Euroopan komissio on ilmoittanut kunnianhimoisesta suunnitelmasta vapautua lähes täydellisestä riippuvuudestaan ulkomaisesta teknologiasta.
Komissio on esitellyt hankkeen, jota se kutsuu ”ratkaisevaksi hetkeksi oman teknologisen suvereniteettinsa varmistamisessa”: Euroopan teknologisen suvereniteettipaketin, joka on kattava ehdotus(uusi ikkuna) Euroopan valmiuksien vahvistamiseksi puolijohteiden, tekoälyn, pilviteknologian ja avoimen lähdekoodin aloilla.
Sen tavoite on yksiselitteinen: vähentää Euroopan infrastruktuurin riippuvuutta ulkomaisesta teknologiasta. Komission virallisessa tiedonannossa todetaan, että ”EU on edelleen rakenteellisesti riippuvainen EU:n ulkopuolisista tarjoajista yli 80 prosentissa digitaalisista tuotteistaan(uusi ikkuna), palveluistaan, infrastruktuuristaan ja immateriaalioikeuksistaan”.
Suunnitelma on pohjimmiltaan toimintakehote eurooppalaisille yrityksille arvioida omia yhdysvaltalaiseen teknologiaan liittyviä riskejään. Tämä artikkeli tarjoaa yleiskatsauksen paketin jokaisesta neljästä osasta:
- Sirusäädös 2.0
- Pilvi- ja tekoälykehityssäädös (CADA)
- EU:n avoimen lähdekoodin strategia
- Strateginen etenemissuunnitelma energian digitalisointiin ja tekoälyyn
Miksi Eurooppa priorisoi infrastruktuurin itsenäisyyttä juuri nyt
EU myöntää nyt sen, mistä monet teknologia-asiantuntijat ovat varoittaneet jo pitkään: Euroopan on lakattava pitämästä rakenteellista riippuvuutta hyväksyttävänä hintana mukavuudesta.
Kuten komission puheenjohtaja Ursula von der Leyen totesi: ”Meillä ei ole varaa olla riippuvaisia muista sellaisten teknologioiden osalta, jotka pitävät sairaalamme toiminnassa, sähköverkkomme vakaina ja palvelumme turvallisina. Tässä on kyse kansalaistemme suojelemisesta, etujemme puolustamisesta ja omien valintojemme tekemisestä.”
Infrastruktuuririippuvuus altistaa jokaisen EU-maan seuraaville riskeille:
- Tappokytkimet. Ulkovalta voi poistaa käytöstä tai häiritä palveluita, joista sairaalanne, sähköverkkonne ja julkiset laitoksenne ovat riippuvaisia. EU:n teknologiajohtaja Henna Virkkunen mainitsi tämän suoraan(uusi ikkuna): ”Haluamme olla varmoja siitä, että pystymme kriittisillä kentillä aina hallitsemaan palveluita ja hallitsemaan tietoja Euroopassa.”
- Lailliset takaportit. Yhdysvaltain laki velvoittaa yhdysvaltalaiset pilvipalveluntarjoajat luovuttamaan tietoja Amerikan viranomaisille, vaikka ne olisi tallennettu Eurooppaan(uusi ikkuna). Yhdysvaltalaisessa infrastruktuurissa olevat eurooppalaiset tiedot eivät ole Euroopan lainkäyttövallan suojaamia. GDPR-vaatimustenmukaisuus ei muuta tätä.
- Ulkopuolelle suljetut hankinnat. Kriittiset julkiset sopimukset – terveydenhuolto, energia, puolustus – ovat tällä hetkellä sellaisten toimittajien täyttämiä, jotka eivät ole eurooppalaisessa valvonnassa(uusi ikkuna). Komission ehdottama korjaus, joka edellyttää EU:ssa valmistettuja ohjelmistoja ja laitteistoja kaikkein herkimmille julkisille tarjouskilpailuille, on tunnustus siitä, että nykyinen tilanne on kestämätön.
