Выход из облачных технологий США: обзор суверенных SaaS-предложений и рекомендации к действию

Необходимость цифрового суверенитета для европейских компаний

Цифровая трансформация неуклонно развивается, и облачные вычисления, особенно программное обеспечение как услуга (SaaS), стали незаменимым инструментом для предприятий любого размера. Они обеспечивают гибкость, масштабируемость и доступ к инновационным технологиям. В то же время это развитие привело к значительной зависимости от нескольких, в основном американских, облачных провайдеров.

Подходит для:

• Почему облачный акт США является проблемой и риском для Европы и остального мира: закон с далекими последствиями

Постановка проблемы: Растущая зависимость от американских облачных провайдеров

Европейский рынок облачных вычислений явно доминируется крупнейшими американскими гипермасштабными компаниями: Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Эти провайдеры контролируют значительную долю мирового рынка. Даже ведущие европейские провайдеры, такие как SAP и Deutsche Telekom, по сравнению с ними занимают лишь небольшие доли рынка в Европе. Такая концентрация несет в себе неотъемлемый риск: значительная часть глобальной, и особенно европейской, облачной инфраструктуры потенциально может находиться под юрисдикцией США. Следовательно, в европейских компаниях и все чаще в государственных администрациях растет осведомленность о рисках, связанных с этой зависимостью. На первый план выходят опасения по поводу защиты данных, безопасности данных и потери контроля над критически важными данными и процессами. Вопрос цифрового суверенитета становится стратегическим императивом.

Актуальность суверенитета данных и соответствия GDPR

В основе европейских проблем лежит Общий регламент по защите данных (GDPR). С 2018 года он сформировал строгую правовую основу для защиты персональных данных в Европейском Союзе и детально регулирует их обработку и передачу, в частности, в страны за пределами ЕС. Для европейских компаний соблюдение GDPR является не только юридическим обязательством, но и важнейшим фактором поддержания доверия клиентов и деловых партнеров. Параллельно с этим приобретает все большее значение концепция цифрового суверенитета. Она описывает стремление Европы восстановить или сохранить контроль над своими собственными данными, технологиями и цифровой инфраструктурой. Это не только вопрос защиты данных, но и цель промышленной политики, направленная на укрепление европейской экономики и конкурентоспособности в глобализированном цифровом мире. Для компаний это означает необходимость переосмысления облачных стратегий и активного поиска решений, которые одновременно соответствуют законодательству и заслуживают доверия, обеспечивая их операционную эффективность.

Подходит для:

• Интеграция AI независимой и перекрестной платформы AI в масштабах источника для всех вопросов компании

Цели и структура отчета

Данный отчет предназначен для европейских руководителей предприятий и ИТ-подразделений, сталкивающихся с проблемой разработки перспективной и учитывающей риски облачной стратегии. Его цель — предоставить надежную основу для принятия решений путем:

• Анализируются специфические риски, возникающие для европейских компаний при использовании SaaS-сервисов, предоставляемых американскими компаниями, в частности, в связи с конфликтом между GDPR и законами США, такими как CLOUD Act и FISA 702.
• Определяет, что подразумевается под «суверенными SaaS-предложениями» в европейском контексте и каким критериям они должны соответствовать.
• Это обзор рынка европейских SaaS-провайдеров, позиционирующих себя как суверенные альтернативы, сгруппированный по областям применения.
• В нем сравниваются важные альтернативы в ключевых категориях с точки зрения характеристик, ценообразования и, что наиболее важно, обеспечения суверенитета данных и соответствия требованиям GDPR.
• Были представлены специализированные решения для таких чувствительных секторов, как государственное управление, здравоохранение и финансы.
• Представляет соответствующие инициативы ЕС (такие как Gaia-X) и сертификаты (такие как EUCS, BSI C5), способствующие суверенитету облачных технологий.
• В нем подводятся итоги и формулируются рекомендации по стратегическому направлению развития компаний.

Анализ рисков: облачные сервисы США и проблемы для европейских компаний

Использование облачных сервисов, особенно SaaS-решений от американских провайдеров, создает для европейских компаний значительные юридические и операционные проблемы. Эти проблемы возникают, прежде всего, из-за фундаментального конфликта между строгими европейскими правилами защиты данных и далеко идущими законами США о слежке и доступе к данным.

Основной конфликт: GDPR против законов США о слежке

Общий регламент по защите данных (GDPR) составляет основу европейской защиты данных. Он устанавливает высокие стандарты обработки персональных данных граждан ЕС. Статьи 44 и последующие статьи GDPR, регулирующие передачу таких данных в третьи страны (страны за пределами ЕС/ЕЭЗ), особенно актуальны для использования облачных сервисов. Такая передача допустима только в том случае, если третья страна обеспечивает «адекватный уровень защиты» (определяемый решением Европейской комиссии о достаточности защиты) или если действуют «надлежащие гарантии» (такие как стандартные договорные положения или обязательные корпоративные правила), а субъектам данных доступны подлежащие исполнению права и эффективные средства правовой защиты. Кроме того, статья 48 GDPR прямо запрещает передачу данных властям третьей страны на основании их решений или постановлений, если не существует международного соглашения, такого как договор о взаимной правовой помощи. Ряд законов США, предоставляющих властям США широкие права доступа к данным, даже если они хранятся за пределами США, противоречат этому европейскому стандарту защиты

• Закон США о защите данных в облаке (CLOUD Act, Clarifying Lawful Overseas Use of Data): Этот закон, принятый в 2018 году, предоставляет правоохранительным органам и разведывательным службам США право требовать от американских коммуникационных и технологических компаний передачи данных, находящихся под их контролем, независимо от того, где в мире эти данные хранятся. Это прямо включает данные, расположенные в центрах обработки данных на территории Европейского союза. Таким образом, закон CLOUD Act подрывает принцип территориальности в защите данных и прямо противоречит требованиям GDPR, в частности, статье 48. Он был принят, отчасти, в ответ на затяжной судебный спор между Microsoft и правительством США по поводу доступа к электронной почте, хранящейся на серверах в Ирландии, и модернизировал старые правила доступа, принятые после 11 сентября 2001 года, такие как «Патриотический акт» (Patriot Act). Хотя закон CLOUD Act предусматривает механизмы для оспаривания поставщиком распоряжения о раскрытии информации, если оно нарушает законодательство другого государства (например, GDPR), практическая эффективность этих механизмов, особенно в отношении распоряжений, связанных с национальной безопасностью, весьма спорна и не дает надежных гарантий европейским компаниям. Таким образом, поставщики услуг оказались в затруднительном положении: если они выполнят предписание в соответствии с Законом CLOUD без правовой основы в ЕС, им грозят огромные штрафы в рамках GDPR; если же они откажутся раскрывать информацию, ссылаясь на GDPR, им грозят санкции в соответствии с законодательством США.
• Раздел 702 Закона о наблюдении за иностранной разведкой (FISA): это положение, являющееся частью Закона о поправках к FISA 2008 года, позволяет американским разведывательным агентствам, таким как АНБ, проводить целенаправленное наблюдение за электронными коммуникациями лиц, не являющихся гражданами США и находящихся за пределами США. Наблюдение осуществляется с целью получения «информации иностранной разведки». Раздел 702 FISA обязывает американских поставщиков услуг электронной связи (ECSP), включая многих крупных поставщиков облачных и SaaS-услуг, сотрудничать с властями. Объем потенциально собираемых данных очень широк и может включать не только метаданные, но и содержание коммуникаций, даже тех, которые не связаны с целью наблюдения, и которые лишь упоминают целевое лицо. Программы наблюдения в рамках раздела 702 FISA (такие как PRISM и Upstream) были одним из главных пунктов критики в решении Европейского суда по делу Schrems II (см. ниже). Критика также направлена ​​на отсутствие эффективных правовых средств защиты для пострадавших граждан ЕС и на потенциальную возможность массового наблюдения, хотя власти США это отрицают.
• Исполнительный указ 12333 и другие: Помимо Закона CLOUD и статьи 702 Закона о наблюдении за иностранной разведкой (FISA), существуют и другие правовые основания, такие как Исполнительный указ 12333, которые предоставляют разведывательным агентствам США широкие полномочия по проведению слежки за рубежом, часто без судебного надзора или конкретных правовых ограничений в отношении лиц, не являющихся гражданами США.

Этот фундаментальный правовой конфликт создает ситуацию, в которой использование облачных сервисов от американских провайдеров сопряжено с неотъемлемыми рисками для европейских компаний.

