Η Ευρωπαϊκή Επιτροπή παρουσίασε ένα λεπτομερές σύστημα αξιολόγησης για τις υπηρεσίες cloud και ταυτόχρονα ανακοίνωσε μια πρωτοβουλία προμηθειών αξίας 180 εκατομμυρίων ευρώ (PDF).
Το νέο Πλαίσιο Κυριαρχίας στο Cloud (Cloud Sovereignty Framework) έχει σαν στόχο να βοηθήσει τα θεσμικά όργανα και τους οργανισμούς της ΕΕ να επιλέγουν υπηρεσίες cloud με βάση ομοιόμορφα κριτήρια κυριαρχίας.
Με αυτό, οι Βρυξέλλες στοχεύουν στη μείωση της εξάρτησης από μη ευρωπαίους παρόχους.
Το Πλαίσιο ορίζει για πρώτη φορά συγκεκριμένες μετρήσεις για την κυριαρχία στο cloud, με στόχο την αντικατάσταση των αφηρημένων εννοιών με μετρήσιμες ποσότητες. Στον πυρήνα του υπάρχουν οκτώ στόχοι κυριαρχίας που καλύπτουν στρατηγικές, νομικές, επιχειρησιακές και τεχνολογικές διαστάσεις. Κάθε στόχος μπορεί να αξιολογηθεί χρησιμοποιώντας το Επίπεδο Κυρίαρχης Ευρωπαϊκής Διασφάλισης (SEAL από το Sovereign European Assurance Level), ένα σύστημα κατάταξης που ταξινομεί τους παρόχους cloud ανάλογα με τη συμμόρφωσή τους με τα πρότυπα κυριαρχίας της ΕΕ.
Οι οκτώ στόχοι κυριαρχίας περιλαμβάνουν μεταξύ άλλων, τον έλεγχο των τοποθεσιών δεδομένων, την προστασία από την εξωεδαφική επιβολή του νόμου, τη διαφάνεια της αλυσίδας εφοδιασμού και την τεχνολογική ανεξαρτησία για βασικά στοιχεία.
Ιδιαίτερα σημαντική είναι η αξιολόγηση του βαθμού στον οποίο οι υπηρεσίες cloud προστατεύονται από την πρόσβαση από τις αρχές εκτός της ΕΕ – μια άμεση απάντηση στον Νόμο περί Cloud των ΗΠΑ και σε παρόμοιους κανονισμούς.
Οι 8 στόχοι κυριαρχίας
Το πλαίσιο ορίζει οκτώ βασικούς στόχους κυριαρχίας (Sovereignty Objectives) που προσφέρουν μια ολιστική θεώρηση της ψηφιακής κυριαρχίας:
- Στρατηγική κυριαρχία (Strategic Sovereignty): Σύνδεση του παρόχου cloud με το ευρωπαϊκό οικονομικό και θεσμικό οικοσύστημα.
- Νομική & Δικαιοδοτική κυριαρχία (Legal & Jurisdictional Sovereignty): Προστασία από ξένες νομικές παρεμβάσεις (π.χ. CLOUD Act).
- Κυριαρχία δεδομένων & τεχνητής νοημοσύνης (Data & AI Sovereignty): Έλεγχος και αυτονομία στη διαχείριση δεδομένων και αλγορίθμων.
- Λειτουργική κυριαρχία (Operational Sovereignty): Δυνατότητα των ευρωπαϊκών οργανισμών να λειτουργούν και να συντηρούν τις τεχνολογίες ανεξάρτητα.
- Κυριαρχία εφοδιαστικής αλυσίδας (Supply Chain Sovereignty): Έλεγχος προέλευσης εξαρτημάτων, λογισμικού και διαδικασιών.
- Τεχνολογική κυριαρχία (Technology Sovereignty): Ανοιχτές τεχνολογίες, διαλειτουργικότητα και αποφυγή τεχνολογικού εγκλωβισμού (vendor lock-in).
- Κυριαρχία ασφάλειας & συμμόρφωσης (Security & Compliance Sovereignty): Έλεγχος ασφάλειας και πιστοποιήσεων εντός ΕΕ.
- Περιβαλλοντική βιωσιμότητα (Environmental Sustainability): Αυτονομία και ανθεκτικότητα με βάση την πράσινη μετάβαση και τη βιώσιμη ενέργεια.