- Poliittinen vaikutusvalta. Kun infrastruktuurianne pyörittävillä yrityksillä on läheiset suhteet etujanne kohtaan vihamieliseen hallitukseen, riippuvuudesta tulee neuvottelurasite(uusi ikkuna). ICC ei päättänyt vapaaehtoisesti luopua Microsoftista – se käytännössä pakotettiin siihen. Se on tappokytkin toisella tavalla toteutettuna, ja niin on jo tapahtunut.
Lue lisää: Raportti Yhdysvaltain teknologian riskeistä
Mitä Euroopan teknologisen suvereniteetin paketti ehdottaa
Paketti koostuu neljästä osasta. Eurooppalaisille yrityksille kaksi niistä on tärkeimpiä: pilvi- ja tekoälykehityssäädös sekä avoimen lähdekoodin strategia.
Sirusäädös 2.0
Eurooppa tuottaa vain noin 10 % maailman puolijohteista ja on edelleen erittäin riippuvainen Yhdysvalloista ja Itä-Aasiasta sekä tavanomaisten että kehittyneiden sirujen osalta. Sirusäädös 2.0(uusi ikkuna) -säädöksen tavoitteena on vahvistaa Euroopan puolijohdeteollisuutta ja toimitusketjua.
Eurooppalaisille yrityksille: Seuratkaa, kuinka puolijohteiden toimitusketjua koskevien tietojen julkistaminen yleistyy. Niitä edellytettäisiin ”julistetun kriisin” aikana, ne olisivat ehdollisia EU-rahoitusta hakeville yrityksille ja niihin kannustettaisiin hankinnoissa. Jos toimittajanne eivät pysty kertomaan, mistä heidän sirunsa ovat peräisin, varautukaa siihen, että sitä pidetään luottamusvajeena.
Pilvi- ja tekoälykehityssäädös (CADA)
Yli 70 % Euroopan pilvimarkkinoista on kolmen yhdysvaltalaisen palveluntarjoajan hallinnassa, kun taas EU:n oma osuus putosi 29 %:sta vuonna 2017 aina 15 %:iin vuonna 2022.
CADA esittelee neljä unionin varmuustasoa (Union Assurance Levels), jotka ulottavat pilvisuvereniteetin pelkkää tietojen säilytyspaikkaa pidemmälle kohti vaikeampia kysymyksiä valvonnasta, lainkäyttövallasta, omistajuudesta, ohjelmistojen toimitusketjun avoimuudesta ja kolmansien maiden sekaantumisesta.
- Taso 1: Tietoja käsitellään ja ne on tallennettu EU:ssa sijaitsevaan infrastruktuuriin.
- Taso 2: Palveluntarjoajien on osoitettava riippumattomuutensa kolmansista maista ja ohjelmistojen toimitusketjunsa avoimuus.
- Taso 3: Palveluntarjoajien on oltava EU-omisteisia ja EU:n valvonnassa sekä täytettävä lisävaatimukset, mutta samalla jätetään tilaa hyväksytyille luotetuille kolmansien maiden palveluntarjoajille.
- Taso 4: Palveluntarjoajilla on oltava täysi avoimuus ja valvonta ohjelmistojensa toimitusketjusta, eikä kolmansilla mailla saa olla mahdollisuutta sekaantua toimintaan.
Eurooppalaisille yrityksille: Tietojen säilytyspaikka ei ole sama asia kuin suvereniteetti. Varokaa palveluntarjoajia, jotka brändäävät olemassa olevan yhdysvaltalaisessa valvonnassa olevan infrastruktuurinsa ”eurooppalaiseksi” ilman, että ne täyttävät varmuustasojen todellisuudessa vaatimia omistus- ja valvontavaatimuksia. Taso 3 edellyttää EU-omistusta ja -valvontaa. Eurooppalaisella brändillä varustettu AWS-kuori ei ole tasoa 3.
EU:n avoimen lähdekoodin strategia
EU käyttää tällä hetkellä 264 miljardia euroa vuodessa pääasiassa yhdysvaltalaisiin suljettuihin IT-tuotteisiin ja -palveluihin. Strategian ratkaisu on ohjelmisto, jota voidaan tarkastella, käyttää uudelleen, mukauttaa ja ylläpitää Euroopassa. Tätä tuetaan avoimen lähdekoodin ylläpitoinstrumentilla (Open Source Maintenance Instrument) keskeisten osien turvallisuuden ja ylläpidon rahoittamiseksi sekä riippuvuuksien kartoitus- ja peilausominaisuuksilla, joilla varmistetaan jatkuva pääsy kriittisimpään infrastruktuuriin.
