De Europese Commissie heeft een ambitieus plan aangekondigd om zich te bevrijden van haar vrijwel volledige afhankelijkheid van buitenlandse technologie.

In wat zij een „bepalend moment heeft genoemd om haar technologische soeveriniteit te doen gelden”, heeft de Commissie een Europees pakket voor technologische soeveriniteit gepresenteerd: een veelomvattend voorstel om(nieuw venster) de capaciteit van Europa op het gebied van halfgeleiders, AI, cloud en open source te versterken.

Het doel is ondubbelzinnig: de infrastructurele afhankelijkheid van Europa van buitenlandse technologie verminderen. Officiële communicatie van de Commissie stelt dat “de EU structureel afhankelijk blijft van niet-EU-aanbieders voor meer dan 80% van haar digitale producten(nieuw venster), diensten, infrastructuur en intellectueel eigendom”.

Het abonnement is in wezen een oproep tot actie voor Europese bedrijven om hun eigen risico’s op het gebied van Amerikaanse technologie te onderzoeken. Dit artikel biedt een overzicht van elk van de vier onderdelen van het pakket:

  • Chips Act 2.0
  • De Cloud and AI Development Act (CADA)
  • De EU-strategie voor open source
  • Een strategische routekaart voor digitalisering en AI in de energiesector

Waarom Europa nu prioriteit geeft aan onafhankelijkheid van infrastructuur

Het blok erkent nu waar veel tech-experts al lang voor waarschuwen: Europa moet ophouden structurele afhankelijkheid te behandelen als een acceptabele prijs voor gemak.

Zoals Commissievoorzitter Ursula von der Leyen het verwoordde: “We kunnen het ons niet veroorloven om van anderen afhankelijk te zijn voor de technologieën die onze ziekenhuizen draaiende houden, onze energienetten stabiel houden en onze diensten beveiligen. Dit gaat over het beschermen van onze burgers, het verdedigen van onze belangen en het maken van onze eigen keuzes.”

Afhankelijkheid van infrastructuur stelt elk land binnen de EU bloot aan de risico’s van:

  • IP-beveiligingen. Een buitenlandse overheid kan de diensten uitschakelen of verstoren waarvan uw ziekenhuizen, energienetten en openbare instellingen afhankelijk zijn. EU-techchef Henna Virkkunen noemde dit expliciet(nieuw venster): “We willen er zeker van zijn dat we op de kritieke velden altijd in staat zijn om de diensten en de gegevens in Europa te beheren.”
  • Juridische achterdeurtjes. De Amerikaanse wetgeving vereist dat in de VS gevestigde cloudproviders gegevens overdragen aan de Amerikaanse autoriteiten, zelfs wanneer deze in Europa zijn opgeslagen(nieuw venster). Europese gegevens op Amerikaanse infrastructuur worden niet beschermd door de Europese jurisdictie. GDPR-naleving verandert daar niets aan.
  • Buitengesloten bij aanbestedingen. Kritieke overheidsopdrachten — gezondheidszorg, energie, defensie — worden momenteel uitgevoerd door leveranciers die niet onder Europese controle staan(nieuw venster). De door de Commissie voorgestelde oplossing, die in de EU geproduceerde software en hardware vereist voor de meest gevoelige openbare aanbestedingen, is een erkenning dat de huidige situatie onhoudbaar is.
  • Politieke druk. Wanneer de bedrijven die uw infrastructuur beheren nauwe banden hebben met een overheid die vijandig staat tegenover uw belangen, wordt afhankelijkheid een risico bij onderhandelingen(nieuw venster). Het ICC heeft er niet zelf voor gekozen om Microsoft te verlaten — het werd er in feite toe gedwongen. Dat is een IP-beveiliging via een andere weg, en het is al gebeurd.

Lees meer: Rapport over de risico’s van Amerikaanse tech

Wat het Europees pakket voor technologische soevereiniteit voorstelt

Het pakket bestaat uit vier onderdelen. Voor Europese bedrijven zijn er twee het belangrijkst: de Cloud and AI Development Act en de Open Source-strategie.

Chips Act 2.0

Europa produceert slechts ongeveer 10% of de wereldwijde halfgeleiders en blijft sterk afhankelijk van de VS en Oost-Azië voor zowel reguliere als geavanceerde chips. De Chips Act 2.0(nieuw venster) is bedoeld om de halfgeleiderindustrie en de toeleveringsketen van Europa te versterken.

Voor Europese bedrijven: houd er rekening mee dat openbaarmakingen over de toeleveringsketen van halfgeleiders gebruikelijker worden. Deze zouden verplicht zijn tijdens een “verklaarde crisis”, als voorwaarde gelden voor bedrijven die EU-financiering aanvragen, en worden aangemoedigd bij aanbestedingen. Als uw leveranciers u niet kunnen vertellen waar hun chips vandaan komen, verwacht dan dat dit wordt beschouwd als een vertrouwensgebrek.

De Cloud and AI Development Act (CADA)

Meer dan 70% van de Europese cloudmarkt wordt beheerst door drie Amerikaanse providers, terwijl het eigen aandeel van de EU is gedaald van 29% in 2017 naar 15% in 2022.

