Europa-Kommissionen har annonceret en ambitiøs plan om at frigøre sig fra sin næsten fuldstændige afhængighed af udenlandsk teknologi.

I hvad den har kaldt „et afgørende øjeblik for at hævde sin teknologiske suverænitet“, har Kommissionen præsenteret en europæisk teknologisk suverænitetspakke: et omfattende forslag til at(nyt vindue) styrke Europas kapacitet inden for halvledere, AI, sky og open source.

Målet er entydigt: at reducere Europas infrastrukturafhængighed af udenlandsk teknologi. Officiel kommunikation fra Kommissionen slår fast, at ”EU fortsat er strukturelt afhængig af udbydere uden for EU i forhold til mere end 80 % af sine digitale produkter(nyt vindue), tjenester, infrastruktur og intellektuelle ejendomsret”.

Abonnementet er i bund og grund en opfordring til handling for europæiske virksomheder om at undersøge deres egne amerikanske teknologiforpligtelser. Denne artikel giver et overblik over hver af de fire komponenter i pakken:

  • Chips Act 2.0
  • Lovgivningen om sky- og AI-udvikling (CADA)
  • EU’s open source-strategi
  • En strategisk køreplan for digitalisering og AI inden for energi

Hvorfor Europa prioriterer uafhængighed af infrastruktur nu

Unionen anerkender nu det, som mange teknologieksperter længe har advaret om: Europa skal holde op med at betragte strukturel afhængighed som en acceptabel pris for bekvemmelighed.

Som kommissionsformand Ursula von der Leyen udtrykte det: ”Vi har ikke råd til at være afhængige af andre i forhold til de teknologier, der holder vores hospitaler kørende, vores energinet stabile og vores tjenester sikre. Dette handler om at beskytte vores borgere, forsvare vores interesser og træffe vores egne valg.”

Afhængighed af infrastruktur efterlader alle nationer i EU sårbare over for risiciene ved:

  • Nødstop. En udenlandsk regering kan deaktivere eller forstyrre de tjenester, som Deres hospitaler, energinet og offentlige institutioner er afhængige af. EU’s teknologichef Henna Virkkunen nævnte det eksplicit(nyt vindue): ”Vi ønsker at være sikre på, at vi inden for de kritiske felter altid er i stand til at kontrollere tjenesterne og kontrollere dataene i Europa.”
  • Juridiske bagdøre. Amerikansk lovgivning kræver, at USA-baserede skyudbydere udleverer data til de amerikanske myndigheder, selvom de er lagret i Europa(nyt vindue). Europæiske data på amerikansk infrastruktur er ikke beskyttet af europæisk jurisdiktion. Overholdelse af GDPR ændrer ikke på dette.
  • Udelukkelse fra udbud. Kritiske offentlige kontrakter – sundhedsvæsen, energi, forsvar – opfyldes i øjeblikket af leverandører, der ikke er kontrolleret af europæere(nyt vindue). Kommissionens foreslåede løsning, som kræver EU-fremstillet software og hardware til de mest følsomme offentlige udbud, is en erkendelse af, at den nuværende situation er uholdbar.
  • Politisk pres. Når de virksomheder, der driver Deres infrastruktur, har tætte forbindelser til en regering, der er fjendtligt indstillet over for Deres interesser, bliver afhængighed en forhandlingsmæssig ulempe(nyt vindue). ICC valgte ikke at forlade Microsoft – de blev i realiteten presset ud. Det er et nødstop med andre midler, og det er allerede sket.

Læs mere: Rapport om risiciene ved amerikansk teknologi

Hvad den europæiske pakke for teknologisk suverænitet foreslår

Pakken består af fire komponenter. For europæiske virksomheder er der to, der betyder mest: Lovgivningen om sky- og AI-udvikling (CADA) og open source-strategien.

Chips Act 2.0

Europa producerer kun omkring 10 % af de globale halvledere og er fortsat stærkt afhængig af USA og Østasien for både gængse og avancerede mikrochips. Chips Act 2.0(nyt vindue) har til formål at styrke Europas halvlederindustri og forsyningskæde.

For europæiske virksomheder: Hold øje med, at oplysninger om forsyningskæden for halvledere bliver mere almindelige. De vil være påkrævede under en ”erklæret krise”, betingede for virksomheder, der søger EU-støtte, og opfordret til ved udbud. Hvis Deres leverandører ikke kan fortælle Dem, hvor deres mikrochips kommer fra, skal De forvente, at det vil blive betragtet som en tillidsbrist.

Lovgivningen om sky- og AI-udvikling (CADA)

Mere end 70 % af Europas skymarked kontrolleres af tre amerikanske udbydere, mens EU’s egen andel faldt fra 29 % i 2017 til 15 % i 2022.

