Vypadněte z amerického cloudu: Sovereign SaaS nabízí přehled + doporučení pro akci

Potřeba digitální suverenity pro evropské společnosti

Digitální transformace postupuje nezastavitelnou a cloud computing, zejména software jako-a-service (SaaS), se stal nezbytným nástrojem pro společnosti všech velikostí. Umožňuje flexibilitu, škálovatelnost a přístup k inovativním technologiím. Současně tento vývoj vedl k významné závislosti na několika, většinou amerických poskytovatelů cloudu.

Vhodné pro:

• Proč je americký cloudový akt problém a riziko pro Evropu a zbytek světa: Zákon s důsledek daleko k dispozici

Problém: Rostoucí závislost na amerických poskytovatelích cloudu

Na evropském cloudovém trhu jasně dominují Big USA Hyperscalers: Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP). Tito poskytovatelé kombinují velkou část podílu na globálním trhu. Dokonce i přední evropští poskytovatelé, jako jsou SAP nebo Deutsche Telekom v Evropě, dosahují malých tržních podílů v Evropě. Tato koncentrace představuje inherentní nebezpečí: velká část globální a zejména evropské cloudové infrastruktury potenciálně podléhá jurisdikci amerických zákonů. V evropských společnostech a stále více ve veřejných správách roste povědomí o rizicích spojených s touto závislostí. Příčiny týkající se ochrany dat, zabezpečení dat a ztráty kontroly nad kritickými údaji a procesy jsou v popředí. Otázka digitální suverenity se stává strategickou nutností.

Relevance dat svrchovanosti a shody GDPR

Obecná nařízení o ochraně údajů (GDPR) je v centru evropských obav. Od roku 2018 je přísným právním rámcem pro ochranu osobních údajů v Evropské unii a podrobně reguluje jeho zpracování a přenos, zejména v zemích mimo EU. Dodržování GDPR není jen zákonnou povinností pro evropské společnosti, ale také důležitým faktorem pro důvěru zákazníků a obchodních partnerů. Současně získává koncept digitální suverenity. Popisuje úsilí Evropy znovu získat nebo udržovat kontrolu nad svými vlastními údaji, technologiemi a digitálními infrastrukturami. Nejedná se pouze o otázku ochrany údajů, ale také cíl průmyslové politiky posílit evropskou ekonomiku a konkurenceschopnost v globalizovaném digitálním světě. Pro společnosti to znamená potřebu přehodnotit cloudové strategie a aktivně hledat řešení, která jsou jak právně, tak důvěryhodná, a zajistit jejich vlastní schopnost jednat.

Vhodné pro:

• AI integrace nezávislé platformy AI pro všechny společnosti pro všechny společnosti pro všechny společnosti

Cíl a struktura zprávy

Tato zpráva je zaměřena na evropské podnikání a tvůrci IT, kteří čelí výzvě rozvoje cloudové strategie odolné proti budoucím a rizikům. Sleduje cíl vytvořit dobře založený základ pro rozhodnutí:

• Specifická rizika analyzovala, která vyplývají z využití amerických služeb SaaS pro evropské společnosti, zejména s ohledem na konflikt mezi zákony GDPR a USA, jako je Cloud Act a FISA 702.
• Definuje, co je třeba chápat v „Suverénních nabídkách SaaS“ v evropském kontextu a která kritéria musí splnit.
• Přehled trhu evropských poskytovatelů SaaS, kteří se umístí jako suverénní alternativy, se kategorizuje podle oblastí aplikací.
• Srovnání důležitých alternativ v klíčových kategoriích s ohledem na funkce, stanovení cen a především implementaci svrchovanosti dat a shody GDPR.
• Specializovaná řešení pro citlivá odvětví, jako je veřejná správa, zdravotnická péče a finance.
• Předkládají relevantní iniciativy EU (jako je GAIA-X) a certifikace (jako jsou EUCS, BSI C5), které podporují cloudovou suverenitu.
• Z závěrů a doporučení pro žalobu na strategickou orientaci společností pochází.

Analýza rizik: Cloudové služby USA a výzvy pro evropské společnosti

Používání cloudových služeb, zejména nabídek SAAS, od poskytovatelů se sídlem ve Spojených státech, představuje evropským společnostem se značnými právními a provozními výzvami. Výsledkem je především základní konflikt mezi přísnými evropskými předpisy o ochraně údajů a dalekosáhlými zákony o dohledu nad americkým dohledem a přístupem k údajům.

Hlavní konflikt: GDPR vs. Zákony o monitorování USA

Obecná nařízení o ochraně údajů (GDPR) tvoří základ evropské ochrany údajů. Stanovuje vysoké standardy pro zpracování osobních údajů od občanů EU. Článek 44 ff. GDPR, který reguluje přenos těchto údajů do zemí třetích zemí (země mimo EU/EHE), je zvláště důležitý pro používání cloudu. Takový přenos je povolen pouze tehdy, pokud existuje „přiměřená úroveň ochrany“ ve třetí zemi (určené rozhodnutím přiměřenosti Komise EU) nebo pokud jsou k dispozici „vhodné záruky“ (jako jsou standardní ustanovení o smluvních věcech nebo závazná firemní pravidla) a jsou k dispozici pro vynutitelné práva a jsou k dispozici účinné právní nápravy. Článek 48 GDPR navíc výslovně zakazuje přenos údajů úřadům třetí země kvůli jejich rozhodnutí nebo rozsudkům, pokud neexistuje mezinárodní dohoda, jako je dohoda o právní pomoci. Několik zákonů USA je proti tomuto evropskému tvrzení, že americkým orgánům poskytují dalekosáhlé přístupové práva k údajům, i když jsou uloženy mimo Spojené státy:

• Zákon o cloudu USA (objasnění zákonného zákona o použití dat): Tento rok 2018, který je přijat v roce 2018, opravňuje americké trestní žalostné orgány a zpravodajské služby k vyžádání zveřejnění údajů, které jsou podle jejich kontroly bez kontroly, kde jsou tato data uložena ve světě. To výslovně zahrnuje data, která se nacházejí v datových centrech v Evropské unii. Zákon o cloudu tak podkopává princip území ochrany údajů a je v přímém rozporu s požadavky GDPR, zejména článku 48. Byl vytvořen mimo jiné v reakci na zdlouhavý právní spor mezi Microsoftem a vládou USA o přístupu k e -mailům uloženým v Irsku, a modernizovaný starší přístupový předpisy od září 2001, jako je zákon Patriot. Mechanismy cloudových zákonů, podle nichž může poskytovatel napadnout vydávací dohodu, pokud porušuje zákon jiného státu (jako je GDPR), ale praktická účinnost těchto mechanismů, zejména v oblasti národní bezpečnosti, je vysoce kontroverzní a nenabízí pro evropské společnosti spolehlivou záruku. Poskytovatelé jsou proto v konfliktu: pokud dodržují ujednání o cloudovém zákoně bez právního základu EU, riskují masivní GDPR; Pokud odmítnete publikovat, citujete GDPR, ohrožují sankce podle amerického práva.
• FISA oddíl 702 (zákon o dohledu nad zahraniční zpravodajství): Toto ustanovení, součást zákona o změnách FISA z roku 2008, umožňuje zpravodajským službám, jako je NSA, cílené monitorování elektronické komunikace lidí mimo USA, kteří jsou mimo Spojené státy. Monitorování se odehrává za účelem získání „zahraničních informací o zpravodajství“. FISA 702 zavazuje americké poskytovatele elektronických komunikačních služeb (poskytovatelé elektronických komunikačních služeb-ECSP), mezi něž patří mnoho velkých poskytovatelů cloudových a SaaS, aby spolupracovali s úřady. Rozsah potenciálně zaznamenaných dat je velmi široký a kromě metadat může zahrnovat také komunikační obsah, a to i od nezúčastněných třetích stran, které zmiňují pouze jednu cílovou osobu. Monitorovací programy podle FISA 702 (jako je hranol a upstream) byly ústředním bodem kritiky v rozsudku Schrems II ECJ (viz níže). Rovněž je kritizován nedostatek účinných právních opravných prostředků pro postižené občany EU a potenciál pro hromadný dohled, i když to americké úřady popírají.
• Výkonný příkaz 12333 a další: Kromě Cloud Act a FISA 702 existují i ​​jiné právní základny, jako je výkonný příkaz 12333, které poskytují americké zpravodajské služby dalekosáhlé pravomoci pro dohled v zahraničí, často bez soudní kontroly nebo specifických právních omezení na nons.

Tento základní právní konflikt vytváří situaci, kdy využívání cloudových služeb od amerických poskytovatelů pro evropské společnosti nese vlastní rizika.