Το σύστημα SEAL αξιολογεί την κυριαρχία σε στάδια
Το σύστημα αξιολόγησης SEAL χρησιμοποιεί διαφορετικά επίπεδα διασφάλισης για την ποσοτικοποίηση του βαθμού κυριαρχίας. Οι πάροχοι cloud πρέπει να προσκομίσουν αποδεικτικά στοιχεία ότι οι υπηρεσίες τους συμμορφώνονται με τα καθορισμένα κριτήρια. Αυτό περιλαμβάνει πληροφορίες σχετικά με τη δομή της εταιρείας, τις τοποθεσίες επεξεργασίας δεδομένων, την τεχνολογία που χρησιμοποιείται και την πιθανή νομική επιρροή από τρίτες χώρες.
Η αξιολόγηση λαμβάνει υπόψη τόσο τις τεχνικές όσο και τις οργανωτικές πτυχές, από το πού οι πάροχοι αποθηκεύουν τα κλειδιά κρυπτογράφησης, έως την προέλευση των εξαρτημάτων υλικού, έως τον νομικό έλεγχο των θυγατρικών. Η αλυσίδα εφοδιασμού ελέγχεται επίσης (οι CPU, οι GPU, τα εξαρτήματα αποθήκευσης ή το υλικό δικτύου πρέπει να ελέγχονται για την προέλευσή τους από την ΕΕ ή την εγγυημένη διαφάνεια).
Επιπτώσεις στην ευρωπαϊκή αγορά cloud
Η προγραμματισμένη προμήθεια 180 εκατομμυρίων ευρώ για υπηρεσίες κυρίαρχου cloud θα μπορούσε να έχει διαρκή αντίκτυπο στην ευρωπαϊκή αγορά cloud. Με την πρώτη ματιά, το πλαίσιο αποσκοπεί στο να ωφελήσει τους Ευρωπαίους παρόχους, αλλά και οι Αμερικανοί υπερ-επεκτατικοί πάροχοι θα μπορούσαν να επωφεληθούν επίσης: Η Microsoft, η Google και η Amazon έχουν ιδρύσει ήδη ευρωπαϊκές θυγατρικές και προσφέρουν ειδικές υπηρεσίες cloud στην ΕΕ που αποσκοπούν στην εγγύηση της τοπικής αποθήκευσης δεδομένων.
Όλα αυτά τα κριτήρια θα μπορούσαν να είναι πιο εύκολο να πληρούνται από τους μεγάλους Αμερικανούς παρόχους από ό,τι από τους μικρότερους ευρωπαϊκούς παρόχους cloud, οι οποίοι μπορεί να μην είναι σε θέση να χειριστούν όλες τις τεχνολογικές απαιτήσεις. Ωστόσο, η Επιτροπή τονίζει ότι η αξιολόγηση των δομών ελέγχου και της νομικής ανεξαρτησίας, ειδικότερα, θα ευνοούσε τους γνήσιους ευρωπαίους παρόχους.
Το πλαίσιο εντάσσεται στην ευρύτερη ψηφιακή στρατηγική της ΕΕ, η οποία, εκτός από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), περιλαμβάνει επίσης πρωτοβουλίες όπως το Gaia-X και ο σχεδιαζόμενος Νόμος για την Ανάπτυξη του Cloud και της Τεχνητής Νοημοσύνης. Ενώ το Gaia-X έχει σχεδιαστεί σαν μια ομοσπονδιακή υποδομή δεδομένων, το Πλαίσιο Κυριαρχίας στο Cloud βασίζεται σε συγκεκριμένα κριτήρια αξιολόγησης για τις δημόσιες συμβάσεις.
Πρακτική εφαρμογή για αρχές και εταιρείες
Τα θεσμικά όργανα και οι οργανισμοί της ΕΕ θα πρέπει να είναι σε θέση να εφαρμόσουν το πλαίσιο αμέσως σε διαγωνισμούς. Οι εθνικές αρχές και οι ιδιωτικές εταιρείες μπορούν επίσης να χρησιμοποιούν τα κριτήρια για τη στρατηγική τους στο cloud. Η συμμόρφωση θα παρακολουθείται μέσω τακτικών ελέγχων και φορέων πιστοποίησης, αν και οι λεπτομέρειες σχετικά με τον μηχανισμό επιβολής βρίσκονται ακόμη υπό επεξεργασία.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
