diff --git a/src/content/de/announcements/2025-10-29-eucom-sovereignty.md b/src/content/de/announcements/2025-10-29-eucom-sovereignty.md index 12461281..dfffff2a 100644 --- a/src/content/de/announcements/2025-10-29-eucom-sovereignty.md +++ b/src/content/de/announcements/2025-10-29-eucom-sovereignty.md @@ -1,5 +1,5 @@ --- -title: "The European Commission's Cloud Sovereignty Framework" +title: "Das Cloud Sovereignty Framework der EU Kommission" authors: - name: 'Kurt Garloff' - name: 'Felix Kronlage-Dammers' @@ -10,64 +10,86 @@ slug: euSovCloud template: 'post' --- -## Frameworks for Digital Sovereignty in Cloud Infrastructure +## Rahmenwerke für digitale Souveränität in Cloud-Infrastrukturen -### Sovereign Cloud Stack's Digital Sovereignty +### Digitale Souveränität des Sovereign Cloud Stacks -Right from the beginning of the Sovereign Cloud Stack initiative, the urge to define digital sovereignty beyond the ability to control data was very prominent. Inspired by the [definition](https://www.de.digital/DIGITAL/Redaktion/DE/Digital-Gipfel/Download/2018/p2-digitale-souveraenitaet-und-kuenstliche-intelligenz.pdf) from DigitalGipfel 2018 and after numerous discussions to understand the needs of infrastructure users, the SCS Project came up with four different areas in which the requirements were sorted: +Von Anfang an stand bei der Sovereign Cloud Stack (SCS)-Initiative der Anspruch im Vordergrund, digitale Souveränität weiter zu fassen als reine Datenkontrolle. Inspiriert von der [Definition des Digitalgipfels 2018](https://www.de.digital/DIGITAL/Redaktion/DE/Digital-Gipfel/Download/2018/p2-digitale-souveraenitaet-und-kuenstliche-intelligenz.pdf) und den vielfältigen Diskussionen über die Bedürfnisse von Infrastrukturnutzenden definierte das SCS-Projekt vier zentrale Bereiche digitaler Souveränität, in denen die Anforderungen systematisch zusammengefasst wurden: -1. Data Sovereignty (SCS-1): The ability to store and process data securely and keep control of whom it is shared with. Security, controls and jurisdictional safety are prerequisites to fulfill this. -2. Provider switching capability (SCS-2): Avoiding lock-in effect by using services or APIs that are specific to one provider (or very few) which make it hard to switch or federate infrastructure providers. -3. Technological Sovereignty (SCS-3): The ability to freely use, study, adjust and innovate on the cloud technology. This benefits providers and thus users indirectly -- and also directly by running their own infrastructure if they determine this to be beneficial. -4. Operational Skills (SCS-4): The documentation and transparency on operational tools and processes to build the skills to run an infrastructure platform reliably. This empowers also smaller players to be successful in running cloud platforms for their own needs or for their external clients. +1. Datensouveränität (SCS-1): +Die Fähigkeit, Daten sicher zu speichern und zu verarbeiten sowie die Kontrolle darüber zu behalten, mit wem sie geteilt werden. Sicherheit, Kontrollmechanismen und rechtliche Schutzmaßnahmen sind Grundvoraussetzungen, um dies zu gewährleisten. -This was published in [the cloud report](/pdfs/CloudReport_2022_01_DigiSov.pdf) and [DuD](https://rdcu.be/cWdBJ) in 2022 and has been key to the strategic discussions in the [Sovereign Cloud Stack](https://sovereigncloudstack.org/) project. -While not being formally adopted by any standardization organization, it has certainly inspired others to think beyond data sovereignty like e.g. the [govstack project](https://govstack.global/) and it was used on and off-stage in many discussions and has held up extremely well there. +2. Wechselfähigkeit des Anbieters (SCS-2): +Die Vermeidung von Lock-in-Effekten, die durch den Einsatz von Diensten oder APIs entstehen, die nur bei einem (oder sehr wenigen) Anbietern verfügbar sind, was den Wechsel oder die Föderation von Infrastrukturanbietern erschwert. -The current geopolitical situation does motivate organisations to carefully look into their resilience and dependencies. -One can see some of