Konkrétní rizika pro evropské společnosti

Popsaný právní konflikt má za následek hmatatelná rizika pro evropské společnosti, které využívají americké služby SaaS:

• Porušení a pokuty na ochranu údajů: Odevzdání osobních údajů americkým orgánům založeným na cloudovém zákoně nebo FISA 702, bez platného právního základu podle práva EU (např. Dohoda o právní pomoci), je jasným porušením GDPR, zejména proti článku 48. To může vést k citlivým pokutám až 4% ročních výdajů, jakož i k občanskému zákonu, které jsou domněny. Používání samotného cloudového služby USA nelze hodnotit, protože potenciálně ne kompatibilní s GDPR, pokud poskytovatel nemůže zaručit, že nezveřejňuje data při porušování GDPR.
• Ztráta dat svrchovanost a kontrola: Smluvní zajištění poskytovatelů USA pro ukládání dat pouze v datových centrech EU, nenabízejí účinnou ochranu proti americkému přístupu podle Cloud Act nebo FISA. Zákony USA mohou tyto ujištění a také technická ochranná opatření podkopat. Ani šifrování dat není všelékem, pokud americký poskytovatel má kontrolu nad šifrovacími klíči, protože by mohl být nucen je zveřejnit. Podobně lze zabránit mechanismů řízení přístupu a protokoly o auditu lze zobrazit bez znalosti vlastníka dat, která porušuje požadavky transparentnosti GDPR. Ve skutečnosti evropské společnosti ve skutečnosti ztratí kontrolu nad tím, které okolnosti jsou přístupné ke svým údajům.
• Ekonomická špionáž a ztráta obchodních tajemství: Obzvláště vážným rizikem je potenciální odvodnění citlivých dat společnosti. To zahrnuje duševní vlastnictví, údaje o výzkumu a vývoji, prototypy, strategické plány, finanční data nebo důvěrná zákaznická data a komunikaci. Obava, že americké úřady by mohly také využívat svá přístupová práva pro ekonomické účely (obchodní špionáž), je nezbytným hnacím motorem pro evropské společnosti, aby hledali alternativy nebo aby přijali další ochranná opatření. Ztráta těchto informací může vést ke značným finančním ztrátám, poškození pověsti a ztrátě konkurenčních výhod.
• Právní nejistota a ztráta důvěry: Nevyřešený konflikt mezi evropským zákonem o ochraně údajů a přístupovými právy USA vytváří pro společnosti, které využívají americké služby, značnou právní nejistotu. Tato nejistota komplikuje dlouhodobé úsilí o plánování a dodržování předpisů. Kromě toho může pokračující využívání služeb, ve kterých nelze zaručit ochranu údajů, což může významně podkopat důvěru zákazníků, zaměstnanců a obchodních partnerů.
• Geopolitická rizika: Zákony, jako je cloudový zákon, jsou vidět v souvislosti s globálními trendy směrem k zvýšenému dohledu nad státním dohledem a možnou fragmentací internetu („Splinternet“). Porovnání s podobnými zákony v jiných zemích, jako je čínský národní zpravodajský zákon, je vypracováno. Nadměrná závislost na poskytovatelích technologií z jediného neevropského regionu také obsahuje strategická rizika pro digitální autonomii a odolnost Evropy.

Rizika využití cloudu v USA tak přesahuje potenciální sankce GDPR. Zahrnují ztrátu kritických obchodních údajů, poškození reputace a ohrožení konkurenceschopnosti v důsledku možného zneužití přístupových práv pro obchodní špionáž. Tyto často obtížné kvantifikovatelné, ale potenciálně existenciální „kolaterální“ rizika jsou mírně podceňována čistým zaměřením na dodržování GDPR.

Rozhodnutí Schrems II a rámec pro ochranu osobních údajů (DPF)

Právní nejistota v transatlantickém datovém provozu byla v červenci 2020 rozsudek Evropského soudního soudu (ECJ) masivně zpříslána rozsudkem Evropského soudního dvora (ECJ). ECJ prohlásil tehdy platnou dohodu o ochraně osobních údajů EU. Důvod: Zákony o dohledu nad USA, zejména FISA 702 a související programy, umožňují zásah do základních práv občanů EU (ochrana údajů, soukromí), která se neomezují na povinnou úroveň a nenabízejí rovnocennou ochranu jako v EU. Kromě toho chybí efektivní právní opravné prostředky pro ty, kteří jsou ve Spojených státech zasaženi proti takovým dohledovým opatřením. Rozsudek potvrdil základní platnost standardních ustanovení o smlouvě (standardní smluvní klauzule - SCC) jako alternativní nástroj pro převody dat. ECJ však objasnil, že vývozci dat nesmějí slepě na SCC. V rámci individuálního testu případu (posouzení dopadu přenosu - TIA) musíte zkontrolovat, zda právo a praxe v cílové zemi (zde USA) zajišťují ochranu, která je v EU „v podstatě stejná“. Pokud tomu tak neplatí kvůli zákonům o dohledu - které ECJ navrhl USA - musí být přijata další opatření (doplňková opatření) (např. Silné šifrování, ve kterém příjemce nemá přístup k klíčům), aby se zajistila ochrana. Pokud to není možné, musí být přenos dat pozastaven. V této souvislosti byl cloudový akt považován za faktor, který dále podkopává argument pro ekvivalenci v úrovni ochrany. V reakci na právní nejistotu způsobenou Schremy II a za účelem stanovení toku dat mezi EU a Spojenými státy na pevném základě se Komise EU a vláda USA dohodly na rámci ochrany osobních údajů EU-USA (DPF). To vstoupilo v platnost v červenci 2023 novou přiměřeností komise EU. Účelem DPF je řešit obavy vyjádřené v rozsudku SchreMs II poskytováním dalších ochranných opatření na straně USA: Přístup prostřednictvím amerických zpravodajských služeb k údajům od občanů EU by měl být omezen na nezbytnou a přiměřenou úroveň a byl vytvořen nový, dvoustupňový právní lék (včetně údajů o ochraně zdroje DPRC) pro občany EU. Společnosti v USA mohou být certifikovány pro DPF a převody dat z EU na tyto certifikované společnosti jsou poté považovány za přípustné bez dalších nástrojů, jako jsou SCC nebo jiná opatření. Stále však existují značné pochybnosti a rizika týkající se stability a účinnosti DPF:

• Zůstávají základní americké zákony: Cloud a FISA 702 nebyly DPF změněny. Základní pravomoci amerických úřadů pro přístup k datům pokračují.
• Pochybnosti o síle ECJ: Mnoho odborníků a aktivistů na ochranu údajů pochybuje o tom, že ochranná opatření stanovená v DPF a nový mechanismus právního nápravy by vydrželi novou recenzi ECJ. Zejména je zpochybněna nezávislost a asertivita DPRC.
• Požadováno nepřetržité monitorování: Podle čl. 45 Para. 4 GDPR, Komise EU je povinna neustále sledovat vývoj v USA a pravidelně kontrolovat přiměřenost. První přehled se konal v létě 2024. Nedávný vývoj, jako je rozšíření a potenciální rozšíření FISA 702, by mohl znovu ohrozit základ DPF.
• Riziko pro společnosti: Společnosti, které se spoléhají výhradně na DPF, podnikají nezanedbatelné riziko. Pokud by ECJ v budoucnu také zneplatňoval DPF (scénář „Schrems III“), přenosy dat by na tomto základě byly na tomto základě opět nezákonné. Společnosti, které pak nemají „plán B“ (např. Přechod na poskytovatele EU nebo zavedení účinných dodatečných opatření), se nemohou spolehnout na stažení.

V rámci DPF zůstává hlavní konflikt mezi americkým právem o rozsáhlém přístupu k údajům a základním právem EU na ochranu údajů. Americké zákony, které způsobují problém, jsou stále v platnosti. DPF je spíše politické a možná dočasné přemostění než konečné právní řešení. Základní problém potenciálně přístupu GDPR americkými úřady k údajům od evropských občanů a společností není odstraněn.

Definice a kritéria: Co znamená „suverénní SaaS“?

S ohledem na popsaná rizika evropské společnosti stále více hledají alternativy, které jim nabízejí větší kontrolu, bezpečnost a právní shodu. V této souvislosti často klesá koncept „suverénního cloudu“ nebo „sebevědomých SaaS“. Co však za tím přesně skrývá a která kritéria musí nabídka splnit, aby byla v evropském kontextu považována za suverénní?