Специфические риски для европейских компаний

Описанный правовой конфликт представляет собой реальные риски для европейских компаний, использующих SaaS-сервисы, базирующиеся в США:

• Утечки данных и штрафы: Раскрытие персональных данных властям США в соответствии с Законом о облачных сервисах (CLOUD Act) или статьей 702 Закона о наблюдении за иностранной разведкой (FISA) без действительного правового основания в соответствии с законодательством ЕС (например, договором о взаимной правовой помощи) представляет собой явное нарушение GDPR, в частности статьи 48. Это может привести к существенным штрафам в размере до 4% от годового глобального оборота, а также к гражданским искам о возмещении ущерба от субъектов данных. Само использование облачного сервиса США может считаться потенциально не соответствующим GDPR, если поставщик не может гарантировать, что он не будет раскрывать данные в нарушение GDPR.
• Потеря суверенитета и контроля над данными: договорные гарантии американских поставщиков о том, что данные хранятся только в центрах обработки данных ЕС, не обеспечивают эффективной защиты от доступа из США в соответствии с Законом о облачных технологиях (CLOUD Act) или Законом о наблюдении за иностранной разведкой (FISA). Законы США могут отменить эти гарантии и даже технические меры защиты. Даже шифрование данных не является панацеей, если американский поставщик контролирует ключи шифрования, поскольку его могут обязать раскрыть их. Аналогичным образом, механизмы контроля доступа могут быть обойдены, а журналы аудита могут быть просмотрены без ведома владельца данных, что нарушает требования прозрачности GDPR. Таким образом, европейские компании фактически теряют контроль над тем, кто получает доступ к их данным и при каких обстоятельствах.
• Промышленный шпионаж и утрата коммерческой тайны: потенциальный утечка конфиденциальных данных компании представляет собой особенно серьезный риск. Это включает в себя интеллектуальную собственность, данные исследований и разработок, прототипы, стратегические планы, финансовые данные, а также конфиденциальные данные о клиентах и ​​переписку. Опасения, что власти США могут использовать свои права доступа в экономических целях (промышленный шпионаж), являются основным стимулом для европейских компаний искать альтернативы или внедрять дополнительные меры защиты. Утрата такой информации может привести к значительным финансовым потерям, ущербу репутации и потере конкурентных преимуществ.
• Правовая неопределенность и потеря доверия: Неразрешенный конфликт между европейским законодательством о защите данных и правами доступа в США создает значительную правовую неопределенность для компаний, использующих американские сервисы. Эта неопределенность осложняет долгосрочное планирование и усилия по обеспечению соответствия требованиям. Кроме того, дальнейшее использование сервисов, где защита данных не может быть гарантирована, может серьезно подорвать доверие клиентов, сотрудников и деловых партнеров.
• Геополитические риски: Законы, подобные Закону о облачных технологиях (CLOUD Act), рассматриваются в контексте глобальных тенденций к усилению государственного надзора и потенциальной фрагментации интернета («разделенный интернет»). Проводятся сравнения с аналогичными законами в других странах, такими как Закон о национальной разведке Китая. Кроме того, чрезмерная зависимость от поставщиков технологий из одного неевропейского региона представляет собой стратегические риски для цифровой автономии и устойчивости Европы.

Риски использования облачных сервисов США выходят далеко за рамки потенциальных санкций GDPR. К ним относятся потеря критически важных бизнес-данных, ущерб репутации и угроза конкурентоспособности из-за потенциального злоупотребления правами доступа в целях промышленного шпионажа. Эти часто трудно поддающиеся количественной оценке, но потенциально экзистенциальные «сопутствующие» риски легко недооцениваются, если сосредотачиваться исключительно на соблюдении требований GDPR.

Решение по делу Schrems II и Рамочная программа защиты данных (DPF)

Правовая неопределенность, окружающая трансатлантическую передачу данных, значительно усугубилась решением Европейского суда (ЕС) по делу Schrems II в июле 2020 года. ЕС признал недействительным действовавшее тогда соглашение между ЕС и США о защите конфиденциальности (Privacy Shield). Обоснование: законы США о слежке, в частности FISA 702 и связанные с ней программы, допускают нарушения основных прав граждан ЕС (защита данных, неприкосновенность частной жизни), которые не ограничиваются тем, что строго необходимо, и не обеспечивают эквивалентной защиты, предоставляемой в ЕС. Кроме того, в США отсутствуют эффективные средства правовой защиты для пострадавших лиц от таких мер слежки. Хотя решение подтвердило общую действительность стандартных договорных положений (СДП) в качестве альтернативного инструмента для передачи данных, ЕС уточнил, что экспортеры данных не могут слепо полагаться на СДП. В рамках оценки каждого конкретного случая (Оценка воздействия на передачу данных – ​​TIA) необходимо изучить, гарантируют ли законодательство и практика страны назначения (в данном случае, США) уровень защиты, «по существу эквивалентный» уровню в ЕС. Если это не так из-за законов о слежке – как предложил Суд ЕС для США – необходимо принять дополнительные меры (например, надежное шифрование, при котором получатель не имеет доступа к ключам) для обеспечения защиты. Если даже это невозможно, передача данных должна быть приостановлена. В этом контексте Закон CLOUD рассматривался как фактор, еще больше подрывающий аргумент в пользу эквивалентного уровня защиты. В ответ на правовую неопределенность, созданную решением по делу Schrems II, и для того, чтобы укрепить потоки данных между ЕС и США, Европейская комиссия и правительство США согласовали Рамочную программу ЕС-США по защите данных (DPF). Она вступила в силу в июле 2023 года в результате нового решения Европейской комиссии о достаточности защиты данных. Рамочная программа защиты данных (DPF) призвана устранить опасения, высказанные Европейским судом (ЕС) в решении по делу Schrems II, путем предоставления дополнительных гарантий со стороны США: доступ американских разведывательных агентств к данным граждан ЕС должен быть ограничен необходимым и соразмерным объемом, а для граждан ЕС создан новый двухуровневый механизм правовой защиты (включая Суд по пересмотру решений в области защиты данных – DPRC). Компании в США могут получить сертификацию DPF, и передача данных из ЕС этим сертифицированным компаниям считается допустимой без необходимости использования дополнительных инструментов, таких как стандартные договорные положения (SCC) или другие меры. Однако сохраняются значительные сомнения и риски относительно стабильности и эффективности DPF

• Основные законы США остаются в силе: Закон CLOUD и статья 702 Закона о наблюдении за иностранной разведкой (FISA) не были изменены Департаментом полиции. Фундаментальные полномочия властей США по доступу к данным продолжают существовать.
• Сомнения в эффективности проверки Европейского суда (ЕС): Многие эксперты и активисты в области защиты данных сомневаются в том, что гарантии, предусмотренные в Фонде защиты данных (ФЗД) и новом механизме правовой защиты, выдержат повторную проверку со стороны ЕС. В частности, ставится под сомнение независимость и полномочия Комиссии по регулированию защиты данных (КЗЗД).
• Необходим постоянный мониторинг: В соответствии со статьей 45(4) GDPR Европейская комиссия обязана постоянно отслеживать изменения в США и регулярно пересматривать их адекватность. Первый пересмотр состоялся летом 2024 года. Последние события, такие как продление и потенциальное расширение FISA 702, могут вновь поставить под угрозу основу DPF.
• Риск для компаний: Компании, которые полагаются исключительно на сажевый фильтр (DPF), подвергаются значительному риску. Если Европейский суд в будущем также признает DPF недействительным (сценарий «Шремса III»), передача данных на его основе в одночасье снова станет незаконной. Компании, у которых в этом случае отсутствует «план Б» (например, переход к поставщику из ЕС или внедрение эффективных дополнительных мер), не могут рассчитывать на снисхождение.

Таким образом, основной конфликт между законодательством США о широком доступе к данным и фундаментальным правом ЕС на защиту данных сохраняется даже в рамках Форума защиты данных (DPF). Законы США, вызывающие эту проблему, остаются в силе. DPF представляет собой скорее политическую и потенциально временную меру, чем окончательное юридическое решение. Фундаментальная проблема доступа властей США к данным европейских граждан и компаний, потенциально нарушающего GDPR, до сих пор не решена.

Определение и критерии: Что означает «суверенное SaaS-решение»?

Учитывая описанные риски, европейские компании все чаще ищут альтернативы, которые обеспечивают им больший контроль, безопасность и соответствие законодательству. В этом контексте часто используются термины «суверенное облако» или «суверенное SaaS». Но что именно означают эти термины, и каким критериям должно соответствовать предложение, чтобы считаться суверенным в европейском контексте?

