Уйти из США Cloud: Sovereign SaaS предлагает по обзору + рекомендации по действию

Потребность в цифровом суверенитете для европейских компаний

Цифровое преобразование прогрессирует в неудержимых, а облачные вычисления, особенно программное обеспечение как услуга (SAAS), стали незаменимым инструментом для компаний всех размеров. Это обеспечивает гибкость, масштабируемость и доступ к инновационным технологиям. В то же время это развитие привело к значительной зависимости от нескольких, в основном американских облачных провайдеров.

Подходит для:

• Почему облачный акт США является проблемой и риском для Европы и остального мира: закон с далекими последствиями

Проблема: растущая зависимость от американских облачных провайдеров

На европейском облачном рынке явно преобладают большие гиперсклады США: Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Эти поставщики объединяют большую часть мирового рынка. Даже ведущие европейские поставщики, такие как SAP или Deutsche Telekom в Европе, достигают лишь небольшие доли рынка в Европе. Эта концентрация представляет собой присущую опасность: большая часть глобальной и, в частности, европейская облачная инфраструктура потенциально подвержена юрисдикции законов США. В европейских компаниях и все чаще в государственных администрациях, осведомленность о рисках, связанных с этой зависимостью, растет. Причины, касающиеся защиты данных, безопасности данных и потери контроля над критическими данными и процессами, находятся на переднем плане. Вопрос о цифровом суверенитете становится стратегической необходимостью.

Актуальность суверенитета данных и соответствия GDPR

Общее регулирование защиты данных (GDPR) находится в центре европейских проблем. С 2018 года он стал строгой правовой базой для защиты личных данных в Европейском Союзе и подробно регулирует ее обработку и передачу, особенно в странах за пределами ЕС. Соответствие GDPR является не только юридическим обязательством для европейских компаний, но и важным фактором для доверия клиентов и деловых партнеров. В то же время концепция цифрового суверенитета приобретает важное значение. Он описывает усилия Европы для восстановления или контроля над вашими собственными данными, технологиями и цифровыми инфраструктурами. Это не только вопрос защиты данных, но и цель промышленной политики для укрепления европейской экономики и конкурентоспособности в глобализированном цифровом мире. Для компаний это означает необходимость переосмыслить облачные стратегии и активно искать решения, которые являются юридически соответствующими и заслуживающими доверия и обеспечивают их собственную способность действовать.

Подходит для:

• Интеграция AI независимой и перекрестной платформы AI в масштабах источника для всех вопросов компании

Цель и структура отчета

Этот отчет предназначен для европейского бизнеса и лиц, принимающих решения, которые столкнулись с проблемой разработки стратегии в области облачной и заботливой, заботящейся о будущем и риска. Он преследует цель создания хорошо обоснованной основы для решения:

• Конкретные риски, проанализированные, возникающие в результате использования американских SaaS Services для европейских компаний, особенно в отношении конфликта между GDPR и американскими законами, такими как The Cloud Act и FISA 702.
• Определяет то, что следует понимать в «Суверенных предложениях SaaS» в европейском контексте и какими критериями они должны соответствовать.
• Обзор рынка европейских поставщиков SaaS, которые позиционируют себя как суверенные альтернативы, классифицируется по областям применения.
• Сравнение важных альтернатив в ключевых категориях в отношении функций, цен и, прежде всего, реализации суверенитета данных и соответствия GDPR.
• Специализированные решения для чувствительных секторов, таких как государственное управление, здравоохранение и финансы.
• Представляют соответствующие инициативы ЕС (такие как GAIA-X) и сертификаты (такие как EUCS, BSI C5), которые способствуют облачным суверенитету.
• Вывод и рекомендации по действиям по стратегической ориентации компаний происходит.

Анализ рисков: облачные услуги США и проблемы для европейских компаний

Использование облачных услуг, особенно предложения SaaS, от поставщиков, базирующихся в Соединенных Штатах, представляет европейские компании со значительными юридическими и оперативными проблемами. Это происходит в основном из-за фундаментального конфликта между строгими европейскими правилами защиты данных и далеко идущим законодательством США и законами о доступе к данным.

Основной конфликт: GDPR против законов мониторинга США.

Общее регулирование защиты данных (GDPR) является основой европейской защиты данных. Он устанавливает высокие стандарты для обработки персональных данных от граждан ЕС. Статья 44 фр. GDPR, который регулирует передачу таких данных в страны третьей страны (страны за пределами ЕС/ЕЭЗ), особенно актуальны для использования облака. Такая передача разрешена только в том случае, если в третьей стране есть «разумный уровень защиты» (определяется адекватным решением Комиссии ЕС) или если «подходящие гарантии» (такие как стандартные предложения по контракту или обязательные корпоративные правила) доступны, и обеспечиваются именные права и эффективные правовые правовой защиты для тех, кто затронут. Кроме того, статья 48 GDPR явно запрещает передачу данных властям третьей страны из -за их решений или решений, если нет международного соглашения, такого как соглашение о правовой помощи. Несколько законов США выступают против этого европейского заявления о защите о том, что власти гранта США далеко идущие права доступа к данным, даже если они хранятся за пределами Соединенных Штатов:

• Закон о облаке США (уточнение законного Закона о использовании данных за рубежом): этот 2018 год, который принят в 2018 году, разрешает США органам уголовного преследования США и разведывательные службы запросить публикацию данных, которые находятся под их контролем, независимо от того, где эти данные хранятся в мире. Это явно включает в себя данные, которые находятся в центрах обработки данных в Европейском Союзе. Таким образом, Закон об облаке подрывает принцип территориальности защиты данных и находится в прямом противоречии требованиям GDPR, в частности, статьи 48. Он был создан, среди прочего, в ответ на длительный юридический спор между Microsoft и правительством США о доступе к электронным письмам, хранящимся в Ирландии, и современных более старых правила доступа с сентября 2001 года, как и Закон о патриоте. Механизмы акта облака, согласно которым провайдер может оспорить договоренность о выдаче, если он нарушает закон другого государства (например, GDPR), но практическая эффективность этих механизмов, особенно в области национальной безопасности, является весьма спорной и не дает надежной гарантии для европейских компаний. Поэтому поставщики находятся в конфликте: если они следуют соглашению о облачном акте без юридической основы ЕС, риск массового GDPR; Если вы отказываетесь публиковать, ссылаясь на GDPR, угрожайте санкциям в соответствии с законодательством США.
• FISA Раздел 702 (Закон о наблюдении за иностранной разведкой): Это положение, часть Закона о поправках к FISA с 2008 года, позволяет нам разведывательные службы, такие как АНБ, целевой мониторинг электронного общения людей, не являющихся США, которые находятся за пределами Соединенных Штатов. Мониторинг происходит для получения «информации иностранной разведки». FISA 702 обязывает американских поставщиков электронных услуг связи (поставщики электронных услуг связи-ECSP), которые включают в себя множество крупных поставщиков облаков и SaaS, сотрудничать с властями. Объем потенциально зарегистрированных данных очень широкий и, помимо метаданных, также может включать в себя контент коммуникации, даже от неинтересованных третьих сторон, которые упоминают только одного целевого человека. Программы мониторинга в рамках FISA 702 (например, PRISM и Upstream) были центральной точкой критики в суждении Schrems II о Европейском отделении (см. Ниже). Отсутствие эффективных юридических лиц для пострадавших граждан ЕС и потенциал для массового наблюдения также подвергаются критике, даже если власти США отрицают это.
• Исполнительный приказ 12333 и другие: в дополнение к облачным законам и FISA 702, существуют другие юридические базы, такие как исполнительный приказ 12333, которые предоставляют разведывательные службы США далеко идущие полномочия для наблюдения за рубежом, часто без судебного контроля или конкретных юридических ограничений на непосредственные.

Этот фундаментальный правовой конфликт создает ситуацию, в которой использование облачных услуг от американских поставщиков для европейских компаний несет в себе риски.