Základní prvky suverenity v cloudovém kontextu

Digitální svrchovanost v cloudovém prostředí je komplexní koncept, který přesahuje čisté technické poskytování služeb. Lze jej uchopit pomocí několika základních prvků:

• Data svrchovanost (datová suverabnty): Toto je ústřední princip. Říká se, že údaje podléhají zákonům a předpisům jurisdikce, ve kterých jsou nebo byly vzneseny. Pro Evropu to znamená především neomezenou platnost zákona o ochraně údajů EU (zejména GDPR) a ochranu před přístupem úřady ze třetích zemí na základě mimoteritoriálních zákonů, jako je americký cloudový zákon. Zákazník udržuje plnou kontrolu nad tím, jaké podmínky mají přístup k jeho datům.
• Pobyt dat a lokalizace dat:
  • Rezidence dat znamená, že data zákazníků (včetně metadat a záloh) jsou zaručena v definované geografické oblasti, obvykle EU nebo EHE. Jedná se o nezbytný předpoklad pro datovou suverenitu v kontextu EU, ale samo o sobě nestačí, pokud je poskytovatel předmětem neevropských zákonů.
  • Lokalizace dat je přísnějším požadavkem, který stanoví, že údaje nesmí opustit limity konkrétní země. Takové zákony jsou v EU vzácné, ale mohou být relevantní pro konkrétní národní předpisy nebo odvětví.
• Provozní suverenita (Operační suverenita): Tento prvek se týká kontroly nad provozem cloudové infrastruktury a služeb na ní. Důležité aspekty jsou:
  • Operace prostřednictvím pracovníků EU a právních osob EU: Je třeba zajistit, aby personál, fyzický nebo logický přístup k cloudovému prostředí a zákaznickým údajům, bydlel v EU a podléhal právu EU. Přístup zvenčí EU musí být zabráněn technicky a organizačně nebo přísně kontrolovaný.
  • Firemní sídlo a struktura EU: Cloudový poskytovatel sám nebo alespoň právnický člověk odpovědný za společnost v EU by měl mít své sídlo ve státě EU/EEA, a tak především podroben evropskému právu. Je také důležité, aby neexistovaly žádné závislosti na mateřských společnostech nebo pobočkách ve třetích zemích (zejména ve Spojených státech), které by mohly vynutit podání podle jejich zákonů (jako je Cloud Act nebo FISA).
  • Transparentnost a auditovatelnost: Zákazníci potřebují transparentnost prostřednictvím provozních procesů, použitých subdodavatelů a implementovaných bezpečnostních opatření. Možnost nezávislého přezkumu a auditu přístupu a procesů je důležitou charakteristikou provozní suverenity.
• Technologická suverenita (Technologická suvergny): To se týká schopnosti porozumět, ovládat, ověřit a v ideálním případě samotné základní klíčové technologie. Aspekty tohoto jsou:
  • Použití otevřených standardů a softwaru s otevřeným zdrojovým kódem: Otevřené standardy a software se zdrojem podporují interoperabilitu mezi různými poskytovateli a řešeními, zvyšují průhlednost (protože kód lze zkontrolovat), snížit riziko uzamčení dodavatele a usnadnit bezpečnostní audity. Často tvoří základ pro evropské technologické zásobníky, jako je SOVEIGN Cloud Stack (SCS).
  • Interoperabilita a přenositelnost: Schopnost snadno migrovat data a aplikace mezi různými poskytovateli cloudu nebo zpět do vaší vlastní infrastruktury (on-premise) je známkou nezávislosti a flexibility.
  • Kontrola nad technologickým zásobníkem: V dlouhodobém horizontu je technologická suverenita zaměřena na snížení závislosti na proprietárních hardwarových a softwarových komponentách z neevropských zdrojů a budování vlastních evropských dovedností.

Vhodné pro:

• Nezávislé platformy AI jako strategická alternativa pro evropské společnosti

Diferenciace a nedorozumění

Termín „sebevědomý cloud“ není legálně chráněn a často ho používají různí poskytovatelé jako marketingový nástroj, přičemž základní pojmy a opatření se mohou výrazně lišit. Pro společnosti je proto zásadní kontrolovat přesně to, co poskytovatel znamená suverenitu a jaké konkrétní záruky nabízí. Běžným nedorozuměním je, že ukládání dat v datovém centru v EU je dostatečné k zajištění suverenity. To však není. Jak je vysvětleno v části II, americký cloudový zákon umožňuje přístup k datům amerických společností bez ohledu na místo. Rezidence dat v EU nás chrání, pokud je poskytovatel samotný nebo jeho mateřská společnost USA nebo jinak podléhá jurisdikci USA. Další předsudky uvádí, že suverénní cloud nabízí nevyhnutelně znamenat funkční omezení nebo pomalejší inovační rychlost ve srovnání s globálními hyperscalery. I když to může v některých případech platit, protože místní poskytovatelé často nemají stejné účinky na měřítko a rozpočty na výzkum, cílem není primárně omezení, ale kombinací výhod cloud computingu (flexibilita, škálovatelnost) s požadavky na kontrolu, bezpečnost a dodržování předpisů. Mnoho evropských poskytovatelů se spoléhá na otevřené technologie, aby umožňovaly inovace a přizpůsobivost.

Kritéria pro poskytovatele suverénních saas z pohledu EU

Na základě hlavních prvků suverenity lze odvodit betonová kritéria, ze kterých mohou evropské společnosti vyhodnotit poskytovatele SaaS:

• Ochrana a dodržování údajů: Ukázalo se, že poskytovatel splňuje požadavky GDPR. To by mělo být zdokumentováno smlouvou o zpracování objednávek (AVV) v souladu s čl. 28 GDPR a vhodná technická organizační opatření (TOMS). Musí být zaručeno soulad s dalšími příslušnými EU a národními předpisy (např. Pro konkrétní odvětví).
• Umístění a zpracování dat: Musí být smluvně zaručeno, že všechna data zákazníků, včetně metadat, konfiguračních dat a záloh, jsou uložena a zpracovávána pouze v EU nebo EHE.
• Operace a řízení přístupu: Personál se sídlem v EU musí provádět provoz služeb a přístup k údajům o zákaznících a patří k právní osobnosti EU. Aby se zabránilo neoprávněnému přístupu, zejména mimo EU, musí být provedena přísná technická a organizační opatření.
• Struktura a jurisdikce společnosti: Poskytovatel by měl mít v EU/EHE své ústředí a příslušnou právní kontrolu. Ve třetích zemích (zejména ve Spojených státech) nesmí existovat žádné zásahy do sociálního práva nebo pobočky, které přivádí poskytovatele pod jejich jurisdikci a mohlo by potenciálně nutit údaje, aby se vzdaly (např. Cloudovým zákonem nebo FISA).
• Transparentnost: Poskytovatel by měl poskytovat transparentní informace o jeho provozních procesech, o použití subdodavatelů, umístění zpracování dat a implementovaných bezpečnostních opatřeních. Měla by být poskytnuta možnost auditu zákazníkem nebo nezávislými třetími stranami.
• Technologie a interoperabilita: Preferované použití otevřených standardů (např. API) a/nebo softwaru s otevřeným zdrojovým kódem usnadňuje integraci, testování a potenciální změnu pro ostatní poskytovatele (vyhýbání se uzamčení dodavatele).
• Certifikace a testy: Uznávané certifikace a testy mohou sloužit jako důkaz dodržování standardů zabezpečení a dodržování předpisů a vytvářet důvěru. ISO 27001, BSI C5 (v Německu) a EUC v budoucnosti jsou zvláště důležité.

Je zřejmé, že digitální suverenita v kontextu SaaS je mnohorozměrný koncept. Nejde jen o to, kde jsou uložena data, ale také o tom, kdo je zpracovává, který zákon podléhá poskytovateli a jaké technologické základy se používají. Při výběru poskytovatele musí společnosti zkontrolovat, které rozměry suverenity jsou pro ně prioritou a jak dobře poskytovatel splňuje tyto specifické požadavky. Čistá datová rezidence v EU často nestačí k účinnému zmírnění rizik, zejména prostřednictvím amerických zákonů. Současně se společnosti často potýkají s oblastí napětí: touha po maximální suverenitě a kontrole musí být zvážena proti potenciálním nevýhodám při funkcích, rychlosti inovací nebo nákladů, ke kterým může dojít u některých evropských nebo přísně suverénních poskytovatelů ve srovnání s globálními hyperscalery. Používání softwaru s otevřeným zdrojovým kódem je mnoha evropskými poskytovateli považováno za strategický způsob, jak zajistit transparentnost, důvěru a přizpůsobivost, i když nemusí být v popředí jakéhokoli nejnovějšího vývoje technologií.

Xpert.Digital má hluboké znalosti z různých odvětví. To nám umožňuje vyvíjet strategie šité na míru, které jsou přesně přizpůsobeny požadavkům a výzvám vašeho konkrétního segmentu trhu. Neustálou analýzou tržních trendů a sledováním vývoje v oboru můžeme jednat s prozíravostí a nabízet inovativní řešení. Kombinací zkušeností a znalostí vytváříme přidanou hodnotu a poskytujeme našim zákazníkům rozhodující konkurenční výhodu.