Ключевые элементы суверенитета в контексте облачных технологий

Цифровой суверенитет в облачной среде — это многогранное понятие, выходящее за рамки простого технического предоставления услуг. Его можно понять через несколько ключевых элементов:

• Суверенитет данных: это центральный принцип. Он гласит, что данные подчиняются законам и нормативным актам юрисдикции, в которой они находятся или были собраны. Для Европы это прежде всего означает полное применение законодательства ЕС о защите данных (особенно GDPR) и защиту от доступа со стороны властей третьих стран на основании экстерриториальных законов, таких как американский закон CLOUD Act. Клиент сохраняет полный контроль над тем, кто может получить доступ к его данным и на каких условиях.
• Размещение и локализация данных:
  • Определение места хранения данных означает, что данные клиентов (включая метаданные и резервные копии) гарантированно хранятся и обрабатываются в пределах определенного географического региона, как правило, ЕС или ЕЭЗ. Это необходимое условие для суверенитета данных в контексте ЕС, но само по себе недостаточно, если поставщик услуг подчиняется законодательству неевропейских стран.
  • Локализация данных — это более строгое требование, которое предусматривает, что данные не должны покидать пределы конкретной страны. Такие законы редко встречаются в ЕС, но могут быть актуальны для отдельных национальных нормативных актов или отраслей.
• Операционный суверенитет: Этот элемент относится к контролю над функционированием облачной инфраструктуры и сервисов, работающих на ней. Ключевые аспекты включают:
  • Эксплуатация персоналом и юридическими лицами ЕС: Необходимо обеспечить, чтобы персонал, имеющий физический или логический доступ к облачной среде и данным клиентов, находился в ЕС и подчинялся законодательству ЕС. Доступ из-за пределов ЕС должен быть предотвращен или строго контролироваться с помощью технических и организационных мер.
  • Корпоративная структура и головной офис в ЕС: Сам поставщик облачных услуг, или, по крайней мере, юридическое лицо, ответственное за деятельность в ЕС, должно иметь свой головной офис в государстве-члене ЕС/ЕЭЗ и, следовательно, в первую очередь подчиняться европейскому праву. Также крайне важно отсутствие зависимости от материнских компаний или дочерних предприятий в третьих странах (особенно в США), которые могли бы принуждать к соблюдению их законов (таких как Закон о облачных услугах или Закон о наблюдении за иностранной разведкой).
  • Прозрачность и возможность аудита: Клиентам необходима прозрачность в отношении операционных процессов, субподрядчиков и внедренных мер безопасности. Возможность независимой проверки и аудита доступа и процессов является ключевой характеристикой операционного суверенитета.
• Технологический суверенитет: это способность понимать, контролировать, проверять и, в идеале, (дальнейшее) развивать лежащие в его основе ключевые технологии. К аспектам этого относятся:
  • Использование открытых стандартов и программного обеспечения с открытым исходным кодом: Открытые стандарты и программное обеспечение с открытым исходным кодом способствуют совместимости между различными поставщиками и решениями, повышают прозрачность (поскольку код подлежит аудиту), снижают риск зависимости от поставщика и упрощают аудит безопасности. Они часто лежат в основе европейских технологических стеков, таких как Sovereign Cloud Stack (SCS).
  • Взаимосовместимость и переносимость: возможность легко переносить данные и приложения между различными облачными провайдерами или обратно в собственную инфраструктуру (локальную) является признаком независимости и гибкости.
  • Контроль над технологическим стеком: в долгосрочной перспективе технологический суверенитет направлен на снижение зависимости от проприетарных аппаратных и программных компонентов из неевропейских источников и наращивание европейского опыта.

Подходит для:

• Независимые платформы ИИ в качестве стратегической альтернативы для европейских компаний

Разграничение и недопонимания

Термин «суверенное облако» не имеет юридической защиты и часто используется различными поставщиками в качестве маркетингового инструмента, при этом лежащие в его основе концепции и меры значительно различаются. Поэтому компаниям крайне важно тщательно изучить, что поставщик подразумевает под суверенитетом и какие конкретные гарантии он предлагает. Распространенное заблуждение заключается в том, что хранение данных в центре обработки данных на территории ЕС достаточно для гарантии суверенитета. Это не так. Как поясняется в разделе II, закон США о облачных сервисах (CLOUD Act) разрешает доступ к данным, принадлежащим американским компаниям, независимо от места их хранения. Таким образом, размещение данных в ЕС не защищает от доступа со стороны США, если сам поставщик или его материнская компания базируются в США или иным образом подпадают под юрисдикцию США. Еще одно заблуждение заключается в том, что предложения суверенного облака неизбежно влекут за собой функциональные ограничения или более медленный темп инноваций по сравнению с глобальными гипермасштабными компаниями. Хотя это может быть правдой в некоторых случаях, поскольку местные поставщики часто не обладают той же экономией масштаба и бюджетами на исследования, основная цель суверенных решений заключается не в ограничении, а в сочетании преимуществ облачных вычислений (гибкость, масштабируемость) с требованиями контроля, безопасности и соответствия нормативным требованиям. Многие европейские поставщики полагаются на открытые технологии для обеспечения инноваций и адаптивности.

Критерии для суверенных поставщиков SaaS с точки зрения ЕС

Исходя из основных элементов суверенитета, можно вывести конкретные критерии, по которым европейские компании могут оценивать поставщиков SaaS-услуг:

• Защита данных и соответствие требованиям: Поставщик услуг должен наглядно продемонстрировать соответствие требованиям GDPR. Это должно быть задокументировано соглашением об обработке данных (DPA) в соответствии со статьей 28 GDPR и соответствующими техническими и организационными мерами (TOM). Также должно быть обеспечено соответствие другим соответствующим нормативным актам ЕС и национальным нормативным актам (например, для конкретных секторов).
• Место хранения и обработка данных: В соответствии с договором должно быть гарантировано, что все данные клиентов, включая метаданные, данные конфигурации и резервные копии, хранятся и обрабатываются исключительно на территории ЕС или ЕЭЗ.
• Эксплуатация и контроль доступа: Эксплуатация сервисов и доступ к данным клиентов должны осуществляться персоналом, находящимся в ЕС и принадлежащим юридическому лицу ЕС. Необходимо внедрить строгие технические и организационные меры для предотвращения несанкционированного доступа, особенно из-за пределов ЕС.
• Корпоративная структура и юрисдикция: головной офис и основной юридический контроль поставщика услуг должны находиться в ЕС/ЕЭЗ. Не должно быть корпоративных связей или филиалов в третьих странах (особенно в США), которые могли бы поставить поставщика под их юрисдикцию и потенциально вынудить его к раскрытию данных (например, в соответствии с Законом о защите данных или Законом о наблюдении за иностранной разведкой).
• Прозрачность: Поставщик услуг должен быть прозрачен в отношении своих операционных процессов, использования субподрядчиков, мест обработки данных и внедренных мер безопасности. Должна быть предусмотрена возможность проведения аудита заказчиком или независимыми третьими сторонами.
• Технологии и совместимость: Предпочтительное использование открытых стандартов (например, API) и/или программного обеспечения с открытым исходным кодом облегчает интеграцию, тестирование и потенциальный переход к другим поставщикам (избегая зависимости от конкретного поставщика).
• Сертификаты и аттестации: Признанные сертификаты и аттестации могут служить доказательством соответствия стандартам безопасности и соответствия нормативным требованиям, а также укреплять доверие. Особое значение имеют ISO 27001, BSI C5 (в Германии) и, в будущем, EUCS.

Становится очевидным, что цифровой суверенитет в контексте SaaS — это многомерное понятие. Речь идёт не только о том, где хранятся данные, но и о том, кто и как их обрабатывает, каким законам подчиняется поставщик и какие технологические основы используются. Поэтому компаниям необходимо учитывать, какие аспекты суверенитета наиболее важны для них при выборе поставщика и насколько хорошо поставщик соответствует этим конкретным требованиям. Простое размещение данных в пределах ЕС часто недостаточно для эффективного снижения рисков, особенно тех, которые связаны с законодательством США. В то же время компании часто сталкиваются с дилеммой: стремление к максимальному суверенитету и контролю должно быть сбалансировано с потенциальными недостатками с точки зрения функциональности, скорости инноваций или стоимости, которые могут возникнуть у некоторых европейских или строго суверенных поставщиков по сравнению с глобальными гипермасштабными компаниями. Многие европейские поставщики рассматривают использование программного обеспечения с открытым исходным кодом как стратегический подход к обеспечению прозрачности, доверия и адаптивности, даже если они не находятся на переднем крае каждой новой технологической разработки.

Воспользуйтесь преимуществами обширного пятистороннего опыта Xpert.Digital в комплексном пакете услуг | НИОКР, XR, PR и оптимизация цифровой видимости — Изображение: Xpert.Digital

Xpert.Digital обладает глубокими знаниями различных отраслей. Это позволяет нам разрабатывать индивидуальные стратегии, которые точно соответствуют требованиям и задачам вашего конкретного сегмента рынка. Постоянно анализируя тенденции рынка и следя за развитием отрасли, мы можем действовать дальновидно и предлагать инновационные решения. Благодаря сочетанию опыта и знаний мы создаем добавленную стоимость и даем нашим клиентам решающее конкурентное преимущество.

