‘sovereignty washing’. Hiermee worden partijen bedoeld die doen alsof ze volledige digitale onafhankelijkheid bieden, terwijl dat in de praktijk tegenvalt.
Om alles in goede banen te leiden, werkt de Commissie momenteel aan scherpere regels en een nieuwe wet: de Cloud and AI Development Act. Deze wet moet precies bepalen wat ‘onafhankelijkheid’ inhoudt voor cloud- en AI-diensten. Daarnaast moet de wetgeving het voor nieuwe aanbieders makkelijker maken om de markt op te gaan en ervoor zorgen dat overheidsopdrachten beter aansluiten bij de Europese doelen.