Конкретные риски для европейских компаний

Описанный юридический конфликт приводит к ощутимым рискам для европейских компаний, которые используют американские услуги SaaS:

• Нарушения защиты данных и штрафы: капитуляция личных данных властям США на основе облака Закона или FISA 702, без действительной правовой основы в соответствии с законодательством ЕС (например, соглашение о правовой помощи), является явным нарушением GDPR, в частности, в отношении статьи 48. Это может привести к конфиденциальным штрафам до 4% мировых ежегодных расходов, а также к требованиям гражданского законодательства. Использование только облачного сервиса США не может быть оценено как потенциально не совместимое с GDPR, если поставщик не может гарантировать, что он не публикует данные при нарушении GDPR.
• Потеря суверенитета и контроля данных: договорная гарантия поставщиков США для хранения данных только в центрах обработки данных ЕС, не предлагает эффективную защиту от доступа США в соответствии с Законом о облаке или FISA. Законы США могут подорвать эти гарантии, а также технические защитные меры. Даже шифрование данных не является панацеей, если поставщик США контролирует клавиши шифрования, потому что это может быть вынуждено раскрывать их. Аналогичным образом, можно избежать механизмов контроля доступа, а протоколы аудита можно просматривать без знания владельца данных, что нарушает требования к прозрачности GDPR. Фактически, европейские компании фактически теряют контроль над тем, какие обстоятельства обращаются к их данным.
• Экономический шпионаж и потеря бизнес -секретов: особенно серьезным риском является потенциальный дренаж конфиденциальных данных компании. Это включает в себя интеллектуальную собственность, данные исследований и разработок, прототипы, стратегические планы, финансовые данные или конфиденциальные данные и коммуникации клиентов. Опасение того, что власти США также могут использовать свои права доступа в экономических целях (бизнес -шпионаж), является важным фактором для европейских компаний для поиска альтернатив или для принятия дополнительных защитных мер. Потеря такой информации может привести к значительным финансовым потерям, повреждению репутации и потери конкурентных преимуществ.
• Юридическая неопределенность и потеря доверия: неразрешенный конфликт между европейским законом о защите данных и правами доступа США создает значительную правовую неопределенность для компаний, которые используют услуги США. Эта неопределенность усложняет долгосрочные усилия по планированию и соблюдению. Кроме того, дальнейшее использование услуг, в которых защита данных не может быть гарантирована, может значительно подорвать доверие клиентов, сотрудников и деловых партнеров.
• Геополитические риски: такие законы, как Закон о облаке, рассматриваются в контексте глобальных тенденций к повышению государственного наблюдения и возможной фрагментации Интернета («Splinternet»). Сравнения с аналогичными законами в других странах, таких как национальный закон о разведке Китая. Чрезмерная зависимость от поставщиков технологий из одного невропейского региона также несет стратегические риски для цифровой автономии и устойчивости Европы.

Таким образом, риск использования облаков США выходит далеко за рамки потенциальных штрафов GDPR. Они включают в себя потерю критических бизнес -данных, повреждение репутации и угрозу конкурентоспособности из -за возможного злоупотребления правами доступа для бизнес -шпионажа. Они часто трудные количественные, но потенциально экзистенциальные «побочные» риски слегка недооценены на чистоте акцента на соответствие GDPR.

Решение Schrems II и структура конфиденциальности данных (DPF)

Юридическая неопределенность в трафике трансатлантических данных была значительно ужесточена решением SCHREMS II Европейского суда (ЕЦДЖ) в июле 2020 г. Причина: законы о надзоре США, в частности FISA 702 и связанные с ними программы, позволяют вмешиваться в фундаментальные права граждан ЕС (защита данных, конфиденциальность), которые не ограничиваются обязательным уровнем и не предлагают эквивалентную защиту, как в ЕС. Кроме того, не хватает эффективных юридических препаратов для тех, кто пострадал в Соединенных Штатах от таких мер наблюдения. Решение подтвердило фундаментальную достоверность стандартных положений о контрактах (стандартные договорные положения - SCCS) в качестве альтернативного инструмента для передачи данных. Тем не менее, Европейский директор дал понять, что экспортерам данных не разрешается слепо полагаться на SCCS. В рамках отдельного теста на случай (оценка воздействия на передачу - TIA) вы должны проверить, обеспечивают ли право и практика в целевой стране (здесь США) защита, которая является «по существу равным» в ЕС. Если это не так из -за законов о наблюдении, которые Европейский директор предложил США, должны быть приняты дополнительные меры (дополнительные меры) (например, сильное шифрование, при котором получатель не имеет доступа к ключам) для обеспечения защиты. Если это невозможно, передача данных должна быть приостановлена. В этом контексте облачный акт рассматривался как фактор, который еще больше подрывает аргумент в пользу эквивалентности на уровне защиты. В ответ на юридическую неопределенность, вызванную Schrems II, и на то, чтобы разместить поток данных между ЕС и Соединенными Штатами на прочной основе, Комиссия ЕС и правительство США согласились с структурой конфиденциальности данных в ЕС-США (DPF). Это вступило в силу в июле 2023 года новой уместностью комиссии ЕС. DPF предназначен для решения проблем, выраженных в решении Schrems II, предоставляя дополнительные защитные меры на стороне США: доступ через разведывательные услуги США к данным граждан ЕС должен быть ограничен необходимым и пропорциональным уровнем, а для граждан ЕС было создано новое двухэтапное юридическое средство правовой защиты (включая обзор защиты данных). Компании в США могут быть сертифицированы для DPF, а передача данных из ЕС в эти сертифицированные компании затем считается допустимым без дополнительных инструментов, таких как SCCS или другие меры. Тем не менее, все еще существуют значительные сомнения и риски в отношении стабильности и эффективности DPF:

• Основные законы США остаются: облачный акт и FISA 702 не были изменены DPF. Основные полномочия властей США для доступа к данным продолжаются.
• Сомнения в отношении силы Европейского Экс: многие эксперты и активисты по защите данных сомневаются в том, что защитные меры, предусмотренные в DPF, и новый механизм правовой защиты, выдержат новый обзор Европы. В частности, независимость и уверенность в DPRC подвергаются сомнению.
• Требуется непрерывный мониторинг: в соответствии с ст. 45 пункт. 4 GDPR, Комиссия ЕС обязана постоянно контролировать события в США и регулярно проверять уместность. Первый обзор состоялся летом 2024 года. Недавние события, такие как расширение и потенциальное расширение FISA 702, могут снова поставить под угрозу основу DPF.
• Риск для компаний. Компании, которые полагаются исключительно на DPF, несут не незначительный риск. Если Европейский директор также лишает недействительного DPF в будущем (сценарий «Schrems III»), передача данных на этой основе снова будет незаконной на этой основе. Компании, которые затем не имеют «плана B» (например, переключение на поставщиков ЕС или реализация эффективных дополнительных мер), не могут рассчитывать на снятие средств.

Основной конфликт между законодательством США об обширном доступе к данным и фундаментальным правом ЕС на защиту данных остается под DPF. Законы США, которые вызывают проблему, все еще действуют. DPF является скорее политическим и, возможно, временным мостом, чем окончательным юридическим решением. Основная проблема потенциально доступа к GDPR со стороны американских властей к данным европейских граждан и компаний не очищается.

Определение и критерии: что означает «суверенный сас»?

Ввиду описанных рисков, европейские компании все чаще ищут альтернативы, которые предлагают им больше контроля, безопасности и юридического соответствия. В этом контексте концепция «суверенного облака» или «уверенности в себе» часто падает. Но что именно скрывается за этим, и какие критерии должны соответствовать предложению, чтобы считаться суверенным в европейском контексте?