Подробнее об этом здесь:

• Используйте 5-кратный опыт Xpert.Digital в одном пакете — всего от 500 евро в месяц

Обзор рынка: суверенные SaaS-альтернативы из ЕС

На европейском рынке программного обеспечения как услуги (SaaS) растет число поставщиков, позиционирующих себя как альтернативу доминирующим американским игрокам. Многие из них уделяют особое внимание защите данных, соблюдению требований GDPR и цифровому суверенитету, чтобы удовлетворить специфические потребности европейских предприятий и организаций.

Критерии отбора поставщиков услуг

В данном обзоре основное внимание уделяется поставщикам SaaS-услуг, отвечающим следующим критериям:

• Происхождение: Штаб-квартира компании расположена в государстве-члене Европейского союза (ЕС), Европейской экономической зоны (ЕЭЗ) или Швейцарии (Швейцария), поскольку Швейцария имеет решение Европейской комиссии о достаточности статуса и часто тесно интегрирована в Европейскую экономическую зону.
• Позиционирование: Провайдер явно позиционирует себя как суверенную альтернативу, соответствующую требованиям защиты данных, или демонстрирует существенные характеристики цифрового суверенитета (например, эксклюзивный хостинг в ЕС/ЕЭЗ, доказуемое соответствие GDPR, отсутствие подчинения законам США, таким как CLOUD Act/FISA, использование открытого исходного кода).
• Актуальность: Данный поставщик услуг упоминался в исходных исследовательских источниках или известен как релевантная альтернатива в своей категории.

Для большей наглядности поставщики сгруппированы по общим категориям SaaS.

Категоризированный обзор европейских поставщиков SaaS-услуг

В приведенной ниже таблице представлен обзор отдельных европейских поставщиков SaaS-услуг, сгруппированных по функциональным областям. Она служит отправной точкой для более детальной оценки.

Обзор европейских поставщиков SaaS-услуг по категориям

Обзор европейских SaaS-провайдеров по категориям – Изображение: Xpert.Digital

(Примечание: Данная таблица представляет собой выборочный список и не является исчерпывающей. Информация основана на доступных источниках и может изменяться. Независимая проверка со стороны компании обязательна.)

Обзор европейских SaaS-провайдеров демонстрирует широкий спектр решений, классифицированных по типам. В секторе совместной работы и офисных приложений такие провайдеры, как Nextcloud Hub из Германии, предлагают платформу с открытым исходным кодом для работы с файлами, коммуникации, группового программного обеспечения и офисных приложений. Эта платформа может быть размещена самостоятельно или у провайдера и ставит во главу угла суверенитет данных. Open-Xchange App Suite, также из Германии, предоставляет комплексное решение для электронной почты, группового программного обеспечения, диска и документов, особенно для провайдеров и предприятий, и соответствует стандартам ISO 27001. ONLYOFFICE из Латвии предлагает офисный пакет с функциями для совместной работы и рабочим пространством (включая CRM и электронную почту). Он совместим как с облачными, так и с локальными решениями и соответствует требованиям GDPR. Collabora Online, основанная на LibreOffice, часто интегрируется с такими платформами, как Nextcloud. TeamDrive, также из Германии, специализируется на высокозащищенном облачном хранилище с сквозным шифрованием и принципом нулевого разглашения. Немецкая компания Conceptboard предлагает онлайн-доску для визуального взаимодействия, использующую серверы ЕС и не требующую участия США. Французская компания CryptPad сочетает в себе открытый исходный код и сквозное шифрование для совместной работы. Немецкая компания Stackfield предоставляет платформу, соответствующую требованиям GDPR, для чата, задач и видеосвязи.

В секторе CRM и продаж немецкая компания Zeeg выделяется своей системой планирования встреч, соответствующей требованиям GDPR, а CentralStationCRM предлагает простое CRM-решение для малых и средних предприятий. SAP CRM, как часть пакета SAP, ориентирована на крупные предприятия. Что касается решений для облачного хранения данных, швейцарские провайдеры, такие как pCloud, предлагают опциональное сквозное шифрование и пожизненные планы. Tresorit сочетает в себе высокий уровень безопасности, доступ с нулевым разглашением и соответствие европейским стандартам. Proton Drive, также из Швейцарии, предлагает зашифрованный файловый хостинг. Немецкие провайдеры, такие как IONOS HiDrive, и международные варианты, такие как Infomaniak kDrive, дополняют спектр предложений.

Для видеоконференций стоит отметить немецкую OpenTalk, уделяющую особое внимание безопасности и соответствию GDPR, а также решение с открытым исходным кодом Jitsi Meet. Австрийская eyeson предлагает облачные решения для видеоконференций, а шведская Univid специализируется на вебинарах. В области веб-аналитики Matomo предлагает вариант с открытым исходным кодом и полным контролем над данными, Plausible Analytics делает акцент на простоте использования и конфиденциальности данных, немецкая etracker избегает использования файлов cookie, а Piwik PRO ориентирована на бизнес.

Автоматизацию маркетинга обеспечивают такие провайдеры, как Brevo (ранее Sendinblue) с серверами в Германии/ЕС и Evalanche, ориентированный на B2B и имеющий сертификат ISO. Personio — лидер в области программного обеспечения для управления персоналом, предлагающий комплексную платформу для малых и средних предприятий, дополненную такими решениями, как HRworks и Rexx Systems, которые предлагают как облачные, так и локальные модели. OpenProject — немецкое решение для управления проектами с открытым исходным кодом, а Zenkit выделяется своими гибкими рабочими пространствами. Безопасные почтовые провайдеры, такие как Tutanota и Proton Mail, уделяют приоритетное внимание защите данных и сквозному шифрованию. Единый вход в систему обеспечивает Bare.ID, базирующийся в Германии, с безопасностью, соответствующей GDPR. Что касается инструментов для проведения опросов, LamaPoll и LimeSurvey впечатляют своей настраиваемостью и немецкими серверными стандартами. QuestionPro в своей версии для ЕС завершает список, предлагая расширенные функции и соответствие GDPR.

В этом обзоре подчеркивается замечательное разнообразие и специализация европейского рынка SaaS. В частности, в областях, где защита и безопасность данных традиционно играли важную роль – таких как совместная работа, безопасная связь, облачное хранение и веб-аналитика – существует широкий спектр альтернатив. Многие из этих поставщиков – это малые и средние предприятия (МСП) или специализированные нишевые игроки из различных европейских стран. Они часто уделяют большое внимание соответствию GDPR и специфическим потребностям европейского рынка, что отражается в таких функциях, как хостинг в ЕС, поддержка на немецком языке или наличие специальных сертификатов соответствия.

Стратегическая важность программного обеспечения с открытым исходным кодом для многих европейских провайдеров также поразительна. В частности, в областях совместной работы (Nextcloud, CryptPad), офисных приложений (ONLYOFFICE, Collabora), управления проектами (OpenProject), веб-аналитики (Matomo) и видеоконференций (Jitsi, OpenTalk) технологии с открытым исходным кодом часто составляют основу. Это не просто техническая деталь; это осознанное решение, которое способствует прозрачности (за счет доступного кода), адаптивности, возможности аудита и предотвращению зависимости от поставщика. Эти аспекты являются ключевыми элементами цифрового суверенитета и позволяют европейским провайдерам предлагать надежные и гибкие решения, не обязательно имея доступ к огромным бюджетам на разработку, которые обычно выделяют глобальные гипермасштабные компании. Это дает клиентам больший контроль и понимание используемых ими технологий.

Сравнение отдельных альтернатив ЕС

После общего обзора рынка далее следует более подробное сравнение отдельных репрезентативных европейских SaaS-альтернатив в ключевых категориях. Основное внимание уделяется основным функциям, моделям ценообразования, уникальным конкурентным преимуществам и, в частности, обеспечению суверенитета данных и соответствию требованиям GDPR.

Методология сравнения

Выбор поставщиков для детального сравнения основан на их релевантности и частоте упоминания в исходных источниках, а также на их позиционировании как прямых европейских альтернатив известным американским сервисам. Сравнение опирается на информацию из конкретных фрагментов информации о поставщиках и другие соответствующие данные из общих фрагментов. Критерии включают:

• Основные функции: Что делает программное обеспечение в своей основе?
• Модель ценообразования: Какова структура ценообразования (подписка, условно-бесплатная версия, пожизненная подписка, локальная установка)?
• Место размещения/хостинг данных: Где размещаются данные (гарантировано для ЕС/Германии)? Есть ли варианты самостоятельного размещения?
• Шифрование: Какие методы шифрования используются (особенно сквозное шифрование и шифрование с нулевым разглашением)?
• Сертификаты/Соответствие требованиям: Какие соответствующие сертификаты (ISO 27001, BSI C5 и т. д.) и обязательства по соблюдению требований (GDPR) существуют?
• Сильные/слабые стороны в отношении суверенитета: Особые особенности или ограничения в отношении контроля над данными, прозрачности и независимости.

