Komisja ogłosiła przetarg o wartości 180 mln euro na suwerenną chmurę , którego celem jest wsparcie rynku i jego rozwój „w stronę zgodności z normami i wartościami UE” – poinformował rzecznik Komisji.

Przetarg, opublikowany dzień wcześniej przez departament IT Komisji DG DIGIT, wprowadza również ważną nową formułę „wskaźnika suwerenności” służącą do oceny zgodności dostawców usług w chmurze z przepisami UE. Wskaźnik ten uwzględnia wiele czynników, w tym to, czy usługi są hostowane w jurysdykcji UE, podlegają zagranicznym przepisom, takim jak amerykańska ustawa Cloud Act, lub czy są w stanie utrzymać działalność w przypadku nałożenia sankcji zagranicznych.

W ramach przetargu przygotowano nowe ramy dotyczące suwerennej chmury. Kontrakt zostanie przyznany maksymalnie czterem dostawcom zarejestrowanym w Cloud III DPS. W ramach tych ram suwerenność mierzy się w oparciu o osiem konkretnych celów i przyznaje cztery poziomy suwerenności (SEAL). Cele te obejmują kwestie strategiczne, prawne, operacyjne i środowiskowe, a także przejrzystość łańcucha dostaw, otwartość technologiczną, bezpieczeństwo i zgodność z prawem UE. Ustalają one minimalny poziomy gwarancji dla każdego z tych celów, a Komisja dzięki nim tworzy równe warunki działania, w których dostawcy usług w chmurze działający na rynku UE mogą wykazać się swoją suwerennością. Wesprze to cały sektor do dostosowania się do europejskich norm i wartości.

Według Komisji, przyszła ustawa o rozwoju chmury i sztucznej inteligencji (CAIDA) – która ma wejść w życie wiosną przyszłego roku i ma zdefiniować „suwerenność chmury” – ma również na celu wzmocnienie suwerennych zdolności chmury w Europie. Rzecznik dodał, że przetarg „wyznacza nowy punkt odniesienia” dla praktycznej definicji tego, czym powinna być suwerenna chmura. Rzecznik nie wyjaśnił jednak, czy formuła oceny suwerenności stosowana w przetargu będzie miała wpływ na formalną definicję suwerennych chmur w przyszłym wniosku dotyczącym CAIDA.

—-

Dokument Cloud Sovereignty Framework określa cele suwerenności istotne dla świadczenia usług w chmurze, o które są ważne w ramach procedury zakupowej. Opierają się one na inicjatywach europejskich, takich jak Trusted Cloud Referential v2 organizacji CIGREF, zasady i architektura polityki Gaia-X oraz europejskie ramy certyfikacji cyberbezpieczeństwa (ENISA, NIS2, DORA). Ponadto odzwierciedlają one wnioski wyciągnięte z krajowych strategii dotyczących suwerenności chmury (np. francuskiej „Cloud de Confiance” i niemieckiej „Souveräner Cloud”), a także międzynarodowych praktyk w zakresie kontroli eksportu, odporności łańcucha dostaw i możliwości kontroli bezpieczeństwa. W rezultacie powstał zestaw celów, które uzupełniają wymogi dotyczące zapewnienia bezpieczeństwa o zabezpieczenia związane z suwerennością, jasno definiujące, co oznacza suwerenność.

Ocena KE zostanie przeprowadzona na podstawie otwartych lub zamkniętych pytań zadanych oferentom, dowodów uzupełniających dostarczonych przez oferentów i/lub publicznej dokumentacji usługi, zgodnie z wyjaśnieniami zawartymi w specyfikacji przetargowej.

Ocena ma dwojaki charakter:

1. Instytucja zamawiająca oceni poziom gwarancji zapewniany przez oferenta dla każdego z celów suwerenności za pomocą poziomu gwarancji skuteczności suwerenności (SEAL). Poziom SEAL jest stosowany jako minimalny poziom gwarancji. Specyfikacje przetargowe wskazują minimalny poziom SEAL, który dostawca usług w chmurze musi osiągnąć dla każdego celu suwerenności. Oferty, które nie zapewniają wymaganego (minimalnego) poziomu gwarancji w sposób spójny dla wszystkich celów, zostaną odrzucone.
2. Instytucja zamawiająca obliczy również wynik suwerenności dla usług w chmurze, uzupełniający ocenę SEAL, aby posortować usługi w chmurze według ich odpowiednich cech suwerenności. Wzór używany do obliczenia wyniku suwerenności podano w sekcji 5. Wynik suwerenności ma wpływ na wynik jakościowy oferty jako kryterium udzielenia zamówienia.

