Esci dal cloud statunitense: Sovereign SaaS offre a Panoramica + Raccomandazioni per l'azione

La necessità di sovranità digitale per le aziende europee

La trasformazione digitale sta progredendo inarrestabile e il cloud computing, in particolare il software-as-a-service (SAAS), è diventato uno strumento indispensabile per le aziende di tutte le dimensioni. Consente flessibilità, scalabilità e accesso a tecnologie innovative. Allo stesso tempo, questo sviluppo ha portato a una dipendenza significativa da alcuni, principalmente fornitori di cloud statunitensi.

Adatto a:

• Perché il US Cloud Act è un problema e un rischio per l'Europa e il resto del mondo: una legge con conseguenze di distanza

Problema: crescente dipendenza dai fornitori di cloud statunitensi

Il mercato cloud europeo è chiaramente dominato dai grandi iperscalatori statunitensi: Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP). Questi fornitori combinano gran parte della quota di mercato globale. Anche i principali fornitori europei come SAP o Deutsche Telekom in Europa raggiungono solo piccole quote di mercato in Europa. Questa concentrazione pone un pericolo intrinseco: gran parte dell'infrastruttura cloud globale e in particolare è potenzialmente soggetta alla giurisdizione delle leggi statunitensi. Nelle società europee e sempre più anche nelle pubbliche amministrazioni, la consapevolezza dei rischi associati a questa dipendenza è in crescita. Le cause relative alla protezione dei dati, alla sicurezza dei dati e alla perdita di controllo sui dati e sui processi critici sono in primo piano. La questione della sovranità digitale diventa una necessità strategica.

Rilevanza della sovranità dei dati e della conformità del GDPR

Il regolamento generale sulla protezione dei dati (GDPR) è al centro delle preoccupazioni europee. Dal 2018 è stato il rigoroso quadro giuridico per la protezione dei dati personali nell'Unione europea e regola in dettaglio la sua elaborazione e la trasmissione, specialmente nei paesi al di fuori dell'UE. Il rispetto del GDPR non è solo un obbligo legale per le società europee, ma anche un fattore importante per la fiducia di clienti e partner commerciali. Allo stesso tempo, il concetto di sovranità digitale sta guadagnando importanza. Descrive gli sforzi dell'Europa per riguadagnare o mantenere il controllo dei propri dati, tecnologie e infrastrutture digitali. Questa non è solo una questione di protezione dei dati, ma anche un obiettivo di politica industriale per rafforzare l'economia europea e la competitività in un mondo digitale globalizzato. Per le aziende, ciò significa che la necessità di ripensare le strategie cloud e cercare proattivamente soluzioni che siano sia legalmente conformi che affidabili e garantire la propria capacità di agire.

Adatto a:

• Integrazione AI di una piattaforma AI indipendente e incrociata per tutte le questioni aziendali

Obiettivo e struttura del rapporto

Questo rapporto è rivolto agli affari europei e ai decisori IT che si trovano ad affrontare la sfida di sviluppare una strategia cloud a prova di futuro e attesa al rischio. Persegue l'obiettivo di creare una base ben fondata per la decisione da:

• I rischi specifici analizzati che derivano dall'uso dei servizi SAAS con sede negli Stati Uniti per le società europee, in particolare per quanto riguarda il conflitto tra le leggi del GDPR e statunitensi come il Cloud Act e FISA 702.
• Definisce ciò che deve essere compreso sotto "offerte Sovereign SaaS" in un contesto europeo e quali criteri devono soddisfare.
• Una panoramica del mercato dei fornitori di SaaS europei, che si posizionano come alternative sovrane, classifica in base alle aree di applicazione.
• Un confronto di importanti alternative nelle categorie chiave per quanto riguarda le funzioni, i prezzi e, soprattutto, l'implementazione della sovranità dei dati e della conformità del GDPR.
• Soluzioni specializzate per settori sensibili come la pubblica amministrazione, l'assistenza sanitaria e la finanza.
• Presenti iniziative dell'UE pertinenti (come GAIA-X) e certificazioni (come EUCS, BSI C5) che promuovono la sovranità del cloud.
• Una conclusione e raccomandazioni per l'azione per l'orientamento strategico delle aziende derivano.

Analisi del rischio: servizi cloud statunitensi e sfide per le aziende europee

L'uso dei servizi cloud, in particolare le offerte di SaaS, da parte di fornitori con sede negli Stati Uniti, presenta alle società europee sfide legali e operative. Questi derivano principalmente dal conflitto fondamentale tra i rigorosi regolamenti europei per la protezione dei dati e le leggi sulla sorveglianza degli Stati Uniti e sull'accesso ai dati.

Il conflitto principale: leggi di monitoraggio GDPR vs. USA

Il regolamento generale sulla protezione dei dati (GDPR) costituisce la fondazione della protezione europea dei dati. Stabilisce elevati standard per l'elaborazione di dati personali da parte dei cittadini dell'UE. Articolo 44 ss. Il GDPR che regola la trasmissione di tali dati nei paesi del terzo paese (paesi al di fuori dell'UE/SEE) sono particolarmente rilevanti per l'uso del cloud. Tale trasmissione è consentita solo se esiste un "ragionevole livello di protezione" nel paese terzo (determinato da una decisione di adeguatezza della Commissione UE) o se sono disponibili "garanzie adeguate" (come le clausole contrattuali standard o le regole delle società vincolanti) e sono disponibili diritti applicabili e remie legali efficaci per le persone interessate. Inoltre, l'articolo 48 GDPR proibisce esplicitamente la trasmissione di dati alle autorità di un paese terzo a causa delle loro decisioni o giudizi in caso di accordo internazionale, come un accordo di assistenza legale. Diverse leggi statunitensi sono contrarie a questa affermazione di protezione europea che concede alle autorità statunitensi diritti di accesso ai dati, anche se sono archiviati al di fuori degli Stati Uniti:

• La US Cloud Act (chiarire le legittima Uso all'estero del Data Act): questo 2018, adottato nel 2018, autorizza le autorità di procedimenti penali statunitensi e i servizi di intelligence a richiedere la pubblicazione di dati che sono sotto il loro controllo senza controllo di dove questi dati sono archiviati nel mondo. Ciò include esplicitamente i dati che si trovano nei data center all'interno dell'Unione europea. Il Cloud Act mina quindi il principio di territorialità della protezione dei dati ed è in diretta contraddizione con i requisiti del GDPR, in particolare l'articolo 48. È stato creato, tra le altre cose, in risposta a una lunga disputa legale tra Microsoft e il governo degli Stati Uniti sull'accesso alle e -mail memorizzate in Irlanda e modernizzate le norme di accesso più antiche da settembre 2001, come il Patriot Act. I meccanismi di Cloud Act, secondo i quali un fornitore può contestare un accordo emittente, se viola la legge di un altro stato (come il GDPR), ma l'efficacia pratica di questi meccanismi, in particolare nell'area della sicurezza nazionale, è altamente controversa e non offre una garanzia affidabile per le aziende europee. I fornitori sono quindi in conflitto: se seguono un accordo di Act Cloud senza una base giuridica dell'UE, rischi enormi GDPR; Se ti rifiuti di pubblicare, citando il GDPR, minacciare le sanzioni ai sensi della legge degli Stati Uniti.
• FISA Sezione 702 (Foreign Intelligence Surveillance Act): questa disposizione, parte della FISA Emendments Act dal 2008, consente servizi di intelligence statunitense come l'NSA, il monitoraggio mirato della comunicazione elettronica di persone non statunitensi che sono al di fuori degli Stati Uniti. Il monitoraggio avviene per ottenere "informazioni sull'intelligence straniera". FISA 702 obbliga i fornitori statunitensi di servizi di comunicazione elettronica (fornitori di servizi di comunicazione elettronica-ECSPS), che includono molti grandi fornitori di cloud e SaaS, a cooperare con le autorità. L'ambito dei dati potenzialmente registrati è molto ampio e, oltre ai metadati, può anche includere contenuti di comunicazione, anche da terze parti non coinvolte che menzionano solo una persona target. I programmi di monitoraggio ai sensi della FISA 702 (come PRISM e upstream) erano un punto centrale di critica nel giudizio di Schrems II della Corte di giustizia europea (vedi sotto). La mancanza di efficaci rimedi legali per i cittadini dell'UE colpiti e il potenziale di sorveglianza di massa sono anche criticati, anche se le autorità statunitensi lo negano.
• Ordine esecutivo 12333 e altri: oltre a Cloud Act e FISA 702, ci sono altre basi legali, come l'ordine esecutivo 12333, che concedono ai servizi di intelligence statunitensi poteri di vasta portata per la sorveglianza all'estero, spesso senza controllo giudiziario o specifiche restrizioni legali sui non IPS.

Questo conflitto legale fondamentale crea una situazione in cui l'uso dei servizi cloud dei fornitori statunitensi per le società europee comporta rischi intrinseci.

