Europeiska kommissionen har tillkännagivit ett ambitiöst paket för att frigöra sig från sitt nästintill fullständiga beroende av utländsk teknik.

I vad man har kallat ”ett avgörande ögonblick för att hävda sin teknologiska suveränitet” har kommissionen lagt fram ett europeiskt paket för teknologisk suveränitet: ett omfattande förslag för att(nytt fönster) stärka Europas kapacitet inom halvledare, AI, moln och öppen källkod.

Dess mål är otvetydigt: att minska Europas infrastrukturberoende av utländsk teknik. Officiell kommunikation från kommissionen anger att ”EU förblir strukturellt beroende av leverantörer utanför EU för över 80 % av sina digitala produkter(nytt fönster), tjänster, infrastruktur och immateriella rättigheter”.

Paketet är i grunden en uppmaning till europeiska företag att granska sina egna tekniska sårbarheter gentemot USA. Den här artikeln ger en översikt över var och en av de fyra delarna i paketet:

  • Chips Act 2.0
  • Lagen om moln- och AI-utveckling (CADA)
  • EU:s strategi för öppen källkod
  • En strategisk färdplan för digitalisering och AI inom energi

Varför Europa prioriterar infrastrukturellt oberoende nu

Unionen erkänner nu det som många teknikexperter länge har varnat för: Europa måste sluta se strukturellt beroende som ett godtagbart pris för bekvämlighet.

Som kommissionens ordförande Ursula von der Leyen uttryckte det: ”Vi har inte råd att vara beroende av andra för den teknik som håller våra sjukhus igång, våra energinät stabila och våra tjänster säkra. Det handlar om att skydda våra medborgare, försvara våra intressen och göra våra egna val.”

Infrastrukturberoende gör att varje land inom EU riskerar följande:

  • Kill switches. En utländsk regering kan inaktivera eller störa de tjänster som dina sjukhus, energinät och offentliga institutioner är beroende av. EU:s teknikchef Henna Virkkunen nämnde det uttryckligen(nytt fönster): ”Vi vill vara säkra på att vi inom de kritiska fälten alltid kan kontrollera tjänsterna och kontrollera data i Europa.”
  • Juridiska bakdörrar. Amerikansk lag kräver att USA-baserade molntjänstleverantörer lämnar över data till amerikanska myndigheter, även när den är lagrad i Europa(nytt fönster). Europeiska data på amerikansk infrastruktur skyddas inte av europeisk jurisdiktion. GDPR-efterlevnad ändrar inte på det.
  • Utestängning från upphandlingar. Kritiska offentliga kontrakt – hälso- och sjukvård, energi, försvar – uppfylls för närvarande av leverantörer som inte är europeiskt kontrollerade(nytt fönster). Kommissionens föreslagna lösning, som kräver EU-tillverkad mjukvara och hårdvara för de mest känsliga offentliga upphandlingarna, är ett erkännande av att den nuvarande situationen är ohållbar.
  • Politiska påtryckningsmedel. När de företag som driver din infrastruktur har nära kopplingar till en regering som är fientlig mot dina intressen, blir beroendet en belastning i förhandlingar(nytt fönster). ICC valde inte att lämna Microsoft – den tvingades i praktiken bort. Det är en kill switch på ett annat sätt, och det har redan hänt.

Läs mer: Rapport om riskerna med amerikansk teknik

Vad det europeiska paketet för teknologisk suveränitet föreslår

Paketet består av fyra delar. För europeiska företag är det två som är viktigast: lagen om moln- och AI-utveckling och strategin för öppen källkod.

Chips Act 2.0

Europa producerar endast omkring 10 % av världens halvledare och förblir kraftigt beroende av USA och Östasien för både vanliga och avancerade chipp. Rättsakten Chips Act 2.0(nytt fönster) syftar till att stärka Europas halvledarindustri och leveranskedja.

För europeiska företag: Håll utkik efter att redovisningar av leveranskedjan för halvledare blir allt vanligare. De skulle krävas under en ”deklarerad kris”, vara ett villkor för företag som söker EU-finansiering och uppmuntras vid upphandlingar. Om dina leverantörer inte kan berätta var deras chipp kommer ifrån, kan du räkna med att det kommer att betraktas som en brist på förtroende.

Lagen om moln- och AI-utveckling (CADA)

Mer än 70 % av Europas molnmarknad kontrolleras av tre amerikanska leverantörer, medan EU:s egen andel föll från 29 % under 2017 till 15 % under 2022.