Více o tom zde:

• Využijte 5x odborných znalostí Xpert.Digital v jednom balíčku – již od 500 EUR měsíčně

Přehled na trhu: Alternativy EU svrchovaného SaaS

Trh Evropského softwaru as-a-a-a-a-a-a-a-service) nabízí rostoucí počet poskytovatelů, kteří se postaví jako alternativy k dominantním americkým hráčům. Mnoho z nich se zvláštním zaměřením na ochranu dat, shodu GDPR a digitální suverenitu, aby splnily specifické požadavky evropských společností a organizací.

Kritéria pro výběr poskytovatelů

Následující přehled se zaměřuje na poskytovatele SaaS, kteří splňují následující kritéria:

• Původ: Společnost se sídlem v členském státě Evropské unie (EU), Evropské hospodářské oblasti (EHE) nebo Švýcarsko (CH), protože Švýcarsko má rozhodnutí EU komisi a je často úzce integrováno do Evropského hospodářského prostoru.
• Umístění: Poskytovatel se výslovně postaví jako panovníka nebo alternativa kompatibilní s ochranou proti údajům nebo má základní rysy digitální suverenity (např. Exkluzivní hosting v EU/EEA, prokazatelná GDPR konformita, žádné předložení podle amerických zákonů/fisa, použití open source).
• Relevance: Poskytovatel byl zmíněn v základních zdrojích výzkumu nebo je ve své kategorii známý jako relevantní alternativa.

Poskytovatelé jsou seskupeni pro lepší jasnost podle běžných kategorií SaaS.

Kategorizovaný přehled evropských poskytovatelů SaaS

Následující tabulka poskytuje přehled vybraných evropských poskytovatelů SaaS v pořadí podle funkčních oblastí. Slouží jako výchozí bod pro podrobnější hodnocení.

Přehled evropských poskytovatelů SaaS podle kategorií

(Poznámka: Tato tabulka je výběr a netvrdí, že je úplná. Informace jsou založeny na dostupných zdrojích a mohou se změnit. Je nezbytná samostatná zkouška společností.)

Přehled evropských poskytovatelů SaaS ukazuje řadu řešení, která jsou uspořádána podle kategorií. V oblasti spolupráce a kanceláře existují poskytovatelé, jako je Nextcloud Hub z Německa s platformou s otevřeným zdrojovým kódem pro soubory, řeč, skupinu a kancelář, která může být hostována jak samostatně, tak poskytovatelem a spoléhá se na datovou suverenitu. Suite App App Open-XChange, také z Německa, nabízí kompletní řešení pro e-mail, skupinové, jednotky a dokumenty, zejména pro poskytovatele a společnosti, a splňuje standardy ISO 27001. Pouze z Lotyšska poskytuje kancelářskou sadu s možnostmi spolupráce a pracovním prostorem (včetně CRM a e-mailu), je to jak cloud, tak i on-premise schopný i GDPR. Společnost Collabora Online, založená na Libreoffice, je často integrována s platformami, jako je NextCloud. TeamDrive z Německa se zaměřuje na cloudovou paměť s vysokou odolností s end-to-end šifrování a principem nulových znalostí. Conceptboard, také z Německa, nabízí online shitboard pro vizuální spolupráci se servery EU a bez účasti USA. Cryptpad z Francie kombinuje open source a E2E-incrypted spolupráci. Stackfield z Německa poskytuje platformu kompatibilní s GDPR pro chat, úkoly a video.

V oblasti CRM & Sales zahrnuje Zeeg z Německa s rozvrhem kompatibilním s GDPR plánováním, zatímco CentralStationCRM nabízí jednoduchý CRM pro malé a střední podniky. SAP CRM, jako součást sady SAP, je zaměřena na společnosti. V řešení Cloud Storage Solutions vynikají poskytovatelé, jako je Pcloud ze Švýcarska, s volitelnými šifrováními E2E a celoživotní plány. Tresorite kombinuje vysoké bezpečnosti, nulové znalosti a dodržování Evropy. Proton Drive, také ze Švýcarska, nabízí šifrované soubory. Nabídku dokončují němečtí poskytovatelé, jako jsou Ionos Hidrive a mezinárodní možnosti, jako je Infomaniak Kdrive.

Pro videokonference musí být zdůrazněna OpenTalk z Německa se zvláštním zaměřením na zabezpečení a GDPR, stejně jako open source Solution Jitsi Meet. Eyeson z Rakouska nabízí video založené na cloudu, zatímco Univid ze Švédska se zaměřuje na webináře. V webové analýze nabízí Matomo možnost s otevřeným zdrojovým kódem s úplným řízením dat, věrohodná analytika se zaměřuje na snadnou použitelnost a ochranu dat, Etracker z Německa dělá bez souborů cookie a Piwik Pro.

Marketingová automatizace je pokryta poskytovateli, jako je Brevo (dříve SendinBlue) se servery v Německu/EU a hodnocení s B2B Focus a ISO Certification. V případě softwaru HR je Personio lídrem, komplexní platformou pro malé a střední podniky, doplněná řešeními, jako jsou HRWorks a Rexx Systems, které nabízejí cloudové i on-premise modely. OpenProject in Project Management je německé řešení s otevřeným zdrojovým kódem, zatímco ZenKit skóre s flexibilními pracovními prostory. Poskytovatelé bezpečných e-mailů, jako jsou Tutanota a proton Mail, stojí za ochranu dat a šifrování end-to-end. Jediné přihlášení je obsluhováno Bare.Id z Německa se zabezpečením kompatibilním s GDPR. Pro nástroje pro průzkum, Lamapoll a LimeSurvey přesvědčují s přizpůsobivostí a německými serverovými standardy. OTÁZKA PRO VE VERZE EU zakončí seznam s rozsáhlými funkcemi a shodou GDPR.

Tento přehled ilustruje pozoruhodnou rozmanitost a specializaci na evropském trhu SaaS. Zejména v oblastech, v nichž se ochrana údajů a zabezpečení tradičně hrají jako spolupráce, bezpečná komunikace, cloudové úložiště a analýza webové stránky-existuje široká škála alternativ. Mnoho z těchto poskytovatelů jsou malé nebo středně velké společnosti (MSP) nebo specializované specializované hráče z různých evropských zemí. Často se zaměřují na soulad s GDPR a specifickými potřebami evropského trhu, který je vyjádřen v charakteristikách, jako je hosting EU, podpora německého jazyka nebo specifické osvědčení o dodržování předpisů.

Strategický význam softwaru s otevřeným zdrojovým kódem pro mnoho evropských poskytovatelů je také pozoruhodný. Zejména v oblastech spolupráce (NextCloud, CryptPad), Office (OnlyOffice, Collabora), Project Management (OpenProject), Web Analysis (Matomo) a videokonference (JITSI, OpenTalk), Otevřené technologie často tvoří. To je více než jen technický detail; Je to vědomé rozhodnutí podporovat transparentnost (prostřednictvím viditelného kódu), přizpůsobitelnosti, auditovatelnosti a vyhýbání se závislostem (uzamčení dodavatele). Tyto aspekty jsou centrálními stavebními bloky pro digitální suverenitu a umožňují evropským poskytovatelům nabízet důvěryhodná a flexibilní řešení, aniž by musela mít obrovské rozvojové rozpočty globálních hyperscales. To dává zákazníkům větší kontrolu a nahlédnutí do použité technologie.

Porovnání vybraných alternativ EU

Podle obecného přehledu trhu nyní existuje podrobnější srovnání vybraných, reprezentativních evropských alternativ SaaS v klíčových kategoriích. Důraz je kladen na základní funkce, cenové modely, jedinečné prodejní body a zejména na implementaci svrchovanosti dat a shody GDPR.

Metodika srovnání

Výběr poskytovatelů pro podrobné srovnání je založen na jejich relevanci a frekvenci zmínky v základních zdrojích a jejich umístění jako přímé evropské alternativy k známým americkým službám. Srovnání je založeno na informacích od konkrétních úryvků poskytovatele a dalších relevantních datových bodů z obecných úryvků. Kritéria zahrnují:

• Core funkce: Co dělá software v jádru?
• Cenový model: Jaká je cenová struktura (předplatné, freemium, životnost, on-premise)?
• Umístění dat/hosting: Kde jsou data hostována (zaručena EU/DE)? Existují možnosti sebehodnocení?
• Šifrování: Které šifrovací metody se používají (zejména end-to-end, nulové znalosti)?
• Osvědčení/dodržování předpisů: Jaké jsou relevantní certifikáty (ISO 27001, BSI C5 atd.) A závazky dodržování předpisů (GDPR)?
• Silné a slabé stránky týkající se suverenity: Zvláštní rysy nebo omezení z hlediska kontroly dat, transparentnosti a nezávislosti.