these conversations derail and observe both attempts to confuse everyone with statements around digital sovereignty not being defined as well as players attempting to sovereign-wash their existing offerings by adding some level of protection against foreign access to data. If organisations are interested in IT resiliency, they need to avoid falling to these marketing schemes. +3. Technologische Souveränität (SCS-3): +Die Fähigkeit, Cloud-Technologien frei zu nutzen, zu studieren, anzupassen und weiterzuentwickeln. Dies kommt den Anbietern zugute und somit indirekt auch den Nutzenden – und direkt jenen, die ihre eigene Infrastruktur betreiben, wenn sie dies als vorteilhaft erachten. -### EU Commission +4. Betriebliche Kompetenz (SCS-4): +Dokumentation und Transparenz im Kontext betrieblicher Werkzeuge und Prozesse, zwecks Aufbau der Fähigkeiten zum zuverlässigen Betrieb einer Infrastrukturplattform. Hierdurch werden auch kleinere Akteure befähigt, erfolgreich Cloud-Plattformen für ihre eigenen Bedürfnisse oder für externe Kunden zu betreiben. -A few days ago, the EU commission has published their [Cloud Sovereignty Framework](https://commission.europa.eu/document/09579818-64a6-4dd5-9577-446ab6219113_en), taking a broad view on sovereignty. -The [EuroStack](https://eurostack.eu/) iniative has done a [comparison](https://euro-stack.com/blog/2025/10/cloud-sovereignty-framework-comparison) with their own definition. +Diese Definition wurde 2022 im [Cloud Report](/pdfs/CloudReport_2022_01_DigiSov.pdf) und in der Zeitschrift [„Datenschutz und Datensicherheit“](https://rdcu.be/cWdBJ) veröffentlicht und war entscheidend für die strategischen Diskussionen im Sovereign Cloud Stack-Projekt. +Auch wenn sie von keiner Standardisierungsorganisation offiziell übernommen wurde, hat sie zweifellos andere inspiriert, über Datensouveränität hinauszudenken – beispielsweise das [GovStack-Projekt](https://govstack.global/). Die Definition wurde in vielen Diskussionen, sowohl auf der Bühne als auch abseits davon, genutzt und hat sich dabei als äußerst wirkungsvoll und zukunftsfähig erwiesen. +Die aktuelle geopolitische Lage motiviert Organisationen zunehmend dazu, ihre Resilienz und Abhängigkeiten sorgfältig zu prüfen. Man kann beobachten, wie manche dieser Diskussionen aus dem Ruder laufen – etwa durch Versuche, Verwirrung zu stiften, indem behauptet wird, digitale Souveränität sei nicht eindeutig definiert, oder durch Anbieter, die versuchen, ihre bestehenden Angebote durch minimale Schutzmaßnahmen gegen ausländischen Datenzugriff als „souverän“ darzustellen („Sovereign Washing“). +Organisationen, die an echter IT-Resilienz interessiert sind, sollten sich nicht von solchen Marketingstrategien täuschen lassen. -This is all good news -- while the multitude of views may look confusing at first sight, these all fit together nicely and the next section looks at this in more detail. +### EU Kommision -## Comparing EU commission, SCS and EuroStack sovereignty categories +Vor wenigen Tagen hat die Europäische Kommission ihr [Cloud Sovereignty Framework](https://commission.europa.eu/document/09579818-64a6-4dd5-9577-446ab6219113_en) veröffentlicht, welches einen weiten Blick auf Souveränität wirft. Die [EuroStack-Initiative](https://eurostack.eu/) hat dazu einen [Vergleich](https://euro-stack.com/blog/2025/10/cloud-sovereignty-framework-comparison) mit ihrer eigenen Definition angestellt. +Das sind insgesamt gute Nachrichten – auch wenn die Vielzahl unterschiedlicher Perspektiven auf den ersten Blick verwirrend erscheinen mag, ergänzen sie sich gut. Im nächsten Abschnitt wird dies näher erläutert. -The following table is a mapping from the Commission's Sovereignty Objectives to the SCS sovereignty categories. +## Vergleich der Souveränitätskategorien der EU-Kommission, des SCS und von EuroStack -| EU Com Objective | Description | SCS | -|------------------|-------------|-----| -| SOV-1: Strategic Sovereignty (15%) | EU authority with protection against change of control, financing from EU, investment and job creation in EU, participation in EU