Eurooppalainen suvereeni pilvi — miksi suvereniteetti on enemmän kuin sijainti

Sijaintirefleksi

Jokainen julkisen sektorin tarjouspyyntö, jonka olen lukenut viimeisen kahden vuoden aikana, alkaa samalla lauseella: “Data on säilytettävä Euroopan unionin sisällä.” Se on poliittinen refleksi vuosikymmeneltä, joka oppi sanan “suvereniteetti” kantapään kautta — Schremsin, CLOUD Act -määräysten, Microsoft Irlanti -tapauksen kautta. Refleksi on oikea, mutta se on erehdytty pitämään päämääränä.

Sijainti on perusedellytys. Se ei ole voiton ehto.

Voit säilyttää jokaisen tavun potilastietoja Frankfurtin räkissä ja silti olla yhdysvaltalaisen emoyhtiön tytäryhtiö, jolta voidaan oikeudellisesti pakottaa pääsy, kopiointi tai poisto FISA 702:n tai CLOUD Actin nojalla. Voit ajaa kokonaisen kunnan EU-alueen tenantilla ja silti pitää salausavaimesi, identiteettipalvelusi ja hallintatasosi palvelussa, jonka mikä tahansa hyperskaalaaja voi peruuttaa Seattlessa olevasta konsolista. Data ei lähtenyt Euroopasta. Hallinta siitä ei koskaan saapunut.

Tästä syystä EU Cloud Services Cybersecurity Certification Scheme (EUCS) on jumissa vuodesta 2024. Luonnokset, jotka sisälsivät eksplisiittisiä suvereniteettivaatimuksia — EU-päämaja, vapautus ei-EU-laista — pudotettiin maaliskuun 2024 versiossa raskaan lobbauksen seurauksena. Jäljellä oleva sertifioi kyberturvallisuuden, ei oikeudenkäyttöä. Poliittiseen kysymykseen ei vastattu; se lykättiin. Ranska säilytti SecNumCloudin. Italia säilytti ACN:n. Saksa säilytti C5+:n. Sisämarkkinoilla on tällä välin kolme suvereniteettijärjestelmää ja yksi sijaintirefleksi.

Vuoden 2026 pilvimaisema tarjoaa nyt jotain parempaa kuin vuoden 2022 keskustelu oletti: aitoja suvereeneja tarjouksia aidoilta tarjoajilta. AWS avasi European Sovereign Cloudinsa Brandenburgissa tammikuussa 2026, rakennettuna erilliseksi saksalaiseksi oikeushenkilöksi, jossa toiminta on EU-asukkaiden käsissä, riippumaton IAM, laskutus, DNS ja varmenneviranomainen. Microsoft viimeisteli EU Data Boundaryn ja ohjaa säänneltyjä ranskalaisia työkuormia Bleun kautta — Orange–Capgemini -yhteisyrityksen, joka operoi Microsoftin teknologiaa Ranskan valtion valvonnassa. Googlella on vastaava S3NS:n kautta Thalesin kanssa. Mikään näistä ei ollut olemassa, kun sijaintilauseke ensimmäisen kerran kirjoitettiin hankintamalliisi. Kaikki ne ansaitsevat terävämmän testin kuin minkä mallisi soveltaa.

Kolme testiä selviää hankintasopimuksesta: kontrolli, koodi ja exit.

Testi 1 — Kontrolli: ketä voidaan pakottaa toimimaan?

Ensimmäinen kysymys ei ole missä data sijaitsee. Se on, kuka, istuen missä oikeudenkäytössä, voidaan laillisesti määrätä tekemään jotain sille. Lue operatiivisen yhtiön yhtiöjärjestys, emoyhtiön ilmoitukset, henkilöstön asuinpaikkavaatimukset, avaintenhallinnan dokumentaatio. Kysy eksplisiittisesti: minkä oikeudellisten pakkokeinojen alaisena tämä tarjoaja toimii, ja millä yhteisöllä on pääavaimet?

Aito suvereeni tarjous vastaa yhdellä oikeudenkäytöllä, yhdellä oikeushenkilöllä ja avaintenhallintajärjestelyllä, jossa asiakas (tai asiakkaan hallinnoima HSM) pitää kryptografisen juuren. Bleu voi vastata tähän SecNumCloud-työkuormien osalta. AWS ESC voi vastata siihen Brandenburgin osalta. Microsoftin tavallinen EU Data Boundary ei voi — ja Microsoft on ollut tästä rehellinen, minkä takia suvereenin pilven tuotelinja on olemassa.

