Cloud Sovereignty Framework der EU: neue Maßstäbe für souveräne Cloud-Strategien.

Die Europäische Union stellt die Cloud-Souveränität immer weiter in den Mittelpunkt: In aktuellen Ausschreibungen kommt erstmals ein umfassendes Cloud Sovereignty Framework zum Einsatz, das digitale Souveränität einerseits definiert und sie andererseits messbar macht. Unternehmen können dieses Framework damit als praktischen Leitfaden für ihre eigene Cloud-Strategie einsetzen. Denn die Frage nach Kontrolle, Unabhängigkeit und Rechtssicherheit in der Cloud betrifft längst nicht mehr nur öffentliche Organisationen, sondern alle Unternehmen, die kritische Daten und Workloads in die Cloud verlagern. Erfahren Sie in diesem Artikel, was das Cloud Sovereignty Framework beinhaltet und wie Sie es in der Praxis einsetzen können.

Die 8 Dimensionen des Cloud Sovereignty Frameworks

Das von der EU-Kommission entwickelte Cloud Sovereignty Framework basiert auf acht klar definierten Souveränitätszielen. Sie decken verschiedene Aspekte digitaler Unabhängigkeit ab und schaffen so einen ganzheitlichen Rahmen:

• Strategische Souveränität bewertet, inwiefern ein Cloud-Anbieter im europäischen Rechts-, Finanz- und Industrieumfeld verankert ist und ob er EU-Prioritäten unterstützt.
• Rechtliche und jurisdiktionelle Souveränität prüft die Abhängigkeit gegenüber außereuropäischen Rechtssystemen wie dem US CLOUD Act oder chinesischen Cybersecurity-Gesetzen.
• Daten- und KI-Souveränität stellt sicher, dass Unternehmen die Kontrolle über ihre Daten behalten und dass KI-Modelle unter EU-Kontrolle entwickelt werden.
• Operative Souveränität fokussiert sich auf die praktische Fähigkeit europäischer Unternehmen, Technologie unabhängig zu betreiben, zu warten und weiterzuentwickeln, inklusive der Verfügbarkeit von EU-basiertem Know-how und Support.
• Die Supply Chain Souveränität adressiert die geografische Herkunft kritischer Komponenten, von Hardware-Fertigung über Firmware bis zu Software-Updates.
• Technologische Souveränität bewertet Offenheit, Interoperabilität und die Vermeidung vom Vendor Lock-in.
• Sicherheits- und Compliance-Souveränität stellt sicher, dass Security Operations und Audit-Rechte unter EU-Jurisdiktion bleiben.
• Ökologische Nachhaltigkeit berücksichtigt langfristige Resilienz in Bezug auf Energieabhängigkeit und Ressourcenknappheit.

Das Cloud Sovereignty Framework als Bewertungssystem: SEAL-Level und Scoring

Einer der wichtigsten Faktoren des Cloud Sovereignty Frameworks ist die Möglichkeit zur praktischen Anwendung als Bewertungsinstrument in Unternehmen. Die EU nutzt ein zweistufiges Bewertungssystem, das Mindestanforderungen definiert und Differenzierung ermöglicht. Darauf können sich auch Unternehmen in ihrer eigenen Bewertung rund um die souveräne Cloud stützen.

Eine fünfstufige Skala (SEAL-Level: Sovereignty Effectiveness Assurance Levels) von SEAL-0 bis SEAL-4 definiert den Grad der Souveränität.

• SEAL-0 bedeutet keine Souveränität: Der Service ist unter exklusiver Kontrolle von Nicht-EU-Providern.
• SEAL-1 beschreibt rein jurisdiktionelle Souveränität, bei der EU-Recht formal gilt, aber kaum durchsetzbar ist.
• Ab SEAL-2 greift Datensouveränität mit durchsetzbarem EU-Recht, es verbleiben jedoch Abhängigkeiten.
• SEAL-3 steht für digitale Resilienz mit starkem, aber nicht vollständigem EU-Einfluss.
• SEAL-4 beschreibt vollständige digitale Souveränität ohne kritische Nicht-EU-Abhängigkeiten.