Rischi concreti per le società europee

Il conflitto legale descritto provoca rischi tangibili per le società europee che utilizzano servizi SAAS con sede negli Stati Uniti:

• Violazioni e multe della protezione dei dati: la resa dei dati personali alle autorità statunitensi basate sulla legge sul cloud o sulla FISA 702, senza una base giuridica valida ai sensi della legge dell'UE (ad esempio un accordo di assistenza legale), è una chiara violazione del GDPR, in particolare contro l'articolo 48. Ciò può portare a pellicole sensibili fino al 4% delle spese annuali globali, nonché a reclami di diritto civile delle persone colpite. L'uso di un servizio cloud statunitense da solo non può essere valutato come potenzialmente non conforme al GDPR se il fornitore non può garantire che non pubblica dati mentre viola il GDPR.
• Perdita di sovranità e controllo dei dati: garanzia contrattuale dei fornitori statunitensi di archiviare solo i dati nei data center dell'UE, non offrono una protezione efficace rispetto all'accesso statunitense ai sensi del Cloud Act o della FISA. Le leggi statunitensi possono minare queste assicurazioni e anche misure protettive tecniche. Anche la crittografia dei dati non è una panacea se il provider statunitense ha il controllo delle chiavi di crittografia perché potrebbe essere costretto a rivelarli. Allo stesso modo, i meccanismi di controllo degli accessi possono essere evitati e i protocolli di audit possono essere visualizzati senza la conoscenza del proprietario dei dati, che viola i requisiti di trasparenza del GDPR. In effetti, le aziende europee in effetti perdono il controllo di quali circostanze accedono ai loro dati.
• Scpionage economica e perdita di segreti aziendali: un rischio particolarmente grave è il potenziale drenaggio dei dati dell'azienda sensibili. Ciò include i dati di proprietà intellettuale, ricerca e sviluppo, prototipi, piani strategici, dati finanziari o dati riservati e comunicazioni dei clienti. La preoccupazione che le autorità statunitensi potrebbero anche utilizzare i loro diritti di accesso a fini economici (spionaggio commerciale) è un fattore essenziale per le aziende europee per cercare alternative o adottare ulteriori misure di protezione. La perdita di tali informazioni può portare a considerevoli perdite finanziarie, danni alla reputazione e perdita di vantaggi competitivi.
• Incertezza legale e perdita di fiducia: il conflitto irrisolto tra la legge europea per la protezione dei dati e i diritti di accesso statunitensi crea una notevole incertezza legale per le società che utilizzano i servizi statunitensi. Questa incertezza complica gli sforzi di pianificazione e conformità a lungo termine. Inoltre, l'uso continuato dei servizi in cui la protezione dei dati non può essere garantita può minare significativamente la fiducia di clienti, dipendenti e partner commerciali.
• Rischi geopolitici: leggi come il Cloud Act sono viste nel contesto delle tendenze globali verso una maggiore sorveglianza statale e una possibile frammentazione di Internet ("SPLINGNET"). Vengono elaborati confronti con leggi simili in altri paesi come la legge sull'intelligence nazionale della Cina. Eccessiva dipendenza dai fornitori di tecnologia di un'unica regione non europea ospita anche rischi strategici per l'autonomia digitale e la resilienza dell'Europa.

I rischi dell'uso del cloud statunitense vanno così oltre le potenziali sanzioni del GDPR. Includono la perdita di dati aziendali critici, danni alla reputazione e pericolo di competitività a causa del possibile abuso di diritti di accesso per lo spionaggio aziendale. Questi rischi "collaterali" quantificabili spesso difficili, ma potenzialmente esistenziali, sono leggermente sottovalutati su una pura attenzione alla conformità del GDPR.

La decisione di Schrems II e il Framework sulla privacy dei dati (DPF)

L'incertezza legale nel traffico di dati transatlantici è stata massicciamente rafforzata dalla sentenza di Schrems II della Corte di giustizia europea (CGE) nel luglio 2020. L'ESCJ ha dichiarato che l'accordo di scudo della privacy dell'UE applicabile non è valido. Il motivo: le leggi sulla sorveglianza degli Stati Uniti, in particolare FISA 702 e i programmi associati, consentono interferenze nei diritti fondamentali dei cittadini dell'UE (protezione dei dati, privacy), che non si limitano al livello obbligatorio e non offrono protezione equivalente come nell'UE. Inoltre, mancano efficaci rimedi legali per le persone colpite negli Stati Uniti contro tali misure di sorveglianza. La sentenza ha confermato la validità fondamentale delle clausole a contratto standard (clausole contrattuali standard - SCC) come strumento alternativo per i trasferimenti di dati. Tuttavia, la Corte di giustizia europea ha chiarito che gli esportatori di dati non sono autorizzati a fare affidamento ciecamente sugli SCC. Come parte di un singolo test del caso (valutazione dell'impatto di trasferimento - TIA), è necessario verificare se il diritto e la pratica nel paese target (qui gli Stati Uniti) garantiscono una protezione "essenzialmente uguale" nell'UE. Se questo non è il caso dovuto alle leggi di sorveglianza - che la CGE ha suggerito agli Stati Uniti - è necessario adottare misure aggiuntive (misure supplementari) (ad esempio una forte crittografia in cui il destinatario non ha accesso alle chiavi) per garantire protezione. Se ciò non è possibile, il trasferimento dei dati deve essere sospeso. In questo contesto, il Cloud Act è stato visto come un fattore che mina ulteriormente l'argomento per l'equivalenza a livello di protezione. In risposta all'incertezza legale causata da Schrems II e per mettere il flusso di dati tra l'UE e gli Stati Uniti su base solida, la Commissione UE e il governo degli Stati Uniti hanno concordato il Framework Privacy dei dati UE-USA (DPF). Ciò è entrato in vigore nel luglio 2023 da una nuova appropriatezza della Commissione UE. Il DPF ha lo scopo di affrontare le preoccupazioni espresse nel giudizio di Schrems II fornendo ulteriori misure di protezione sul lato degli Stati Uniti: l'accesso attraverso i servizi di intelligence degli Stati Uniti ai dati dei cittadini dell'UE dovrebbe essere limitato al livello necessario e proporzionato e un nuovo rimedio legale a due stadi (compresa la revisione della protezione dei dati-DPRC) è stato creato per i cittadini dell'UE. Le aziende negli Stati Uniti possono essere certificate per il DPF e i trasferimenti di dati dall'UE a queste società certificate sono quindi considerate consentite senza strumenti aggiuntivi come SCC o altre misure. Tuttavia, ci sono ancora notevoli dubbi e rischi per quanto riguarda la stabilità e l'efficacia del DPF:

• Rimangono le leggi statunitensi di base: il Cloud Act e FISA 702 non sono stati modificati dal DPF. I poteri di base delle autorità statunitensi per l'accesso ai dati continuano.
• Dubumi sulla forza europea: molti esperti e attivisti di protezione dei dati dubitano che le misure di protezione previste nel DPF e il nuovo meccanismo di rimedio legale resisterebbero a una nuova revisione da parte della Corte di giustizia europea. In particolare, l'indipendenza e l'assertività del DPRC sono messe in discussione.
• Monitoraggio continuo richiesto: secondo art. 45 para. 4 GDPR, la Commissione UE è tenuta a monitorare continuamente gli sviluppi negli Stati Uniti e a controllare regolarmente l'adeguatezza. La prima recensione si è svolta nell'estate del 2024. I recenti sviluppi, come l'estensione e la potenziale espansione di FISA 702, potrebbero mettere in pericolo di nuovo la base del DPF.
• Rischi per le aziende: le aziende che si basano esclusivamente sul DPF corrono un rischio non insignificante. Se la CUJ invalida anche il DPF in futuro (uno scenario "Schrems III"), i trasferimenti di dati su questa base sarebbero di nuovo illegali su questa base. Le aziende che quindi non hanno un "piano B" (ad es. Passa ai fornitori dell'UE o l'implementazione di misure aggiuntive efficaci) non possono contare sul ritiro.

Il conflitto fondamentale tra la legge degli Stati Uniti sull'accesso ai dati estesi e il diritto fondamentale dell'UE alla protezione dei dati rimane ai sensi del DPF. Le leggi statunitensi che causano il problema sono ancora in vigore. Il DPF è più un ponte politico e forse temporaneo rispetto a una soluzione legale finale. Il problema di base dell'accesso potenzialmente GDPR da parte delle autorità statunitensi ai dati dei cittadini e delle società europei non è stato cancellato.

Definizione e criteri: cosa significa "Saas sovrano"?

Alla luce dei rischi descritti, le società europee sono sempre più alla ricerca di alternative che offrano loro un maggiore controllo, sicurezza e conformità legale. In questo contesto, il concetto di "nuvola sovrana" o "SaaS fiducioso" spesso cade. Ma cosa si nasconde esattamente dietro e quali criteri deve soddisfare un'offerta per essere considerata sovrana nel contesto europeo?

