CISPE Dringt Aan op Duidelijke Definitie van ‘Soevereine Cloud’ Binnen Europees Kader – Vraagt om Vernieuwing van de 75% Soevereine Regelgeving

Door /
Share on LinkedIn Share on WhatsApp

Debat over Cloud-soevereiniteit laait weer op in Brussel

De discussie over cloud-soevereiniteit heeft opnieuw de gemoederen in Brussel verhit. De Europese brancheorganisatie van cloud-infrastructuurleveranciers, CISPE, heeft een sterk kritisch standpunt ingenomen ten aanzien van het nieuwe EU Cloud Sovereignty Framework van de Europese Commissie. De stelling is helder: “of een clouddienst is soeverein of het is het niet”; er bestaat geen “75% soevereiniteit”, net zoals een voedingsmiddel niet “75% biologisch” kan zijn. Volgens CISPE introduceert het kader een soevereiniteitsscore die onrealistische criteria mengt met vage elementen, wat ruimte biedt voor “getallen te frutsen” zonder realistische controle te garanderen. Dit zou baten voor buitenlandse hyperscalers kunnen opleveren en de status quo behouden onder de vlag van het woord “soevereiniteit”.

Wat zegt het nieuwe kader van de Commissie?

Het Cloud Sovereignty Framework is in de eerste plaats een evaluatietool die de Commissie heeft gekoppeld aan haar aanbestedingsproces. Volgens de Europese overheid meet het kader de prestaties van leveranciers op basis van acht soevereiniteitsdoelen (strategisch, juridisch, operationeel, milieu, transparantie van de toeleveringsketen, technologische openheid, beveiliging en naleving van regelgeving). De scoremethodologie zou het mogelijk maken om aanbiedingen te vergelijken in aanbestedingsprocedures, zoals die verbonden aan de Cloud III DPS. Het document vermeldt referenties aan kaders zoals Gaia-X, CIGREF, ENISA/NIS2 en DORA. Het verklaarde doel: onafhankelijke diensten te contracteren die voldoen aan de Europese wetgeving, met uniforme criteria.

Waarom CISPE vindt dat de ‘score’ meer verwarring dan helderheid creëert

Voor CISPE leidt het gemiddelde van gemiddelden en het combineren van onmogelijke criteria (zoals Europese controle over elke hardwarecomponent) met vage begrippen (“garanties tegen controlewisselingen”) tot een ondoorzichtigheid die ongemakkelijke realiteiten verbergt. Daarnaast waarschuwen zij voor een perverse uitkomst: veel Europese leveranciers, waaronder mkb-bedrijven, zouden kunnen score onder de grootste wereldwijde aanbieders, wat de concurrentie zou vertekenen in naam van een “statistische” maar ineffectieve soevereiniteit. Soevereiniteit, herinneren zij, is binair en territoriaal: je kunt ofwel Europese controle garanderen en immuniteit tegen externe inmenging, of je kunt dat niet. Tegelijkertijd mag de soevereiniteit niet de enige optie op de markt zijn: er zijn organisaties met wereldwijde behoeften die andere, duidelijke maar onderscheiden categorieën vereisen.

De referentiedrempel: Gaia-X Niveau 3

CISPE stelt dat Europa al beschikt over een vergelijkbaar “milieukeurmerk” in Gaia-X Niveau 3, dat de hoogste standaard voor gegevensbescherming, beveiliging, transparantie, Europese controle en veerkracht vastlegt, met locatie van de dienst in Europa en aangescherpte eisen — zoals een hoge naleving van de Europese cybersecurityschema’s van ENISA — om het risico van niet-Europese toegang te verminderen. Niveau 3 zou als startpunt dienen om volledig soevereine diensten te identificeren en een derdenverificatie (CAB) te bieden die ambiguïteit voorkomt.

Het catalogus en de nieuwe etiketten die CISPE voorstelt

Om de multinationale realiteit van veel toeleveringsketens te dekken, kondigt CISPE twee aanvullende etiketten aan in hun Cloud Services Catalogue:

  • Sovereign Cloud (gebaseerd op Gaia-X Niveau 3), dat volledige immuniteit tegen buitenlandse inmenging garandeert en 100% Europese controle van de dienst.
  • Operationally Resilient Cloud, gericht op klanten die buiten Europa opereren en verifieerbare niveaus van operationele en juridische controle over hun gegevens nodig hebben buiten het Europese grondgebied.

Het idee is om werkelijke transparantie te bieden: het onderscheidt duidelijk volledige soevereiniteit van operationele veerkracht in mondiale omgevingen, zonder de concepten te vervagen. Tegelijkertijd plaatst CISPE deze initiatieven binnen hun Sovereign Cloud Manifesto (juli 2025), waar zij uitvoerbare regels eisen die competitieve en veilige Europese opties ondersteunen.