initiatives, resilience against service suspension requests | SCS enables local providers, but does not have a corresponding sovereignty category. | -| SOV-2: Legal & Jurisdictional Sovereignty (10%) | Governing law, non-exposure to non-EU law, international regimes, location of IP | This is part of SCS' definition of Data Sovereignty (SCS-1), which excludes data access based on jurisdiction not accepted by the EU. | -| SOV-3: Data & AI Sovereignty (10%) | Control over data and encryption key from customer (not provider), data access visibility and irreversible removal, data storage and processing in EU without fallback to outside, AI models under EU control using EU technology stacks | Local providers should have the processes in place to ensure secure operations; the software from the SCS ecosystem supports this, e.g. by enabling data encryption and having support for HSM. The data sovereignty (SCS-1) requirement is the base level without which the others are not as useful in the SCS taxonomy. | -| SOV-4: Operational Sovereignty (20%) | Lack of vendor lock-in by supporting migration to other EU providers, operational skills from EU personell, talent pool, operational support from suppliers subject to EU law, full availabilty of tech docs, source code and operational know-how for long-term autonomy, location of critical suppliers | The Operational Skills (SCS-4) from SCS has very similar goals; it goes a bit further though by thinking transparency also for the users, not only providers. The lack of vendor lock-in is dealt with SCS' provider switching capability category (SCS-2), requiring exposing standardized APIs and system behavior | -| SOV-5: Supply Chain Sovereignty (20%) | Hardware assembly location, provenance of firmware, location and jurisdiction of software development, architecture, packaging, distribution and governance, reliance on non-EU vendors or proprietary technologies, visibility into supply-chain with audit rights | While SCS would love for more open hardware to exist and to support it, it does not have a mission to affect hardware creation. With it's Technology Sovereignty category (SCS-3), SCS exclusively uses openly developed open source code in its reference implementation. The open development model and licenses guarantee broad empowerment of the users; SCS does not consider the geographic location of contributors or governance bodies to be relevant for openly developed open source code. | -| SOV-6: Technology Sovereignty (15%) | Integration option with other technology via well-documented non-proprietary APIs or protocols, ideally using widely adopted standards, open source availability of software, architectural documentation, independence in HPC capabilities | The standardized and widely adopted standards are a key component to fulfill the provider switching capability (SCS-2) requirement, whereas using open source software is key to the implementation os SCS' technology sovereignty (SCS-3). SCS wants the open source software to be openly developed, avoiding control from single vendors which could then result in stopping open source releases like we have seen repeatedly in the industry. | -| SOV-7: Security & Compliance Sovereignty (10%) | Certifications (ISO, ENISA, ...), GDPR, NIS, DORA, ..., Security Operation Center and response teams under EU jurisdiction, security monitoring, oversight from customer or EU authority on it, EU-compliant reportng of breaches, patching capability, suportting EU security audits | Some SCS providers have undergone ISO and BSI certifications. Software from the SCS Ecosystem supports the timely patching by having CI systems in place and has published security advisories for high-profile issues. This is part of SCS' data sovereignty (SCS-1) approach | -| SOV-8: Environmental Sustainability (5%) | Energy-efficient infra (PUE), Circular economy, measurement of carbon emission and water consumption | Not covered - SCS supports a sister project with [ECO:DIGIT](https://ecodigit.de/) which looks at resource consumption of clouds as parts of the environmental