Elementi fondamentali della sovranità nel contesto del cloud

La sovranità digitale nell'ambiente cloud è un concetto complesso che va oltre la pura fornitura tecnica di servizi. Può essere afferrato usando diversi elementi principali:

• Sovranità dei dati (Sovrabnty dei dati): questo è il principio centrale. Dice che i dati sono soggetti alle leggi e ai regolamenti della giurisdizione in cui sono o sono stati sollevati. Per l'Europa, ciò significa soprattutto la validità illimitata della legge sulla protezione dei dati dell'UE (in particolare il GDPR) e la protezione contro l'accesso da parte delle autorità di paesi terzi basati su leggi extraterritoriali come la US Cloud Act. Il cliente mantiene il pieno controllo su quali condizioni possono accedere ai suoi dati.
• Residenza dei dati e localizzazione dei dati:
  • Residenza dei dati significa che i dati dei clienti (inclusi metadati e backup) sono garantiti all'interno di una regione geografica definita, in genere dell'UE o del SEE. Questo è un prerequisito necessario per la sovranità dei dati nel contesto dell'UE, ma di per sé non sufficiente se il fornitore è soggetto a leggi non europee.
  • La localizzazione dei dati è un requisito più rigoroso che prevede che i dati non siano autorizzati a lasciare i limiti di un paese specifico. Tali leggi sono rare all'interno dell'UE, ma possono essere rilevanti per specifici regolamenti o settori nazionali.
• Sovranità operativa (sovranità operativa): questo elemento si riferisce al controllo del funzionamento dell'infrastruttura cloud e dei servizi su di essa. Aspetti importanti sono:
  • Operazioni tramite il personale dell'UE e le persone legali dell'UE: è necessario garantire che il personale, l'accesso fisico o logico all'ambiente cloud e i dati dei clienti, sia residente nell'UE ed è soggetto alla legge dell'UE. L'accesso dall'esterno dell'UE deve essere prevenuto tecnicamente e organizzativo o strettamente controllato.
  • Sede e struttura aziendale dell'UE: il fornitore di cloud stesso o almeno la persona giuridica responsabile della società nell'UE dovrebbe avere il loro quartier generale in uno stato UE/SEE e quindi subordinato principalmente alla legge europea. È anche fondamentale che non vi siano dipendenze da società madre o filiali nei paesi terzi (in particolare gli Stati Uniti), che potrebbero far rispettare una presentazione ai sensi delle loro leggi (come il cloud Act o FISA).
  • Trasparenza e revisione: i clienti necessitano di trasparenza tramite i processi operativi, i subappaltatori utilizzati e le misure di sicurezza implementate. La possibilità di revisione e revisione indipendente di accesso e processi è una caratteristica importante della sovranità operativa.
• Sovranità tecnologica (Sovergnty tecnologica): ciò si riferisce alla capacità di comprendere, controllare, convalidare e idealmente sviluppare le stesse tecnologie chiave sottostanti. Aspetti di questo sono:
  • Utilizzo di standard aperti e software open source: gli standard aperti e il software open source promuovono l'interoperabilità tra diversi provider e soluzioni, aumenta la trasparenza (poiché il codice può essere verificato), ridurre il rischio di un blocco del fornitore e facilitare gli audit di sicurezza. Spesso costituiscono la base per gli stack tecnologici europei come lo Stack Cloud Soveign (SCS).
  • Interoperabilità e portabilità: la capacità di migrare facilmente dati e applicazioni tra diversi fornitori di cloud o di nuovo nella propria infrastruttura (on-premise) è un segno di indipendenza e flessibilità.
  • Controllo sullo stack tecnologico: a lungo termine, la sovranità tecnologica mira a ridurre la dipendenza da componenti hardware e software proprietari da fonti non europee e sviluppare le proprie capacità europee.

Adatto a:

• Piattaforme di intelligenza artificiale indipendenti come alternativa strategica per le aziende europee

Differenziazione e incomprensioni

Il termine "cloud fiducioso" non è legalmente protetto ed è spesso utilizzato da vari fornitori come strumento di marketing, in base al quale i concetti e le misure sottostanti possono variare notevolmente. È quindi fondamentale per le aziende verificare esattamente cosa significa un fornitore per sovranità e quali garanzie specifiche che offre. Un malinteso comune è che l'archiviazione dei dati in un data center all'interno dell'UE è sufficiente per garantire la sovranità. Tuttavia, non è così. Come spiegato nella Sezione II, la US Cloud Act consente l'accesso ai dati delle società statunitensi indipendentemente dalla posizione. La residenza dei dati nell'UE non protegge l'accesso USA se il fornitore stesso o la sua società madre sono noi o altrimenti soggetti alla giurisdizione degli Stati Uniti. Un altro pregiudizio afferma che Sovereign Cloud offre inevitabilmente restrizioni funzionali o una velocità di innovazione più lenta rispetto agli iperscalatori globali. Sebbene ciò possa applicarsi in alcuni casi, poiché i fornitori locali spesso non hanno gli stessi effetti su scala e budget di ricerca, l'obiettivo non è principalmente la restrizione, ma la combinazione dei vantaggi del cloud computing (flessibilità, scalabilità) con i requisiti per il controllo, la sicurezza e la conformità. Molti fornitori europei fanno affidamento su tecnologie aperte per consentire l'innovazione e l'adattabilità.

Criteri per i fornitori di SaaS sovrano dal punto di vista dell'UE

Sulla base degli elementi fondamentali della sovranità, i criteri concreti possono essere derivati ​​da cui le società europee possono valutare i fornitori di SaaS:

• Protezione e conformità dei dati: il fornitore ha dimostrato di soddisfare i requisiti del GDPR. Ciò dovrebbe essere documentato da un contratto di elaborazione degli ordini (AVV) in conformità con l'arte. 28 GDPR e misure tecniche-organizzative adatte (TOMS). Deve essere garantita la conformità con ulteriori regolamenti pertinenti all'UE e National (ad es. Per settori specifici).
• Posizione ed elaborazione dei dati: deve essere contrattualmente garantito che tutti i dati dei clienti, inclusi metadati, dati di configurazione e backup, vengano salvati ed elaborati solo all'interno dell'UE o del SEE.
• Operation & Access Control: il funzionamento dei servizi e l'accesso ai dati dei clienti devono essere effettuati dal personale che si basa nell'UE e appartiene a una personalità legale dell'UE. Le rigide misure tecniche e organizzative devono essere implementate per prevenire l'accesso non autorizzato, in particolare dall'esterno dell'UE.
• Struttura e giurisdizione dell'azienda: il fornitore dovrebbe avere il suo quartier generale e il suo pertinente controllo legale nell'UE/SEE. Non ci devono essere interferenze di diritto sociale o filiale nei paesi terzi (in particolare negli Stati Uniti), che porta il fornitore sotto la loro giurisdizione e potrebbe potenzialmente costringere i dati ad arrendersi (ad esempio da Cloud Act o FISA).
• Trasparenza: il fornitore dovrebbe fornire informazioni trasparenti sui suoi processi operativi, sull'uso dei subappaltatori, sulle posizioni dell'elaborazione dei dati e sulle misure di sicurezza implementate. Dovrebbe essere data la possibilità di auditing da parte del cliente o di terze parti indipendenti.
• Tecnologia e interoperabilità: l'uso preferito di standard aperti (ad es. API) e/o software open source facilita l'integrazione, i test e il potenziale cambiamento ad altri fornitori (evitamento del blocco del fornitore).
• Certificazioni e test: le certificazioni e i test riconosciuti possono servire come prova della conformità agli standard di sicurezza e di conformità e creare fiducia. ISO 27001, BSI C5 (in Germania) e le EUC in futuro sono particolarmente rilevanti.

Diventa chiaro che la sovranità digitale nel contesto SaaS è un concetto multidimensionale. Non si tratta solo di dove vengono archiviati i dati, ma anche di chi li elabora, quale legge è soggetta al fornitore e quali basi tecnologiche vengono utilizzate. Quando si sceglie un fornitore, le aziende devono quindi verificare quali dimensioni della sovranità siano prioritarie per loro e quanto bene il fornitore soddisfi questi requisiti specifici. Una pura residenza di dati nell'UE spesso non è sufficiente per mitigare efficacemente i rischi, specialmente attraverso le leggi statunitensi. Allo stesso tempo, le aziende devono spesso affrontare un'area di tensione: il desiderio di massima sovranità e controllo deve essere valutato contro potenziali svantaggi alle funzioni, velocità di innovazione o costi che possono verificarsi in alcuni fornitori europei o strettamente sovrani rispetto agli iperscalatori globali. L'uso del software open source è visto da molti fornitori europei come un modo strategico per garantire trasparenza, fiducia e adattabilità, anche se potrebbero non essere in prima linea in qualsiasi ultimo sviluppo tecnologico.

