Европейская комиссия объявила об амбициозном плане по избавлению от почти полной зависимости от зарубежных технологий.

В рамках того, что комиссия назвала «определяющим моментом для утверждения своего технологического суверенитета», она представила Пакет мер по обеспечению технологического суверенитета Европы: комплексное предложение по(новое окно) укреплению потенциала Европы в области полупроводников, ИИ, облачных технологий и открытого исходного кода.

Его цель предельно ясна: снизить зависимость европейской инфраструктуры от иностранных технологий. В официальном заявлении Комиссии говорится, что «ЕС сохраняет структурную зависимость от поставщиков из стран, не входящих в союз, более чем на 80% своих цифровых продуктов(новое окно), услуг, инфраструктуры и интеллектуальной собственности».

Этот план (тариф), по сути, является призывом к действию для европейского бизнеса с целью проанализировать свои обязательства, связанные с американскими технологиями. В этой статье представлен обзор каждого из четырех компонентов пакета:

  • Закон о чипах 2.0
  • Закон о развитии облачных технологий и ИИ (CADA)
  • Стратегия ЕС в области ПО с открытым исходным кодом
  • Стратегическая дорожная карта по цифровизации и ИИ в энергетике

Почему Европа сейчас ставит в приоритет независимость инфраструктуры

Европейский союз теперь признает то, о чем давно предупреждали многие технические эксперты: Европе пора прекратить относиться к структурной зависимости как к приемлемой плате за удобство.

Как заявила председатель Еврокомиссии Урсула фон дер Ляйен: «Мы не можем позволить себе зависеть от других в технологиях, которые обеспечивают работу наших больниц, стабильность энергосистем и безопасность наших услуг. Речь идет о защите наших граждан, отстаивании наших интересов и самостоятельном выборе».

Зависимость от инфраструктуры подвергает каждую страну ЕС следующим рискам:

  • Механизмы экстренного отключения (kill switches). Иностранное правительство может отключить или нарушить работу служб, от которых зависят ваши больницы, энергосистемы и государственные учреждения. Руководитель ЕС по технологиям Хенна Вирккунен прямо заявила об этом(новое окно): «Мы хотим быть уверены, что в критически важных областях мы всегда сможем контролировать услуги и данные в Европе».
  • Юридические бэкдоры. Законодательство США требует от американских облачных провайдеров передавать данные властям США, даже если они сохранены в Европе(новое окно). Европейские данные в американской инфраструктуре не защищены европейской юрисдикцией. Соблюдение GDPR этого не меняет.
  • Закрытые государственные закупки. Критически важные государственные контракты в сфере здравоохранения, энергетики и обороны в настоящее время выполняются поставщиками, не контролируемыми европейскими структурами(новое окно). Предложенное комиссией решение, требующее использования разработанного в ЕС программного и аппаратного обеспечения для наиболее конфиденциальных государственных тендеров, является признанием того, что текущая ситуация неприемлема.
  • Политическое давление. Когда компании, управляющие вашей инфраструктурой, имеют тесные связи с правительством, враждебным вашим интересам, зависимость становится слабостью на переговорах(новое окно). МУС не уходил от Microsoft добровольно — его фактически вынудили это сделать. Это тот же kill switch, но в другом обличии, и это уже произошло.

Читать подробнее: Отчет о рисках американских технологий

Что предлагает Европейский пакет технологического суверенитета

Пакет состоит из четырех компонентов. Для европейского бизнеса наиболее важны два из них: Закон о развитии облачных технологий и ИИ и Стратегия в области ПО с открытым исходным кодом.

Закон о чипах 2.0

Европа производит лишь около 10% мировых полупроводников и по-прежнему сильно зависит от США и Восточной Азии как в отношении массовых, так и передовых чипов. Закон Chips Act 2.0(новое окно) направлен на укрепление полупроводниковой промышленности и цепочки поставок в Европе.

Для европейского бизнеса: будьте готовы к тому, что раскрытие информации о цепочке поставок полупроводников станет более распространенной практикой. Это потребуется во время «объявленного кризиса», станет обязательным условием для компаний, претендующих на финансирование со стороны ЕС, и будет поощряться при проведении закупок. Если ваши поставщики не могут сказать, откуда поступают их чипы, ожидайте, что это будет расцениваться как дефицит доверия.

Закон о развитии облачных технологий и ИИ (CADA)

Более 70% европейского облачного рынка контролируется тремя американскими провайдерами, в то время как собственная доля ЕС упала с 29% в 2017 году до 15% в 2022 году.