Jos vastaus sisältää lauseen kuten “operatiivinen tuki päämajasta”, sinulla ei ole suvereenia järjestelmää. Sinulla on lokalisointikerros.

Testi 2 — Koodi: mikä todellisuudessa pyörittää pinoasi?

Toinen kysymys on, voitko lukea, auditoida ja rakentaa uudelleen ohjelmiston, jonka päällä palvelusi pyörivät. Tässä suvereniteettikeskustelu törmää avoimen lähdekoodin keskusteluun, ja tässä useimmat hankintaprosessit yhä vetäytyvät.

Jos ajoaika on suljettu, jokainen sen yläpuolinen kerros on luottamusilmoitus. Confidential computing auttaa; se ei ratkaise ongelmaa, jos firmware, orkestrointi tai tekoälymallin painoarvot pysyvät mustana laatikkona, joka on ei-EU-toimittajan omistuksessa ja päivitettävissä. Suvereenin hankinnan tulisi vaatia joko lähdekoodiltaan saatavilla olevia pinoja eurooppalaisilla haarautusoikeuksilla tai sopimusperusteista escrowia, joka voidaan aktivoida määriteltyjen ehtojen täyttyessä. Avoimen lähdekoodin perusta — Kubernetes, PostgreSQL, OpenStack, OpenSearch, EU:ssa isännöidyt avoimien painoarvojen mallit — ei ole enää harrastajan vaihtoehto. Se on ainoa kerros, jonka Eurooppa hallitsee suoraan.

Tämä on myös kerros, jonka kovettamiseksi Digital Commons EDIC luotiin. Käsittele se osana hankintastrategiaasi, ei erillisenä ideologisena keskusteluna.

Testi 3 — Exit: voitko todellisuudessa lähteä?

Kolmas kysymys on, kestääkö allekirjoitettava sopimus tulevaisuuden, jossa et enää halua sitä. 12. syyskuuta 2025 lähtien EU:n Data Act antaa jokaiselle pilviasiakkaalle laillisen oikeuden vaihtaa tarjoajaa kahden kuukauden irtisanomisajalla. Useimmat vaihtomaksut poistuvat kokonaan 12. tammikuuta 2027 mennessä. IaaS-tarjoajien on mahdollistettava “toiminnallinen vastaavuus” siirtymässä; PaaS- ja SaaS-tarjoajien on julkaistava avoimet vaihtorajapinnat.

Tämä on laki. Toiminnallinen todellisuus on karumpi.

Toiminnallista vastaavuutta ei ole BigQueryn ja Snowflaken välillä. Cosmos DB:n ja DynamoDB:n välillä. Bedrockissa isännöityjen mallien ja EU:ssa isännöidyn Mistral-käyttöönoton välillä. Data Act antaa oikeudellisen rakenteen exitille; se ei rakenna migraatiotietä. Se työ on sinun.

Rakenna se ennen kuin allekirjoitat. Aja dokumentoitu palautus-vaihtoehtoiselle-tarjoajalle -harjoitus vähintään kerran vuodessa, samaan tapaan kuin ajat katastrofipalautusharjoituksen. Jos vastaus on “emme voisi realistisesti tehdä tätä alle 18 kuukaudessa”, allekirjoitettava sopimus ei ole palvelusopimus. Se on liittäminen.

Hankintakäsikirja

Et tarvitse uutta hankintakehystä. Tarvitset kolme lauseketta ja yhden harjoituksen.

Kontrollilauseke nimeää operatiivisen yhteisön, sen oikeudenkäytön, purkuavainten sijainnin ja oikeudelliset järjestelmät, joiden alla tarjoaja voidaan pakottaa toimimaan. Koodilauseke tunnistaa, mitkä pinon komponentit ovat avoimia tai escrowissa, ja miltä eurooppalainen haarautus- tai uudelleenrakennuspolku näyttää. Exit-lauseke viittaa Data Actin vaihtovelvoitteisiin, nimeää kohteena olevan vaihtoehtoisen tarjoajan ja sitouttaa molemmat osapuolet vuosittaiseen siirrettävyystestiin. Harjoitus on itse testi: valitse ei-kriittinen työkuorma, siirrä se toiselle tarjoajalle, dokumentoi mikä rikkoutui, korjaa, toista.

Tee tämä, niin sana “suvereniteetti” lakkaa olemasta iskulause. Siitä tulee ominaisuus, jonka järjestelmäsi säilyttää paineen alla.

Se on ainoa määritelmä, jolla on merkitystä.

Lue rinnakkainen essee DC EDIC:stä ja seuraavista kahdeksastatoista kuukaudesta, tai ota yhteyttä näiden testien soveltamisesta tiettyyn hankintaan.