Porovnání podrobností podle kategorií

Podrobné srovnání důležitých alternativ EU-SAAS

Podrobné srovnání důležitých alternativ EU SaaS ukazuje, že Nextcloud Hub jako modulární platforma nabízí funkce, jako je synchronizace a vydání souborů, video konference, integrace skupiny a kanceláře, zatímco sada aplikace s otevřenou XChange je zaměřena na e-mail, kalendář, kontakty a paměť. NextCloud Hub umožňuje úplnou kontrolu prostřednictvím samohostingu a nabízí volitelné šifrování end-to-end, ale má vyšší požadavky na IT pro váš vlastní hosting. Open-XChange vyniká z pohledu EU prostřednictvím certifikace ISO a ochrany dat, ale je závislý na cloudu od poskytovatele. V oblasti CRM skóre ZEEG skóre s jasnou shodou GDPR a hostováním v Německu, zatímco CentralStationCRM se přesvědčí s jednoduchostí a zaměřením na malé a střední podniky. Oba poskytovatelé nabízejí modely Freemium a zaručená datová umístění kompatibilní s GDPR. S cloudovou pamětí, Pcloud s celoživotními plány a možnosti paměti EU ukazuje výhody, pokud jde o flexibilitu, ale šifrování E2E je volitelné a za poplatek, zatímco Tresorite bodování s konzistentním šifrováním nulové znalosti a vysokou shodou, ale je dražší. OnlyOffice a Collabora Online nabízejí rozsáhlé alternativy kanceláře se silnými orientacemi EU a možnostem s otevřeným zdrojovým kódem, přičemž pouze září skrze funkce kompatibility MS a spolupráce. Společnost Collabora Online je úzce integrována do platforem, jako je NextCloud, a proto méně zaměřená na to. V oblasti videokonferencí, OpenTalk skóre s funkcemi, jako jsou webináře, průzkumy a jasné fokus GDPR, zatímco Jitsi Meet nabízí maximální sebekontrolu a jednoduchost jako bezplatné open source řešení. Obě řešení nabízejí možnosti a silné funkce ochrany dat, přičemž OpenTalk vyniká bezpečnostní značkou BSI IT.

Porovnání detailů zdůrazňuje, že jen zřídka existuje jediná „nejlepší“ evropská alternativa. Výběr do značné míry závisí na konkrétních požadavcích a prioritách společnosti. Existují jasné kompromisy, například mezi maximálním zabezpečením a cenou (Pcloud vs. bezpečný) nebo mezi komplexní kontrolou prostřednictvím sebehostování a pohodlí spravovaného řešení SaaS (NextCloud vs. Ox App Suite Cloud). Společnosti musí zvážit, který aspekt - rozsah funkcí, přátelství uživatele, náklady nebo stupeň suverenity a bezpečnosti - je pro ně nejdůležitější.

Rozhodujícím rysem mnoha evropských poskytovatelů je flexibilita v operačním modelu. Řešení jako NextCloud, OnlyTalk nebo Jitsi nabízejí varianty založené na cloudu (SaaS) i on-premise nebo samostatně. To společnostem dává příležitost určit míru kontroly a suverenity. Pro důvěryhodného evropského poskytovatele si můžete vybrat pohodlí řešení SaaS nebo si vybrat maximální kontrolu nad daty a infrastrukturou provozováním ve svém vlastním datovém centru. Tato volba se zabývá základní potřebou po kontrole, která řídí svrchovanou debatu.

Ki-Gamechanger: Nejflexibilnější řešení platformy AI na platformě AI, která snižují náklady, zlepšují jejich rozhodnutí a zvyšují efektivitu

Nezávislá platforma AI: Integruje všechny relevantní zdroje dat společnosti

• Tato platforma AI interaguje se všemi specifickými zdroji dat
  • Z SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox a mnoho dalších systémů správy dat
• Rychlá integrace AI: Řešení AI na míru na míru na míru nebo dny místo měsíců
• Flexibilní infrastruktura: cloudové nebo hostování ve vašem vlastním datovém centru (Německo, Evropa, svobodný výběr umístění)

• Nejvyšší zabezpečení dat: Používání v právnických firmách je bezpečný důkaz
• Používejte napříč širokou škálou zdrojů firemních dat
• Výběr vašich vlastních nebo různých modelů AI (DE, EU, USA, CN)

Výzvy, které naše platforma AI řeší

• Nedostatek přesnosti konvenčních řešení AI
• Ochrana dat a zabezpečení správy citlivých dat
• Vysoké náklady a složitost individuálního vývoje AI
• Nedostatek kvalifikované AI
• Integrace AI do stávajících IT systémů

Více o tom zde:

• AI integrace nezávislé platformy AI pro všechny společnosti pro všechny společnosti pro všechny společnosti

Specializovaná řešení: Sovereign SaaS pro citlivá odvětví

Zatímco dosud zvažovaná řešení SaaS lze často používat v průmyslových odvětvích, existují odvětví s obzvláště vysokými požadavky na bezpečnost, dodržování předpisů a digitální suverenity. To zahrnuje zejména veřejnou správu, zdravotnictví a finanční sektor. Zde se vyvíjejí specializované nabídky a regulační rámec, které propagují nebo dokonce předepisují použití suverénních cloudových řešení.

Veřejná správa

Veřejný sektor v Německu a Evropě má vlastní zájem o digitální suverenitu, aby zajistil kontrolu nad údaji občanů a procesy kritických stavů. Požadavky často přesahují standardní shodu GDPR a zahrnují specifické bezpečnostní standardy, jako je BSI IT základní ochrana nebo katalog kritérií BSI C5. Důležité aspekty jsou také interoperabilita mezi různými úřady a úrovními a také preference softwaru s otevřeným zdrojovým kódem, aby se zabránilo závislosti.

Cílem několika iniciativ je vytvořit suverénní cloudovou infrastrukturu pro správu:

• Německá administrativní cloudová strategie (DVS): Tato strategie, poháněná Radou pro plánování IT a FITKO, sleduje cíl zavedení federálního, bezpečného, ​​interoperabilního a suverénního cloudového ekosystému pro federální, státní a obce. Spoléhá se na otevřené standardy, přístup více-cloud a integraci veřejných poskytovatelů IT služeb (jako je DataPort, AKDB, IT.NRW), které hrají ústřední roli a mají vysokou míru důvěry. Externí poskytovatelé kompatibilních s DVC by měli být také integrováni do perspektivy. Ústředním prvkem je portál cloudových služeb (CSP) jako trh pro standardizované a testované cloudové služby.
• Bundescloud / IT Operační platforma Bund: ITZBund již provozuje cloudové platformy (SaaS, PaaS) pro federální úřady, které mají být konsolidovány v roce 2025 a splňují vysoké požadavky na bezpečnost a ochranu údajů.
• Centrum pro digitální suverenitu (Zendis): Toto zařízení konkrétně podporuje používání softwaru s otevřeným zdrojovým kódem ve správě a podporuje projekty, jako je Opensk, open source alternativa k Microsoft 365, která je speciálně vyvinutá pro veřejný sektor.
• GAIA-X a SOVEIGN Cloud Stack (SCS): Tyto evropské iniciativy poskytují důležité technické nadace a standardy pro strukturu suverénních cloudových infrastruktur, které mají také použít DVS. SCS, open source zásobník založený na OpenStack a Kubernetes, již používají několik německých poskytovatelů (např. Server plus).

Betonové suverénní nabídky SaaS pro administrativu pocházejí od poskytovatelů veřejných IT služeb (např. Konceptboard IT.NRW, DDDatabox od DataPRAT), jakož i od specializovaných komerčních poskytovatelů, kteří mají často testy BSI C5 a jsou k dispozici prostřednictvím tržišť, jako je Govdigital (např. Plus server, Ionos, Ionos, IONOS). Důležitou roli hrají také open source řešení, jako je Nextcloud nebo Opendd.

Vhodné pro:

• V závislosti na americkém cloudu? Německý boj o cloud: Jak soutěžit s AWS (Amazon) a Azure (Microsoft)

Zdravotní péče

Systém zdravotnictví zpracovává extrémně citlivé osobní údaje (údaje o zdraví v souladu s čl. 9 GDPR), které podléhají zvláštní ochraně. Kromě GDPR a lékařské důvěrnosti se platí specifické národní zákony, jako je zákon o ochraně údajů o pacientech (PDSG) a nedávno digitální zákon (Digig). Zabezpečení, dostupnost a důvěrnost jsou zde nanejvýš důležitá.