Xpert.Digital ha una conoscenza approfondita di vari settori. Questo ci consente di sviluppare strategie su misura che si adattano esattamente alle esigenze e alle sfide del vostro specifico segmento di mercato. Analizzando continuamente le tendenze del mercato e seguendo gli sviluppi del settore, possiamo agire con lungimiranza e offrire soluzioni innovative. Attraverso la combinazione di esperienza e conoscenza, generiamo valore aggiunto e diamo ai nostri clienti un vantaggio competitivo decisivo.

Maggiori informazioni qui:

• Utilizza l'esperienza 5x di Xpert.Digital in un unico pacchetto, a partire da soli € 500/mese

Panoramica del mercato: alternative SaaS sovrane dall'UE

Il mercato europeo del software-as-a-service (SAAS) offre un numero crescente di fornitori che si posizionano come alternative ai giocatori statunitensi dominanti. Molti di loro si concentrano in particolare sulla protezione dei dati, sulla conformità del GDPR e sulla sovranità digitale al fine di soddisfare i requisiti specifici delle società e delle organizzazioni europee.

Criteri per la selezione dei fornitori

La seguente panoramica si concentra sui fornitori di SaaS che soddisfano i seguenti criteri:

• Origine: la società ha sede in uno Stato membro dell'Unione Europea (UE), della Spazio economico europeo (SEE) o della Svizzera (CH), poiché la Svizzera ha una decisione di adeguatezza della Commissione dell'UE ed è spesso strettamente integrata nella zona economica europea.
• Posizionamento: il provider si posiziona esplicitamente come un'alternativa sovrana o conforme alla protezione dei dati o ha caratteristiche essenziali della sovranità digitale (ad es. Hosting esclusivo nell'UE/SEE, conforme dimostrabile GDPR, nessuna presentazione ai sensi delle leggi statunitensi come Cloud Act/FISA, Uso dell'open source).
• Rilevanza: il fornitore è stato menzionato nelle fonti di ricerca sottostanti o è noto come alternativa pertinente nella sua categoria.

I fornitori sono raggruppati per una migliore chiarezza secondo le categorie comuni SaaS.

Panoramica classificata dei fornitori di SaaS europei

La tabella seguente fornisce una panoramica dei fornitori di SAAS europei selezionati, in base alle aree funzionali. Serve come punto di partenza per una valutazione più dettagliata.

Panoramica dei fornitori europei SaaS per categorie

(Nota: questa tabella è una selezione e non afferma di essere completata. Le informazioni si basano sulle fonti disponibili e possono cambiare. Un esame separato dalla società è essenziale.)

La panoramica dei fornitori di SaaS europei mostra una varietà di soluzioni ordinate in base alle categorie. Nell'area di Collaboration & Office, ci sono provider come NextCloud Hub dalla Germania con una piattaforma open source per file, talk, groupware e ufficio, che può essere ospitato sia un provider di sé e si basa sulla sovranità dei dati. Open-Xchange App Suite, anche dalla Germania, offre una soluzione completa per e-mail, groupware, guida e documenti, in particolare per fornitori e aziende e soddisfa gli standard ISO 27001. Soloffice dalla Lettonia offre una suite di ufficio con opzioni di collaborazione e un'area di lavoro (incluso CRM ed e-mail), è sia cloud che on-premise e conforme al GDPR. Collabora Online, basata su LibreOffice, è spesso integrata con piattaforme come Nextcloud. TeamDrive dalla Germania si concentra sulla memoria di cloud ad alto resoconto con il principio di crittografia e di conoscenza zero. Conceptboard, anche dalla Germania, offre una scheda di merda online per la collaborazione visiva con i server dell'UE e senza la partecipazione degli Stati Uniti. Cryptpad dalla Francia combina la collaborazione open source ed E2E. Stackfield dalla Germania offre una piattaforma conforme al GDPR per chat, attività e video.

Nell'area di CRM & Sales, Zeeg dalla Germania con programma conforme al GDPR include la pianificazione, mentre CentralStationCRM offre un semplice CRM per le PMI. SAP CRM, nell'ambito della SAP Suite, è rivolto alle aziende. In Cloud Storage Solutions, provider come PCLOUD dalla Svizzera si distinguono con i piani di crittografia E2E opzionali. Tresorite combina alta sicurezza, conoscenza zero e conformità per l'Europa. Proton Drive, anch'esso dalla Svizzera, offre un filehosting crittografato. I fornitori tedeschi come Ionos Hidrive e le opzioni internazionali come Infomaniak KDrive completano l'offerta.

Per le videoconferenze, OPENTALK dalla Germania con particolare attenzione alla sicurezza e al GDPR, nonché alla soluzione open source che JITSI si incontrano devono essere enfatizzati. Eason dall'Austria offre video basati su video basati su cloud, mentre Univic dalla Svezia si concentra su webinar. Nell'analisi Web, Matomo offre un'opzione open source con il controllo completo dei dati, l'analisi plausibile si concentra su una facile usabilità e protezione dei dati, ETracker dalla Germania non fa senza cookie e Piwik Pro.

L'automazione del marketing è coperta da provider come Brevo (precedentemente SendinBlue) con server in Germania/UE e Evanche con Focus B2B e certificazione ISO. Nel caso del software per le risorse umane, Personio è un leader, una piattaforma completa per le PMI, integrata da soluzioni come HRWorks e REXX Systems che offrono modelli sia cloud che locali. OpenProject in Project Management è una soluzione open source tedesca, mentre Zenkit segna gli aree di lavoro flessibili. I fornitori di e-mail sicuri come Tutanota e Proton Mail sono la protezione dei dati e la crittografia end-to-end. Il singolo accesso è servito da Bare.id dalla Germania con sicurezza conforme al GDPR. Per gli strumenti di indagine, Lamapoll e Limesurvey convincono con l'adattabilità e gli standard dei server tedeschi. QuestionPro nella versione UE completa l'elenco con ampie funzioni e conformità del GDPR.

Questa panoramica illustra la notevole diversità e specializzazione nel mercato europeo SaaS. Soprattutto nelle aree in cui la protezione e la sicurezza dei dati svolgono tradizionalmente un ruolo importante come collaborazione, comunicazione sicura, archiviazione cloud e analisi web, c'è una vasta gamma di alternative. Molti di questi fornitori sono aziende di piccole o medie dimensioni (PMI) o giocatori di nicchia specializzati di diversi paesi europei. Si concentrano spesso sulla conformità al GDPR e alle esigenze specifiche del mercato europeo, che si estende in caratteristiche come l'hosting dell'UE, il supporto in lingua tedesca o le certificazioni di conformità specifiche.

Anche l'importanza strategica del software open source per molti fornitori europei è sorprendente. Soprattutto nelle aree di collaborazione (NextCloud, CryptPad), Office (OnlyOffice, Collabora), Project Management (OpenProject), Web Analysis (Matomo) e videoconferenze (JITSI, Opentalk), Tecnologie di open source spesso costituiscono la base. Questo è più di un semplice dettaglio tecnico; È una decisione consapevole di promuovere la trasparenza (attraverso il codice visibile), l'adattabilità, la reaudibilità ed evitare le dipendenze (blocco del fornitore). Questi aspetti sono elementi di costruzione centrali per la sovranità digitale e consentono ai fornitori europei di offrire soluzioni affidabili e flessibili senza necessariamente dover avere gli enormi budget di sviluppo delle iperscale globali. Ciò offre ai clienti un maggiore controllo e approfondimento della tecnologia utilizzata.

Confronto delle alternative selezionate dell'UE

Secondo la panoramica del mercato generale, ora esiste un confronto più dettagliato delle alternative SaaS europee rappresentative selezionate nelle categorie chiave. L'attenzione è rivolta alle funzioni di base, ai modelli di prezzo, ai punti di vendita unici e in particolare all'implementazione della sovranità dei dati e alla conformità del GDPR.

Metodologia del confronto

La selezione di fornitori per il confronto dettagliato si basa sulla loro rilevanza e frequenza di menzione nelle fonti sottostanti e il loro posizionamento come alternative europee dirette ai servizi statunitensi noti. Il confronto si basa sulle informazioni degli snippet specifici del fornitore e di altri punti dati rilevanti dagli snippet generali. I criteri includono:

• Funzioni di base: cosa fa il software nel core?
• Modello di prezzo: qual è la struttura dei prezzi (abbonamento, freemium, vita, on-premise)?
• Posizione/hosting dei dati: dove sono ospitati i dati (eu/de garantiti)? Ci sono opzioni di auto-osting?
• Crittografia: quali metodi di crittografia vengono utilizzati (in particolare end-to-end, a conoscenza zero)?
• Certificazioni/conformità: quali sono i certificati pertinenti (ISO 27001, BSI C5 ecc.) E OMPEMMI DI CONFERIMENTO (GDPR)?
• Punti di forza/di debolezza riguardo alla sovranità: caratteristiche speciali o restrizioni in termini di controllo dei dati, trasparenza e indipendenza.