CADA introduceert vier ‘Union Assurance Levels’ die cloudsoevereiniteit verder voeren dan alleen de locatie van data (data residency), naar complexere kwesties zoals controle, jurisdictie, eigendom, transparantie van de softwaretoeleveringsketen en inmenging door derde landen.

  • Niveau 1: Gegevens worden verwerkt en opgeslagen in infrastructuur die zich in de EU bevindt.
  • Niveau 2: Providers moeten onafhankelijkheid van derde landen en transparantie over hun softwaretoeleveringsketen aantonen.
  • Niveau 3: Providers moeten in het bezit zijn van en gecontroleerd worden door entiteiten in de EU en aan aanvullende criteria voldoen, waarbij ruimte wordt gelaten voor erkende, vertrouwde providers uit derde landen.
  • Niveau 4: Providers moeten volledige transparantie en controle hebben over hun softwaretoeleveringsketen en er mag geen sprake zijn van inmenging door derde landen.

Voor Europese bedrijven: data residency is niet hetzelfde als soevereiniteit. Let op leveranciers die bestaande, door de VS gecontroleerde infrastructuur hernoemen naar “Europees” zonder te voldoen aan de eigendoms- en controlevereisten die de garantieniveaus daadwerkelijk voorschrijven. Niveau 3 vereist Europees eigendom en Europese controle. Een Europees merklaagje om AWS heen is geen niveau 3.

De EU Open Source-strategie

De EU geeft momenteel jaarlijks € 264 miljard uit, voornamelijk aan propriëtaire IT-producten en -diensten uit de VS. Het antwoord van de strategie is software die in Europa kan worden geïnspecteerd, hergebruikt, aangepast en onderhouden — ondersteund door een Open Source Maintenance Instrument om de beveiliging en het onderhoud van essentiële componenten te financieren, plus functies voor het in kaart brengen van afhankelijkheden en mirroring om voortdurende toegang tot de meest kritieke infrastructuur te garanderen.

Het richt zich specifiek op cloudinfrastructuur, digitale werkplektoepassingen, samenwerkings- en productiviteitstools, instant messaging en beveiligde e-mail, met als doel 30 miljoen actieve gebruikers van open source-alternatieven tegen 2030.

Het principe “publiek geld, publieke code” verplicht openbare besturen om waar mogelijk standaard te kiezen voor open source.

Voor Europese bedrijven: de criteria voor aanbestedingen verschuiven naar controleerbaarheid, interoperabiliteit en software die u kunt inspecteren. Als uw huidige tools gesloten, propriëtair en door de VS gecontroleerd zijn, verwacht dan druk — zowel vanuit regelgeving als van concurrenten — om die keuze te rechtvaardigen.

Een strategische routekaart voor digitalisering en AI in de energiesector

Een nieuwe Gedelegeerde Verordening zal EU-brede duurzaamheidsbeoordelingen voor datacenters introduceren, wat zorgt voor transparantie over milieuprestaties en greenwashing tegengaat. Als de software die de kritieke energie-infrastructuur aanstuurt buiten de Europese jurisdictie valt, is energiesoevereiniteit net zo theoretisch als datasoevereiniteit.

Voor Europese bedrijven: let op dat duurzaamheidsbeoordelingen een inkoopsignaal worden — en dat binnenlandse datacenter-capaciteit een nieuwe generatie Europese providers ontsluit die voorheen niet concurrerend waren op alleen infrastructuur.

Wat het pakket zal betekenen voor Europa

Het pakket van de Europese Commissie is belangrijk, maar het is nog geen revolutie. Het pakket is ambitieus, maar de mandaten zijn beperkt. Veel hangt af van hoe de voorstellen worden uitgewerkt, onderhandeld, geïmplementeerd, gecontroleerd en gehandhaafd.

Als Europa wil dat technologische soevereiniteit iets betekent, moet het verder gaan dan alleen een diagnose stellen. Aanbestedingsregels, overheidsfinanciering, certificeringskaders en risicobeoordelingen moeten leveranciers belonen die afhankelijkheid verminderen in plaats van versterken.

Digitale onafhankelijkheid wordt opgebouwd door duizenden technologische keuzes van overheden, bedrijven en individuen.

Bij Proton helpen we de digitale overgang te vergemakkelijken naar soevereine, privacy-first Europese alternatieven(nieuw venster). Proton sluit al sterk aan bij het technologische soevereiniteitspakket van de EU: al onze apps zijn open source(nieuw venster) en maken gebruik van sterke cryptografie(nieuw venster), waaronder end-to-end versleuteling en zero-access-versleuteling. Als een in Zwitserland gevestigde provider profiteren klanten van sterke privacybescherming.

Om meer bedrijven te helpen overstappen op Europese tech, hebben we onlangs Easy Switch for Business geïntroduceerd, waarmee teams hun e-mails, agenda’s en contacten met minimale inspanning en zonder downtime kunnen migreren van Google Workspace naar Proton.