CADA inför fyra garantinivåer inom unionen (Union Assurance Levels) som lyfter molnsuveränitet bortom lokal datalagring mot svårare frågor om kontroll, jurisdiktion, ägande, transparens i mjukvaruleveranskedjan och inblandning från tredjeländer.

  • Nivå 1: Data behandlas och lagras i infrastruktur som finns inom EU.
  • Nivå 2: Leverantörer måste visa oberoende från tredjeländer och transparens i sin mjukvaruleveranskedja.
  • Nivå 3: Leverantörer måste ägas och kontrolleras inom EU och uppfylla ytterligare kriterier, samtidigt som det lämnas utrymme för erkända, betrodda leverantörer från tredjeländer.
  • Nivå 4: Leverantörer måste ha full transparens och kontroll över sin mjukvaruleveranskedja och ingen inblandning från tredjeländer.

För europeiska företag: Lokal datalagring är inte samma sak som suveränitet. Se upp för leverantörer som profilerar om befintlig USA-kontrollerad infrastruktur som ”europeisk” utan att uppfylla de krav på ägande och kontroll som garantinivåerna faktiskt kräver. Nivå 3 kräver EU-ägande och EU-kontroll. Ett europeiskt skal runt AWS är inte nivå 3.

EU:s strategi för öppen källkod

EU spenderar för närvarande 264 miljarder euro om året, främst på proprietära IT-produkter och IT-tjänster från USA. Strategins svar är mjukvara som kan inspekteras, återanvändas, anpassas och underhållas i Europa – med stöd av ett underhållsinstrument för öppen källkod (Open Source Maintenance Instrument) för att finansiera säkerhet och underhåll av viktiga komponenter, samt funktioner för beroendekartläggning och spegling för att säkerställa att man fortsätter få åtkomst till den mest kritiska infrastrukturen.

Den riktar sig specifikt till molninfrastruktur, digitala arbetsplatsapplikationer, samarbets- och produktivitetsverktyg, snabbmeddelanden och säker e-post, med målet att nå 30 miljoner aktiva användare av alternativ med öppen källkod till 2030.

Principen ”offentliga medel, offentlig kod” förbinder offentliga förvaltningar att som standard välja öppen källkod där det är möjligt.

För europeiska företag: Upphandlingskriterierna skiftar mot granskningsbarhet, driftskompatibilitet och mjukvara som du kan inspektera. Om dina nuvarande verktyg är stängda, proprietära och USA-kontrollerade kan du förvänta dig påtryckningar – både regulatoriska och konkurrensmässiga – att motivera det valet.

En strategisk färdplan för digitalisering och AI inom energi

En ny delegerad förordning kommer att införa EU-övergripande hållbarhetsbetyg för datacenter, vilket skapar transparens kring miljöprestanda och sätter stopp för grönmålning. Om den mjukvara som driver kritisk energiinfrastruktur ligger utanför europeisk jurisdiktion är energisuveränitet lika teoretisk som datasuveränitet.

För europeiska företag: Håll utkik efter att hållbarhetsbetyg blir en signal vid upphandlingar – och att inhemsk datacenterkapacitet banar väg för en ny generation europeiska leverantörer som tidigare inte var konkurrenskraftiga enbart på infrastruktur.

Vad paketet kommer att innebära för Europa

Europeiska kommissionens paket är viktigt, men det är ännu inte någon revolution. Paketet är ambitiöst, men mandaten är begränsade. Mycket beror på hur förslagen utvecklas, förhandlas, genomförs, granskas och efterlevs.

Om Europa vill att teknologisk suveränitet ska betyda något måste man gå längre än att bara ställa diagnoser. Upphandlingsregler, offentlig finansiering, certifieringsramverk och riskbedömningar måste belöna leverantörer som minskar beroendet snarare än att förstärka det.

Digitalt oberoende byggs genom tusentals teknikval av regeringar, företag och individer.

På Proton hjälper vi till att underlätta den digitala övergången till suveräna europeiska alternativ(nytt fönster) som sätter integriteten främst. Proton är redan starkt anpassat till EU:s paket för teknologisk suveränitet: Alla våra appar är baserade på öppen källkod(nytt fönster) och använder stark kryptografi(nytt fönster), inklusive end-to-end-kryptering och nollåtkomstkryptering. Som en schweiziskbaserad leverantör drar våra kunder nytta av ett starkt integritetsskydd.

För att hjälpa fler företag att byta till europeisk teknik har vi nyligen introducerat Easy Switch for Business, vilket gör det möjligt för team att migrera sina e-postmeddelanden, kalendrar och kontakter från Google Workspace till Proton med minimal ansträngning och utan driftstopp.