Morten Lyhne Petersen
EU-Kommissionen har fremlagt en lovpakke, der skal skubbe amerikanske cloud-giganter ud af offentlig følsom data.
Beslutningen blev truffet i Bruxelles i torsdags og er den mest direkte regulering, EU hidtil har formuleret mod afhængigheden af Microsoft Azure, Amazon Web Services og Google Cloud. Kernen i pakken er en ny Cloud and AI Development Act, der opdeler offentlige cloud-indkøb i fire trin og forbeholder de mest følsomme arbejdsgange for udbydere, som EU har fuld kontrol over.
Tallet, der har drevet beslutningen, er, at EU i dag importerer over 80 procent af sine vigtigste digitale produkter, services og infrastruktur fra lande uden for unionen. På cloud-markedet alene står de tre amerikanske udbydere for omkring 70 procent af de europæiske kunder.
Fire trin afgør, hvem der må levere
Den nye lovtekst introducerer en fælles europæisk vurderingsramme med fire suverænitetsniveauer. Niveau 1 kræver blot, at data behandles og lagres på infrastruktur i EU. Niveau 2 tilføjer dokumenteret uafhængighed af tredjelande og åbenhed om software-forsyningskæden. Niveau 3 stiller krav om europæisk ejerskab og kontrol samt om medarbejderes statsborgerskab. Niveau 4, det strengeste, kræver fuld kontrol over hele forsyningskæden uden indblanding fra tredjelande, og det er her, forsvarsindkøb placeres.
Det er især niveau 3 og 4, der lukker døren for de store amerikanske cloud-udbydere, så længe USA’s CLOUD Act giver amerikanske myndigheder adgang til data hos amerikanske selskaber, uanset hvor i verden de er lagret.
Følsomme arbejdsgange inden for sundhed, finans, retsvæsen og kritisk offentlig administration omfattes af de højere trin. Det er reelt de områder, hvor danske regioner, ministerier og styrelser har deres tungeste cloud-aftaler.
Kommissionen vil forhindre en udenlandsk afbryder
Henna Virkkunen, Executive Vice-President for Tech Sovereignty, Security and Democracy i EU-Kommissionen, har stået i spidsen for pakken. Hun begrunder den med, at digital infrastruktur er blevet en geopolitisk afhængighed, der ikke længere kan ignoreres.
“Vi lever i en verden, hvor geopolitik og teknologi ikke kan adskilles. Dem, der fremmer teknologisk innovation, vil forme fremtiden, og vi må sikre os, at Europa spiller en ledende rolle,” siger Virkkunen.
Bag formuleringen ligger en konkret bekymring om, at en udenlandsk regering i en krise kan afbryde adgangen til hospitaler, banker eller militære systemer ved et politisk dekret. Kommissionsformand Ursula von der Leyen ramte samme tone, da hun sagde, at pakken handler om “at beskytte vores borgere, forsvare vores interesser og træffe vores egne valg”.
Penge til datacentre og chips
Den lovgivningsmæssige del er kun en søjle i en bredere plan. EU lægger op til en chipfabrik i den mest avancerede klasse til omkring 30 milliarder euro og en samlet halvlederinvestering på 120 milliarder euro frem mod 2035. Hertil vurderer Kommissionen, at det vil kræve cirka 200 milliarder euro i privat kapital at tredoble unionens datacenterkapacitet inden for fem til syv år.
Forslagene skal nu gennem Europa-Parlamentet og Rådet, før de kan træde i kraft, og der ventes hård lobbyisme om, hvordan niveau 3 i praksis defineres for tredjelandsudbydere.
Danmark står midt i sit eget opbrud
For danske organisationer falder forslaget oven i en bevægelse, der allerede er i gang. Digitaliseringsministeriet under Caroline Stage Olsen er begyndt at udskifte Microsoft Office med LibreOffice og Windows med Linux i ministeriets egne systemer, og både Københavns og Aarhus Kommune har annonceret tilsvarende planer om at reducere afhængigheden af Microsofts produkter.
[AFSNIT TRUNKERET I KILDEN — kræver fuld tekst fra skriv-agent før publicering]