CADA вводит четыре уровня гарантии Союза (Union Assurance Levels), которые выводят облачный суверенитет за рамки локализации данных, ставя более сложные вопросы контроля, юрисдикции, собственности, прозрачности цепочки поставок программного обеспечения и вмешательства третьих стран.

  • Уровень 1: данные обрабатываются и хранятся в инфраструктуре, расположенной в ЕС.
  • Уровень 2: провайдеры должны продемонстрировать независимость от третьих стран и прозрачность своей цепочки поставок программного обеспечения.
  • Уровень 3: провайдеры должны находиться в собственности и под контролем структур в ЕС и соответствовать дополнительным критериям, при этом сохраняется возможность работы для признанных доверенных провайдеров из третьих стран.
  • Уровень 4: провайдеры должны обеспечить полную прозрачность и контроль над своей цепочкой поставок программного обеспечения и исключить любое вмешательство третьих стран.

Для европейского бизнеса: локализация данных — это не то же самое, что суверенитет. Следите за тем, чтобы поставщики не выдавали существующую инфраструктуру под контролем США за «европейскую», не выполняя при этом требований по собственности и контролю, которых действительно требуют уровни гарантии. Уровень 3 требует собственности и контроля со стороны ЕС. «Обертка» под европейским брендом вокруг AWS не соответствует Уровню 3.

Стратегия ЕС в области ПО с открытым исходным кодом

В настоящее время ЕС тратит 264 миллиарда евро в год в основном на американские проприетарные ИТ-продукты и услуги. Ответом стратегии является программное обеспечение, которое можно проверять, повторно использовать, адаптировать и обслуживать в Европе. Это подкрепляется Инструментом поддержки ПО с открытым исходным кодом для финансирования безопасности и обслуживания основных компонентов, а также возможностями картирования зависимостей и зеркалирования для обеспечения непрерывного доступа к наиболее важной инфраструктуре.

Она специально ориентирована на облачную инфраструктуру, приложения для цифровых рабочих мест, инструменты для совместной работы и продуктивности, мгновенные сообщения и защищенную электронную почту с целью достичь 30 миллионов активных пользователей альтернатив с открытым исходным кодом к 2030 году.

Принцип «государственные деньги — публичный код» обязывает государственные органы по умолчанию использовать решения с открытым исходным кодом, где это возможно.

Для европейского бизнеса: критерии закупок смещаются в сторону проверяемости, совместимости и программного обеспечения, которое вы можете контролировать и инспектировать. Если ваши текущие инструменты являются закрытыми, проприетарными и контролируемыми США, ожидайте регуляторного и конкурентного давления, требующего обосновать этот выбор.

Стратегическая дорожная карта по цифровизации и ИИ в энергетике

Новый Делегированный регламент введет общеевропейские рейтинги устойчивости для дата-центров, обеспечивая прозрачность их экологических показателей и пресекая гринвошинг. Если программное обеспечение, управляющее критически важной энергетической инфраструктурой, находится вне европейской юрисдикции, энергетический суверенитет столь же теоретичен, как и суверенитет данных.

Для европейского бизнеса: следите за тем, как рейтинги устойчивости становятся сигналом для закупок, а внутренние мощности дата-центров открывают возможности для нового поколения европейских провайдеров, которые ранее не были конкурентоспособными только за счет инфраструктуры.

Что этот пакет будет означать для Европы

Пакет Европейской комиссии важен, но это пока не революция. Он амбициозен, но его полномочия ограничены. Многое зависит от того, как предложения будут разрабатываться, обсуждаться, внедряться, проверяться и соблюдаться.

Если Европа хочет, чтобы технологический суверенитет что-то значил, она должна выйти за рамки простой констатации проблем. Правила закупок, государственное финансирование, рамки сертификации и оценки рисков должны поощрять поставщиков, которые снижают зависимость, а не усиливают ее.

Цифровая независимость строится на основе тысяч технологических решений, принимаемых правительствами, бизнесом и отдельными людьми.

В Proton мы помогаем упростить цифровой переход к суверенным, ориентированным на конфиденциальность европейским альтернативам(новое окно). Proton уже полностью соответствует пакету мер ЕС по технологическому суверенитету: все наши приложения имеют открытый исходный код(новое окно) и используют надежную криптографию(новое окно), включая сквозное шифрование и шифрование с нулевым доступом. Поскольку мы являемся провайдером из Швейцарии, наши клиенты получают выгоду от надежной защиты конфиденциальности.

Чтобы помочь большему количеству компаний перейти на европейские технологии, мы недавно представили инструмент Easy Switch для бизнеса, который позволяет командам переносить свою электронную почту, календари и контакты из Google Workspace в Proton с минимальными усилиями и без простоев в работе.