Confronto dei dettagli per categorie

Confronto dettagliato di importanti alternative UE-SAAS

Il confronto dettagliato di importanti alternative SaaS UE mostra che NextCloud Hub come piattaforma modulare offre funzioni come sincronizzazione e rilascio di file, videoconferenze, groupware e integrazione di Office, mentre la suite di app Open-Xchange è focalizzata su e-mail, calendario, contatti e memoria. NextCloud Hub consente il controllo completo tramite auto-hosting e offre una crittografia end-to-end opzionale, ma ha requisiti IT più elevati per il proprio hosting. Open-Xchange si distingue dal punto di vista dell'UE attraverso la certificazione ISO e la protezione dei dati, ma dipende dal cloud dal provider. Nell'area CRM, Zeeg segna con una chiara conformità del GDPR e hosting in Germania, mentre CentralStationCRM si convince con la semplicità e la messa a fuoco delle PMI. Entrambi i fornitori offrono modelli freemium e posizioni di dati conformi al GDPR garantite. Con la memoria cloud, PCLOUD con piani a vita e opzioni di memoria dell'UE mostra vantaggi in termini di flessibilità, ma la crittografia E2E è facoltativa e a pagamento, mentre Tresorite ha segnato con crittografia a conoscenza zero e alta conformità, ma è più costosa. Soloffice e Collabora online offrono ampie alternative di uffici con un forte orientamento dell'UE e opzioni open source, per cui Soloffice brilla attraverso le funzioni di compatibilità e collaborazione MS. Collabora Online è strettamente integrata in piattaforme come Nextcloud e quindi meno focalizzata. Nell'area delle videoconferenze, i punteggi di Opentalk con funzioni come webinar, sondaggi e un focus GDPR chiaro, mentre Jitsi incontra offre il massimo autocontrollo e semplicità come soluzione open source gratuita. Entrambe le soluzioni offrono opzioni on-premise e forti funzionalità di protezione dei dati, per cui Opentalk si distingue dalla targa BSI IT di sicurezza.

Il confronto dei dettagli sottolinea che raramente esiste un'unica alternativa europea "migliore". La selezione dipende fortemente dai requisiti e dalle priorità specifici dell'azienda. Esistono chiari compromessi, ad esempio tra massima sicurezza e prezzo (PCLOUD vs. SAFE) o tra controllo completo attraverso l'auto-ost ​​e il comfort di una soluzione SAAS gestita (cloud della suite App Suite NextCloud vs. Ox). Le aziende devono valutare quale aspetto - gamma di funzioni, amicizia utente, costi o grado di sovranità e sicurezza - è molto importante per loro.

Una caratteristica decisiva di molti fornitori europei è la flessibilità nel modello operativo. Soluzioni come NextCloud, OnlyTalk o JITSI offrono varianti sia basate su cloud che a-premise o autosullate. Ciò offre alle aziende l'opportunità di determinare stessi il grado di controllo e la sovranità. Puoi scegliere il comfort di una soluzione SaaS per un fornitore europeo affidabile o scegliere il massimo controllo su dati e infrastrutture operando nel proprio data center. Questa scelta affronta la necessità di base dopo il controllo, che guida il dibattito sovrano.

Ki-GameChanger: le soluzioni più flessibili di fabbricazione della piattaforma AI che riducono i costi, migliorano le loro decisioni e aumentano l'efficienza

Piattaforma AI indipendente: integra tutte le fonti di dati aziendali pertinenti

• Questa piattaforma di intelligenza artificiale interagisce con tutte le origini dati specifiche
  • Da SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox e molti altri sistemi di gestione dei dati
• Integrazione rapida AI: soluzioni AI su misura per le aziende in ore o giorni anziché mesi
• Infrastruttura flessibile: basata su cloud o hosting nel proprio data center (Germania, Europa, scelta libera della posizione)

• La massima sicurezza dei dati: l'uso negli studi legali è l'evidenza sicura
• Utilizzare attraverso un'ampia varietà di fonti di dati aziendali
• Scelta dei tuoi o vari modelli AI (DE, UE, USA, CN)

Sfide che la nostra piattaforma AI risolve

• Una mancanza di accuratezza delle soluzioni AI convenzionali
• Protezione dei dati e gestione sicura dei dati sensibili
• Alti costi e complessità dello sviluppo individuale dell'IA
• Mancanza di AI qualificata
• Integrazione dell'intelligenza artificiale nei sistemi IT esistenti

Maggiori informazioni qui:

• Integrazione AI di una piattaforma AI indipendente e incrociata per tutte le questioni aziendali

Soluzioni specializzate: SaaS sovrano per settori sensibili

Mentre le soluzioni SAAS considerate finora possono spesso essere utilizzate in tutti i settori, ci sono settori con richieste particolarmente elevate di sicurezza, conformità e sovranità digitale. Ciò include in particolare la pubblica amministrazione, l'assistenza sanitaria e il settore finanziario. Le offerte specializzate e il quadro normativo si stanno sviluppando qui che promuovono o addirittura prescrivono l'uso di soluzioni cloud sovrane.

Pubblica amministrazione

Il settore pubblico in Germania e in Europa ha un interesse intrinseco per la sovranità digitale per garantire il controllo sui dati dei cittadini e sui processi statali critici. I requisiti spesso vanno oltre la conformità standard del GDPR e includono standard di sicurezza specifici come la protezione di base IT BSI o il catalogo dei criteri BSI C5. L'interoperabilità tra diverse autorità e livelli, nonché una preferenza per il software open source per evitare dipendenze sono anche aspetti importanti.

Diverse iniziative mirano a creare un'infrastruttura cloud sovrana per l'amministrazione:

• Strategia amministrativa tedesca cloud (DVS): questa strategia, guidata dal Consiglio di pianificazione IT e Fitko, persegue l'obiettivo di stabilire un ecosistema cloud federale, sicuro, interoperabile e sovrano per i federali, statali e dei comuni. Si basa su standard aperti, un approccio multi-cloud e l'integrazione dei fornitori di servizi IT pubblici (come Dataport, AKDB, IT.NRW) che svolgono un ruolo centrale e godono di un alto grado di fiducia. Anche i provider esterni e conformi a DVC dovrebbero essere integrati in prospettiva. Un elemento centrale è il portale di servizi cloud (CSP) come mercato per servizi cloud standardizzati e testati.
• BundesCloud / IT Operating Platform Bund: Itzbund gestisce già piattaforme cloud (SaaS, PAAS) per le autorità federali che devono essere consolidate nel 2025 e soddisfano elevati requisiti per la sicurezza e la protezione dei dati.
• Center for Digital Sovereignty (Zendis): questa struttura promuove specificamente l'uso di software open source nell'amministrazione e supporta progetti come OpenSK, un'alternativa open source a Microsoft 365, che è sviluppata appositamente per il settore pubblico.
• Gaia-X e Soveign Cloud Stack (SCS): queste iniziative europee forniscono importanti basi e standard tecnici per la struttura delle infrastrutture cloud sovrane, che devono anche essere utilizzate dai DVS. L'SCS, uno stack open source basato su OpenStack e Kubernetes, è già utilizzato da diversi provider tedeschi (ad es. Plus Server).

Le offerte Sovereign SaaS di concreto per l'amministrazione provengono da fornitori di servizi IT pubblici (ad es. Conceptboard da IT.NRW, DDDataBox di DataPrat) e da provider commerciali specializzati che hanno spesso test BSI C5 e sono disponibili tramite mercati come Govdigital (ad esempio server più oneos, Ovhhhhcloud). Anche soluzioni open source come NextCloud o OpenDendk svolgono un ruolo importante.

Adatto a:

• A seconda del cloud americano? La lotta tedesca per il cloud: come competere con AWS (Amazon) e Azure (Microsoft)

Assistenza sanitaria

Il sistema sanitario elabora dati personali estremamente sensibili (dati sanitari secondo Art. 9 GDPR) soggetti a protezione speciale. Oltre al GDPR e alla riservatezza medica, si applicano leggi nazionali specifiche come il paziente Data Protection Act (PDSG) e la legge digitale (Digig). Sicurezza, disponibilità e riservatezza sono della massima importanza qui.

