Den 27. maj præsenterer EU-Kommissionen det mest ambitiøse lovudkast om digital suverænitet, den nogensinde har fremlagt. Kernen: Offentlige myndigheder kan blive tvunget til at flytte sundheds-, finans- og retsvæsendata væk fra amerikansk cloud-infrastruktur.
Udskudt to gange, skærpet hver gang
Pakken er blevet udskudt fra marts til april til maj. Hver gang er indholdet ifølge kilder tæt på processen blevet skærpet. Den indeholder fire hovedelementer.
Det centrale element er en bindende forordning med direkte virkning i alle 27 medlemslande. Målet er at tredoble EU’s datacenterkapacitet på fem til syv år og indføre fælles krav til cloud-udbydere. Kommissionen overvejer et nyt begreb, “europæisk effektiv kontrol”, som adgangskrav til offentlige kontrakter.
Derudover diskuteres det ifølge to embedsmænd, der udtalte sig anonymt til et internationalt erhvervsmedie, at begrænse brugen af ikke-europæisk cloud i offentlig sektor til behandling af følsomme data. Det er ikke et totalforbud. Det er en lagdelt model baseret på, hvor følsomme data er.
Pakken indeholder desuden en opfølgning på halvlederstrategien og en ny open source-strategi for EU.
Tre selskaber, 65 procent af markedet
Konteksten er velkendt. Tre amerikanske selskaber kontrollerer over 65 procent af EU’s cloud-marked. Amerikansk lovgivning giver amerikanske myndigheder adgang til data hos amerikanske selskaber, uanset hvor data lagres.
EU har allerede tildelt 180 millioner euro i kontrakter til europæiske cloud-konsortier. Men processen har været kontroversiel. Et af de udvalgte konsortier inkluderer et fællesforetagende mellem en stor fransk forsvarskoncern og en amerikansk cloud-gigant. 38 europæiske cloud-virksomheder har kritiseret den inklusion skarpt i en brancheklage.
Hvad det betyder for Danmark
Danske sundhedsdata, finansdata og retsvæsendata behandles i dag på amerikansk cloud. Hvis forordningen vedtages som foreslået, vil det direkte påvirke, hvilke udbydere danske myndigheder kan vælge ved næste udbud.
Danmark er ikke uforberedt. En statslig IT-enhed er i gang med en open source-platform. En sjællandsk kommune har allerede halvdelen af medarbejderne på alternativer. Retningen er sat. Men lovudkastet den 27. maj kan accelerere den markant.
Ikke i morgen, men heller ikke langt væk
Udkastet kræver godkendelse fra alle 27 medlemslande. En fælles køreplan fra april sætter endelig vedtagelse som mål inden udgangen af 2027.
Organisationer, der i dag har kontrakter med amerikanske cloud-leverandører til behandling af følsomme data, bør allerede nu vurdere, hvilke kontrakter der vil blive berørt, og hvilke europæiske alternativer der eksisterer.
En uafhængig IT-rådgivning kan hjælpe med at kortlægge, hvilke af jeres kontrakter der vil blive berørt af krav om europæisk cloud til følsomme data, og hvilke alternativer der allerede er tilgængelige.
Hvornår gennemgik I sidst, hvilke af jeres kontrakter der ville blive berørt, hvis EU stiller krav om europæisk cloud til sundheds-, finans- og retsvæsendata?
Har du brug for rådgivning om cloud-strategi og kommende EU-regulering?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