Se kohdistuu erityisesti pilvi-infrastruktuuriin, digitaalisiin työpaikkasovelluksiin, yhteistyö- ja tuottavuustyökaluihin, pikaviestintään ja turvalliseen sähköpostiin, ja tavoitteena on saavuttaa 30 miljoonaa aktiivista avoimen lähdekoodin vaihtoehtojen käyttäjää vuoteen 2030 mennessä.
”Julkiset varat, julkinen koodi” -periaate velvoittaa julkishallintoja valitsemaan oletusarvoisesti avoimen lähdekoodin aina kun mahdollista.
Eurooppalaisille yrityksille: Hankintakriteerit ovat siirtymässä kohti auditoitavuutta, yhteentoimivuutta ja ohjelmistoja, joita voitte tarkastella. Jos nykyiset työkalunne ovat suljettuja, kaupallisia ja yhdysvaltalaisessa valvonnassa, varautukaa sääntelyyn ja kilpailuun liittyvään paineeseen perustella tämä valinta.
Strateginen etenemissuunnitelma energian digitalisointiin ja tekoälyyn
Uusi delegoitu asetus tuo mukanaan EU-laajuiset kestävyysluokitukset datakeskuksille, mikä lisää ympäristötehokkuuden avoimuutta ja karsii viherpesua. Jos kriittistä energiainfrastruktuuria pyörittävä ohjelmisto sijaitsee Euroopan lainkäyttövallan ulkopuolella, energiasuvereniteetti on yhtä teoreettista kuin tietosuvereniteettikin.
Eurooppalaisille yrityksille: Seuratkaa, kuinka kestävyysluokituksista tulee hankintasignaali – ja kuinka kotimainen datakeskuskapasiteetti mahdollistaa uuden sukupolven eurooppalaisia palveluntarjoajia, jotka eivät aiemmin olleet kilpailukykyisiä pelkällä infrastruktuurilla.
Mitä paketti tarkoittaa Euroopalle
Euroopan komission paketti on tärkeä, mutta se ei ole vielä vallankumous. Paketti on kunnianhimoinen, mutta valtuudet ovat rajalliset. Paljon riippuu siitä, miten ehdotuksia kehitetään, neuvotellaan, toteutetaan, auditoidaan ja valvotaan.
Jos Eurooppa haluaa teknologisen suvereniteetin tarkoittavan jotakin, sen on siirryttävä pelkkää tilannekuvaa pidemmälle. Hankintasääntöjen, julkisen rahoituksen, sertifiointikehysten ja riskinarviointien on palkittava palveluntarjoajia, jotka vähentävät riippuvuutta sen sijaan, että ne vahvistaisivat sitä.
Digitaalinen riippumattomuus rakentuu tuhansista teknologiavalinnoista, joita tekevät hallitukset, yritykset ja yksityishenkilöt.
Protonilla autamme helpottamaan digitaalista siirtymää kohti itsenäisiä, yksityisyyttä kunnioittavia eurooppalaisia vaihtoehtoja(uusi ikkuna). Proton on jo vahvasti linjassa EU:n teknologisen suvereniteettipaketin kanssa: kaikki sovelluksemme ovat avointa lähdekoodia(uusi ikkuna) ja käyttävät vahvaa kryptografiaa(uusi ikkuna), mukaan lukien päästä päähän -salausta ja nollapääsysalausta. Koska olemme Sveitsiin sijoittautunut palveluntarjoaja, asiakkaamme hyötyvät vahvasta yksityisyyden suojasta.
Auttaaksemme useampia yrityksiä siirtymään eurooppalaiseen teknologiaan olemme äskettäin esitelleet Easy Switch for Business -työkalun, jonka avulla tiimit voivat siirtää sähköpostinsa, kalenterinsa ja yhteystietonsä Google Workspacesta Protoniin mahdollisimman vähäisellä vaivalla ja ilman käyttökatkoja.