Основные элементы суверенитета в облачном контексте

Цифровой суверенитет в облачной среде является сложной концепцией, которая выходит за рамки чистого технического предоставления услуг. Это можно понять с помощью нескольких основных элементов:

• Суверенитет данных (Data Soverabnty): это центральный принцип. В нем говорится, что данные подлежат законам и правилам юрисдикции, в которой они являются или были подняты. Для Европы это означает, прежде чем все неограниченная достоверность Закона о защите данных ЕС (в частности GDPR) и защиту от доступа властей из третьих стран на основе экстерриториальных законов, таких как Закон США. Клиент сохраняет полный контроль над тем, какие условия могут получить доступ к его данным.
• Резиденция данных и локализация данных:
  • Резиденция данных означает, что данные клиента (включая метаданные и резервные копии) гарантируются в определенном географическом регионе, обычно из ЕС или ЕЭА. Это необходимая предпосылка для суверенитета данных в контексте ЕС, но само по себе недостаточно, если поставщик подчиняется невропейским законам.
  • Локализация данных является более строгим требованием, согласно которому данные не разрешают оставлять пределы определенной страны. Такие законы редки в ЕС, но могут иметь отношение к конкретным национальным нормам или секторам.
• Оперативный суверенитет (оперативный суверенитет): этот элемент относится к управлению работой облачной инфраструктуры и услуг на нем. Важными аспектами являются:
  • Операция через персонала ЕС и юридических лиц ЕС: необходимо обеспечить, чтобы персонал, физический или логический доступ к облачной среде и данным клиента, проживал в ЕС и подлежит законодательству ЕС. Доступ из -за пределов ЕС должен предотвратить технически и организационно или строго контролировать.
  • Корпоративное место и структуру ЕС. Сам облачный провайдер или, по крайней мере, юридическое лицо, ответственное за компанию в ЕС, должно иметь свою штаб -квартиру в штате ЕС/ЕЭА и, следовательно, в основном подчинены европейскому законодательству. Также очень важно, чтобы в третьих странах не было зависимостей от материнских компаний или филиалов (особенно в Соединенных Штатах), что может обеспечить соблюдение заявления в соответствии с их законами (такими как облачный акт или FISA).
  • Прозрачность и аудит: клиенты нуждаются в прозрачности через операционные процессы, используемые субподрядчики и реализованные меры безопасности. Возможность независимого обзора и аудита доступа и процессов является важной характеристикой оперативного суверенитета.
• Технологический суверенитет (технологический сувергти): это относится к способности понимать, контролировать, проверять и в идеале разрабатывать сами основные ключевые технологии. Аспекты этого:
  • Использование открытых стандартов и программного обеспечения с открытым исходным кодом: открытые стандарты и программное обеспечение для источника способствуют взаимодействии между различными поставщиками и решениями, повышение прозрачности (поскольку код можно проверить), снизить риск блокировки поставщиков и облегчить аудиты безопасности. Они часто формируют основу для европейских технологических стеков, таких как облачный стек Soveign (SCS).
  • Совместимость и переносимость. Возможность легко миграции данных и приложений между различными облачными поставщиками или обратно в свою собственную инфраструктуру (локально) является признаком независимости и гибкости.
  • Контроль над технологическим стеком: в долгосрочной перспективе технологический суверенитет направлен на снижение зависимости от проприетарных аппаратных и программных компонентов из невропейских источников и создания собственных европейских навыков.

Подходит для:

• Независимые платформы ИИ в качестве стратегической альтернативы для европейских компаний

Дифференциация и недопонимание

Термин «уверенное облако» не защищен по закону и часто используется различными поставщиками в качестве маркетингового инструмента, в результате чего основные концепции и меры могут сильно различаться. Поэтому для компаний важно проверить, что именно поставщик подразумевает под суверенитетом и какие конкретные гарантии он предлагает. Распространенным недоразумением является то, что хранение данных в центре обработки данных в ЕС достаточно для обеспечения суверенитета. Однако это не так. Как объяснено в разделе II, облачный акт США обеспечивает доступ к данным от американских компаний независимо от местоположения. Резиденция данных в ЕС не защищает нам доступ, если сам поставщик или его материнская компания являются нами или иным образом подчиняются юрисдикции США. В другом предрассудке говорится, что суверенное облако предлагает неизбежно средние функциональные ограничения или более медленную скорость инноваций по сравнению с глобальными гиперспешами. Хотя это может применяться в некоторых случаях, поскольку местные провайдеры часто не имеют одинаковых эффектов масштаба и исследовательских бюджетов, целью является не в первую очередь ограничение, а сочетание преимуществ облачных вычислений (гибкость, масштабируемость) с требованиями для контроля, безопасности и соответствия. Многие европейские провайдеры полагаются на открытые технологии, чтобы обеспечить инновации и адаптивность.

Критерии для суверенных поставщиков SaaS с точки зрения ЕС

Основываясь на основных элементах суверенитета, могут быть получены конкретные критерии, из которых европейские компании могут оценивать поставщиков SaaS:

• Защита данных и соответствие: поставщик, как было показано, соответствует требованиям GDPR. Это должно быть задокументировано с помощью контракта на обработку заказа (AVV) в соответствии с искусством. 28 GDPR и подходящие технические операционные меры (TOMS). Соответствие дальнейшим соответствующим ЕС и национальным правилам (например, для конкретных секторов) должно быть гарантировано.
• Расположение и обработку данных: должно быть договоренно гарантировано, что все данные клиента, включая метаданные, данные конфигурации и резервные копии, сохраняются только в ЕС или ЕС.
• Управление эксплуатацией и доступом. Операция Услуг и доступ к данным клиента должен осуществляться персоналом, основанным в ЕС и принадлежит юридической личности ЕС. Строгие технические и организационные меры должны быть реализованы для предотвращения несанкционированного доступа, особенно из -за пределов ЕС.
• Структура компании и юрисдикция: поставщик должен иметь свою штаб -квартиру и соответствующий юридический контроль в ЕС/ЕЭЗ. Не должно быть никакого вмешательства социального закона или филиала в третьих странах (особенно в Соединенных Штатах), что приводит к поставщику под их юрисдикцией и может потенциально заставить данные сдаться (например, в соответствии с облачным актом или FISA).
• Прозрачность: поставщик должен предоставить прозрачную информацию о своих операционных процессах, использование субподрядчиков, местоположения обработки данных и реализованные меры безопасности. Должна быть дана возможность аудита клиентом или независимыми третьими лицами.
• Технология и совместимость: предпочтительное использование открытых стандартов (например, API) и/или программного обеспечения с открытым исходным кодом облегчает интеграцию, тестирование и потенциальные изменения для других поставщиков (избегание блокировки поставщиков).
• Сертификаты и тесты: признанные сертификаты и тесты могут служить доказательством соответствия стандартам безопасности и соответствия и создавать доверие. ISO 27001, BSI C5 (в Германии) и EUCS в будущем особенно актуальны.

Становится ясно, что цифровой суверенитет в контексте SaaS является многомерной концепцией. Речь идет не только о том, где хранятся данные, но и о том, кто их обрабатывает, какой закон подлежит поставщику и тем, какие технологические основы используются. Поэтому при выборе поставщика компании должны проверить, какие аспекты суверенитета являются приоритетом для них и насколько хорошо поставщик отвечает этим конкретным требованиям. Чистого резиденции данных в ЕС часто недостаточно для эффективного снижения рисков, особенно посредством законов США. В то же время компании часто сталкиваются с областью напряжения: стремление к максимальному суверенитету и контролю должно быть приведено в связи с потенциальными недостатками в функциях, скорости инноваций или затратах, которые могут возникнуть у некоторых европейских или строго суверенных поставщиков по сравнению с глобальными гиперсчетами. Использование программного обеспечения с открытым исходным кодом рассматривается многими европейскими поставщиками в качестве стратегического способа обеспечения прозрачности, доверия и адаптивности, даже если они не могут быть на переднем крае какого -либо новейшего развития технологий.

Xpert.Digital обладает глубокими знаниями различных отраслей. Это позволяет нам разрабатывать индивидуальные стратегии, которые точно соответствуют требованиям и задачам вашего конкретного сегмента рынка. Постоянно анализируя тенденции рынка и следя за развитием отрасли, мы можем действовать дальновидно и предлагать инновационные решения. Благодаря сочетанию опыта и знаний мы создаем добавленную стоимость и даем нашим клиентам решающее конкурентное преимущество.