Un driver cruciale per l'uso di soluzioni cloud sovrane nel sistema sanitario tedesco è la legge digitale (Didig), che è entrata in vigore nel marzo 2024. Il nuovo § 393 SGB V consente espressamente l'elaborazione dei dati sociali e sanitari usando il cloud computing, ma si basa su condizioni molto rigide:

• L'elaborazione dei dati solo nel paese dell'UE/EEA/CH o del paese di risoluzione dell'appropriazione: l'elaborazione dei dati può essere effettuata solo in Germania, uno stato UE/SEE, Svizzera o un terzo paese con una decisione di adeguatezza della Commissione UE.
• Il test BSI C5 è obbligatorio: dal 1 ° luglio 2024, i fornitori di servizi cloud che devono elaborare i dati sociali o sanitari per conto dei fornitori di servizi (medici, ospedali, assicuratori sanitari, ecc.) Devono essere in grado di mostrare un test BSI C5 valido. Un test di tipo 1 (adeguatezza dei controlli) è sufficiente fino al 30 giugno 2025, dal 1 ° luglio 2025 un test di tipo 2 è obbligatorio (prova di efficacia per un periodo).
• Si applica anche ai fornitori di SAAS: questo obbligo non solo influisce sugli infrastrutture (IAA) o sui fornitori di piattaforme (PAAS), ma anche esplicitamente anche i fornitori di software come servizio (SAAS) le cui applicazioni sono utilizzate basate su cloud (ad es. Sistemi di informazione ospedaliera (KIS), Practice Administration Systems (PVS), sistemi di prenotazione delle appuntamenti, Digas).
• Implementazione dei controlli dei clienti: l'istituzione utente (clinica, pratica, ecc.) Deve a sua volta implementare i controlli degli utenti finali menzionati nel rapporto di test del provider cloud.

Questa regolamentazione stringe in modo significativo i requisiti per i servizi cloud nel sistema sanitario e di fatto effettua il saldo BSI C5 al biglietto d'ingresso per i fornitori in questo mercato. Provider cloud come Open Telekom Cloud, AWS (regione di Francoforte), Azure, GCP o fornitori tedeschi come Plus Server, Stackit e Ionos hanno già test C5 per le loro infrastrutture. Ora le soluzioni SaaS per l'assistenza sanitaria (KIS, PVS, EPA Components, ecc.) Sulla base di questo devono anche fornire queste prove. Esempi di aziende che sono attive nell'ambiente del cloud sanitario e/o che si impegnano per le certificazioni pertinenti sono Gini, Doctolib o Kite CONSUC. Il file elettronico del paziente (EPA) è ospitato sui server in Germania e sulla conformità dell'UE GDPR.

Finanza

Anche il settore finanziario (banche, compagnie assicurative, fornitori di servizi finanziari) è altamente regolamentato e elabora dati estremamente sensibili. Requisiti normativi rigorosi della Federal Financial Supervisory Authority (BAFIN) in Germania (ad esempio esca, Kait, Vait, Zait) e le linee guida europee sempre più armonizzate si applicano qui. Le elevate richieste di sicurezza IT, gestione dei rischi, affidabilità e sicurezza dell'audit sono standard.

I driver regolamentari importanti per l'uso di soluzioni cloud sicure e sovrane sono:

• Direttiva NIS2: le banche e le infrastrutture del mercato finanziario di solito rientrano nelle categorie strutture "essenziali" o "importanti" in conformità con NIS2. Pertanto è necessario soddisfare i requisiti più rigorosi per la gestione del rischio, la sicurezza delle catene di approvvigionamento (incluso il fornitore di cloud), la relazione sugli incidenti e la responsabilità di gestione.
• Dora (Digital Operational Resilience Act): questo regolamento dell'UE mira specificamente a rafforzare la resilienza operativa digitale nel settore finanziario. Punisce requisiti dettagliati per la gestione dei rischi delle TIC, la segnalazione di gravi incidenti legati alle TIC, i test di resilienza digitale e in particolare la gestione dei rischi da parte dei fornitori di servizi di terze parti ICT, compresi i fornitori di cloud. Tra le altre cose, Dora richiede chiari regolamenti contrattuali con i fornitori di cloud e i diritti di audit.

I fornitori di cloud che desiderano servire gli istituti finanziari devono dimostrare di poter soddisfare questi requisiti normativi. Questo viene spesso effettuato dal rilevamento di certificazioni come BSI C5 o ISO 27001, garanzia contrattuale specifica e esplorazione trasparente dell'architettura e dei processi di sicurezza. Provider come Plus Server, T-Systems, Microsoft con il suo limite di dati dell'UE o AWS con il cloud sovrano europeo sono specificamente posizionati per questo mercato regolamentato.

Inoltre, ci sono fornitori di SaaS specializzati che offrono soluzioni di conformità per il settore finanziario, ad esempio per la prevenzione del riciclaggio di denaro (AML), conoscono il tuo cliente (KYC), test di sanzioni, rilevamento di frodi o monitoraggio degli abusi di mercato. Esempi di fornitori con una relazione o presenza europea sono Actico (DE), Pelican AI (UK?), SOPRA Financial Technology (DE/FR), Otris (DE) o Viclarity (IE/US?).

In questi settori altamente sensibili diventa chiaro che la decisione di soluzioni cloud sovrane non è più solo una questione di minimizzazione del rischio, ma è sempre più guidata da requisiti legali e requisiti di conformità rigorosi. La necessità di mostrare certificazioni come BSI C5 sposta la base per la decisione da una valutazione volontaria del rischio verso un prerequisito obbligatorio per la partecipazione del mercato.

Ciò presenta i fornitori di SaaS in particolare con nuove sfide. Mentre finora il fornitore di infrastrutture (IAAS/PAAS) ha spesso avuto le certificazioni pertinenti, regolamenti come § 393 SGB V sono ora esplicitamente esigenti prove di fornitori di SaaS come il test BSI C5. I costi e gli sforzi per l'acquisizione e il mantenimento di tali test sono significativi e potrebbero essere un ostacolo, soprattutto per le aziende SaaS più piccole e innovative, che potrebbero potenzialmente portare al consolidamento del mercato in queste aree regolamentate.

Adatto a:

• La politica americana ispira le società tecnologiche dell'UE? Sovraignità dei dati del dominio degli Stati Uniti: il futuro del cloud in Europa

Promozione della sovranità: iniziative e certificazioni dell'UE

Al fine di rafforzare la sovranità digitale d'Europa e creare un framework affidabile per il cloud computing, sono state lanciate varie iniziative e standard di certificazione a livello europeo e nazionale. Questi hanno lo scopo di promuovere l'interoperabilità, armonizzare gli standard di sicurezza e aumentare la fiducia nei servizi cloud.

Gaia-X: visione di un'infrastruttura di dati europei federati

Gaia-X è una delle più importanti iniziative europee per rafforzare la sovranità digitale. Iniziati dalla Germania e dalla Francia nel 2019, sono ora partecipanti numerosi partner di imprese, scienze e politiche di molti paesi europei.

• Obiettivi: la destinazione principale di Gaia-X è la creazione di un'infrastruttura di dati sicura, alimentata e interoperabile basata su valori europei come la protezione dei dati (GDPR), la trasparenza, la fiducia e l'autodeterminazione. Ha lo scopo di aumentare l'indipendenza digitale dell'Europa dai fornitori non europei, consentire innovazioni attraverso lo scambio di dati sicuri e rafforzare la competitività delle società europee.
• Architettura e approccio: è importante capire che Gaia-X stesso non è un fornitore di cloud e non costruisce la propria "Super Cloud europea". Invece, Gaia-X definisce una serie di regole, standard comuni ed elementi architettonici per un ecosistema decentralizzato di sale di dati in rete e interoperabili e servizi di infrastruttura cloud. Si basa su principi come apertura, trasparenza, modularità e uso di standard aperti e software open source. L'associazione GAIA-X per dati e cloud (AISBL) sviluppa specifiche, regole, politiche e un framework per il controllo della conformità (conformità Gaia-X), che deve essere implementata dalle cosiddette case di compensazione digitale Gaia-X (GXDCH).
• Componenti e progetti: blocchi e progetti in cemento vengono creati all'interno del frame Gaia X. Il Soegeign Cloud Stack (SCS) è un esempio importante: uno stack tecnologico standardizzato e open source (basato su OpenStack, Kubernetes ecc.) Per l'istituzione di infrastrutture cloud Sovereign conforme a Gaia-X (IAAS/PAAS). Ha lo scopo di servire come base tecnica per offerte cloud interoperabili e sicure, anche per il cloud amministrativo tedesco.
• Casi di applicazione (casi d'uso): al fine di dimostrare i vantaggi di Gaia-X, in vari settori sono sviluppate sale dati e applicazioni in cemento. Esempi possono essere trovati nell'industria 4.0 (ad es. Catena-X per l'industria automobilistica), mobilità, energia, finanza, pubblica amministrazione e soprattutto nel settore sanitario. Progetti come Team-X, Health-X Dataloft o Gaia-Med mirano a consentire lo scambio sicuro e sovrano di dati sanitari per cure e ricerche migliorate.
• Sfide: nonostante gli obiettivi ambiziosi, anche Gaia-X deve affrontare sfide e critiche. Ciò include la complessità del progetto, il lento progresso nell'attuazione pratica, le definizioni a volte poco chiare e la paura che l'iniziativa possa essere dominata dagli iperscalatori globali stabiliti. È stato anche criticato che l'attenzione era troppo forte a livello di infrastruttura (IAAS/PAAS) e che il livello di applicazione (SAAS) è stato trascurato.

