EU har for første gang defineret, hvad “suveræn” betyder for en cloud-leverandør. Ikke som et krav om europæisk oprindelse. Men som et målbart spørgsmål om kontrol. Værktøjet stiller otte spørgsmål og giver en score fra 0 til 100.
Efterspørgslen var enorm
EU-Kommissionen brugte værktøjet første gang i april, da den valgte cloud-leverandører til en kontrakt på 180 millioner euro til egne institutioner. Den 1. juni udgav Kommissionen en offentlig forklaring af metoden, fordi efterspørgslen fra både myndigheder og virksomheder var så stor.
Tilgangen er pragmatisk. Der er ikke europæisk kapacitet til at løse alt med egne løsninger. I stedet for at kræve det, måler EU, hvor meget kontrol europæerne reelt har. Suverænitet er et spørgsmål om grader. Opgaven er at rykke opad.
Bestå eller dump, derefter en samlet score
Værktøjet fungerer i to trin. Først en minimumsgrænse: Klarer en leverandør ikke et minimum på bare ét af otte områder, er den ude. Derefter en vægtet samlet score, hvor nogle områder tæller mere end andre.
De otte spørgsmål
Ejerskab (15 procent): Ligger ejerskab og beslutningskraft i EU?
Lovgivning (10 procent): Hvilket lands lov gælder, og kan en udenlandsk regering kræve adgang til data?
Data (10 procent): Hvem har nøglerne, og hvor behandles data?
Drift (15 procent): Kan europæere selv drive og udvikle systemet uden hjælp udefra?
Leverandørkæde (20 procent): Hvor kommer hardware, software og opdateringer fra?
Teknologi (15 procent): Bygger det på åbne standarder, så man kan skifte leverandør?
Sikkerhed (10 procent): Styres overvågning og logning fra Europa?
Miljø (5 procent): Hvad kræver løsningen af energi og råstoffer på sigt?
Det der tæller mest, og det der overrasker
Leverandørkæden, altså hvor hardware og software fysisk kommer fra, vejer mest med 20 procent. Lovgivningsspørgsmålet, som dækker amerikansk og kinesisk lovgivnings rækkevidde, tæller kun 10 procent.
Kommissionen forklarer det med, at eksisterende udbudsregler allerede dækker det juridiske. Værktøjet nævner direkte amerikansk og kinesisk lovgivning som de trusler, det skal beskytte mod.
Et fremskridt med en skævhed
Værktøjet er et fremskridt. Det er bedre end leverandørens markedsføring. Men i de sager, der har defineret suverænitetsdiskussionen de seneste år, var det det juridiske lag, der afgjorde udfaldet. Ikke hardware eller drift. En international domstol mistede adgang til sine systemer på grund af en juridisk beslutning. Et hollandsk parlamentsflertal blev underkendt af en ministers underskrift. En leverandør erkendte for et udenlandsk senat, at den ikke kan modsætte sig sit hjemlands retskendelser.
I alle tre sager var loven det afgørende. Jeres egen risikovurdering bør give det juridiske lag mere vægt end 10 procent.
Alle kan bruge det
Kommissionen opfordrer både offentlige og private organisationer til at bruge værktøjet. Det betyder, at en dansk virksomhed kan tage de otte spørgsmål og stille dem til sin egen cloud-leverandør. Svarene er et bedre grundlag end en salgsbrochure. Men vægtningen er Kommissionens. Jeres risikoprofil kan kræve en anden.
En uafhængig IT-rådgivning kan hjælpe med at anvende de otte spørgsmål på jeres konkrete leverandørsituation og justere vægtningen til jeres risikoprofil.
Hvor mange af de otte spørgsmål kan jeres nuværende cloud-leverandør svare tilfredsstillende på i dag?
Har du brug for hjælp til at vurdere jeres leverandørers suverænitetsniveau?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