Подробнее об этом здесь:

• Используйте 5-кратный опыт Xpert.Digital в одном пакете — всего от 500 евро в месяц

Обзор рынка: суверенные альтернативы SaaS из ЕС

Рынок европейского программного обеспечения как услуга (SAAS) предлагает растущее число поставщиков, которые позиционируются в качестве альтернативы доминирующим американским игрокам. Многие из них уделяют особое внимание защите данных, соответствию GDPR и цифровому суверенитету, чтобы удовлетворить конкретные требования европейских компаний и организаций.

Критерии для выбора поставщиков

Следующий обзор посвящен поставщикам SaaS, которые соответствуют следующим критериям:

• Происхождение: Компания со штаб -квартирой в государстве Европейского Союза (ЕС), Европейской экономической области (ЕЭЗ) или Швейцарии (CH), поскольку Швейцария имеет адекватное решение Комиссии ЕС и часто тесно интегрируется в Европейский экономический район.
• Позиционирование: Поставщик явно позиционирует себя как альтернативу суверена или защиты данных или имеет важные функции цифрового суверенитета (например, исключительное хостинг в ЕС/ЕЭЗ, очевидное соответствие GDPR, без подчинения в соответствии с такими законами, как облачный акт/FISA, использование открытого источника).
• Актуальность: поставщик упоминался в основных источниках исследования или известен как соответствующая альтернатива в своей категории.

Поставщики сгруппированы для лучшей ясности в соответствии с общими категориями SaaS.

Категоризированный обзор европейских поставщиков SaaS

В следующей таблице представлен обзор выбранных европейских поставщиков SaaS, в соответствии с функциональными областями. Это служит отправной точкой для более подробной оценки.

Обзор европейских поставщиков SaaS по категориям

(Примечание: эта таблица является выбором и не претендует на завершенную. Информация основана на доступных источниках и может измениться. Отдельный экзамен компании очень важен.)

Обзор европейских поставщиков SaaS показывает множество решений, которые упорядочены в соответствии с категориями. В области сотрудничества и офиса есть поставщики, такие как Hub NextCloud из Германии, с платформой с открытым исходным кодом для файлов, разговоров, группового программного обеспечения и офиса, которые могут быть размещены как самостоятельно, так и поставщика и полагаются на суверенитет данных. App Suite Open-xchange, также из Германии, предлагает полное решение для электронной почты, программного обеспечения, диска и документов, особенно для поставщиков и компаний, а также соответствует стандартам ISO 27001. OnlyOffice от Latvia обеспечивает офисный набор с вариантами сотрудничества и рабочей площадкой (включая CRM и электронную почту), это как облачная, так и облачная способность и обеспечение GDPR. Collabora Online, основываясь на LibreOffice, часто интегрируется с такими платформами, как NextCloud. TeamDrive из Германии фокусируется на высококачественной облачной памяти с сквозным шифрованием и принципом нулевого знания. Conceptboard, также из Германии, предлагает онлайн -доску для визуального сотрудничества с серверами ЕС и без участия США. CryptPad из Франции объединяет сотрудничество с открытым исходным кодом и E2E. Stackfield из Германии обеспечивает платформу, соответствующую GDPR, для чата, задач и видео.

В области CRM и продаж ZEEG из Германии с графиком, соответствующим GDPR, включает в себя планирование, в то время как CentralStationCRM предлагает простой CRM для МСП. SAP CRM, как часть SAP Suite, предназначена для компаний. В облачных решениях хранилища, такие поставщики, как Pcloud из Швейцарии, выделяются с дополнительными планами E2E шифрования и пожизненного времени. Tresorite сочетает в себе высокую безопасность, нулевые знания и соблюдение требований для Европы. Proton Drive, также из Швейцарии, предлагает зашифрованное файловое оборудование. Немецкие провайдеры, такие как Ionos Hidrive и международные варианты, такие как Infomaniak Kdrive, завершают предложение.

Для видеоконференций, Opentalk из Германии с особым акцентом на безопасность и GDPR, а также подчеркнуто подчеркнутое решение для решения с открытым исходным кодом. EyeSon из Австрии предлагает видео на основе облачных видео, а Univid из Швеции фокусируется на вебинарах. В веб -анализе Matomo предлагает вариант с открытым исходным кодом с полным управлением данных, Plausible Analytics фокусируется на легкой удобстве удобства использования и защите данных, Etracker из Германии выполняется без файлов cookie и piwik pro.

Автоматизация маркетинга охватывается такими поставщиками, как Brevo (ранее Sendinblue), с серверами в Германии/ЕС и Evalanch с B2B Focus и сертификацией ISO. В случае программного обеспечения HR Personio является лидером, комплексной платформой для МСП, дополненной такими решениями, как HRWorks и REXX Systems, которые предлагают как облачные, так и локальные модели. OpenProject in Management Project - это немецкое решение с открытым исходным кодом, в то время как Zenkit оценивает гибкие рабочие пространства. Безопасные поставщики электронной почты, такие как Tutanota и Proton Mail, стоят за защиту данных и сквозного шифрования. Одиночный вход обслуживается BAGE.ID из Германии с безопасностью, соответствующей GDPR. Для инструментов обследования Lamapoll и Limesurvey убедительны с адаптивностью и стандартами немецкого сервера. Вопроспроре в версии ЕС окружает список с обширными функциями и соответствием GDPR.

Этот обзор иллюстрирует замечательное разнообразие и специализацию на европейском рынке SaaS. Особенно в областях, в которых защита данных и безопасность традиционно играют важную роль, такую ​​как сотрудничество, безопасное общение, облачное хранилище и веб-анализ,-существует широкий спектр альтернатив. Многие из этих поставщиков являются небольшими или средними компаниями (МСП) или специализированными нишевыми игроками из разных европейских стран. Они часто сосредотачиваются на соблюдении GDPR и конкретных потребностях европейского рынка, которые выражаются в таких характеристиках, как хостинг ЕС, поддержка немецкого языка или конкретные сертификаты соответствия.

Стратегическая важность программного обеспечения с открытым исходным кодом для многих европейских провайдеров также поражает. Особенно в областях сотрудничества (NextCloud, CryptPad), Office (OnlyOffice, Collabora), управления проектами (OpenProject), веб -анализа (Matomo) и видеоконференций (Jitsi, Opentalk), технологии источника -опен часто формируют основу. Это больше, чем просто техническая деталь; Это сознательное решение способствовать прозрачности (посредством видимого кода), адаптивности, аудитации и избегания зависимостей (блокировка поставщика). Эти аспекты являются центральными строительными блоками для цифрового суверенитета и позволяют европейским поставщикам предлагать надежные и гибкие решения, не обязательно имея огромные бюджеты по развитию глобальных гиперсшип. Это дает клиентам больше контроля и понимания используемой технологии.

Сравнение выбранных альтернатив ЕС

Согласно общему обзору рынка, в настоящее время наблюдается более подробное сравнение отдельных, репрезентативных европейских альтернатив SaaS в ключевых категориях. Основное внимание уделяется основным функциям, ценам, уникальным точкам продаж и, в частности, реализации суверенитета данных и соответствия GDPR.

Методология сравнения

Выбор поставщиков для подробного сравнения основан на их актуальности и частоте упоминания в базовых источниках и их позиционировании в качестве прямых европейских альтернатив известным услугам США. Сравнение основано на информации из конкретных фрагментов поставщиков и других соответствующих точек данных из общих фрагментов. Критерии включают:

• Основные функции: что программное обеспечение делает в ядре?
• Модель цены: какова структура цен (подписка, Freemium, срок службы, локальный)?
• Расположение данных/Хостинг: где размещены данные (Eu/de Guardened)? Есть ли варианты самостоятельного ведения?
• Шифрование: какие методы шифрования используются (в частности, сквозные, нулевые знания)?
• Сертификаты/соответствие: каковы соответствующие сертификаты (ISO 27001, BSI C5 и т. Д.) И обязательства по соблюдению (GDPR)?
• Сильные и слабые стороны, касающиеся суверенитета: специальные функции или ограничения с точки зрения управления данными, прозрачности и независимости.