impact of software applications. | +Die folgende Tabelle stellt die Souveränitätsziele der Europäischen Kommission den Souveränitätskategorien des SCS gegenüber. -Comparing this to the EuroStack commentary, SCS does have a stronger focus on Open Source and a less strong focus on "Buy European!". The structure of the European market favors smaller players compared to the US market; for platform markets with its network effects, European players are thus at a disadvantage. This can be overcome with strong collaboration and the by far most effective way to do so is using Open Source collaboration. +| Souveränitätsziele EU-Kommission | Beschreibung | SCS | +|----------------------------------|--------------|-----| +| SOV-1: Strategische Souveränität (15 %) | EU-Behörde mit Schutz vor Kontrollwechsel, Finanzierung aus EU-Mitteln, Investitionen und Schaffung von Arbeitsplätzen in der EU, Beteiligung an EU-Initiativen sowie Widerstandsfähigkeit gegenüber Anfragen zur Dienstunterbrechung | SCS ermöglicht lokalen Anbietern den Betrieb, verfügt jedoch über keine entsprechende Souveränitätskategorie. | +| SOV-2: Rechtliche und juristische Souveränität (10 %) | Anwendbares Recht, Schutz vor der Anwendung von Nicht-EU-Recht, internationale Regelwerke, Standort des geistigen Eigentums | Dies ist Teil der SCS-Definition der Datensouveränität (SCS-1), die den Datenzugriff auf Grundlage von Rechtsordnungen ausschließt, die von der EU nicht anerkannt werden. | +| SOV-3: Daten- und KI-Souveränität (10 %) | Kontrolle über Daten und Verschlüsselungsschlüssel liegt beim Kunden (nicht beim Anbieter); Transparenz beim Datenzugriff und Möglichkeit zur endgültigen Löschung; Datenspeicherung und -verarbeitung ausschließlich innerhalb der EU, ohne Rückgriff auf außereuropäische Systeme; KI-Modelle unter EU-Kontrolle, basierend auf europäischen Technologiestacks | Lokale Anbieter sollten über geeignete Prozesse verfügen, um einen sicheren Betrieb zu gewährleisten. Die Software aus dem SCS-Ökosystem unterstützt dies beispielsweise durch Funktionen zur Datenverschlüsselung und die Integration von Hardware Security Modules (HSM). Die Datensouveränität (SCS-1) bildet dabei die Grundlage, ohne die die übrigen Kategorien in der SCS-Taxonomie nur eingeschränkt wirksam sind. | +| SOV-4: Betriebliche Souveränität (20 %) | Vermeidung von Anbieterabhängigkeit durch Unterstützung der Migration zu anderen EU-Anbietern; betriebliche Kompetenzen von EU-Personal; Talentpool; operativer Support durch Zulieferer, die dem EU-Recht unterliegen; vollständige Verfügbarkeit technischer Dokumentation, Quellcode und betriebliches Know-how zur langfristigen Autonomie; Standort kritischer Zulieferer. | Die Operational Skills (SCS-4) des SCS verfolgen sehr ähnliche Ziele – gehen jedoch noch einen Schritt weiter, indem sie Transparenz nicht nur für Anbietende, sondern auch für Nutzende mitdenken. Die Vermeidung von Anbieterabhängigkeiten wird in der SCS-Taxonomie durch die Kategorie Provider Switching Capability (SCS-2) adressiert, die die Bereitstellung standardisierter APIs und Systemverhalten voraussetzt. | +| SOV-5: Souveränität der Lieferkette (20 %) | Ort der Hardwaremontage, Herkunft der Firmware, Standort und Rechtsrahmen der Softwareentwicklung, Architektur, Verpackung, Distribution und Governance; Abhängigkeit von Nicht-EU-Anbietern oder proprietären Technologien; Transparenz in der Lieferkette mit Prüf- und Audit-Rechten. | SCS befürwortet ausdrücklich die Entwicklung und Nutzung von offener Hardware, hat jedoch nicht das Ziel, in die Hardwareproduktion selbst einzugreifen. Mit seiner Kategorie der Technologischen Souveränität (SCS-3) verwendet SCS in seinen Referenzimplementierungen ausschließlich offen entwickelten Open-Source-Code. Dieses offene Entwicklungsmodell und die entsprechenden Lizenzen gewährleisten eine breite Befähigung der Nutzenden. Dabei betrachtet SCS den geografischen Standort von Mitwirkenden oder Governance-Strukturen nicht als relevant, sofern es sich um offen entwickelten Open-Source-Code handelt. | +| SOV-6: Technologische Souveränität (15 %) | Möglichkeit der Integration mit anderer Technologie über gut dokumentierte, nicht-proprietäre APIs oder Protokolle, idealerweise auf Basis weit verbreiteter Standards; Open-Source-Verfügbarkeit der Software; architektonische Dokumentation; Unabhängigkeit bei HPC-Fähigkeiten (High Performance Computing). | Standardisierte und weit verbreitete Schnittstellen und Protokolle sind ein zentraler Bestandteil, um die Anforderungen der Provider Switching Capability (SCS-2) zu erfüllen. Die Nutzung von Open-Source-Software wiederum ist entscheidend für die Umsetzung der Technologischen Souveränität (SCS-3) im SCS-Modell. Dabei legt SCS großen Wert darauf, dass Open-Source-Software offen entwickelt wird, um eine Kontrolle durch einzelne Anbieter zu vermeiden – ein Risiko, das in der Branche bereits mehrfach dazu geführt hat, dass Open-Source-Veröffentlichungen eingestellt wurden. | +| SOV-7: Sicherheits- und Compliance-Souveränität (10 %) | Zertifizierungen (z. B. ISO, ENISA), Einhaltung von GDPR, NIS, DORA usw.; Security Operations Center und Incident-Response-Teams unter EU-Rechtshoheit; Sicherheitsüberwachung, Kontrolle durch Kunden oder EU-Behörden, EU-konforme Meldung von Sicherheitsvorfällen, Patch-Management-Fähigkeiten sowie Unterstützung von EU-Sicherheitsaudits. | Einige SCS-Anbieter verfügen über ISO- und BSI-Zertifizierungen. Die Software aus dem SCS-Ökosystem unterstützt zeitnahe Sicherheitsupdates, indem CI-Systeme (Continuous Integration) eingesetzt werden, und veröffentlicht Sicherheitswarnungen zu kritischen Schwachstellen. Dies ist Teil des Datensouveränitätsansatzes (SCS-1) von SCS. | +| SOV-8: Ökologische Nachhaltigkeit (5 %) | Energieeffiziente Infrastruktur (z. B. PUE), Kreislaufwirtschaft, Erfassung von CO₂-Emissionen und Wasserverbrauch. | Dieser Bereich wird bei SCS selbst nicht abgedeckt – jedoch unterstützt SCS das Schwesterprojekt [ECO:DIGIT](https://ecodigit.de/), das sich mit dem Ressourcenverbrauch von Cloud-Infrastrukturen als Teil der Umweltauswirkungen von Softwareanwendungen befasst. | -By nature, openly developed Open Source Software grants its users and contributors a huge amount of power -- which makes the geographic location of contributors or even governing foundations a secondary consideration. This may be different for Open Source projects under the control of a single vendor and for sure is different for proprietary code. That said, we would love to see more contributions to Open Source from engineers in Europe, especially from large companies, where we observe a gap between Europe and the US. In Open Source communities, contributions bring influence; a good governance process (as the Open Source foundations typically encourage) respects the meritocracy of good Open Source communities. A hostile takeover of governance is thus not a significant risk for such projects. Nevertheless, with more contributions from Europe, we should over time also see more projects where the official governance is exercised out of Europe. -Analyzing the Digital Sovereigty in the context of infrastructure platforms, SCS systematically looks at it from the user organization's perspective: What are the dependencies and thus risks that a user has? A strong dependence on a single provider is bad for resilience, even if that provider is European (and thus at least less subject to some of the geopolitical risks). The provider switching capability (SCS-2) and the strong focus on Open Source (SCS-3) and Open Operations (SCS-4) are a consequence of this. This is not as clearly worked out in the EU Commission's framework, as it does not have such a clear focus on the user. +Verglichen mit dem EuroStack-Kommentar legt SCS einen deutlich stärkeren Fokus auf Open Source, während das Prinzip „Buy European!