Netwerkorganisatie Cigref becijferde dat 80% van Europese uitgaven aan software en clouddiensten ofwel 265 miljard euro per jaar naar Amerikaanse bedrijven gaat, wat direct en indirect zorgt voor 2 miljoen banen in de VS. Als, extrapolerend, in 2035 15% van de totale uitgaven in Europa zou blijven levert dat 500.000 banen op. In de VS gaan inmiddels stemmen op om de buit uit het Europese wingewest niet uitsluitend bij tech miljardairs te laten landen maar te verdelen onder de Amerikaanse bevolking. Allianz trade becijferde dat de Amerikaanse hyperscalers 35% van de Europese datacenter capaciteit beheersen, plus 50% van de pijplijn, waarmee een marktaandeel Cloud van 70% wordt geconsolideerd. Het onderzoek stelt dat tegen deze achtergrond, ‘Europe is permanently under the threat of a US kill switch on cloud data.’
NL-Alert voor risicobeoordeling autonomie door Europese wetgeving
Op 3 juni presenteerde de Europese Commissie een lang verwacht pakket aan wetgeving voor digitale autonomie, met als speerpunt de Cloud and AI Development Act (CADA). Technologie uit de VS is, hoewel niet met zoveel woorden genoemd, het voornaamste doelwit. Waarom is dat zo?
Afhankelijkheid en de daar aan verbonden mogelijkheid van chantage bijvoorbeeld voor manipulatie van regelgeving vormt tevens een bedreiging voor onze grondwettelijke orde. Moreel gezien is hierdoor de Europese verslaving aan Amerikaanse technologie al lang niet meer houdbaar. Daar wordt nu paal en perk aan gesteld. Het belang van het EU voorstel werd onderstreept door een eerste brede manifestatie van onderbreking van levering op 12 juni toen de Amerikaanse regering met een beroep op nationale veiligheid Anthropic opdroeg om voor alle buitenlanders Mythos en Fable 5 AI te blokkeren. De roep in Europa om onafhankelijkheid van US-tech als de Amerikaanse straat van Hormoez kreeg hierdoor een extra impuls. Het doel van CADA is om bij te dragen aan de Europese concurrentiekracht en economische macht en om risico’s als gevolg van zeggenschap over kritieke infrastructuur door landen die de Europese waarden niet delen straks volledig te elimineren.
Wat zegt CADA
Wat CADA per saldo doet is het stimuleren van vraag naar en indirect daarmee ook aanbod aan Europese technologie. Voor entiteiten met de kwalificatie essentieel of belangrijk onder het security regime van NIS2 geldt de eis van Made in Europe straks onverkort. Organisaties dienen periodiek een risicobeoordeling uit te voeren en compliant te zijn aan het voor hun geldende Assurance level. Bij non compliance voor bestaande omgevingen riskeren ze een aanwijzing om binnen een overgangsperiode te migreren en alsnog Europees te gaan. Ook software uit de VS die in Nederland on premise draait valt qua doel en letter binnen CADA in zoverre dat het er om gaat welke jurisdictie geldt, wie control heeft en of er blootstelling is aan interventie door derde-landen en niet om waar de IT draait. Leveranciers van datacenterdiensten moeten zich laten certificeren voor gespecificeerde niveaus van autonomie om in de vraag te kunnen voorzien. Ook overheidsdatacenters zoals de Belastingdienst of ODC Noord dienen kritisch naar hun portfolio te kijken. Bij blijk van non-compliance riskeren zij een boete.
Wat moeten overheden nu doen?
Implementatie van CADA zal na definitieve vaststelling van de verordening gestalte krijgen, in de loop van 2027 of 2028. Door het Europese wetsvoorstel is er in zekere zin nu sprake van een dubbel regime. Voor de toekomst compliance met CADA voor bestaande services en voor aanbestedingen: Made in Europe. Voor aanbestedingen nu op basis van formeel aanbestedingsrecht en met het Cloud Sovereignty Framework waarvan recent een update is gepubliceerd als handreiking: hooguit Mostly Europe. Het feit dat aanbestedingen nu niet kunnen (mogen) leiden tot volledig Made in Europa maakt e.e.a. complex. Maar duidelijk is dat het verstandig is om lopende aanbestedingen en bestaande voorzieningen nu al te bezien om straks niet in een probleemfuik van illegaliteit, ontvlechting en migratie te belanden. Projecten met een hoog risicoprofiel die in een beginstadium van implementatie verkeren kunnen maar beter worden beëindigd. Het is belang rijk om nu al te gaan plannen. Het uitvoeren van risicobeoordelingen door organisaties als basis voor een autonomieplan is per direct cruciaal.
Auteur kennisbijdrage: Marcel van Kooten
is adviseur informatie strategie bij Highberg.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.