Сравнение деталей по категориям

Подробное сравнение важных альтернатив ЕС-SAAS

Подробное сравнение важных альтернатив EU SaaS показывает, что NextCloud Hub в качестве модульной платформы предлагает такие функции, как синхронизация и выпуск файлов, видеоконференции, групповое программное обеспечение и интеграция офиса, в то время как Spear-xchange App Suite сфокусирован на электронной почте, календаре, контактах и ​​памяти. NextCloud Hub обеспечивает полное управление посредством самостоятельного управления и предлагает дополнительное сквозное шифрование, но имеет более высокие требования ИТ для вашего собственного хостинга. Open-xchange выделяется с точки зрения ЕС посредством сертификации ISO и защиты данных, но облада зависит от поставщика. В районе CRM Zeeg забивает с четким соответствием GDPR и хостингом в Германии, в то время как CentralStatationCRM убеждает с простотой и фокусом МСП. Оба провайдера предлагают модели Freemium и гарантированные местоположения данных, соответствующие GDPR. Благодаря облачной памяти Pcloud с планами пожизненного времени и параметрами памяти ЕС показывает преимущества с точки зрения гибкости, но шифрование E2E является необязательным и за плату, в то время как Tresorite забивает последовательный шифрование с нулевым знанием и высокое соответствие, но стоит дороже. OnlyOffice и Collabora Online предлагают обширные офисные альтернативы с сильной ориентацией на ЕС и открытым исходным кодом, в результате чего только Office сияет через совместимость MS и функции сотрудничества. Collabora Online тщательно интегрирована в платформы, такие как NextCloud, и, следовательно, менее автономный сфокусирован. В области видеоконференций Opentalk забивает с такими функциями, как вебинары, опросы и четкое фокус GDPR, в то время как Jitsi Meet предлагает максимальный самоконтроль и простоту в качестве бесплатного решения с открытым исходным кодом. Оба решения предлагают локальные варианты и сильные функции защиты данных, в результате чего Opentalk выделяется номерным знаком BSI IT Security.

Сравнение деталей подчеркивает, что редко есть единственная «лучшая» европейская альтернатива. Выбор в значительной степени зависит от конкретных требований и приоритетов компании. Существуют четкие компромиссы, например, между максимальной безопасностью и ценой (Pcloud и Safe) или между комплексным контролем посредством самостоятельного управления и комфортом управляемого решения SaaS (NextCloud vs. App Suite Cloud). Компании должны взвесить, какой аспект - диапазон функций, пользовательское дружелюбие, затраты или степень суверенитета и безопасности - наиболее важен для них.

Решающей особенностью многих европейских провайдеров является гибкость в операционной модели. Такие решения, как NextCloud, OnlyTalk или Jitsi, предлагают как облачные (SAAS), так и локальные или самостоятельные варианты. Это дает компаниям возможность самостоятельно определить степень контроля и суверенитета. Вы можете выбрать комфорт решения SaaS для надежного европейского поставщика или выбрать максимальный контроль над данными и инфраструктурой, работая в вашем собственном центре обработки данных. Этот выбор решает основную потребность после контроля, которая управляет суверенными дебатами.

Ki-GameChanger: наиболее гибкие решения AI-Tailor, которые снижают затраты, улучшают свои решения и повышают эффективность

Независимая платформа искусственного интеллекта: интегрирует все соответствующие источники данных компании

• Эта платформа ИИ взаимодействует со всеми конкретными источниками данных
  • От SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox и многих других систем управления данными
• Быстрая интеграция AI: специально разработанные решения для ИИ для компаний в течение нескольких часов или дней вместо месяцев
• Гибкая инфраструктура: облачный или хостинг в вашем собственном центре обработки данных (Германия, Европа, свободный выбор местоположения)

• Самая высокая безопасность данных: использование в юридических фирмах является безопасным доказательством
• Используйте в широком спектре источников данных компании
• Выбор ваших собственных или различных моделей искусственного интеллекта (DE, EU, USA, CN)

Проблемы, которые решает наша платформа ИИ

• Отсутствие точности обычных решений ИИ
• Защита данных и безопасное управление конфиденциальными данными
• Высокие затраты и сложность индивидуального развития ИИ
• Отсутствие квалифицированного ИИ
• Интеграция ИИ в существующие ИТ -системы

Подробнее об этом здесь:

• Интеграция AI независимой и перекрестной платформы AI в масштабах источника для всех вопросов компании

Специализированные решения: суверенный SaaS для чувствительных секторов

Хотя рассматриваемые до сих пор можно использовать решения SaaS, существуют секторы с особенно высокими требованиями в отношении безопасности, соответствия и цифрового суверенитета. Это включает в себя, в частности, государственное управление, здравоохранение и финансовый сектор. Здесь развиваются специализированные предложения и нормативные рамки, которые способствуют или даже предписывают использование суверенных облачных решений.

Государственное управление

Государственный сектор в Германии и Европе проявляет интерес к цифровому суверенитету, чтобы обеспечить контроль над данными граждан и критические государственные процессы. Требования часто выходят за рамки стандартного соответствия GDPR и включают в себя конкретные стандарты безопасности, такие как базовая защита BSI IT или каталог критериев BSI C5. Средство совместимость между различными органами власти и уровнями, а также предпочтение программному обеспечению с открытым исходным кодом, чтобы избежать зависимостей, также являются важными аспектами.

Несколько инициатив направлены на создание суверенной облачной инфраструктуры для администрирования:

• Германская административная стратегия облака (DVS): Эта стратегия, основанная Советом по планированию ИТ и Фитко, преследует цель создания федеральной, безопасной, совместимой и суверенной облачной экосистемы для федеральной, государственной и муниципалитетов. Он опирается на открытые стандарты, много облака подхода и интеграцию общественных поставщиков ИТ-услуг (таких как DataPort, AKDB, IT.NRW), которые играют центральную роль и пользуются высокой степенью доверия. Внешние поставщики, соответствующие DVC, также должны быть интегрированы в перспективе. Центральным элементом является портал облачных сервисов (CSP) в качестве рынка для стандартизированных и проверенных облачных сервисов.
• Bundescloud / It Операционная платформа Bund: Itzbund уже управляет облачными платформами (SaaS, PAAS) для федеральных властей, которые должны быть консолидированы в 2025 году и удовлетворяют высокие требования для безопасности и защиты данных.
• Центр цифрового суверенитета (Zendis): этот объект специально способствует использованию программного обеспечения с открытым исходным кодом в администрировании и поддерживает такие проекты, как Opensk, альтернатива с открытым исходным кодом Microsoft 365, которая специально разработана для государственного сектора.
• GAIA-X и Soveign Cloud Stack (SCS): эти европейские инициативы предоставляют важные технические основы и стандарты для структуры суверенных облачных инфраструктур, которые также должны использоваться DVS. SCS, стек с открытым исходным кодом, основанный на OpenStack и Kubernetes, уже используется несколькими немецкими провайдерами (например, сервер Plus).

Concrete Sovereign SaaS предложения для администрации поступают от общественных поставщиков ИТ -услуг (например, концептуального плана. Решения с открытым исходным кодом, такие как NextCloud или Opendendk, также играют важную роль.

Подходит для:

• В зависимости от американского облака? Борьба Германии за облако: как конкурировать с AWS (Amazon) и Azure (Microsoft)

Здравоохранение

Система здравоохранения обрабатывает чрезвычайно конфиденциальные персональные данные (данные о здоровье в соответствии с ст. 9 GDPR), которые подлежат специальной защите. В дополнение к GDPR и медицинской конфиденциальности, применяются конкретные национальные законы, такие как Закон о защите данных пациентов (PDSG), а недавно применяются цифровой закон (DIGIG). Безопасность, доступность и конфиденциальность имеют первостепенное значение здесь.