Подробное сравнение по категориям

Подробное сравнение важных альтернатив SaaS в ЕС

Подробное сравнение важных альтернатив SaaS в ЕС – Изображение: Xpert.Digital

Детальное сравнение ключевых альтернатив SaaS в ЕС показывает, что Nextcloud Hub, как модульная платформа, предлагает такие функции, как синхронизация и обмен файлами, видеоконференции, групповое программное обеспечение и интеграция с офисными приложениями, в то время как Open-Xchange App Suite, как интегрированный пакет, фокусируется на электронной почте, календаре, контактах и ​​хранилище данных. Nextcloud Hub обеспечивает полный контроль благодаря самостоятельному размещению и предлагает опциональное сквозное шифрование, но предъявляет более высокие требования к ИТ-инфраструктуре для самостоятельного размещения. Open-Xchange выделяется своей сертификацией ISO и защитой данных, соответствующей требованиям ЕС, но зависит от облачного провайдера. В секторе CRM Zeeg выигрывает благодаря четкому соответствию GDPR и размещению в Германии, в то время как CentralStationCRM впечатляет своей простотой и ориентацией на малые и средние предприятия. Оба провайдера предлагают модели freemium и гарантируют размещение данных в местах, соответствующих требованиям GDPR. В секторе облачного хранилища pCloud предлагает преимущества с точки зрения гибкости благодаря пожизненным планам и вариантам хранения в ЕС; однако сквозное шифрование является опциональным и предоставляется за дополнительную плату. Tresorit, с другой стороны, выигрывает за счет стабильного шифрования с нулевым разглашением и высокого уровня соответствия требованиям, но стоит дороже. ONLYOFFICE и Collabora Online предлагают комплексные офисные решения с сильным акцентом на ЕС и открытым исходным кодом, при этом ONLYOFFICE выделяется своей совместимостью с Microsoft и функциями для совместной работы. Collabora Online тесно интегрирована с такими платформами, как Nextcloud, и поэтому меньше ориентирована на автономную функциональность. В области видеоконференций OpenTalk выделяется такими функциями, как вебинары, опросы и четкая ориентация на GDPR, в то время как Jitsi Meet, как бесплатное решение с открытым исходным кодом, предлагает максимальный самоконтроль и простоту. Оба решения предлагают локальные варианты и надежные функции защиты данных, при этом OpenTalk отличается наличием сертификата безопасности BSI IT.

Детальное сравнение показывает, что редко существует единственная «лучшая» европейская альтернатива. Выбор во многом зависит от конкретных требований и приоритетов компании. Выявляются очевидные компромиссы, например, между максимальной безопасностью и ценой (pCloud против Tresorit) или между всесторонним контролем посредством самостоятельного размещения и удобством управляемого SaaS-решения (Nextcloud против OX App Suite Cloud). Компании должны взвесить, какой аспект — набор функций, простота использования, стоимость или степень суверенитета и безопасности — для них наиболее важен.

Ключевой характеристикой многих европейских провайдеров является гибкость их операционных моделей. Такие решения, как Nextcloud, ONLYOFFICE, OpenTalk и Jitsi, предлагают как облачные (SaaS), так и локальные или собственные варианты размещения. Это дает компаниям возможность определять собственный уровень контроля и суверенитета. Они могут выбрать удобство SaaS-решения от надежного европейского провайдера или получить максимальный контроль над данными и инфраструктурой, разместив их в собственном центре обработки данных. Этот выбор напрямую отвечает основной потребности в контроле, которая лежит в основе дискуссии о суверенитете.

Интеграция независимой и перекрестной платформы AI в масштабах для всех компаний Matters-Image: Xpert.Digital

Ki-GameChanger: наиболее гибкие решения AI-Tailor, которые снижают затраты, улучшают свои решения и повышают эффективность

Независимая платформа искусственного интеллекта: интегрирует все соответствующие источники данных компании

• Эта платформа ИИ взаимодействует со всеми конкретными источниками данных
  • От SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox и многих других систем управления данными
• Быстрая интеграция AI: специально разработанные решения для ИИ для компаний в течение нескольких часов или дней вместо месяцев
• Гибкая инфраструктура: облачный или хостинг в вашем собственном центре обработки данных (Германия, Европа, свободный выбор местоположения)

• Самая высокая безопасность данных: использование в юридических фирмах является безопасным доказательством
• Используйте в широком спектре источников данных компании
• Выбор ваших собственных или различных моделей искусственного интеллекта (DE, EU, USA, CN)

Проблемы, которые решает наша платформа ИИ

• Отсутствие точности обычных решений ИИ
• Защита данных и безопасное управление конфиденциальными данными
• Высокие затраты и сложность индивидуального развития ИИ
• Отсутствие квалифицированного ИИ
• Интеграция ИИ в существующие ИТ -системы

Подробнее об этом здесь:

• Интеграция AI независимой и перекрестной платформы AI в масштабах источника для всех вопросов компании

Специализированные решения: Суверенное SaaS для чувствительных секторов

Хотя рассмотренные до сих пор SaaS-решения часто применимы в различных отраслях, существуют секторы с особенно высокими требованиями к безопасности, соответствию нормативным требованиям и цифровому суверенитету. К ним относятся, в частности, государственное управление, здравоохранение и финансовый сектор. В этих областях разрабатываются специализированные предложения и нормативно-правовые рамки, которые способствуют или даже обязывают использовать решения на основе суверенного облака.

Государственное управление

В Германии и Европе государственный сектор имеет неотъемлемый интерес к цифровому суверенитету, чтобы обеспечить контроль над данными граждан и критически важными государственными процессами. Требования часто выходят за рамки стандартного соответствия GDPR и включают в себя конкретные стандарты безопасности, такие как BSI IT Baseline Protection или каталог критериев BSI C5. Важными аспектами также являются совместимость между различными органами власти и уровнями управления, а также предпочтение программного обеспечения с открытым исходным кодом во избежание зависимостей.

Ряд инициатив направлен на создание суверенной облачной инфраструктуры для администрирования:

• Стратегия развития облачных вычислений в Германии (DVS): Эта стратегия, разработанная Советом по планированию ИТ и FITKO, направлена ​​на создание федеральной, безопасной, совместимой и суверенной облачной экосистемы для федерального правительства, земель и муниципалитетов. Она основана на открытых стандартах, мультиоблачном подходе и интеграции государственных поставщиков ИТ-услуг (таких как Dataport, AKDB и IT.NRW), которые играют центральную роль и пользуются высоким уровнем доверия. В будущем также станет возможна интеграция внешних поставщиков, соответствующих требованиям DVC. Ключевым элементом является Портал облачных услуг (CSP) как торговая площадка для стандартизированных и сертифицированных облачных сервисов.
• Федеральное облако / Федеральная платформа ИТ-операций: ITZBund уже эксплуатирует облачные платформы (SaaS, PaaS) для федеральных органов власти, которые будут консолидированы в 2025 году и будут соответствовать высоким требованиям безопасности и защиты данных.
• Центр цифрового суверенитета (ZenDiS): Эта организация целенаправленно содействует использованию программного обеспечения с открытым исходным кодом в государственном управлении и поддерживает такие проекты, как OpenDesk, альтернатива Microsoft 365 с открытым исходным кодом, специально разработанная для государственного сектора.
• Gaia-X и Sovereign Cloud Stack (SCS): Эти европейские инициативы предоставляют важные технические основы и стандарты для построения суверенных облачных инфраструктур, которые DVS также намерена использовать. SCS, стек с открытым исходным кодом, основанный на OpenStack и Kubernetes, уже используется несколькими немецкими провайдерами (например, plusserver).

Конкретные, суверенные SaaS-предложения для государственного управления поступают как от государственных поставщиков ИТ-услуг (например, Conceptboard от IT.NRW, dDataBox от Dataport), так и от специализированных коммерческих поставщиков, которые часто имеют сертификаты BSI C5 и доступны через такие торговые площадки, как govdigital (например, plusserver, STACKIT, IONOS, OVHcloud). Важную роль также играют решения с открытым исходным кодом, такие как Nextcloud или OpenDesk.

Подходит для:

• В зависимости от американского облака? Борьба Германии за облако: как конкурировать с AWS (Amazon) и Azure (Microsoft)

здравоохранение

В секторе здравоохранения обрабатываются крайне конфиденциальные персональные данные (данные о здоровье, как определено в статье 9 GDPR), которые подлежат особой защите. Помимо GDPR и медицинской конфиденциальности, действуют специальные национальные законы, такие как Закон о защите данных пациентов (PDSG) и, совсем недавно, Закон о цифровом здравоохранении (DigiG). Безопасность, доступность и конфиденциальность в этом контексте имеют первостепенное значение.