“ eine geringere Rolle spielt. -The overall conclusion would be that the EU Commission's framework is mostly a superset of the SCS sovereignty and also rather comprehensive. SCS does not explicitly cover the strategic and environmental aspects while having a stronger focus on empowering the user organizations. Given where the discussion started in the of sovereign-washing marketing, these are indeed minor details and the high degree of alignment is very encouraging. +Die Struktur des europäischen Marktes begünstigt im Vergleich zum US-Markt kleinere Anbieter; gerade auf Plattformmärkten mit ausgeprägten Netzwerkeffekten sind europäische Akteure daher im Nachteil. Dieser Nachteil lässt sich jedoch durch enge Zusammenarbeit ausgleichen – und der mit Abstand effektivste Weg dazu ist die Kooperation im Open-Source-Bereich. -## Zeitenwende moment? +Offen entwickelte Open-Source-Software verleiht ihren Nutzenden und Mitwirkenden naturgemäß ein hohes Maß an Kontrolle und Einfluss – wodurch der geografische Standort der Beitragenden oder sogar der Sitz der Trägerorganisation zu einer nachrangigen Frage wird. Anders verhält es sich bei Open-Source-Projekten, die unter der Kontrolle eines einzelnen Anbieters stehen, und selbstverständlich auch bei proprietärer Software. Dennoch würden wir uns mehr Beiträge zu Open Source von europäischer Entwicklerinnen und Entwickler wünschen – insbesondere aus großen Unternehmen, da wir hier einen deutlichen Unterschied zwischen Europa und den USA beobachten. +In Open-Source-Communities entsteht Einfluss durch aktive Beiträge; ein gutes Governance-Modell (wie es Open-Source-Stiftungen typischerweise fördern) achtet auf Meritokratie und die Anerkennung von Leistung innerhalb der Community. Das Risiko einer feindlichen Übernahme der Governance ist bei solchen Projekten entsprechend gering. +Mit zunehmender europäischer Beteiligung ist zu erwarten, dass künftig mehr Open-Source-Projekte auch formell aus Europa heraus gesteuert werden. -While there was a lot of talk on digital sovereignty this year, the sophistication of looking at it was very varied -- the lack of something coming out of an official body allowed interested parties to confuse the marketplace and slowed the adoption of really sovereign solutions. With the EU commission's definition, this is changing now. +Bei der Analyse digitaler Souveränität im Kontext von Infrastrukturlösungen betrachtet SCS das Thema systematisch aus der Perspektive der Nutzerorganisationen: +Welche Abhängigkeiten und damit verbundenen Risiken bestehen für den Anwendenden? +Eine starke Abhängigkeit von einem einzelnen Anbieter schwächt die Resilienz, selbst wenn dieser Anbieter europäisch ist (und somit geringeren geopolitischen Risiken unterliegt). +Die Wechselmöglichkeit von Anbietern (SCS-2) sowie der starke Fokus auf Open Source (SCS-3) und Open Operations (SCS-4) sind direkte Konsequenzen dieses Denkansatzes. +Im Rahmen der EU-Kommission ist dieser Nutzerfokus nicht in gleicher Klarheit ausgearbeitet. +Zusammenfassend lässt sich sagen, dass der Souveränitätsrahmen der EU-Kommission weitgehend auf den SCS-Kategorien aufbaut und insgesamt ein sehr umfassendes Konzept darstellt. +Während SCS strategische und ökologische Aspekte nicht explizit abdeckt, legt es ein stärkeres Gewicht auf die Befähigung der Nutzerorganisationen. +Angesichts des ursprünglichen Ausgangspunkts der Debatte – nämlich der „Sovereign-Washing“-Marketingstrategien – sind dies vergleichsweise kleine Unterschiede, und der hohe Grad an inhaltlicher Übereinstimmung ist insgesamt sehr ermutigend. -One should expect harsh criticism from these interested parties with messages that the insistence on all of these objectives will slow down digitization, innovation and competitiveness in Europe. This is good, it confirms that the commission is on the right track. Or, using Ghandi's [probably misattributed statement](https://www.snopes.com/fact-check/first-they-ignore-you/), it confirms that the sovereignty movement is past the being ignored stage. -Now, the EUCom's Cloud Sovereignty Framework will only be effective if it is applied and used. DG DIGIT's latest tender is following precisely this: Their [180M€ tender](https://commission.europa.eu/news-and-media/news/commission-moves-forward-cloud-sovereignty-eur-180-million-tender-2025-10-10_en) is putting a focus on digital sovereignty and