De politieke en regelgevende context is essentieel

De discussie vindt niet in een vacuüm plaats. In 2024 heeft de EU in concepten van het cloud cybersecurity certificeringsschema (EUCS) verschillende soevereiniteitseisen verlaagd die gezamenlijke ondernemingen of strikte jurisdictiecontroles vereisten. Deze beslissing voordeelde de toegang van niet-Europese leveranciers tot gevoelige contracten, volgens bronnen uit de sector. Grote Europese bedrijven — zoals Deutsche Telekom of Airbus — hebben deze koerswijziging bekritiseerd, waarbij zij waarschuwen voor de risico’s van extraterritoriale wetten zoals de Amerikaanse Cloud Act. In 2025 verlevendigt de lancering van aanbestedingsschema’s met “soevereiniteitsscores” de discussie: helpt dit Europa autonome macht te geven of creëert het een comfortabele façade zonder de kern aan te pakken?

Wat staat er op het spel voor de publieke sector (en wie wint bij elk benadering)

Voor een administratie die behoefte heeft aan helderheid in aanbestedingen, kan een binair keurmerk van het type “soeverein / niet-soeverein” duidelijker zijn dan een samengestelde score: het vermindert interpretaties en vereenvoudigt de naleving achteraf. Als het kader steunt op door derden verifieerbare etiketten (zoals Gaia-X Niveau 3 voor soevereiniteit), neemt het risico op “cosmetische naleving” af. Aan de andere kant kan een systeemanalyse van wegingsfactoren investeringen of algemene verplichtingen belonen zonder de jurisdictiecontrole of immuniteit tegen inmenging te waarborgen die gevoeligere sectoren (gezondheidszorg, justitie, defensie, belastingen) eisen.

De Commissie daarentegen benadrukt dat haar kader criteria harmoniseert en de aanbesteding van diensten in overeenstemming met Europese wetten bespoedigt. Het conflict zit niet in de doelen — meer autonomie en minder afhankelijkheid — maar in de methode: geaggregeerde metrics versus etiketten met eisen en drempels. Binnen die spanning wordt in grote mate de concurrentiemarkt gedefinieerd: Europese leveranciers eisen heldere en haalbare regels die hun territoriale controle waarderen; de hyperscalers brengen “soevereine” aanbiedingen naar voren (bijvoorbeeld, aankondigingen over exclusieve bediening door personeel van de EU en technische scheiding) om zich aan te passen.

Praktische inzichten voor CIO’s en CISO’s

Voor de technologische verantwoordelijke zijn er een aantal actiecriteria:

  1. Bepaal de drempel: als het gebruik een strikte soevereiniteit vereist, vraag dan om een accreditatie gelijk aan Gaia-X Niveau 3 of een keurmerk dat 100% Europese controle garandeert (gegevens, operaties, ondersteuning en jurisdictie).

  2. In kaart brengen van de keten: vraag om transparantie van subleveranciers en datapaden, inclusief telemetrie en ondersteuningsscenario’s.

  3. Analyseer toepasselijke wetten: verzoek om juridische adviezen over extraterritorialiteit (Cloud Act en vergelijkbare wetgeving) en doeltreffende technische maatregelen (versleuteling met sleutels in de EU en operationele scheiding).

  4. Voorkom “box-ticking”: geef de voorkeur aan gecertificeerde etiketten en audits boven vage beloften.

  5. Exitplan: zorg voor portabiliteit en omkeerbaarheid met verifieerbare SLA’s.

Met deze aanpak kan een gemeente, een ziekenhuis of een industrieel bedrijf bewust kiezen tussen een soevereine dienst (wanneer regelgeving en risico dat vereisen) of een veerkrachtige en mondiale optie (wanneer de business dat vereist), zonder categorieën te verwarren.

Waar kan het Europese kader naartoe evolueren?

De landing van het Cloud Sovereignty Framework in daadwerkelijke aanbestedingen zal tonen in hoeverre de soevereiniteitsscore transparantie introduceert of, zoals tem CISPE vreest, onduidelijkheid creëert. Een redelijke convergentierichting zou zijn om de hogere niveaus van de score te koppelen aan eisen en verifieerbare etiketten (bijv. Gaia-X Niveau 3), met tussenniveaus voor wereldwijde scenario’s — met operationele en juridische garanties — die geen soevereiniteit beloven, maar wel verifieerbare controle en mitigatiemaatregelen bieden.

Tegelijkertijd zal de concurrentiedruk blijven groeien. De hyperscalers kondigen Europese soevereine aanbiedingen aan met technische en organisatorische scheidingen; de Europese leveranciers vragen dat publieke aanbestedingen de lokale optie niet ontmoedigen door het onmogelijke in sommige gebieden te eisen en in andere gebieden te verruimen. Wat niemand betwist, is dat in een steeds meer cloud-first economie en een AI die de waarde van gegevens vermeerdert, de governance — wie kan zien, aanraken of toegang aanvragen — strategisch is voor Europa.

Share on LinkedIn Share on WhatsApp
Scroll naar boven