Ключевым фактором использования суверенных облачных решений в немецкой системе здравоохранения является Закон о цифровых технологиях (DigiG), вступивший в силу в марте 2024 года. Хотя новая статья 393 Книги V Немецкого социального кодекса (SGB V) прямо разрешает обработку социальных и медицинских данных с использованием облачных вычислений, она устанавливает для этого очень строгие условия:

• Обработка данных только в странах ЕС/ЕЭЗ/Швейцарии или странах, принявших решение о достаточности уровня защиты данных: Обработка данных может осуществляться только внутри страны, в государстве ЕС/ЕЭЗ, Швейцарии или третьей стране, в отношении которой Европейская комиссия приняла решение о достаточности уровня защиты данных.
• Сертификация BSI C5 становится обязательной: с 1 июля 2024 года поставщики облачных услуг, обрабатывающие социальные или медицинские данные от имени медицинских учреждений (врачей, больниц, фондов медицинского страхования и т. д.), должны иметь возможность предъявить действующий сертификат BSI C5. До 30 июня 2025 года достаточно было сертификата типа 1 (адекватность мер контроля); с 1 июля 2025 года обязательным является сертификат типа 2 (подтверждение эффективности в течение определенного периода времени).
• Это также относится к поставщикам SaaS: данное обязательство распространяется не только на поставщиков инфраструктуры (IaaS) или платформ (PaaS), но и конкретно на поставщиков программного обеспечения как услуги (SaaS), чьи приложения используются в облаке (например, больничные информационные системы (HIS), системы управления медицинской практикой (PMS), системы записи на прием, DiGAs).
• Внедрение мер контроля со стороны клиента: Учреждение-пользователь (клиника, медицинское учреждение и т. д.) должно, в свою очередь, внедрить меры контроля со стороны конечного пользователя, указанные в аудиторском отчете поставщика облачных услуг.

Данное регулирование значительно ужесточает требования к облачным сервисам в секторе здравоохранения, фактически делая сертификацию BSI C5 обязательным условием для поставщиков услуг на этом рынке. Облачные провайдеры, такие как Open Telekom Cloud, AWS (регион Франкфурта), Azure, GCP, а также немецкие провайдеры, такие как plusserver, STACKIT и IONOS, уже имеют сертификаты C5 для своей инфраструктуры. Теперь SaaS-решения для здравоохранения, построенные на основе этой инфраструктуры (медицинские информационные системы, системы управления практикой, компоненты электронных медицинских карт и т. д.), также должны иметь эту сертификацию. Примерами компаний, работающих в облачной среде здравоохранения и/или стремящихся получить соответствующие сертификаты, являются Gini, Doctolib и Kite Consult. По данным Gematik, сама электронная медицинская карта размещается на серверах в Германии и ЕС в соответствии с GDPR.

Финансы

Финансовый сектор (банки, страховые компании, поставщики финансовых услуг) также строго регулируется и обрабатывает крайне конфиденциальные данные. Здесь действуют строгие нормативные требования, установленные Федеральным управлением финансового надзора Германии (BaFin) (например, BAIT, KAIT, VAIT, ZAIT), а также все более гармонизированные европейские правила. Высокие стандарты в области ИТ-безопасности, управления рисками, отказоустойчивости и возможности аудита являются стандартной практикой.

К основным регуляторным факторам, определяющим развертывание безопасных и суверенных облачных решений, относятся:

• Директива NIS2: Согласно NIS2, банки и инфраструктуры финансовых рынков, как правило, относятся к категориям «существенных» или «важных» субъектов. Следовательно, они должны соответствовать более строгим требованиям в отношении управления рисками, безопасности цепочки поставок (включая поставщиков облачных услуг), отчетности об инцидентах и ​​подотчетности руководства.
• DORA (Закон о цифровой операционной устойчивости): Этот регламент ЕС специально направлен на повышение цифровой операционной устойчивости в финансовом секторе. Он устанавливает подробные требования к управлению рисками в сфере ИКТ, отчетности о серьезных инцидентах, связанных с ИКТ, тестированию цифровой устойчивости и, в частности, к управлению рисками сторонними поставщиками ИКТ-услуг, включая поставщиков облачных услуг. DORA требует, среди прочего, четких договорных соглашений с поставщиками облачных услуг и прав на аудит.

Поставщики облачных услуг, стремящиеся обслуживать финансовые учреждения, должны продемонстрировать свою способность соответствовать этим нормативным требованиям. Зачастую это достигается посредством сертификации, такой как BSI C5 или ISO 27001, конкретных договорных гарантий и прозрачного раскрытия своей архитектуры и процессов безопасности. Такие поставщики, как plusserver, T-Systems, Microsoft со своей программой EU Data Boundary и AWS со своим европейским суверенным облаком, целенаправленно позиционируют себя для этого регулируемого рынка.

Кроме того, существуют специализированные SaaS-провайдеры, предлагающие решения для обеспечения соответствия нормативным требованиям в финансовом секторе, такие как борьба с отмыванием денег (AML), проверка личности клиента (KYC), проверка на соответствие санкционным спискам, выявление мошенничества и мониторинг злоупотреблений на рынке. Примерами поставщиков, представленных в Европе, являются ACTICO (Германия), Pelican AI (Великобритания?), Sopra Financial Technology (Германия/Франция), Otris (Германия) и ViClarity (Ирландия/США?).

В этих крайне чувствительных секторах становится очевидным, что решение об использовании суверенных облачных решений больше не является исключительно вопросом минимизации рисков, а все чаще определяется юридическими требованиями и строгими обязательствами по соблюдению нормативных требований. Необходимость подтверждения наличия таких сертификатов, как BSI C5, меняет основу принятия решений: от добровольной оценки рисков к обязательному условию для участия в рынке.

Это ставит перед поставщиками SaaS новые задачи. Если раньше поставщик инфраструктуры (IaaS/PaaS) часто обладал соответствующими сертификатами, то теперь такие нормативные акты, как статья 393 Книги V Общего кодекса Германии (SGB V), прямо требуют от поставщиков SaaS предоставления соответствующей документации, например, сертификата BSI C5. Затраты и усилия, связанные с получением и поддержанием таких сертификатов, значительны и могут стать серьезным препятствием, особенно для небольших, инновационных SaaS-компаний, потенциально приводя к консолидации рынка в этих регулируемых секторах.

Подходит для:

• Политика США вдохновляет технические компании ЕС? Суверенитет данных доминирования США: будущее облака в Европе

Содействие суверенитету: инициативы и сертификация ЕС

Для укрепления цифрового суверенитета Европы и создания надежной основы для облачных вычислений на европейском и национальном уровнях были запущены различные инициативы и стандарты сертификации. Их цель – содействие совместимости, гармонизация стандартов безопасности и повышение доверия к облачным сервисам.

Gaia-X: Концепция федеративной европейской инфраструктуры данных

Gaia-X — одна из наиболее значимых европейских инициатив по укреплению цифрового суверенитета. Запущенная в 2019 году Германией и Францией, в настоящее время она объединяет многочисленных партнеров из бизнеса, науки и политики многих европейских стран.

• Цели: Основная цель Gaia-X — создание безопасной, федеративной и совместимой инфраструктуры данных, основанной на европейских ценностях, таких как защита данных (GDPR), прозрачность, доверие и самоопределение. Проект направлен на повышение цифровой независимости Европы от неевропейских поставщиков, содействие инновациям посредством безопасного обмена данными и укрепление конкурентоспособности европейских компаний.
• Архитектура и подход: Важно понимать, что Gaia-X сама по себе не является поставщиком облачных услуг и не строит собственное «европейское супероблако». Вместо этого Gaia-X определяет набор правил, общих стандартов и архитектурных элементов для децентрализованной экосистемы сетевых, совместимых пространств данных и облачных инфраструктурных сервисов. Она основана на таких принципах, как открытость, прозрачность, модульность, а также использование открытых стандартов и программного обеспечения с открытым исходным кодом. Ассоциация Gaia-X по данным и облачным технологиям (AISBL) разрабатывает спецификации, правила, политики и структуру для проверки соответствия (соответствие Gaia-X), которая будет реализована через так называемые цифровые клиринговые центры Gaia-X (GXDCH).
• Компоненты и проекты: В рамках Gaia-X появляются конкретные строительные блоки и проекты. Важным примером является Sovereign Cloud Stack (SCS): стандартизированный технологический стек с открытым исходным кодом (на основе OpenStack, Kubernetes и т. д.) для построения соответствующих Gaia-X суверенных облачных инфраструктур (IaaS/PaaS). Он призван служить технической основой для интероперабельных и суверенных облачных решений, включая немецкое административное облако.
• Примеры применения: Для демонстрации преимуществ Gaia-X разрабатываются конкретные пространства данных и приложения в различных областях. Примеры можно найти в Индустрии 4.0 (например, Catena-X для автомобильной промышленности), транспорте, энергетике, финансах, государственном управлении и особенно в здравоохранении. Такие проекты, как TEAM-X, Health-X dataLOFT и GAIA-Med, направлены на обеспечение безопасного и суверенного обмена данными о здоровье для улучшения качества медицинской помощи и исследований.
• Проблемы: Несмотря на амбициозные цели, Gaia-X также сталкивается с проблемами и критикой. К ним относятся сложность проекта, медленный прогресс в практической реализации, порой нечеткие определения и опасения, что инициатива может оказаться под доминированием устоявшихся глобальных гипермасштабных компаний. Также критиковали за то, что слишком долгое время основное внимание уделялось инфраструктурному уровню (IaaS/PaaS), пренебрегая прикладным уровнем (SaaS).