CADA introducerer fire garantiniveauer i EU (Union Assurance Levels), der skubber skysuverænitet ud over blot datalokation mod sværere spørgsmål om kontrol, jurisdiktion, ejerskab, gennemsigtighed i softwareforsyningskæden og indblanding fra tredjelande.

  • Niveau 1: Data behandles og lagres i en infrastruktur, der er placeret i EU.
  • Niveau 2: Udbydere skal dokumentere uafhængighed af tredjelande og gennemsigtighed i forhold til deres softwareforsyningskæde.
  • Niveau 3: Udbydere skal være ejet og kontrolleret i EU og opfylde yderligere kriterier, samtidig med at der gives plads til anerkendte, betroede udbydere fra tredjelande.
  • Niveau 4: Udbydere skal have fuld gennemsigtighed og kontrol over deres softwareforsyningskæde og ingen indblanding fra tredjelande.

For europæiske virksomheder: Datalokation er ikke det samme som suverænitet. Vær opmærksom på leverandører, der omdøber eksisterende USA-kontrolleret infrastruktur til ”europæisk” uden at opfylde de krav til ejerskab og kontrol, som garantiniveauerne rent faktisk kræver. Niveau 3 kræver EU-ejerskab og -kontrol. En europæisk mærket indpakning af AWS er ikke Niveau 3.

EU’s open source-strategi

EU bruger i øjeblikket 264 milliarder euro om året, primært på proprietære amerikanske it-produkter og -tjenester. Strategiens svar er software, der kan kontrolleres, genbruges, tilpasses og vedligeholdes i Europa – understøttet af et vedligeholdelsesinstrument til open source (Open Source Maintenance Instrument) til at finansiere sikkerheden og vedligeholdelsen af vigtige komponenter samt kortlægning af afhængigheder og spejlingsfunktioner for at sikre fortsat adgang til den mest kritiske infrastruktur.

Den er specifikt rettet mod skyinfrastruktur, digitale arbejdspladsapplikationer, samarbejds- og produktivitetsværktøjer, chatbeskeder og sikker e-mail, med et mål om 30 millioner aktive brugere af open source-alternativer inden 2030.

Princippet ”offentlige midler, offentlig kode” forpligter offentlige administrationer til som standard at vælge open source, hvor det er muligt.

For europæiske virksomheder: Udbudskriterierne skifter i retning af reviderbarhed, interoperabilitet og software, De kan inspicere. Hvis Deres nuværende værktøjer er lukkede, proprietære og USA-kontrollerede, kan De forvente et pres – både lovgivningsmæssigt og konkurrencemæssigt – for at retfærdiggøre det valg.

En strategisk køreplan for digitalisering og AI inden for energi

En ny delegeret forordning vil indføre EU-dækkende bæredygtighedsvurderinger for datacentre, hvilket skaber gennemsigtighed om miljøpræstationer og dæmmer op for greenwashing. Hvis den software, der driver kritisk energiinfrastruktur, befinder sig uden for europæisk jurisdiktion, er energisuverænitet lige så teoretisk som datasuverænitet.

For europæiske virksomheder: Hold øje med, at bæredygtighedsvurderinger bliver en indikator ved udbud – og at indenlandsk datacenterkapacitet baner vejen for en ny generation af europæiske udbydere, som tidligere ikke var konkurrencedygtige på infrastruktur alene.

Hvad pakken vil betyde for Europa

Europa-Kommissionens pakke er vigtig, men det er endnu ikke en revolution. Pakken er ambitiøs, men mandaterne er begrænsede. Meget afhænger af, hvordan forslagene udvikles, forhandles, implementeres, revideres og håndhæves.

Hvis Europa ønsker, at teknologisk suverænitet skal betyde noget, skal man bevæge sig ud over blot at stille diagnosen. Udbudsregler, offentlig støtte, certificeringsrammer og risikovurderinger skal belønne udbydere, der reducerer afhængigheden i stedet for at forstærke den.

Digital uafhængighed opbygges gennem tusindvis af teknologivalg truffet af regeringer, virksomheder og enkeltpersoner.

Hos Proton hjælper vi med at lette den digitale overgang til suveræne, privatlivsfokuserede europæiske alternativer(nyt vindue). Proton er allerede tæt på linje med EU’s pakke for teknologisk suverænitet: Alle vores apps er open source(nyt vindue) og anvender stærk kryptografi(nyt vindue), herunder end-to-end-kryptering og zero-access-kryptering. Som en schweizisk-baseret udbyder nyder vores kunder godt af stærk beskyttelse af privatlivet.

For at hjælpe flere virksomheder med at skifte til europæisk teknologi har vi for nylig introduceret Easy Switch for Business, som gør det muligt for teams at migrere deres e-mails, kalendere og kontakter fra Google Workspace to Proton med minimal indsats og nul nedetid.