Klíčovým ovladačem pro použití suverénních cloudových řešení v německém systému zdravotní péče je digitální akt (Didig), který vstoupil v platnost v březnu 2024. Nový § 393 SGB v výslovně umožňuje zpracování sociálních a zdravotních údajů pomocí cloud computingu, ale je to založeno na velmi přísných podmínkách:

• Zpracování údajů pouze v zemi EU/EEA/CH nebo v přiměřenosti: Zpracování údajů může být prováděno pouze v Německu, ve státě EU/EEA, Švýcarsku nebo ve třetí zemi s rozhodnutím přiměřenosti Komise EU.
• Test BSI C5 je povinný: Od 1. července 2024 musí být poskytovatelé cloudových služeb, kteří musí jménem poskytovatelů služeb zpracovat sociální nebo zdravotní údaje (lékaři, nemocnice, zdravotní pojišťovny atd.) Do 30. června 2025 je test 1. typu (přiměřenost kontrol) dostačující, od 1. července 2025 je povinný test typu 2 (důkaz účinnosti po dobu).
• Platí také pro poskytovatele SaaS: Tato povinnost nejen ovlivňuje infrastrukturu (IAAS) nebo poskytovatele platformy (PAAS), ale také explicitně také softwarové poskytovatele (SAAS), jejichž aplikace se používají cloudové (např. Informační systémy nemocnice (KIS), systémy správy (PVS), systémy pro jmenování).
• Implementace ovládacích prvků zákazníka: Uživatelská instituce (klinika, praxe atd.) Musí zase implementovat ovládací prvky koncových uživatelů uvedených v testovací zprávě poskytovatele cloudu.

Toto nařízení výrazně zpřísňuje požadavky na cloudové služby ve zdravotnickém systému a de facto způsobuje, že BSI C5 zůstatek na vstupním lístku pro poskytovatele na tomto trhu. Poskytovatelé cloudu, jako jsou Open Telekom Cloud, AWS (Frankfurt Region), Azure, GCP nebo německá poskytovatelé, jako jsou Server, Stackit a IONOS, již mají testy C5 pro své infrastruktury. Nyní musí také poskytnout řešení SaaS řešení pro zdravotní péči (KIS, PVS, komponenty EPA atd.) Na základě tohoto důkazu. Příklady společností, které jsou aktivní v oblasti Cloud Cloud a/nebo usilují o příslušné certifikace, jsou Gini, Doctolib nebo Kite Consult. Samotný soubor elektronického pacienta (EPA) je hostován na serverech v Německu a v souladu s EU GDPR.

Finance

Finanční sektor (banky, pojišťovací společnosti, poskytovatelé finančních služeb) je také vysoce regulovaný a zpracovává velmi citlivé údaje. Přísné regulační požadavky Federálního finančního dohledu (BAFIN) v Německu (např. Návnada, Kait, Vait, Zait) a stále více harmonizované evropské pokyny zde platí. Standardní jsou vysoké požadavky na zabezpečení IT, řízení rizik, spolehlivost a zabezpečení auditu.

Důležité regulační ovladače pro použití bezpečných a suverénních cloudových řešení jsou:

• Směrnice NIS2: Banky a infrastruktury finančního trhu obvykle spadají do kategorií „základní“ nebo „důležitá“ zařízení v souladu s NIS2. Proto musíte splňovat přísnější požadavky na řízení rizik, bezpečnost dodavatelských řetězců (včetně poskytovatele cloudu), zprávu o incidentech a odpovědnosti za správu.
• DORA (zákon o digitální operační odolnosti): Toto nařízení EU se konkrétně zaměřuje na posílení digitální operační odolnosti ve finančním sektoru. Umístí podrobné požadavky na řízení rizik IKT, vykazování závažných incidentů souvisejících s IKT, testy digitální odolnosti a zejména na řízení rizik poskytovatelů služeb třetích stran, včetně poskytovatelů cloudu. DORA mimo jiné požaduje jasné smluvní předpisy s poskytovateli cloudu a práva na audit.

Poskytovatelé cloudu, kteří chtějí sloužit finančním institucím, musí prokázat, že mohou splnit tyto regulační požadavky. To se často provádí detekcí certifikací, jako je BSI C5 nebo ISO 27001, konkrétní smluvní smluvní zajištění a transparentní zkoumání vaší bezpečnostní architektury a procesů. Pro tento regulovaný trh jsou speciálně umístěni poskytovatelé jako Server Plus Server, T-Systems, Microsoft se svou hranicí dat EU nebo AWS s evropským svrchovaným cloudem.

Kromě toho existují specializovaní poskytovatelé SaaS, kteří nabízejí řešení dodržování předpisů pro finanční sektor, například pro prevenci praní peněz (AML), znají svého zákazníka (KYC), test seznamu sankcí, detekci podvodů nebo sledování trhu. Příklady poskytovatelů s evropským vztahem nebo přítomností jsou Actico (DE), Pelican AI (UK?), Sopr Financial Technology (DE/FR), OTRIS (DE) nebo Viclarita (tj. Us?).

V těchto vysoce citlivých odvětvích je zřejmé, že rozhodnutí pro Sovereign Cloud Solutions již není pouze otázkou minimalizace rizik, ale je stále více poháněno zákonnými požadavky a přísnými požadavky na dodržování předpisů. Potřeba prokázat certifikace, jako je BSI C5, posune základ pro rozhodnutí z dobrovolného posouzení rizik směrem k povinnému předpokladu pro účast na trhu.

To představuje poskytovatele SaaS zejména s novými výzvami. Zatímco dosud poskytovatel infrastruktury (IAAS/PAAS) často měl příslušné certifikace, nařízení, jako je § 393 SGB V, nyní výslovně požadují důkaz poskytovatelů SaaS, jako je test BSI C5. Náklady a úsilí o získání a údržbu těchto testů jsou významné a mohou být překážkou, zejména pro menší, inovativní společnosti SaaS, což by mohlo potenciálně vést ke konsolidaci trhu v těchto regulovaných oblastech.

Vhodné pro:

• Americká politika inspiruje technologické společnosti EU? Data svrchovanost americké dominance: Budoucnost cloudu v Evropě

Propagace svrchovanosti: Iniciativy a certifikace EU

Za účelem posílení digitální suverenity Evropy a vytvoření důvěryhodného rámce pro cloud computing, byly na evropské a národní úrovni zahájeny různé iniciativy a certifikační standardy. Účelem je podporovat interoperabilitu, harmonizovat bezpečnostní standardy a zvýšit důvěru v cloudové služby.

GAIA-X: Vize federované evropské datové infrastruktury

Gaia-X je jednou z nejvýznamnějších evropských iniciativ na posílení digitální suverenity. Zahájeno Německem a Francií v roce 2019 se nyní účastní mnoho partnerů z podnikání, vědy a politiky z mnoha evropských zemí.

• Cíle: Hlavním cílem GAIA-X je vytvoření bezpečné, krmené a interoperabilní datové infrastruktury založené na evropských hodnotách, jako je ochrana údajů (GDPR), transparentnost, důvěra a sebeurčení. Účelem je zvýšit digitální nezávislost Evropy od neevropských poskytovatelů, umožnit inovace prostřednictvím bezpečné výměny dat a posílit konkurenceschopnost evropských společností.
• Architektura a přístup: Je důležité pochopit, že samotný GAIA-X není poskytovatelem cloudu a nestaví svůj vlastní „evropský super cloud“. Místo toho GAIA-X definuje soubor pravidel, běžných standardů a architektonických prvků pro decentralizovaný ekosystém pro síťové, interoperabilní datové místnosti a cloudové infrastrukturní služby. Je založen na principech, jako je otevřenost, transparentnost, modularita a použití otevřených standardů a softwaru s otevřeným zdrojovým kódem. Asociace GAIA-X pro data a cloud (AISBL) vyvíjí specifikace, pravidla, zásady a rámec pro kontrolu shody (GAIA-X Compliance), která má být implementována tzv. GAIA-X digitálními clearingovými domy (GXDCH).
• Komponenty a projekty: Betonové stavební bloky a projekty jsou vytvářeny v rámci GAIA X. Cloudová zásobník SoeGeign Cloud (SCS) je důležitým příkladem: standardizovaný technologický zásobník založený na otevřeném zdroji (založený na OpenStack, Kubernetes atd.) Pro založení a suverénní cloudové infrastruktury GAIA-X (IAAS/PAAS). Účelem je sloužit jako technický základ pro interoperabilní a sebevědomé nabídky cloudu, také pro německý administrativní cloud.
• Případy aplikací (případy použití): Za účelem prokázání výhod GAIA-X se v různých oblastech vyvíjí konkrétní datové místnosti a aplikace. Příklady lze nalézt v průmyslu 4.0 (např. Catena-X pro automobilový průmysl), mobilitu, energii, finance, veřejnou správu a zejména ve zdravotnictví. Cílem projektů, jako jsou Team-X, Health-X Dataloft nebo GAIA-Med, umožňují bezpečné a suverénní výměnu zdravotních údajů pro zlepšení péče a výzkum.
• Výzvy: Navzdory ambiciózním cílům čelí Gaia-X také výzvy a kritiku. To zahrnuje složitost projektu, pomalý pokrok v praktické implementaci, někdy nejasné definice a strach, že iniciativě by mohly dominovat zavedené globální hyperscalery. Rovněž bylo kritizováno, že zaměření bylo příliš silné na úrovni infrastruktury (IAAS/PAAS) a úroveň aplikace (SaaS) byla zanedbána.