Важным драйвером для использования суверенных облачных решений в немецкой системе здравоохранения является цифровой акт (DIDIG), который вступил в силу в марте 2024 года. Новый § 393 SGB V прямо позволяет обрабатывать социальные и медицинские данные с использованием облачных вычислений, но это основано на очень строгих условиях::

• Обработка данных только в стране ЕС/EEA/CH или соответствующей разрешения: обработка данных может проводиться только в Германии, штате ЕС/ЕЭА, Швейцарии или третьей стране с адекватным решением Комиссии ЕС.
• Тест BSI C5 является обязательным: с 1 июля 2024 года поставщики облачных услуг, которые должны обрабатывать социальные или медицинские данные от имени поставщиков услуг (врачи, больницы, страховщики здравоохранения и т. Д.) Должны быть в состоянии показать действительный тест BSI C5. Тест типа 1 (уместность контролей) достаточно до 30 июня 2025 года, с 1 июля 2025 года. Тест типа 2 является обязательным (доказательство эффективности в течение периода).
• Также применяется к поставщикам SAAS: это обязательство не только влияет на инфраструктуру (IAAS) или поставщиков платформ (PAAS), но также явно поставщиков программного обеспечения как программного обеспечения (KIS), систем администрирования практического обслуживания (PVS), системы бронирования назначения, Digas).
• Внедрение управления клиентами: Пользовательский институт (клиника, практика и т. Д.), В свою очередь, должна реализовать конечные элементы управления пользователем, упомянутые в отчете о тестировании облачного поставщика.

Это правила значительно усиливает требования к облачным услугам в системе здравоохранения и де -факто делает баланс BSI C5 для входного билета для поставщиков на этом рынке. Облачные провайдеры, такие как Open Telekom Cloud, AWS (регион Франкфурта), Azure, GCP или немецкие провайдеры, такие как Slus Server, Stackit и Ionos, уже имеют тесты C5 для их инфраструктуры. Теперь SaaS Solutions for Healthcare (KIS, PVS, EPA -компоненты и т. Д.) На основании этого также должны предоставить эти доказательства. Примерами компаний, которые активно участвуют в облачной среде здравоохранения и/или стремятся к соответствующим сертификатам, являются консультация Gini, Doctolib или Kite. Сам электронный файл пациента (EPA) размещен на серверах в Германии и в соответствии с EU GDPR.

Финансы

Финансовый сектор (банки, страховые компании, поставщики финансовых услуг) также строго регулируется и обрабатывает чрезвычайно конфиденциальные данные. Строгие нормативные требования Федерального органа по финансовому надзору (Bafin) в Германии (например, приманка, Kait, Vait, Zait) и все более гармонизированные европейские руководящие принципы применяются здесь. Высокие требования к безопасности ИТ, управлению рисками, надежностью и безопасности аудита являются стандартными.

Важными регулирующими драйверами для использования безопасных и суверенных облачных решений являются:

• Директива NIS2: банки и инфраструктуры финансового рынка обычно подпадают под категории «существенные» или «важные» объекты в соответствии с NIS2. Поэтому вы должны соответствовать более строгим требованиям для управления рисками, безопасности цепочек поставок (включая облачного поставщика), отчет об инцидентах и ​​ответственность за управление.
• Дора (Закон о цифровой оперативной устойчивости): это регулирование ЕС специально направлено на укрепление цифровой операционной устойчивости в финансовом секторе. Он предъявляет подробные требования для управления рисками ИКТ, отчетность о серьезных инцидентах, связанных с ИКТ, тестами цифровой устойчивости и, в частности, для управления рисками сторонних поставщиков услуг ИКТ, включая облачных поставщиков. Среди прочего, DORA требует четких договорных правил с облачными поставщиками и правами аудита.

Облачные провайдеры, которые хотят обслуживать финансовые учреждения, должны доказать, что они могут соответствовать этим нормативным требованиям. Это часто делается путем обнаружения сертификатов, таких как BSI C5 или ISO 27001, конкретное договорное обеспечение и прозрачное исследование вашей архитектуры и процессов безопасности. Такие поставщики, как плюс сервер, T-Systems, Microsoft с его границей данных в ЕС или AWS с европейским суверенным облаком, специально расположены для этого регулируемого рынка.

Кроме того, существуют специализированные поставщики SAAS, которые предлагают решения для соответствия финансовому сектору, например, для предотвращения отмывания денег (AML), знают своего клиента (KYC), тест на санкции, обнаружение мошенничества или мониторинг злоупотребления рынком. Примерами поставщиков с европейскими отношениями или присутствием являются Actico (DE), Pelican AI (Великобритания?), Сопра Финансовые технологии (DE/FR), OTRIS (DE) или Viclarity (то есть/США?).

В этих высокочувствительных секторах становится ясно, что решение о суверенных облачных решениях больше не является просто вопросом минимизации риска, но все чаще обусловлено требованиями к законодательным вопросам и строгими требованиями соответствия. Необходимость показать сертификаты, такие как BSI C5, меняет основу для решения добровольной оценки риска в направлении обязательного предпосылки для участия на рынке.

Это представляет поставщиков SaaS, в частности, с новыми проблемами. В то время как до сих пор у поставщика инфраструктуры (IAAS/PAAS) часто имели соответствующие сертификаты, такие правила, как § 393 SGB V, теперь явно требуют доказательств поставщиков SAAS, таких как тест BSI C5. Затраты и усилия по приобретению и обслуживанию таких тестов являются значительными и могут быть препятствием, особенно для небольших, инновационных компаний SaaS, что потенциально может привести к консолидации рынка в этих регулируемых областях.

Подходит для:

• Политика США вдохновляет технические компании ЕС? Суверенитет данных доминирования США: будущее облака в Европе

Продвижение суверенитета: инициативы и сертификаты ЕС и сертификаты

Чтобы укрепить цифровой суверенитет Европы и создать надежную основу для облачных вычислений, на европейском и национальном уровне были запущены различные инициативы и стандарты сертификации. Они предназначены для содействия взаимодействии, гармонизировать стандарты безопасности и повысить доверие к облачным сервисам.

GAIA-X: видение федеративной европейской инфраструктуры данных

GAIA-X является одной из самых выдающихся европейских инициатив, направленных на укрепление цифрового суверенитета. Отправленные Германией и Францией в 2019 году, в настоящее время участвуют многочисленные партнеры из бизнеса, науки и политики из многих европейских стран.

• Цели: Основным пунктом назначения GAIA-X является создание безопасной, федеральной и совместимой инфраструктуры данных, основанной на европейских ценностях, таких как защита данных (GDPR), прозрачность, доверие и самоопределение. Он предназначен для увеличения цифровой независимости Европы от невропейских провайдеров, обеспечивает инновации посредством безопасного обмена данными и повысить конкурентоспособность европейских компаний.
• Архитектура и подход: важно понимать, что сама GAIA-X не является облачным провайдером и не строит свое собственное «европейское супер-облако». Вместо этого GAIA-X определяет набор правил, общих стандартов и архитектурных элементов для децентрализованной экосистемы сетевых, совместимых данных и облачных инфраструктурных услуг. Он основан на таких принципах, как открытость, прозрачность, модульность и использование открытых стандартов и программного обеспечения с открытым исходным кодом. Ассоциация GAIA-X для данных и облака (AISBL) разрабатывает спецификации, правила, политики и структуру для проверки соответствия (соответствие GAIA-X), которые должны быть реализованы так называемыми цифровыми расчетными домами GAIA-X (GXDCH).
• Компоненты и проекты: бетонные строительные блоки и проекты создаются в рамке Gaia X. Облачный стек SOEGEIGN (SCS) является важным примером: стандартизированный технологический стек на основе открытого исходного кода (на основе OpenStack, Kubernetes и т. Д.) Для создания Sovereign Cloud-инфраструктуры GAIA-X (IAAS/PAAS). Он предназначен для того, чтобы служить технической основой для совместимых и уверенных в облачных предложениях, также для немецкого административного облака.
• Случаи применения (варианты использования): чтобы продемонстрировать преимущества GAIA-X, конкретные комнаты и приложения для данных разрабатываются в различных областях. Примеры можно найти в промышленности 4.0 (например, Catena-X для автомобильной промышленности), мобильности, энергии, финансов, государственного управления и особенно в здравоохранении. Такие проекты, как Team-X, Health-X Dataloft или Gaia-Med, стремятся обеспечить безопасную и суверенную обмен данными о здоровье для улучшения медицинской помощи и исследований.
• Проблемы: Несмотря на амбициозные цели, GAIA-X также сталкивается с проблемами и критикой. Это включает в себя сложность проекта, медленный прогресс в практической реализации, иногда неясные определения и страх, что в этой инициативе доминируют устоявшиеся глобальные гиперсчеты. Было также критиковано, что фокус был слишком сильным на уровне инфраструктуры (IAAS/PAAS), и уровень применения (SAAS) был пренебрег.

