De Europese Commissie heeft een raamovereenkomst toegekend ter waarde van maximaal 180 miljoen euro over zes jaar, zodat EU-instellingen, -organen, -kantoren en -agentschappen cloud-diensten met soeverein karakter kunnen contracteren bij vier geselecteerde partijen. De winnaars zijn Post Telecom samen met CleverCloud en OVHcloud, STACKIT, Scaleway en Proximus, die samenwerken in een consortium met S3NS, Clarence en Mistral. Deze beslissing werd op 17 april gepresenteerd en vormt een stap in het versterken van de digitale soevereiniteit binnen de EU en het verminderen van de afhankelijkheid van één enkele leverancier of technologische ecosysteem.
Dit nieuws is vooral relevant door de omvang, maar nog meer door de symboliek. Brussel heeft niet voor één groot contract bij één enkele partij gekozen, maar voor vier parallelle toewijzingen. De Commissie legt uit dat deze diversificatie gericht is op veerkracht en het vermijden van overschrijdende afhankelijkheid van een enkele speler. Met andere woorden, de Europese digitale soevereiniteit wordt niet alleen meer gezien als kwesties rondom datalocatie, maar ook als een marktpolitiek, industriële capaciteit en risicoreductie.
Er is een belangrijk nuancepunt: deze beweging betekent niet dat technologieën die niet Europees zijn, automatisch worden uitgesloten. De Commissie benadrukt dat het proces aantoont dat niet-Europese technologieën, mits ze onder een strikt en adequaat kader opereren, het minimale soevereiniteitsniveau kunnen behalen. Dit blijkt duidelijk uit de casus van Proximus, dat concurreert met S3NS — een joint venture van Thales en Google Cloud — naast Clarence en Mistral. Het politieke signaal is dus geen volledige afsluiting, maar wel effectieve controle.
Achter de toewijzing ligt ook een duidelijke industriële interpretatie. Europa debatteert al jaren over het vergroten van autonomie ten opzichte van Amerikaanse hyperscalers, niet alleen vanwege economische redenen, maar ook door juridische en geopolitieke overwegingen. Het soevereiniteitskader van de Commissie houdt onder meer rekening met blootstelling aan buiten-Europese wetgeving met grensoverschrijdende impact, zoals de Amerikaanse CLOUD Act, naast controle over operaties, toeleveringsketens, technologische openheid en naleving binnen de EU.
Waarop heeft Brussel de keuze gebaseerd?
De toewijzing is gebaseerd op het zogenaamde Cloud Sovereignty Framework, een document van de Directie Algemene Digitale Diensten van de Commissie dat acht soevereinitaatsdoelstellingen definieert. Deze doelen omvatten strategische, juridische en jurisdictieve soevereiniteit, databeheer en AI, operationele veerkracht, de toeleveringsketen, technologische autonomie, veiligheid en naleving, en milieu-impact. Het kader beperkt zich niet tot het eisen van cyberveiligheid: het meet tot op welke hoogte een leverancier geworteld is in het Europese wettelijke, industriële en operationele ecosysteem.
Daarnaast kent het systeem verschillende garantiesniveaus, bekend als SEAL. Van SEAL-0 — wat de ontbering van soevereiniteit door controle van niet-Europese derden betekent — tot SEAL-4, dat volledige digitale soevereiniteit vertegenwoordigt, met technologie en operaties onder volledige controle van de EU en zonder kritieke afhankelijkheden van buiten de Unie. Om voor het contract in aanmerking te komen, moesten leveranciers minimale garanties bereiken en een evaluatie doorstaan die publieke documentatie, bewijsstukken van bieders en een aanvullende soevereiniteitsscore omvat.
De weging van deze score zegt veel over de prioriteiten van Brussel. Het systeem geeft de grootste gewicht aan de soevereiniteit van de toeleveringsketen (20%) en reserveert 15% voor strategische, operationele en technologische soevereiniteit. De overige 65% wordt verdeeld over juridische, databeheer, AI, veiligheid, naleving en milieuvriendelijkheid. Dit verdeelschema onderstreept één kernidee: voor de Commissie hangt soevereiniteit niet alleen af van waar de data worden opgeslagen, maar ook van wie de software, hardware, ondersteuning, financiering beheert en de mogelijkheid heeft het dienstmodel zelfstandig te laten evolueren zonder afhankelijk te zijn van een externe provider.