EUCS: schema di certificazione europea per la sicurezza informatica per i servizi cloud

Lo schema di certificazione europeo per la sicurezza informatica per i servizi cloud (EUCS) è un quadro di certificazione sviluppato ai sensi dell'UE Cybersecurity Act (CSA) dall'Agenzia europea per la sicurezza informatica (ENISA).

• Scopo: l'obiettivo principale è l'armonizzazione dei requisiti di sicurezza informatica e delle certificazioni per i servizi cloud (IAAS, PAAS, SAAS) nell'intera UE. Deve essere creato uno standard uniforme per superare la frammentazione attraverso diversi schemi di certificazione nazionale (come Secnumcloud in Francia o C5 in Germania) e per rafforzare il mercato interno digitale. Per gli utenti del cloud, gli EUC dovrebbero creare più trasparenza e fiducia dimostrando che i servizi certificati soddisfano determinati standard di sicurezza.
• Livelli di sicurezza: lo schema definisce tre (o nei progetti precedenti quattro) livelli di sicurezza ("base", "sostanziale", "alto" e possibilmente "alto+"), che riflettono diversi livelli rischiosi e capacità di attacco. Con un livello crescente, i requisiti per le misure di sicurezza implementate (ad es. Rete, memoria, sicurezza della crittografia, test di penetrazione) e la rigidità della valutazione da parte delle agenzie di valutazione delle conformità accreditate (enti di valutazione della conformità-Cabs).
• Voluntalità vs. obbligatoria: la certificazione secondo le EUC è generalmente volontaria. Tuttavia, la legge sulla cybersecurity o la direttiva NIS2 consente agli Stati membri dell'UE, per alcune aree, in particolare per istituzioni "essenziali" o "importanti" (critiche), per specificare l'uso di servizi ICT certificati. È quindi probabile che le EUC, almeno nei settori regolamentati, diventeranno di fatto un requisito obbligatorio o un criterio importante per le offerte.
• Dibattito di sovranità: un punto centrale e controverso nello sviluppo dell'EUC è stata la questione di specifici requisiti di sovranità, in particolare per il più alto livello di sicurezza ("alto" o "alto+"). Progetti precedenti prevedevano che la localizzazione dei dati all'interno dell'UE sia assolutamente necessaria per questo livello e che il fornitore debba avere la sua sede centrale e la sede globale in uno Stato membro dell'UE per garantire la protezione rispetto alle leggi non europee (come il Cloud Act). Tuttavia, questi requisiti sono stati apparentemente rimossi o indeboliti nei progetti successivi (a partire dal 2024). Ciò ha incontrato violente critiche da parte dei fornitori europei delle nuvole (in particolare delle PMI), delle associazioni industriali e dei protezionisti dei dati che temono che ciò indebolisce la sovranità digitale dell'Europa, cementando la dipendenza dagli iperscalatori non europei e i dati dei cittadini e europei sono esposti ad un aumento del rischio. Il dibattito sulla progettazione finale di questi requisiti continua.

BSI C5: standard tedesco per la sicurezza del cloud

Il catalogo criteri di conformità al cloud computing (C5) dell'Ufficio federale tedesco per la tecnologia dell'informazione (BSI) è un catalogo di criteri consolidato che definisce requisiti minimi specifici per la sicurezza delle informazioni dei servizi cloud.

• Scopo e contenuto: C5 dovrebbe fornire l'orientamento dei clienti cloud quando si sceglie fornitori sicuri e creare una base per la loro gestione del rischio. Si basa su standard riconosciuti a livello internazionale come ISO/IEC 27001, ma li completa con requisiti specifici del cloud e attribuisce particolare importanza alla trasparenza attraverso i cosiddetti parametri ambientali. Questi parametri forniscono informazioni su aspetti come sedi di dati, luogo di giurisdizione, certificazione e divulgazione agli organismi statali, che ha lo scopo di aiutare i clienti (ad esempio attraverso lo spionaggio economico o le violazioni della protezione dei dati). Il catalogo comprende 17 aree tematiche, tra cui l'organizzazione della sicurezza delle informazioni, la sicurezza del personale, la gestione patrimoniale, la crittografia, la gestione dell'identità e l'accesso, la gestione degli incidenti e la sicurezza fisica.
• Testaret (Tipo 1 e tipo 2): la conformità ai criteri C5 è dimostrata da un Testat, che viene emesso da un revisore indipendente e qualificato. Esistono due tipi di test: il tipo 1 certifica l'adeguatezza della progettazione e l'implementazione dei controlli di sicurezza in una determinata data chiave. Il tipo 2 conferma anche l'efficacia operativa di questi controlli attraverso un periodo di esame definito (di solito da 6 a 12 mesi). Il test di tipo 2 è considerato più significativo ed è necessario per gli esami di follow-up e nel sistema sanitario dal luglio 2025.
• Rilevanza: C5 si è sviluppato in uno standard di fatto per il cloud computing sicuro in Germania, in particolare per la pubblica amministrazione e in settori fortemente regolamentati come il sistema sanitario e il settore finanziario. Come già accennato, un test C5 sarà legalmente obbligatorio dal Digig per i servizi cloud nel sistema sanitario dal luglio 2024/2025. Molti fornitori di cloud tedeschi ed europei, ma anche internazionali (per le loro regioni dell'UE) hanno test C5 per i loro servizi.

Altri standard rilevanti

Oltre alle iniziative e alle certificazioni menzionate, anche gli standard internazionali stabiliti svolgono un ruolo importante:

• ISO/IEC 27001: lo standard riconosciuto a livello globale per i sistemi di gestione della sicurezza delle informazioni (ISM). Definisce un approccio sistematico alla gestione delle informazioni sensibili dell'azienda per garantire la loro riservatezza, integrità e disponibilità. La certificazione ISO 27001 è spesso un requisito di base per i fornitori di cloud e funge da base per standard più specifici come C5.
• ISO/IEC 27017: questo standard offre una guida (codice di pratica) con specifiche misure di controllo per la sicurezza delle informazioni negli ambienti cloud, oltre a ISO/IEC 27002.
• ISO/IEC 27018: si concentra sulla protezione dei dati personali (informazioni di identificazione personale - PII) nelle nuvole pubbliche che agiscono come processori. Contiene linee guida che sono strettamente basate sui principi europei di protezione dei dati e può fungere da supplemento a C5 che non copre principalmente la protezione dei dati.

Queste diverse iniziative e standard non sono necessariamente visti come concorrenti, ma possono completarsi a vicenda. Gaia-X fornisce la visione e le regole per un ecosistema sovrano, gli EUC dovrebbero armonizzare la certificazione in tutta l'UE e standard nazionali come BSI C5 offrono già requisiti concreti, stabiliti e meccanismi di test. La sfida sarà quella di integrare questi approcci in modo ragionevole e creare un quadro coerente che soddisfi entrambi le affermazioni sulla sovranità in Europa ed è anche pratico per fornitori e utenti. Tuttavia, l'attuale dibattito sui requisiti di sovranità negli EUC mostra che qui sono ancora necessari i dettagli politici e tecnici.

È importante che le aziende comprendano che le certificazioni come BSI C5 o ISO 27001 sono preziose ancore di fiducia, creano trasparenza e rendono più facile dimostrare gli sforzi di sicurezza. Tuttavia, non sono una panacea e non sostituiscono il tuo test di valutazione del rischio e di due diligence da parte del cliente. Un test C5 per un provider statunitense, ad esempio, non cambia la sua sottomissione tra il cloud Act. La responsabilità condivisa ("responsabilità condivisa") rimane tra il fornitore e il cliente per la sicurezza dell'uso del cloud e le aziende devono sempre verificare se le misure del fornitore sono sufficienti per i loro requisiti e rischi specifici.

Adatto a:

• Sistemi di gestione dei dati nel cambiamento: strategie per il successo dell'azienda nell'era dell'IA

Vantaggi strategici del passaggio ai fornitori di SaaS dell'UE

L'analisi dei rischi nell'uso dei servizi cloud con sede negli Stati Uniti e le indagini sul crescente mercato delle alternative SaaS europee sovrani consentono una chiara conclusione: per le società europee, affrontare la loro strategia cloud non è consigliabile solo dal punto di vista della sovranità digitale, ma è sempre più una necessità strategica.