EUCS: европейская схема сертификации кибербезопасности для облачных сервисов

Европейская схема сертификации кибербезопасности для облачных сервисов (EUCS) - это структура сертификации, которая разрабатывается в соответствии с Законом о кибербезопасности ЕС (CSA) Европейским агентством по кибербезопасности (ENISA).

• Цель. Должен быть создан единый стандарт для преодоления фрагментации через различные национальные схемы сертификации (например, SecnumCloud во Франции или C5 в Германии) и для укрепления цифрового внутреннего рынка. Для пользователей облаков EUCS должна создавать большую прозрачность и доверие, доказывая, что сертифицированные услуги соответствуют определенным стандартам безопасности.
• Уровни гарантии: схема определяет три (или в предыдущих проектах четыре) уровня безопасности («базовый», «существенный», «высокий» и, возможно, «высокий+»), которые отражают различные рискованные уровни и навыки атаки. С повышением уровня требования к реализованным мерам безопасности (например, сеть, память, безопасность шифрования, тесты на проникновение) и строгость оценки с помощью аккредитованных агентств по оценке соответствия (CABS-CABS-CABS).
• Добровольство против обязательной: сертификация в соответствии с ЕКС, как правило, добровольно. Тем не менее, Закон о кибербезопасности или директива NIS2 позволяет государствам -членам ЕС, для определенных областей, в частности для «важных» или «важных» учреждений (критики), указать использование сертифицированных услуг ИКТ. Поэтому вероятно, что ЕКС, по крайней мере, в регулируемых секторах, фактически станут обязательным требованием или важным критерием для тендеров.
• Дебаты о суверенитете: центральным и противоречивым в разработке ЕКС был вопрос конкретных требований к суверенитету, особенно для самого высокого уровня безопасности («высокий» или «высокий+»). Ранние проекты при условии, что локализация данных в ЕС абсолютно необходима для этого уровня и что поставщик должен иметь свою штаб-квартиру и глобальную штаб-квартиру в государстве-члене ЕС, чтобы обеспечить защиту от невропейских законов (например, Закон о облаке). Однако эти требования были, по -видимому, удалены или ослаблены в более поздних конструкциях (по состоянию на 2024 год). Это встретилось с насильственной критикой со стороны европейских облачных провайдеров (в частности МСП), промышленных ассоциаций и протекционистов данных, которые опасаются, что это ослабляет цифровой суверенитет Европы, укрепляя зависимость от невропейских гиперсметов, и данные европейских граждан и компаний подвергаются воздействию повышенного риска. Дебаты об окончательном дизайне этих требований продолжаются.

BSI C5: немецкий стандарт для облачной безопасности

Каталог критериев соответствия облачных вычислений (C5) Федерального офиса Германии для информационных технологий (BSI) является установленным каталогом критериев, который определяет конкретные минимальные требования для информационной безопасности облачных услуг.

• Цель и контент: C5 должен обеспечивать ориентацию облачных клиентов при выборе безопасных поставщиков и создавать основу для их управления рисками. Он основан на международно признанных стандартах, таких как ISO/IEC 27001, но дополняет их с помощью облачных требований и придает особое значение прозрачности посредством так называемых параметров окружающей среды. Эти параметры предоставляют информацию об аспектах, таких как местоположения данных, место юрисдикции, сертификация и раскрытие государственных органов, которое предназначено для помощи клиентам (например, посредством экономических цепей или нарушений защиты данных). Каталог состоит из 17 предметных областей, включая организацию информационной безопасности, безопасность персонала, управление активами, криптографию, управление идентификацией и доступом, управление инцидентами и физическую безопасность.
• Testat (тип 1 и тип 2): соответствие критериям C5 демонстрируется Testat, который выдается независимым квалифицированным аудитором. Существует два типа тестов: тип 1 сертифицирует целесообразность дизайна и реализацию проверки безопасности в определенную ключевую дату. Тип 2 также подтверждает оперативную эффективность этих контролей в течение определенного периода изучения (обычно от 6 до 12 месяцев). Тест типа 2 считается более значимым и требуется для последующих экзаменов и в системе здравоохранения с июля 2025 года.
• Актуальность: C5 превратился в де -факто стандарт для безопасных облачных вычислений в Германии, особенно для государственного управления и в сильно регулируемых отраслях, таких как система здравоохранения и финансовый сектор. Как уже упоминалось, тест C5 будет юридически обязательным для Digig для облачных услуг в системе здравоохранения с июля 2024/2025. Многие немецкие и европейские, но также и международные облачные провайдеры (для своих регионов ЕС) имеют тесты C5 на свои услуги.

Другие соответствующие стандарты

В дополнение к упомянутым инициативам и сертификатам, установленные международные стандарты также играют важную роль:

• ISO/IEC 27001: глобально признанный стандарт для систем управления информационной безопасностью (ISM). Он определяет систематический подход к управлению конфиденциальной информацией компании, чтобы обеспечить их конфиденциальность, целостность и доступность. Сертификация ISO 27001 часто является основным требованием для облачных провайдеров и служит основой для более конкретных стандартов, таких как C5.
• ISO/IEC 27017: Этот стандарт предлагает руководство (код практики) с конкретными мерами управления для безопасности информационной безопасности в облачных средах, в дополнение к ISO/IEC 27002.
• ISO/IEC 27018: фокусируется на защите личных данных (личная информация - PII) в общественных облаках, которые действуют в качестве процессоров. Он содержит руководящие принципы, которые тесно связаны с европейскими принципами защиты данных и могут служить дополнением к C5, которое в первую очередь не охватывает защиту данных.

Эти различные инициативы и стандарты не обязательно рассматриваются как конкуренты, но могут дополнять друг друга. GAIA-X предоставляет видение и правила для суверенной экосистемы, EUCS должен гармонизировать сертификацию по всему ЕС, а национальные стандарты, такие как BSI C5, уже предлагают конкретные, установленные требования и механизмы тестирования. Задача заключается в том, чтобы разумно интегрировать эти подходы и создать последовательную структуру, которая соответствует требованиям суверенитета в Европе, а также практично для поставщиков и пользователей. Тем не менее, текущие дебаты о требованиях к суверенитету в ЕВК показывают, что политические и технические детали все еще необходимы здесь.

Для компаний важно понимать, что такие сертификаты, как BSI C5 или ISO 27001, являются ценными целевыми якорями, создают прозрачность и облегчают доказывание усилий по обеспечению безопасности. Тем не менее, они не являются панацеей и не заменяют вашу собственную оценку риска и тест на должную осмотрительность клиентом. Например, тест C5 для поставщика США не меняет свою подсудку среди облачного акта. Общая ответственность («общая ответственность») остается между поставщиком и клиентом за безопасность использования облака, и компании всегда должны проверять, являются ли меры поставщика достаточными для их конкретных требований и рисков.

Подходит для:

• Системы управления данными в изменениях: стратегии успеха компании в эпохе ИИ

Стратегические преимущества перехода на поставщиков EU SaaS

Анализ рисков в использовании американских облачных сервисов и исследования растущего рынка для суверенных европейских альтернатив SaaS позволяет явно выводить: для европейских компаний справляться с их облачной стратегией не только рекомендуется с точки зрения цифрового суверенитета, но и все больше стратегической необходимости.