requires minimum assurance levels for the sovereignty objectives from the framework. The tender can be awarded to up to four providers, this way increasing resilience, though it's not explicitly required for the selected providers to have a high level of compatibility with each other. +## Zeitenwende-Moment? -This is really good news for the communities, organizations and companies that have invested time and effort on building towards sovereignty in the last years. They have invested into infrastructure skills, Open Source projects and in general platforms that empower users rather than locking them in. There is hope that their work is finally being rewarded. +In diesem Jahr wurde viel über digitale Souveränität gesprochen - mit einer sehr unterschiedlichen Qualität des Diskurses. Da bislang keine offizielle Definition aus einer anerkannten Institution vorlag, konnten interessierte Akteure den Markt bewusst verunsichern – was die Verbreitung wirklich souveräner Lösungen deutlich bremste. +Mit der Definition der EU-Kommission ändert sich das nun. -One should expect that other public sector actors who have similar interests to the EU Commission and private companies that require a high level of resilience will actually follow this model by referencing the framework, weighing resilience criteria high in their tenders and having minimum requirements for them. The period where Europeans can stay in denial mode of the new geopolitical realities really should be over! +Man darf mit deutlicher Kritik dieser interessierten Kreise rechnen – etwa mit dem Argument, dass das Festhalten an all diesen Zielen die Digitalisierung, Innovation und Wettbewerbsfähigkeit in Europa ausbremse. Doch das ist ein gutes Zeichen: Es zeigt, dass die Kommission auf dem richtigen Weg ist. Oder, um es mit dem wohl fälschlich Mahatma Gandhi [zugeschriebenen Zitat](https://www.snopes.com/fact-check/first-they-ignore-you/) zu sagen: +Es zeigt, dass die Souveränitätsbewegung die Phase des Ignoriertwerdens hinter sich gelassen hat. -If that happens, we may look back at this moment as a point in time that created a new market for really sovereign IT infrastructure platforms. A true "Zeitenwende" moment. -We sure hope so. +Das Cloud Sovereignty Framework der EU-Kommission wird allerdings nur dann Wirkung entfalten, wenn er konkret angewendet und umgesetzt wird. + +Das aktuelle Vergabeverfahren der Generaldirektion DIGIT (DG DIGIT) folgt genau diesem Ansatz: +In ihrem [Vergabeverfahren über 180 Millionen Euro](https://commission.europa.eu/news-and-media/news/commission-moves-forward-cloud-sovereignty-eur-180-million-tender-2025-10-10_en) liegt der Fokus auf digitaler Souveränität, wobei Mindestanforderungen für die Erreichung der Souveränitätsziele aus dem Rahmenwerk festgelegt sind. + +Der Auftrag kann an bis zu vier Anbieter vergeben werden – was die Resilienz erhöht, auch wenn keine explizite Kompatibilität untereinander vorgeschrieben ist. +Das ist eine äußerst positive Entwicklung für all jene Gemeinschaften, Organisationen und Unternehmen, die in den vergangenen Jahren Zeit und Ressourcen in den Aufbau souveräner Strukturen investiert haben – in Infrastrukturkompetenz, Open-Source-Projekte und allgemein in Plattformen, die Nutzende befähigen, anstatt sie einzusperren. +Es besteht berechtigte Hoffnung, dass ihre Arbeit nun endlich Anerkennung findet. +Es ist zu erwarten, dass andere öffentliche Einrichtungen, die ähnliche Ziele wie die EU-Kommission verfolgen, sowie private Unternehmen mit hohen Anforderungen an Resilienz, diesem Beispiel folgen werden - indem sie sich auf das Rahmenwerk beziehen, Resilienzkriterien stärker gewichten und Mindestanforderungen in ihren Ausschreibungen verankern. +Die Zeit, in der Europa die neuen geopolitischen Realitäten ignorieren konnte, sollte endgültig vorbei sein! +Wenn das geschieht, könnten wir rückblickend auf diesen Moment als den Punkt schauen, +an dem ein neuer Markt für wirklich souveräne IT-Infrastrukturplattformen entstanden ist, ein echter „Zeitenwende“-Moment. +Und wir hoffen sehr, dass es so kommt.