EUCS: Evropský systém certifikace kybernetické bezpečnosti pro cloudové služby

Evropský systém certifikace kybernetické bezpečnosti pro Cloud Services (EUCS) je certifikační rámec, který je vyvíjen podle zákona o kybernetické bezpečnosti EU (CSA) Evropskou agenturou pro kybernetickou bezpečnost (ENISA).

• Účel: Hlavním cílem je harmonizace požadavků na kybernetickou bezpečnost a certifikáty pro cloudové služby (IAAS, PaaS, SaaS) v celé EU. Je třeba vytvořit jednotný standard k překonání fragmentace prostřednictvím různých národních certifikačních systémů (jako je Secnumcloud ve Francii nebo C5 v Německu) a posílit digitální vnitřní trh. Pro uživatele cloudu by EUCS měla vytvářet větší transparentnost a důvěru tím, že prokáže, že certifikované služby splňují určité bezpečnostní standardy.
• Úrovně zajištění: Schéma definuje tři (nebo v předchozích návrzích čtyři) úrovně bezpečnosti („základní“, „podstatný“, „vysoký“ a možná „vysoký+“), které odrážejí různé rizikové úrovně a útočící dovednosti. Se zvyšující se úrovní požadavky na implementovaná bezpečnostní opatření (např. Síť, paměť, šifrovací zabezpečení, penetrační testy) a přísnost hodnocení akreditovanými agenturami pro hodnocení shody (kabiny pro hodnocení souladu).
• Dobrovolnost vs. povinná: Certifikace podle EUC je obecně dobrovolná. Zákon o kybernetické bezpečnosti nebo směrnice NIS2 však umožňuje členským státům EU v určitých oblastech, zejména pro „nezbytné“ nebo „důležité“ instituce (kritika), specifikovat využívání certifikovaných služeb IKT. Je proto pravděpodobné, že se EUC, přinejmenším v regulovaných odvětvích, stanou de facto povinným požadavkem nebo důležitým kritériem pro výběrová řízení.
• Debata o suverenity: Ústředním a kontroverzním bodem ve vývoji EUC byla otázka specifických požadavků na suverenitu, zejména pro nejvyšší úroveň zabezpečení („vysoká“ nebo „vysoká“). Dřívější návrhy za předpokladu, že lokalizace dat v rámci EU je pro tuto úroveň naprosto nezbytná a že poskytovatel musí mít své sídlo a globální sídlo v členském státě EU, aby zajistil ochranu před neevropskými zákony (jako je cloudový zákon). Tyto požadavky však byly zjevně odstraněny nebo oslabeny v pozdějších návrzích (od roku 2024). To se setkalo s násilnou kritikou evropských poskytovatelů cloudů (zejména malých a středních podniků), průmyslových sdružení a protekcionistů, kteří se obávají, že to oslabuje digitální suverenitu Evropy, a upevňují závislost na neevropských hyperscalerech a údaje o evropských občanech a společnostech jsou vystaveny zvýšenému riziku. Debata o konečném návrhu těchto požadavků pokračuje.

BSI C5: Německý standard pro zabezpečení cloudu

Katalog kritérií dodržování předpisů cloud computingu (C5) německého federálního úřadu pro informační technologii (BSI) je zavedeným katalogem kritérií, který definuje specifické minimální požadavky na zabezpečení informací v cloudových službách.

• Účel a obsah: C5 by měl při výběru bezpečných poskytovatelů poskytovat orientaci zákazníků cloudové a vytvořit základ pro jejich řízení rizik. Je založen na mezinárodně uznávaných standardech, jako je ISO/IEC 27001, ale doplňuje je požadavky specifické pro cloud a zvláštní význam pro transparentnost prostřednictvím tzv. Parametrů životního prostředí. Tyto parametry poskytují informace o aspektech, jako jsou umístění dat, místo jurisdikce, certifikace a zveřejňování státních orgánů, které mají pomoci zákazníkům (např. Prostřednictvím porušování ekonomické špionáže nebo ochrany údajů). Katalog zahrnuje 17 oblastí předmětu, včetně organizace informační bezpečnosti, bezpečnosti personálu, správy aktiv, kryptografie, správy identity a přístupu, správy incidentů a fyzického zabezpečení.
• Testat (typ 1 a typ 2): Dodržování kritérií C5 je prokázána testatem, který vydává nezávislý kvalifikovaný auditor. Existují dva typy testů: typ 1 certifikuje vhodnost návrhu a implementace bezpečnostních kontrol do určitého klíčového data. Typ 2 také potvrzuje provozní účinnost těchto kontrol prostřednictvím definovaného období vyšetření (obvykle 6 až 12 měsíců). Test typu 2 je považován za smysluplnější a je vyžadován pro následné zkoušky a ve zdravotnickém systému od července 2025.
• Relevance: C5 se vyvinula do de facto standardu pro bezpečné cloud computing v Německu, zejména pro veřejnou správu a v silně regulovaných odvětvích, jako je systém zdravotnictví a finanční sektor. Jak již bylo zmíněno, test C5 bude od července 2024/2025 právně povinný pro Cloud Services ve zdravotnickém systému. Mnoho německých a evropských, ale také mezinárodních poskytovatelů cloudů (pro jejich regiony EU) má testy C5 pro své služby.

Další relevantní standardy

Kromě zmíněných iniciativ a osvědčení hrají důležitou roli také stanovené mezinárodní standardy:

• ISO/IEC 27001: Globálně uznávaný standard pro systémy správy zabezpečení informací (ISMS). Definuje systematický přístup ke správě citlivých informací o společnosti, aby zajistil jejich důvěrnost, integritu a dostupnost. Certifikace ISO 27001 je často základním požadavkem pro poskytovatele cloudu a slouží jako základ pro konkrétnější standardy, jako je C5.
• ISO/IEC 27017: Tento standard nabízí průvodce (kód praxe) se specifickými kontrolními opatřeními pro zabezpečení informací v cloudových prostředích, kromě ISO/IEC 27002.
• ISO/IEC 27018: Zaměřuje se na ochranu osobních údajů (osobně identifikovatelných informací - PII) ve veřejných mracích, které působí jako procesory. Obsahuje pokyny, které jsou úzce založeny na evropských zásadách ochrany údajů a mohou sloužit jako doplněk k C5, který primárně nepokrývá ochranu údajů.

Tyto různé iniciativy a standardy nemusí být nutně považovány za konkurenty, ale mohou se navzájem doplňovat. GAIA-X poskytuje vizi a pravidla pro suverénní ekosystém, má EUCS harmonizovat certifikaci napříč EU a národní standardy, jako je BSI C5, již nabízejí konkrétní požadavky a testovací mechanismy. Výzvou bude rozumně integrovat tyto přístupy a vytvořit koherentní rámec, který v Evropě splňuje nároky na suverenitu a je také praktický pro poskytovatele a uživatele. Současná debata o požadavcích na svrchovanost v EUC však ukazuje, že zde jsou stále nutné politické a technické údaje.

Je důležité, aby společnosti pochopily, že certifikace, jako jsou BSI C5 nebo ISO 27001, jsou cennými kotvami důvěry, vytvářejí transparentnost a usnadňují prokázání bezpečnostního úsilí. Nejedná se však o všelék a nenahrazují vlastní hodnocení rizik a test náležité péče zákazníkem. Například test C5 pro poskytovatele USA nemění jeho subdness mezi cloudovým zákonem. Sdílená odpovědnost („sdílená odpovědnost“) zůstává mezi poskytovatelem a zákazníkem za bezpečnost používání cloudu a společnosti musí vždy zkontrolovat, zda opatření poskytovatele jsou dostatečná pro jejich specifické požadavky a rizika.

Vhodné pro:

• Systémy správy dat ve změně: Strategie úspěchu společnosti ve věku AI

Strategické výhody přechodu na poskytovatele EU SaaS

Analýza rizik při využívání cloudových služeb založených na USA a vyšetřování rostoucího trhu s suverénními evropskými alternativami SaaS umožňuje jasný závěr: Pro evropské společnosti je řešení jejich cloudové strategie nejen z hlediska digitální suverenity, ale stále je strategickou nutností.