Сводка результатов

Центральные выводы этого отчета могут быть обобщены следующим образом:

• Постоянные риски среди американских поставщиков: использование услуг SaaS для компаний, которые подвергаются юрисдикции США, представляют собой значительные и постоянные риски для европейских компаний. Фундаментальный конфликт между законами ЕС GDPR и США, такими как Cloud Act и FISA 702, приводит к потенциальным травмам защиты данных, высоким штрафам, потере контроля данных и риску целевого бизнеса. Даже текущая структура конфиденциальности данных EU-US (DPF) не растворяет этот основной конфликт, и его долгосрочная стабильность является неопределенной (см. Раздел II).
• Суверенитет как многомерная концепция: «Суверенный SaaS» в европейском контексте означает больше, чем просто хранение данных в вычислительных центрах ЕС. Он включает в себя соблюдение европейского законодательства (особенно GDPR), защиту от невропейского доступа, операции предприятий и персонала ЕС и персонала, а также технологическая открытость и совместимость, чтобы избежать зависимостей (см. Раздел III).
• Растущий рынок альтернатив в ЕС: для поставщиков SaaS существует разнообразный и растущий рынок поставщиков SaaS и работает в ЕС/EEA/Ch. Они предлагают решения в многочисленных категориях, часто с сильным акцентом на защиту данных, безопасности и местных потребностях. Многие стратегически полагаются на открытый исходный код, чтобы максимизировать прозрачность и управление (см. Раздел IV и V).
• Регуляторное давление в чувствительных секторах: в таких областях, как государственное управление, система здравоохранения и финансовый сектор, использование очевидных безопасных и суверенных облачных решений (часто с тестами BSI C5 или сопоставимыми доказательствами) все больше становится обязанностью (например, Digig, NIS2) и стратегические спецификации (см. Раздел VI).
• Рамочные условия посредством инициатив и стандартов: европейские инициативы, такие как GAIA-X, и такие сертификаты, как запланированные EUCS и установленные национальные стандарты, такие как BSI C5, создают важные рамочные условия, способствуют совместимости и предназначены для укрепления доверия к предложениям суверенного облака (см. Раздел VII).

Стратегические преимущества альтернатив ЕС-SAAS

Изменение или основной выбор европейских поставщиков SaaS, которые соответствуют критериям суверенитета, предлагают компаниям за пределами минимизации чистого риска:

• Улучшение соблюдения и юридической уверенности: использование поставщиков, которые подчиняются исключительно и гарантируют данные в ЕС, значительно снижают риск нарушений GDPR и конфликты с нейвропейскими законами. Это создает более стабильную и предсказуемую правовую основу для обработки данных.
• Увеличение контроля и безопасности данных: европейские поставщики с акцентом на суверенитет часто предлагают более высокий уровень контроля над вашими собственными данными. Это может быть достигнуто с помощью вариантов самостоятельного управления, последовательного сквозного шифрования (нулевого знания), прозрачных эксплуатационных процессов и исключения доступа властями третьей страны.
• Старший цифровой суверенитет: решение для европейских провайдеров снижает стратегические зависимости от невропейских технологических групп. Он поддерживает создание устойчивой цифровой экосистемы в Европе и укрепляет местную цифровую экономику.
• Местная поддержка и культурная близость: европейские поставщики часто могут предлагать более доступное и понятное обслуживание клиентов в соответствующем национальном языке и часовом поясе. Они часто имеют более глубокое понимание конкретных требований и обычаев европейского рынка, которые могут способствовать сотрудничеству и переговорам по контракту.
• Формирование доверия: использование очевидной защиты данных и уверенных в себе решений сигнализирует клиентов, партнеров и сотрудников высокого уровня приверженности защите данных и безопасности. Это может стать важным доверием и конкурентным преимуществом.

Рекомендации по действиям для европейских компаний

Чтобы использовать преимущества суверенных решений SaaS и управлять рисками использования облака, европейские компании должны рассмотреть следующие шаги:

• Выполните индивидуальный анализ риска: Calder используемые в настоящее время (особенно американские) SaaS Services. Проанализируйте тип обработанных данных (чувствительность, личная ссылка), применимые нормативные требования (GDPR, требования к отрасли) и потенциальные последствия несанкционированного доступа к данным или неспособность услуги в вашем бизнесе.
• Определите требования суверенитета: Определите степень суверенитета данных, оперативный контроль и технологическая независимость для вашей компании. Не каждое приложение требует одинакового уровня суверенитета. Расставить приоритеты на основе рисков и стратегического значения.
• Систематическая оценка рынка альтернатив ЕС: использование рынка обзоров (например, в этом отчете) и вашего собственного исследования для выявления потенциальных европейских поставщиков SaaS, которые соответствуют их функциональным требованиям и связанным с суверенитевым требованиям. Принимайте во внимание размер поставщика, специализацию, ссылки и будущую жизнеспособность.
• Тщательная должная осмотрительность в выборе поставщика: не полагайтесь на маркетинговые заявления. Проверьте информацию о местонахождении данных о местонахождении данных (включая резервное копирование, метаданные), операционный персонал, корпоративную структуру (владение, сиденье), используемые субподрядчики, технологии шифрования (особенно E2E/Zero-Knowledge) и меры безопасности. Запрос на заказ контрактов (AVV), технические организационные меры (TOMS) и соответствующие сертификаты или тесты (например, ISO 27001, BSI C5) и внимательно проверяйте их.
• Разработайте стратегию миграции и план выхода: тщательно спланируйте потенциальные изменения. Принимайте во внимание затраты, технические усилия по миграции данных, необходимые коррективы в интерфейсы и управление изменениями для ваших сотрудников. Обратите внимание на совместимость и определите четкую стратегию выхода, чтобы обеспечить изменение будущего поставщика или возврат данных (обратимость).
• Проверьте открытый исходный код как вариант: оцените, являются ли решения SaaS на основе открытого исходного кода, будь то управляемая служба поставщика ЕС или внутреннего (самостоятельно), представляют собой подходящую альтернативу для достижения максимальной прозрачности, адаптации и управления.
• Соблюдайте нормативный ландшафт: оставайтесь на событиях в трафике трансатлантических данных (проверка DPF), информированы о европейских стандартах сертификации (EUCS) и соответствующих законах (NIS2, DORA, отраслевые правила), поскольку они могут значительно повлиять на вашу облачную стратегию.

Решение по или против использования определенных облачных сервисов, особенно в отношении поставщиков США по сравнению с европейскими альтернативами, является гораздо большим, чем технический или чистый вопрос соответствия. Это стратегический курс с долгосрочным влиянием на юридическую уверенность, безопасность данных, контроль над критическими бизнес -процессами и, в конечном счете, устойчивость и конкурентоспособность компании в глобальной цифровой конкуренции. Проанализированные риски зависимости от невропейских поставщиков являются существенными и повышены, а не ослаблены нынешней геополитической и юридической смесью.

В то же время переход на европейские альтернативы не является уверенным успехом. Компании должны тщательно рассмотреть вопрос о том, перевешивают ли преимущества соответствия и контроля потенциальные недостатки в отношении диапазона функций, скорости инноваций или усилий по миграции. Тщательный анализ ваших собственных потребностей, реалистичная оценка имеющихся альтернатив и тщательное планирование перехода имеет решающее значение для успеха. Тем не менее, европейский рынок предлагает все более устойчивые и заслуживающие доверия варианты, которые позволяют компаниям использовать преимущества облака, не подвергая опасности их цифровой суверенитет.

☑️ Поддержка МСП в разработке стратегии, консультировании, планировании и реализации.

☑ Создание или перестройка стратегии ИИ

☑️ Пионерское развитие бизнеса

 

Буду рад стать вашим личным консультантом.

Вы можете связаться со мной, заполнив контактную форму ниже, или просто позвонить мне по телефону +49 89 89 674 804 (Мюнхен) .

Я с нетерпением жду нашего совместного проекта.

 

 

Xpert.Digital — это промышленный центр с упором на цифровизацию, машиностроение, логистику/внутреннюю логистику и фотоэлектрическую энергетику.

С помощью нашего решения для развития бизнеса на 360° мы поддерживаем известные компании, начиная с нового бизнеса и заканчивая послепродажным обслуживанием.

Аналитика рынка, маркетинг, автоматизация маркетинга, разработка контента, PR, почтовые кампании, персонализированные социальные сети и привлечение потенциальных клиентов являются частью наших цифровых инструментов.

Дополнительную информацию можно узнать на сайте: www.xpert.digital - www.xpert.solar - www.xpert.plus