De winnaars en de betekenis van elke keuze
De selectie van winnaars biedt ook een bepaalde kijk op het Europese cloudlandschap. OVHcloud, CleverCloud, STACKIT en Scaleway vertegenwoordigen de meest duidelijke Europese laag van de sector, met infrastructuren, operaties en merknamen die binnen Europa gebaseerd zijn. Proximus daarentegen illustreert een meer pragmatische benadering: een Europese onderneming die samenwerkt met partners zoals Mistral (AI), Thales en Google Cloud via S3NS. De Commissie lijkt beide realiteiten erkend te willen zien: de volledig Europese leverancier en de gemengde oplossing die onder bepaalde voorwaarden aan de minimale soevereiniteitsnorm kan voldoen.
Dit evenwicht brengt politieke gevolgen met zich mee. Enerzijds stuurt de Commissie een signaal van steun aan het Europese cloud-ecosysteem en bewijst dat grote diensten kunnen worden ingekocht zonder automatisch afhankelijk te zijn van AWS, Microsoft Azure of Google Cloud. Anderzijds blijft er ruimte voor niet-Europese technologieën die binnen een passend governance-kader passen. De onderliggende boodschap is dat Brussel streeft naar autonomie zonder de marktrealiteit helemaal te negeren, waar veel basis technologie nog altijd van buiten Europa komt.
Wat brengt de toekomst? Meer regels en meer druk op de markt
De toewijzing is geen eindpunt. De Commissie heeft aangekondigd dat ze een geüpdatet versie van het Cloud Sovereignty Framework voorbereidt, met specifiekere criteria voor het beoordelen van soevereiniteit, en dat ze die criteria wil integreren bij haar eigen digitale diensten voor haar departementen en andere entiteiten binnen de Unie. Dit contract is dus geen uitzondering, maar een model dat herhaald kan worden.
Bovendien werkt Brussel aan een bredere strategische aanpak voor technologische soevereiniteit, met onder andere de Europese open source-strategie, de toekomstige Chips Act 2, een strategische routekaart voor digitalisering en AI in energie, en de Cloud and AI Development Act (CADA). Volgens de Commissie moet deze regelgeving de interpretatie van soevereiniteit in cloud- en AI-diensten binnen de EU harmoniseren, meer kansen bieden voor soevereine aanbiedingen en een bredere markttoegang creëren voor diverse leveranciers. Als dat pakket wordt doorgezet, zou de toekenning van deze 180 miljoen euro binnen enkele jaren kunnen worden gezien als de eerste serieuze stap richting een ambitieuzer industrieel beleid voor een Europees cloud-ecosysteem.
In dat opzicht is het contract belangrijk vanwege het volume, maar nog meer als precedent. Europa heeft lange tijd over digitale soevereiniteit gesproken in meer retorische dan concrete termen. Nu zijn er meetbare criteria, scores, garantieniveaus en concrete toewijzingen. De echte uitdaging ligt nu in het beoordelen of deze vier leveranciers het concept van een soevereine cloud kunnen omzetten in een dienst die concurrerend, schaalbaar en aantrekkelijk is voor de Europese administratie en marktpartijen. Alleen zo kan Brussel niet alleen het voorbeeld geven, maar ook daadwerkelijk de marktregels veranderen.
Veelgestelde vragen
Wat heeft de Europese Commissie precies toegekend?
Een raamovereenkomst tot maximaal 180 miljoen euro over zes jaar, zodat EU-instellingen en -agentschappen cloud-diensten met soeverein karakter kunnen afnemen bij vier geselecteerde aanbieders.
Welke bedrijven hebben de cloud-soevereiniteitssubsidie gewonnen?
De winnaars zijn Post Telecom met CleverCloud en OVHcloud, STACKIT, Scaleway en Proximus met S3NS, Clarence en Mistral.
Betekent deze beslissing dat de EU alle niet-Europese technologieën uitsluit?
Nee. De Commissie benadrukt dat niet-Europese technologieën, onder strikte en passende randvoorwaarden, het minimale soevereiniteitsniveau kunnen behalen, zoals blijkt uit de casus van Proximus en S3NS.
Welke criteria gebruikt Brussel om te bepalen of een cloud soeverein is?
Het Cloud Sovereignty Framework evalueert acht doelstellingen: strategische, juridische en jurisdictieve soevereiniteit, databeheer en AI, operationele veerkracht, toeleveringsketen, technologische autonomie, veiligheid en naleving, en milieuduurzaamheid. Het systeem gebruikt garantiesniveaus (SEAL) en een soevereiniteitsscore om aanbiedingen te classificeren.
via: Europese Commissie