Ergänzend zum SEAL-Level berechnet die EU einen gewichteten Sovereignty Score. Die Gewichtung ist strategisch durchdacht: Operative Souveränität und Supply Chain Souveränität erhalten jeweils 20 %, da sie die praktische Unabhängigkeit und Resilienz am stärksten beeinflussen. Strategische und Technologie-Souveränität werden mit je 15 % gewichtet. Daten- und KI-, Rechts- und Sicherheitssouveränität erhalten je 10 %, da diese Bereiche bereits durch andere Regularien wie DSGVO, NIS2 oder DORA abgesichert sind. Nachhaltigkeit fließt mit 5 % ein.

Die anschließende Bewertung erfolgt durch offene und geschlossene Fragen an Cloud-Anbieter und wird ergänzt durch Nachweise und öffentliche Dokumentation. Gibt es Schwächen in einzelnen Bereichen, wird der Provider im Gesamtlevel heruntergestuft. Durch diesen Ansatz stellt die EU sicher, dass die Gesamtbewertung nicht durch gute Werte in einzelnen Bereichen beeinflusst werden kann.

Das Cloud Sovereignty Framework in der Praxis für Unternehmen

Das Cloud Sovereignty Framework ist nicht nur für EU-Ausschreibungen relevant. Vielmehr können auch Unternehmen es als Grundlage für ihre eigene Cloud-Souveränitätsstrategie nutzen. Möglichkeiten zur Anpassung gibt es verschiedene:

• Definieren Sie zunächst, welche Souveränitätsdimensionen für Ihr Unternehmen kritisch sind. Firmen in der Finanzbranche werden beispielsweise rechtliche und Datensouveränität höher gewichten, Industrieunternehmen wiederum stellen eher operative und Supply Chain Souveränität in den Mittelpunkt.
• Für die Bewertung Ihrer Cloud-Anbieter können Sie das SEAL-Level-System übernehmen und Anforderungen für jede Dimension festlegen. Kritische Workloads erfordern möglicherweise SEAL-3 oder höher, während für unkritische Systeme SEAL-2 ausreicht.
• Im Sovereignty Score können Sie die Gewichtung an Ihre Unternehmensanforderungen anpassen. Stark regulierte Unternehmen können beispielsweise Sicherheits- und Compliance-Souveränität höher gewichten, andere Unternehmen wiederum die Nachhaltigkeit.

Einerseits kann dieser Ansatz Unternehmen dabei helfen, die passenden Cloud Provider auszuwählen, andererseits kann auch die ganze Cloud-Strategie daran ausgerichtet werden. Das Cloud Sovereignty Framework schafft in jedem Fall einen sachlichen Rahmen, der Kriterien messbar und mit den individuellen Geschäftsanforderungen verknüpfbar macht.

Fazit: Das Cloud Sovereignty Framework als möglicher Zukunftsstandard

Sowohl im öffentlichen Sektor als auch in der freien Wirtschaft hat das Cloud Sovereignty Framework die Chance, zum neutralen Standard für die Bewertung souveräner Cloud-Lösungen zu werden. Die Kombination aus acht klar definierten Dimensionen, einem abgestuften Bewertungssystem und einer transparenten Scoring-Methode schafft einen objektiven und vergleichbaren Rahmen für ein bisher oft individuell und subjektiv diskutiertes Thema. Unternehmen können das Framework als strategischen Leitfaden für ihre eigene Cloud-Strategie einsetzen und die einzelnen Kriterien an individuelle Bedürfnisse anpassen. Statt auf schwammige Souveränitätsversprechen zu vertrauen, können CIOs und IT-Verantwortliche jetzt konkrete Anforderungen definieren und ihren Fortschritt nachvollziehbar bewerten.