Riepilogo dei risultati

I risultati centrali di questo rapporto possono essere riassunti come segue:

• Rischi persistenti tra i fornitori statunitensi: l'uso di servizi SaaS di società che sono soggetti alla giurisdizione degli Stati Uniti ospitano rischi significativi e continui per le società europee. Il conflitto fondamentale tra il GDPR dell'UE e le leggi statunitensi come Cloud Act e FISA 702 porta a potenziali infortuni sulla protezione dei dati, multe elevate, perdita di controllo dei dati e rischio di spionaggio aziendale. Anche l'attuale Framework Privacy Data (DPF) non dissolve questo conflitto di base e la sua stabilità a lungo termine è incerta (vedere la sezione II).
• La sovranità come concetto multidimensionale: "Saas sovrano" in un contesto europeo significa più che conservare i dati nei centri di calcolo dell'UE. Include il rispetto della legge europea (in particolare il GDPR), la protezione contro l'accesso non europeo, l'operazione per entità e il personale dell'UE, nonché l'apertura tecnologica e l'interoperabilità per evitare dipendenze (vedere la sezione III).
• Mercato in crescita per le alternative dell'UE: esiste un mercato diversificato e in crescita per i fornitori di SaaS con il seggio e che operano nell'UE/EEA/CH. Questi offrono soluzioni in numerose categorie, spesso con una forte attenzione alla protezione dei dati, alla sicurezza e alle esigenze locali. Molti si basano strategicamente sull'open source per massimizzare la trasparenza e il controllo (vedere la sezione IV e V).
• Pressione normativa nei settori sensibili: in settori come la pubblica amministrazione, il sistema sanitario e il settore finanziario, l'uso di soluzioni cloud dimostrabilmente sicure e sovrani (spesso con test BSI C5 o prove comparabili) sta diventando sempre più un dovere (ad esempio Digig, NIS2) e Strategic Specifications (vedi sezione VI).
• Condizioni del quadro attraverso iniziative e standard: iniziative europee come GAIA-X e certificazioni come le EUC pianificate e gli standard nazionali stabiliti come BSI C5 creano importanti condizioni del quadro, promuovono l'interoperabilità e hanno lo scopo di rafforzare la fiducia nelle offerte di cloud sovrano (vedere la sezione VII).

Vantaggi strategici delle alternative UE-SAAS

La modifica o la scelta primaria dei fornitori di SaaS europei che soddisfano i criteri di sovranità offrono aziende al di là del puro minimizzazione del rischio:

• Migliore conformità e certezza legale: l'uso di fornitori che sono soggetti esclusivamente e garantiscono i dati nell'UE riducono significativamente il rischio di violazioni del GDPR e conflitti con leggi non europee. Ciò crea una base giuridica più stabile e prevedibile per l'elaborazione dei dati.
• Aumento del controllo e sicurezza dei dati: i fornitori europei con particolare attenzione alla sovranità offrono un livello di controllo più elevato sui propri dati. Ciò può essere ottenuto attraverso opzioni di auto-osting, crittografia end-to-end coerente (conoscenza zero), processi operativi trasparenti e esclusione dell'accesso da parte delle autorità del terzo paese.
• Sovranità digitale starcata: la decisione per i fornitori europei riduce le dipendenze strategiche da gruppi tecnologici non europei. Supporta l'istituzione di un ecosistema digitale resistente in Europa e rafforza l'economia digitale locale.
• Supporto locale e vicinanza culturale: i fornitori europei possono spesso offrire un servizio clienti più accessibile e comprensibile nel rispettivo linguaggio nazionale e fuso orario. Spesso hanno una comprensione più profonda dei requisiti e dei costumi specifici del mercato europeo, che possono facilitare la cooperazione e i negoziati contrattuali.
• Formazione di fiducia: l'uso di una protezione in modo dimostrabile dei dati e soluzioni sicure segnalano clienti, partner e dipendenti un alto livello di impegno per la protezione e la sicurezza dei dati. Questo può diventare una fiducia importante e un vantaggio competitivo.

Raccomandazioni per l'azione per le società europee

Al fine di utilizzare i vantaggi delle soluzioni SaaS sovrane e gestire i rischi di uso del cloud, le società europee dovrebbero considerare le seguenti fasi:

• Eseguire l'analisi del rischio individuale: calder i servizi SaaS attualmente utilizzati (in particolare con sede negli Stati Uniti). Analizzare il tipo di dati elaborati (sensibilità, riferimento personale), i requisiti normativi applicabili (GDPR, i requisiti specifici del settore) e i potenziali effetti dell'accesso non autorizzato ai dati o un fallimento del servizio sulla tua attività.
• Definire i requisiti di sovranità: determinare il grado di sovranità dei dati, controllo operativo e indipendenza tecnologica per la tua azienda. Non tutte le applicazioni richiedono lo stesso livello di sovranità. Dai la priorità basata sui rischi e sull'importanza strategica.
• Valutazione sistematica del mercato per le alternative dell'UE: utilizzare panoramiche del mercato (come quelle in questo rapporto) e le tue ricerche per identificare potenziali fornitori di SaaS europei che soddisfano i loro requisiti funzionali e di sovranità. Tenere conto delle dimensioni del fornitore, della specializzazione, dei riferimenti e della fattibilità futura.
• Attenta due diligence nella selezione del provider: non fare affidamento su dichiarazioni di marketing. Controllare le informazioni del provider sulle posizioni dei dati (inclusi backup, metadati), personale operativo, struttura aziendale (proprietà, sedile), subappaltatori utilizzati, tecnologie di crittografia (in particolare conoscenze E2E/zero) e misure di sicurezza. Richiedi contratti di elaborazione degli ordini (AVV), misure tecniche-organizzative (TOMS) e certificati o test pertinenti (ad es. ISO 27001, BSI C5) e controllali attentamente.
• Sviluppa una strategia di migrazione e un piano di uscita: pianificare attentamente un potenziale cambiamento. Prendi in considerazione i costi, lo sforzo tecnico per la migrazione dei dati, le necessarie adeguamenti alle interfacce e la gestione delle modifiche per i dipendenti. Prestare attenzione all'interoperabilità e definire una chiara strategia di uscita per consentire il cambiamento di provider futuri o un rendimento dei dati (reversibilità).
• Controlla l'open source come un'opzione: valutare se le soluzioni SAAS basate sulla fonte open source, che si tratti di servizio gestito di un fornitore dell'UE o di un interno (autosufficiente), rappresentano un'alternativa adeguata al fine di ottenere la massima trasparenza, adattabilità e controllo.
• Osservare il panorama normativo: rimanere in merito agli sviluppi del traffico di dati transatlantici (controllo DPF), informato sugli standard di certificazione europei (EUC) e le leggi pertinenti (NIS2, Dora, regolamenti specifici del settore), poiché questi possono influenzare in modo significativo la tua strategia cloud.

La decisione a favore o contro l'uso di alcuni servizi cloud, in particolare per quanto riguarda i fornitori statunitensi rispetto alle alternative europee, è molto più di una questione di conformità tecnica o pura. È un corso strategico con effetti a lungo termine sulla certezza legale, la sicurezza dei dati, il controllo dei processi aziendali critici e, in definitiva, la resilienza e la competitività dell'azienda nella concorrenza digitale globale. I rischi analizzati della dipendenza dai fornitori non europei sono sostanziali e sono aumentati piuttosto che indeboliti dall'attuale miscela geopolitica e legale.

Allo stesso tempo, passare alle alternative europee non è un successo sicuro. Le aziende devono valutare attentamente se i vantaggi della conformità e del controllo superano i potenziali svantaggi in merito alla gamma di funzioni, velocità di innovazione o sforzo di migrazione. Un'analisi approfondita delle tue esigenze, una valutazione realistica delle alternative disponibili e un'attenta pianificazione della transizione sono fondamentali per il successo. Tuttavia, il mercato europeo offre opzioni sempre più sostenibili e affidabili che consentono alle aziende di utilizzare i vantaggi del cloud senza compromettere la loro sovranità digitale.

☑️ Supporto alle PMI nella strategia, consulenza, pianificazione e implementazione

☑️ Creazione o riallineamento della strategia AI

☑️ Sviluppo aziendale pionieristico

 

Sarei felice di fungere da tuo consulente personale.

Potete contattarmi compilando il modulo di contatto qui sotto o semplicemente chiamandomi al numero +49 89 89 674 804 (Monaco) .

Non vedo l'ora di iniziare il nostro progetto comune.

 

 

Xpert.Digital è un hub per l'industria con focus su digitalizzazione, ingegneria meccanica, logistica/intralogistica e fotovoltaico.

Con la nostra soluzione di sviluppo aziendale a 360° supportiamo aziende rinomate dal nuovo business al post-vendita.

Market intelligence, smarketing, marketing automation, sviluppo di contenuti, PR, campagne email, social media personalizzati e lead nurturing fanno parte dei nostri strumenti digitali.

Potete saperne di più su: www.xpert.digital - www.xpert.solar - www.xpert.plus