Shrnutí výsledků

Ústřední zjištění této zprávy lze shrnout takto:

• Přetrvávající rizika mezi poskytovateli USA: Využití služeb SaaS společností, které podléhají americké jurisdikci, obsahuje významná a pokračující rizika pro evropské společnosti. Základní konflikt mezi zákony EU GDPR a USA, jako je Cloud Act a FISA 702, vede k potenciálním zraněním na ochranu údajů, vysokým pokutám, ztrátě kontroly dat a riziku obchodní špionáže. Ani současný rámec pro ochranu osobních údajů EU-US (DPF) tento základní konflikt nerozpustí a jeho dlouhodobá stabilita je nejistá (viz oddíl II).
• Svrchovanost jako multidimenzionální koncept: „Sovereign SaaS“ v evropském kontextu znamená více než jen ukládání dat do výpočetních center EU. Zahrnuje dodržování evropského práva (zejména GDPR), ochranu před neevropským přístupem, provoz subjektů a personálu EU, jakož i technologickou otevřenost a interoperabilitu, aby se zabránilo závislosti (viz oddíl III).
• Rostoucí trh alternativ EU: Pro poskytovatele SaaS existuje rozmanitý a rostoucí trh se sedadlem a působí v EU/EEA/CH. Nabízejí řešení v mnoha kategoriích, často se silným zaměřením na ochranu údajů, zabezpečení a místní potřeby. Mnozí se strategicky spoléhají na otevřený zdroj, aby maximalizovali průhlednost a kontrolu (viz oddíl IV a V).
• Regulační tlak v citlivých odvětvích: v oblastech, jako je veřejná správa, systém zdravotní péče a finanční sektor, použití prokazatelně zabezpečených a suverénních cloudových řešení (často s testy BSI C5 nebo srovnatelnými důkazy) se stále více stává povinností (např. Digig, NIS2) a strategické specifikace (viz oddíl VI).
• Rámcové podmínky prostřednictvím iniciativ a standardů: Evropské iniciativy, jako jsou GAIA-X a certifikace, jako jsou plánované EUC a zavedené národní standardy, jako jsou BSI C5, vytvářejí důležité rámcové podmínky, podporují interoperabilitu a mají posílit důvěru v nabídky cloudových nabídek (viz oddíl VII).

Strategické výhody alternativ EU-SAAS

Změna nebo primární volba evropských poskytovatelů SaaS, kteří splňují kritéria suverenity, nabízí společnostem nad rámec minimalizace čistého rizika:

• Vylepšená dodržování předpisů a právní jistota: Používání poskytovatelů, kteří jsou předmětem výhradně a zaručují údaje v EU, výrazně snižují riziko porušení GDPR a konfliktu s neevropskými zákony. To vytváří stabilnější a předvídatelnější právní základ pro zpracování dat.
• Zvýšená kontrola dat a zabezpečení: Evropští poskytovatelé se zaměřením na suverenitu často nabízejí vyšší úroveň kontroly nad vašimi vlastními údaji. Toho lze dosáhnout prostřednictvím možností sebehodnocení, konzistentního šifrování end-to-end (nulové znalosti), transparentních provozních procesů a vyloučením přístupu úřady třetích zemí.
• Starked Digital Suverenity: Rozhodnutí pro evropské poskytovatele snižuje strategické závislosti na neevropských technologických skupinách. Podporuje zřízení rezistentního digitálního ekosystému v Evropě a posiluje místní digitální ekonomiku.
• Místní podpora a kulturní blízkost: Evropští poskytovatelé mohou často nabízet přístupnější a pochopitelnější zákaznický servis v příslušném národním jazyce a časovém pásmu. Často mají hlubší pochopení specifických požadavků a zvyků evropského trhu, které mohou usnadnit spolupráci a jednání o smluvách.
• Tvorba důvěry: Použití prokazatelně ochrany údajů a sebevědomých řešení signalizuje zákazníky, partnery a zaměstnanci vysokou úroveň závazku k ochraně a zabezpečení dat. To se může stát důležitou důvěrou a konkurenční výhodou.

Doporučení pro akce pro evropské společnosti

Aby bylo možné využít výhody suverénních řešení SaaS a řídit rizika využívání cloudu, měly by evropské společnosti zvážit následující kroky:

• Proveďte individuální analýzu rizik: Calder Aktuálně používané (zejména USA) SAAS služby. Analyzujte typ zpracovaných údajů (citlivost, osobní reference), příslušné regulační požadavky (GDPR, požadavky specifické pro průmysl) a potenciální účinky neoprávněného přístupu k datům nebo selhání služby na vaše podnikání.
• Definujte požadavky na suverenitu: Určete stupeň svrchovanosti dat, provozní kontrolu a technologické nezávislosti pro vaši společnost. Ne každá aplikace vyžaduje stejnou úroveň suverenity. Upřednostňovat na základě rizik a strategického významu.
• Systematické hodnocení trhu alternativ EU: Použijte přehled trhu (jako jsou ty v této zprávě) a váš vlastní výzkum k identifikaci potenciálních evropských poskytovatelů SaaS, kteří splňují jejich funkční a suverenitní požadavky. Vezměte v úvahu velikost poskytovatele, specializace, reference a budoucí životaschopnost.
• Pečlivá due diligence ve výběru poskytovatele: Nespoléhejte se na marketingová prohlášení. Zkontrolujte informace o datových umístěních poskytovatele (včetně záloh, metadat), operačním personálu, firemní struktuře (vlastnictví, sedadlo), použité subdodavatelům, šifrovacích technologiích (zejména E2E/Zero-Knowledge) a bezpečnostních opatřeních. Smlouvy o zpracování objednávek žádostí (AVV), technická organizační opatření (TOMS) a příslušné certifikáty nebo testy (např. ISO 27001, BSI C5) a pečlivě je zkontrolujte.
• Vypracovat migrační strategii a plán ukončení: Pečlivě naplánujte potenciální změnu. Vezměte v úvahu náklady, technické úsilí na migraci dat, nezbytné úpravy rozhraní a řízení změn pro vaše zaměstnance. Věnujte pozornost interoperabilitě a definujte jasnou strategii odchodu, která umožňuje budoucí změnu poskytovatele nebo návratu dat (reverzibilita).
• Zkontrolujte open source jako možnost: Vyhodnoťte, zda řešení SaaS založená na open source, ať už jako spravovaná služba poskytovatele EU nebo vlastního (sebepohostiného), představují vhodnou alternativu za účelem dosažení maximální transparentnosti, přizpůsobivosti a kontroly.
• Sledujte regulační krajinu: Zůstaňte o vývoji transatlantického datového provozu (kontrola DPF), informovaného v evropských certifikačních standardech (EUCS) a příslušných zákonech (NIS2, DORA, průmyslové předpisy), protože tyto mohou výrazně ovlivnit vaši cloudovou strategii.

Rozhodnutí nebo proti použití určitých cloudových služeb, zejména s ohledem na poskytovatele amerických versus evropských alternativ, je mnohem více než technická nebo čistá otázka dodržování předpisů. Jedná se o strategický kurz s dlouhodobými dopady na právní jistotu, zabezpečení dat, kontrolu kritických obchodních procesů a nakonec odolnost a konkurenceschopnost společnosti v globální digitální konkurenci. Analyzovaná rizika závislosti na neevropských poskytovatelích jsou značná a současná geopolitická a právní směs jsou spíše zvýšena než oslabena.

Současně není přechod na evropské alternativy jistým úspěchem. Společnosti musí pečlivě zvážit, zda výhody dodržování a kontroly převažují nad potenciálními nevýhodami s ohledem na rozsah funkcí, rychlosti inovací nebo migrace. Důkladná analýza vašich vlastních potřeb, realistické posouzení dostupných alternativ a pečlivé plánování přechodu je zásadní pro úspěch. Evropský trh však nabízí stále udržitelnější a důvěryhodnější možnosti, které společnostem umožňují využívat výhody cloudu, aniž by ohrozily jejich digitální suverenitu.

☑️ Podpora MSP ve strategii, poradenství, plánování a implementaci

☑ Vytváření nebo přepracování strategie AI

☑️ Pioneer Business Development

 

Rád posloužím jako váš osobní poradce.

Můžete mě kontaktovat vyplněním kontaktního formuláře níže nebo mi jednoduše zavolejte na číslo +49 89 89 674 804 (Mnichov) .

Těším se na náš společný projekt.

 

 

Xpert.Digital je centrum pro průmysl se zaměřením na digitalizaci, strojírenství, logistiku/intralogistiku a fotovoltaiku.

S naším 360° řešením pro rozvoj podnikání podporujeme známé společnosti od nových obchodů až po poprodejní služby.

Market intelligence, smarketing, automatizace marketingu, vývoj obsahu, PR, e-mailové kampaně, personalizovaná sociální média a péče o potenciální zákazníky jsou součástí našich digitálních nástrojů.

Více se dozvíte na: www.xpert.digital - www.xpert.solar - www.xpert.plus