EUCS: Европейская схема сертификации кибербезопасности для облачных сервисов

Европейская схема сертификации кибербезопасности для облачных сервисов (EUCS) — это система сертификации, разработанная Европейским агентством по кибербезопасности (ENISA) в соответствии с Законом ЕС о кибербезопасности (CSA).

• Цель: Главная цель — гармонизация требований к кибербезопасности и сертификации облачных сервисов (IaaS, PaaS, SaaS) на всей территории ЕС. Цель — создание единого стандарта для преодоления фрагментации, вызванной различными национальными схемами сертификации (такими как SecNumCloud во Франции или C5 в Германии), и укрепления единого цифрового рынка. Для пользователей облачных сервисов EUCS призван повысить прозрачность и доверие, демонстрируя, что сертифицированные сервисы соответствуют конкретным стандартам безопасности.
• Уровни обеспечения безопасности: Схема определяет три (или в более ранних проектах четыре) уровня безопасности («Базовый», «Существенный», «Высокий» и, возможно, «Высокий+»), которые отражают различные уровни риска и возможности злоумышленников. С повышением уровня возрастают требования к внедренным мерам безопасности (например, безопасность сети, хранилища данных, шифрования, тестирование на проникновение) и строгость оценки аккредитованными органами по оценке соответствия (CAB).
• Добровольная или обязательная сертификация: Сертификация EUCS, как правило, носит добровольный характер. Однако Закон о кибербезопасности и Директива NIS2 позволяют государствам-членам ЕС обязывать использовать сертифицированные ИКТ-услуги в определенных секторах, особенно в критической инфраструктуре (KRITIS). Поэтому вполне вероятно, что EUCS станет де-факто обязательным требованием или ключевым критерием при проведении тендеров, по крайней мере, в регулируемых секторах.
• Дискуссия о суверенитете: Центральным и спорным моментом в разработке EUCS был вопрос о конкретных требованиях к суверенитету, особенно для наивысшего уровня безопасности («Высокий» или «Высокий+»). В более ранних проектах предусматривалось обязательное размещение данных в пределах ЕС для этого уровня, а также требование о том, чтобы штаб-квартира и глобальный центр поставщика услуг находились в государстве-члене ЕС для обеспечения защиты от неевропейских законов (таких как Закон о облачных технологиях). Однако эти требования, по-видимому, были удалены или ослаблены в более поздних проектах (по состоянию на 2024 год). Это вызвало резкую критику со стороны европейских поставщиков облачных услуг (особенно малых и средних предприятий), отраслевых ассоциаций и защитников данных, которые опасаются, что это ослабляет цифровой суверенитет Европы, укрепляет зависимость от неевропейских гипермасштабных компаний и подвергает данные европейских граждан и предприятий повышенному риску. Дискуссия об окончательной формулировке этих требований продолжается.

BSI C5: немецкий стандарт безопасности облачных вычислений

Каталог критериев соответствия облачным вычислениям (C5) Федерального управления информационной безопасности Германии (BSI) представляет собой устоявшийся каталог критериев, определяющих конкретные минимальные требования к информационной безопасности облачных сервисов.

• Цель и содержание: Каталог C5 разработан для того, чтобы помочь клиентам облачных сервисов в выборе надежных поставщиков и заложить основу для управления рисками. Он основан на международно признанных стандартах, таких как ISO/IEC 27001, но дополняет их требованиями, специфичными для облачных сервисов, и уделяет особое внимание прозрачности посредством так называемых экологических параметров. Эти параметры предоставляют информацию о таких аспектах, как местоположение данных, юрисдикция, сертификаты и обязательства по раскрытию информации государственным органам, что должно помочь клиентам лучше оценивать риски (например, от промышленного шпионажа или утечек данных). Каталог включает 17 предметных областей, в том числе организацию информационной безопасности, безопасность персонала, управление активами, криптографию, управление идентификацией и доступом, управление инцидентами и физическую безопасность.
• Аудиторский сертификат (тип 1 и тип 2): Соответствие критериям C5 подтверждается аудиторским сертификатом, выданным независимым квалифицированным аудитором. Существует два типа аудиторских сертификатов: Тип 1 подтверждает адекватность разработки и внедрения мер безопасности на определенную дату. Тип 2 дополнительно подтверждает операционную эффективность этих мер контроля в течение определенного аудиторского периода (обычно от 6 до 12 месяцев). Аудиторский сертификат типа 2 считается более полным и будет требоваться для последующих аудитов, а в секторе здравоохранения — с июля 2025 года.
• Актуальность: C5 стал де-факто стандартом безопасных облачных вычислений в Германии, особенно для государственного управления и высокорегулируемых секторов, таких как здравоохранение и финансы. Как уже упоминалось, сертификация C5 станет юридически обязательной для облачных сервисов в здравоохранении в соответствии с Законом о цифровой инфраструктуре (DigiG), начиная с июля 2024/2025 года. Многие немецкие и европейские, а также международные облачные провайдеры (в своих регионах ЕС) имеют сертификаты C5 для своих услуг.

Другие соответствующие стандарты

Помимо упомянутых инициатив и сертификаций, важную роль играют также установленные международные стандарты:

• ISO/IEC 27001: общепризнанный во всем мире стандарт для систем управления информационной безопасностью (СУИБ). Он определяет систематический подход к управлению конфиденциальной деловой информацией для обеспечения ее конфиденциальности, целостности и доступности. Сертификация ISO 27001 часто является обязательным условием для поставщиков облачных услуг и служит основой для более специализированных стандартов, таких как C5.
• ISO/IEC 27017: Этот стандарт содержит свод правил с конкретными мерами контроля информационной безопасности в облачных средах, дополняющий стандарт ISO/IEC 27002.
• ISO/IEC 27018: Сосредоточен на защите персональных данных (PII) в публичных облачных средах, выступающих в качестве обработчиков данных. Он содержит рекомендации, тесно связанные с европейскими принципами защиты данных, и может служить дополнением к стандарту C5, который в первую очередь не охватывает защиту данных.

Эти различные инициативы и стандарты не следует рассматривать как конкурентов, а скорее как взаимодополняющие. Gaia-X закладывает основу и устанавливает правила для суверенной экосистемы, EUCS стремится к гармонизации сертификации в масштабах всего ЕС, а национальные стандарты, такие как BSI C5, уже предлагают конкретные, устоявшиеся требования и механизмы тестирования. Задача будет заключаться в том, чтобы осмысленно интегрировать эти подходы и создать целостную структуру, которая отвечала бы стремлениям Европы к суверенитету и одновременно была бы практичной для поставщиков и пользователей. Однако нынешние дебаты вокруг требований суверенитета в EUCS показывают, что необходима дальнейшая политическая и техническая работа.

Компаниям важно понимать, что такие сертификаты, как BSI C5 или ISO 27001, являются ценными инструментами доверия, обеспечивающими прозрачность и облегчающими демонстрацию мер безопасности. Однако они не являются панацеей и не заменяют собственную оценку рисков и надлежащую проверку со стороны клиента. Например, сертификат C5 для американского провайдера не меняет его подчиненность Закону о облачных технологиях (CLOUD Act). Совместная ответственность за безопасность использования облачных ресурсов остается между провайдером и клиентом, и компании всегда должны проверять, достаточны ли меры провайдера для их конкретных требований и рисков.

Подходит для:

• Системы управления данными в изменениях: стратегии успеха компании в эпохе ИИ

Стратегические преимущества перехода на европейских поставщиков SaaS-услуг

Анализ рисков, связанных с использованием облачных сервисов, базирующихся в США, и изучение растущего рынка европейских SaaS-альтернатив, гарантирующих цифровой суверенитет, позволяют сделать однозначный вывод: для европейских компаний разработка облачной стратегии с точки зрения цифрового суверенитета не только целесообразна, но и все чаще становится стратегической необходимостью.