Podsumowując usługodawcy chmurowi najpierw uzyskają poziom suwerenności (od SEAL 1 do SEAL 4), a następnie uzyskają punkty w każdej z ośmiu kategorii (SOV1-8) i zostaną posortowanie wg końcowego wyniku oraz poziomu.

Poniżej szczegóły.

Suwerenne cele i ich opis 

Wykaz poziomów zapewnienia skuteczności suwerenności (Sovereignty Effectiveness Assurance Levels – SEAL)

Czynniki wpływające na ocenę każdego z celów:

1. Strategic Sovereignty
   1. Ensuring that bodies having decisive authority over your services are located within EU jurisdiction,
   2. Evaluating the assurances against change of control.
   3. Degree to which the provider relies on financing coming from EU sources.
   4. Extent of investment, jobs, and value creation within EU.
   5. Involvement in EU initiatives, Consistency with digital, green, and industrial sovereignty objectives defined at EU level.
   6. Ability to sustain secure operations against requests to cease or suspend the service, or if vendor support is withdrawn or disrupted
2. Legal & Jurisdictional Sovereignty
   1. The national legal system governing the provider’s operations and contracts.
   2. Degree of exposure to non-EU laws with cross-border reach (e.g., US CLOUD Act, Chinese Cybersecurity Law).
   3. Existence of legal, contractual, or technical channels through which non-EU authorities could compel access to data or systems.
   4. Applicability of international regimes, which may restrict usage or transfer.
   5. Location of intellectual property creation, registration, and development (EU vs. third countries), legal jurisdiction where IP is created and developed
3. Data & AI Sovereignty
   1. Ensuring that only the customer, not the provider, has effective control over cryptographic access to their data.
   2. Visibility into when, where, and by whom data is accessed, including auditability of AI model usage, mechanisms guaranteeing irreversible removal of data, with verifiable evidence.
   3. Strict confinement of storage and processing to European jurisdictions, with no fallback to third countries.
   4. Extent to which AI models and data pipelines are developed, trained, hosted, and governed under EU control, minimizing dependency on non-EU technology stacks.
4. Operational Sovereignty
   1. – Ease of migrating workloads or integrating with alternative EU- controlled solutions without vendor lock-in.
   2. Capacity for EU operators to manage, maintain, and support the technology without requiring non-EU vendor involvement
   3. Existence of an EU-based talent pool with the expertise to operate and sustain the service.
   4. Assurance that operational support is delivered from within the EU and subject exclusively to EU legal frameworks
   5. Availability of full technical documentation, source code, and operational know-how enabling long-term autonomy.
   6. Location and legal control of critical suppliers or subcontractors involved in service delivery.
5. Supply Chain Sovereignty
   1. Geographic source of key physical parts, manufacturing location – countries where hardware is manufactured or assembled
   2. Jurisdiction and provenance of embedded code controlling hardware, firmware
   3. Origin of Software: where and by whom software is architected and programmed, location and jurisdiction governing software packaging, distribution, and updates.
   4. Degree of reliance on non-EU vendors, facilities, or proprietary technologies
   5. Visibility into the entire supplier and sub-supplier chain, including audit rights
6. Technology Sovereignty
   1. Ability to integrate with other technologies through well-documented and non-proprietary APIs or protocols, extent to which the solution adheres to publicly governed and widely adopted standards, reducing dependency on single vendors
   2. Whether software is accessible under open licenses, with rights to audit, modify, and redistribute, ensuring transparency and adaptability
   3. Visibility into the design and functioning of the service, including architectural documentation, data flows, and dependencies
   4. Degree of EU independence in high-performance computing capabilities, including processors, accelerators, and software ecosystems.
7. Security & Compliance Sovereignty
   1. Attainment of EU and internationally recognized certifications (e.g., ISO, ENISA schemes)
   2. Adherence to GDPR, NIS2, DORA, and other EU frameworks
   3. Security Operations Centres and response teams operating exclusively under EU jurisdiction, control over security monitoring/logging – customer or EU authority ability to oversee logs, alerts, and monitoring functions directly.
   4. Transparent, timely, and EU-compliant reporting of breaches or vulnerabilities, maintenance Autonomy – ability to develop, test, and apply security patches independently of non-EU vendors
   5. Capacity for EU entities to perform independent security and
      compliance audits with full access
8. Environmental Sustainability
   1. Adoption of energy-efficient infrastructure (e.g., low PUE) and measurable improvement targets.
   2. Circular economy practices ensuring reuse, refurbishment, and responsible end-of-life treatment of hardware.
   3. Transparent measurement and disclosure of carbon emissions, water usage, and other sustainability indicators.
   4. Sourcing of renewable or low-carbon energy to power infrastructure and operations

Wagi poszczególnych czynników

Końcowa formuła:

Materiały:

– Cloud Sovereignty Framework

– The Commission moves forward on cloud sovereignty with a EUR 180 million tender