Краткое изложение результатов

Основные выводы данного отчета можно резюмировать следующим образом:

• Постоянные риски, связанные с американскими поставщиками: использование SaaS-сервисов от компаний, подпадающих под юрисдикцию США, представляет значительные и постоянные риски для европейских компаний. Фундаментальный конфликт между Регламентом ЕС о защите персональных данных (GDPR) и законами США, такими как Закон о облачных технологиях (CLOUD Act) и Закон FISA 702, приводит к потенциальным утечкам данных, высоким штрафам, потере контроля над данными и риску промышленного шпионажа. Даже действующая Рамочная программа ЕС-США по защите персональных данных (DPF) не разрешает этот фундаментальный конфликт, и ее долгосрочная стабильность неопределенна (см. Раздел II).
• Суверенитет как многомерное понятие: «суверенное SaaS» в европейском контексте означает нечто большее, чем просто хранение данных в центрах обработки данных ЕС. Оно включает в себя соблюдение европейского законодательства (особенно GDPR), защиту от доступа из-за пределов Европы, эксплуатацию организациями и персоналом ЕС, а в идеале — технологическую открытость и совместимость во избежание зависимостей (см. раздел III).
• Растущий рынок альтернативных решений для ЕС: существует разнообразный и растущий рынок поставщиков SaaS, штаб-квартиры которых расположены в ЕС/ЕЭЗ/Швейцарии, и которые работают в этих странах. Эти поставщики предлагают решения в многочисленных категориях, часто уделяя особое внимание защите данных, безопасности и местным потребностям. Многие стратегически используют открытый исходный код для обеспечения максимальной прозрачности и контроля (см. разделы IV и V).
• Регуляторное давление в чувствительных секторах: В таких областях, как государственное управление, здравоохранение и финансовый сектор, использование заведомо безопасных и суверенных облачных решений (часто с сертификацией BSI C5 или аналогичными доказательствами) все чаще становится обязательным в соответствии с законодательством (например, DigiG, DORA, NIS2) и стратегическими требованиями (например, DVS) (см. раздел VI).
• Рамочные условия, создаваемые инициативами и стандартами: европейские инициативы, такие как Gaia-X, и сертификации, такие как планируемая EUCS, а также устоявшиеся национальные стандарты, такие как BSI C5, создают важные рамочные условия, способствуют интероперабельности и призваны укрепить доверие к суверенным облачным сервисам (см. раздел VII).

Стратегические преимущества альтернатив SaaS в ЕС

Переход на европейских SaaS-провайдеров, отвечающих критериям суверенитета, или их приоритетный выбор в первую очередь предоставляет компаниям стратегические преимущества, выходящие за рамки простого минимизирования рисков:

• Улучшение соответствия законодательству и правовой определенности: использование поставщиков услуг, которые подчиняются исключительно законодательству ЕС и гарантируют обработку данных в пределах ЕС, значительно снижает риск нарушений GDPR и конфликтов с неевропейским законодательством. Это создает более стабильную и предсказуемую правовую основу для обработки данных.
• Повышенный контроль и безопасность данных: европейские провайдеры, ориентированные на суверенитет, часто предлагают более высокий уровень контроля над вашими собственными данными. Этого можно достичь за счет вариантов самостоятельного размещения, последовательного сквозного шифрования (с нулевым разглашением), прозрачных операционных процессов и исключения доступа со стороны властей третьих стран.
• Укрепление цифрового суверенитета: выбор европейских поставщиков снижает стратегическую зависимость от неевропейских технологических компаний. Это способствует развитию устойчивой цифровой экосистемы в Европе и укрепляет местную цифровую экономику.
• Местная поддержка и культурная близость: Европейские поставщики часто могут предложить более доступное и понятное обслуживание клиентов на местном языке и в местном часовом поясе. Зачастую они лучше понимают специфические требования и обычаи европейского рынка, что может облегчить сотрудничество и ведение переговоров по контрактам.
• Укрепление доверия: Использование решений, явно соответствующих требованиям защиты данных и обеспечивающих суверенитет данных, свидетельствует о твердой приверженности защите и безопасности данных перед клиентами, партнерами и сотрудниками. Это может стать значительным преимуществом с точки зрения доверия и конкурентоспособности.

Рекомендации для европейских компаний

Чтобы воспользоваться преимуществами суверенных SaaS-решений и управлять рисками, связанными с внедрением облачных технологий, европейским компаниям следует рассмотреть следующие шаги:

• Проведите индивидуальный анализ рисков: критически оцените используемые вами в настоящее время SaaS-сервисы (особенно те, которые находятся в США). Проанализируйте тип обрабатываемых данных (конфиденциальные данные, персональные данные), применимые нормативные требования (GDPR, отраслевые правила) и потенциальное влияние несанкционированного доступа к данным или сбоев в работе сервисов на ваш бизнес.
• Определите требования к суверенитету данных: Определите необходимый и желательный для вашей организации уровень суверенитета данных, оперативного контроля и технологической независимости. Не каждое приложение требует одинакового уровня суверенитета. Расставьте приоритеты, исходя из риска и стратегической важности.
• Проведите систематическую оценку рынка альтернативных решений в ЕС: используйте обзоры рынка (например, представленные в этом отчете) и собственные исследования, чтобы выявить потенциальных европейских поставщиков SaaS, отвечающих вашим функциональным требованиям и требованиям, связанным с суверенитетом. Учитывайте размер поставщика, специализацию, отзывы и перспективы его развития.
• Тщательная проверка при выборе поставщика услуг крайне важна: не полагайтесь на маркетинговые заявления. Внимательно изучите информацию о поставщике, касающуюся мест хранения данных (включая резервные копии и метаданные), оперативного персонала, структуры компании (собственность, юридический адрес), используемых субподрядчиков, технологий шифрования (особенно сквозного/шифрования с нулевым разглашением) и мер безопасности. Запросите соглашения об обработке данных (DPA), технические и организационные меры (TOM), а также соответствующие сертификаты или подтверждения (например, ISO 27001, BSI C5) и внимательно их изучите.
• Разработайте стратегию миграции и план выхода: тщательно спланируйте любую потенциальную миграцию. Учитывайте затраты, технические усилия, необходимые для миграции данных, необходимые корректировки интерфейсов и управление изменениями для ваших сотрудников. Обеспечьте совместимость и определите четкую стратегию выхода, чтобы облегчить будущую смену поставщика или обратимость данных.
• Рассмотрите вариант с открытым исходным кодом: оцените, являются ли решения SaaS на основе открытого исходного кода, будь то управляемая услуга от европейского провайдера или самостоятельное размещение, подходящей альтернативой для достижения максимальной прозрачности, адаптивности и контроля.
• Следите за нормативно-правовой базой: будьте в курсе изменений в сфере трансатлантического трафика данных (верификация DPF), европейских стандартов сертификации (EUCS) и соответствующих законов (NIS2, DORA, отраслевые правила), поскольку они могут существенно повлиять на вашу облачную стратегию.

Решение об использовании или отказе от конкретных облачных сервисов, особенно в отношении американских провайдеров по сравнению с европейскими альтернативами, — это гораздо больше, чем просто технический вопрос или вопрос соответствия нормативным требованиям. Это стратегическое решение, имеющее долгосрочные последствия для правовой определенности, безопасности данных, контроля над критически важными бизнес-процессами и, в конечном итоге, для устойчивости и конкурентоспособности компании на глобальной цифровой арене. Анализируемые риски зависимости от неевропейских провайдеров существенны и усугубляются, а не смягчаются текущей геополитической и правовой ситуацией.

В то же время переход на европейские альтернативы не является гарантированным. Компаниям необходимо тщательно взвесить, перевешивают ли преимущества с точки зрения соответствия требованиям и контроля потенциальные недостатки в отношении функциональности, скорости внедрения инноваций или трудоемкости миграции. Тщательный анализ собственных потребностей, реалистичная оценка доступных альтернатив и тщательное планирование перехода имеют решающее значение для успеха. Однако европейский рынок все чаще предлагает жизнеспособные и надежные варианты, позволяющие компаниям использовать преимущества облачных технологий, не ставя под угрозу свой цифровой суверенитет.

☑️ Поддержка МСП в разработке стратегии, консультировании, планировании и реализации.

☑ Создание или перестройка стратегии ИИ

☑️ Пионерское развитие бизнеса

Konrad Wolfenstein

Буду рад стать вашим личным консультантом.

Вы можете связаться со мной, заполнив контактную форму ниже, или просто позвонить мне по телефону +49 89 89 674 804 (Мюнхен) .

Я с нетерпением жду нашего совместного проекта.

Xpert.Digital — это промышленный центр с упором на цифровизацию, машиностроение, логистику/внутреннюю логистику и фотоэлектрическую энергетику.

С помощью нашего решения для развития бизнеса на 360° мы поддерживаем известные компании, начиная с нового бизнеса и заканчивая послепродажным обслуживанием.

Аналитика рынка, маркетинг, автоматизация маркетинга, разработка контента, PR, почтовые кампании, персонализированные социальные сети и привлечение потенциальных клиентов являются частью наших цифровых инструментов.

Дополнительную информацию можно узнать на сайте: www.xpert.digital - www.xpert.solar - www.xpert.plus