Изван америчког облака: Преглед суверених SaaS понуда + препоруке за акцију

Потреба за дигиталним суверенитетом европских компанија

Дигитална трансформација неуморно напредује, а рачунарство у облаку, посебно софтвер као услуга (SaaS), постало је незаобилазан алат за предузећа свих величина. Омогућава флексибилност, скалабилност и приступ иновативним технологијама. Истовремено, овај развој је довео до значајне зависности од неколико, углавном америчких, добављача услуга у облаку.

У вези са овим:

• Зашто је амерички CLOUD закон проблем и ризик за Европу и остатак света: Закон са далекосежним последицама

Проблем: Растућа зависност од америчких добављача услуга у облаку

Европским тржиштем облака очигледно доминирају главни амерички хиперскалери: Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Ови провајдери контролишу велики део глобалног тржишта. Чак и водећи европски провајдери попут SAP-а и Deutsche Telekom-а остварују само мале тржишне уделе у Европи у поређењу са тим. Ова концентрација носи инхерентни ризик: велики део глобалне, а посебно европске, cloud инфраструктуре потенцијално је подложан јурисдикцији САД. Сходно томе, свест о ризицима повезаним са овом зависношћу расте у европским компанијама, а све више и у јавним администрацијама. Забринутост у вези са заштитом података, безбедношћу података и губитком контроле над критичним подацима и процесима долази у први план. Питање дигиталног суверенитета постаје стратешки императив.

Релевантност суверенитета података и усклађеност са GDPR-ом

У сржи европских проблема лежи Општа уредба о заштити података (GDPR). Од 2018. године, она формира строги правни оквир за заштиту личних података у Европској унији и детаљно регулише њихову обраду и пренос, посебно у земље ван ЕУ. За европске компаније, усклађеност са GDPR-ом није само законска обавеза већ и кључни фактор у одржавању поверења купаца и пословних партнера. Паралелно са тим, концепт дигиталног суверенитета добија на значају. Он описује амбицију Европе да поврати или одржи контролу над сопственим подацима, технологијама и дигиталном инфраструктуром. Ово није само питање заштите података, већ и циљ индустријске политике усмерен на јачање европске економије и конкурентности у глобализованом дигиталном свету. За компаније, то значи потребу да преиспитају стратегије у облаку и проактивно траже решења која су и правно усклађена и поуздана, осигуравајући њихов оперативни капацитет.

У вези са овим:

• Интеграција независне и међусобно повезане платформе за све пословне потребе засноване на вештачкој интелигенцији

Циљеви и структура извештаја

Овај извештај је намењен европским доносиоцима одлука у пословном и ИТ сектору који се суочавају са изазовом развоја стратегије за облак, отпорне на будућност и свесне ризика. Његов циљ је да обезбеди чврсту основу за доношење одлука путем:

• Анализира специфичне ризике који настају за европске компаније због коришћења SaaS услуга са седиштем у САД, посебно у погледу сукоба између GDPR-а и америчких закона као што су CLOUD Act и FISA 702.
• Дефинише шта се подразумева под „сувереним SaaS понудама“ у европском контексту и које критеријуме морају да испуњавају.
• Ово је преглед тржишта европских SaaS провајдера који се позиционирају као суверене алтернативе, категорисане по областима примене.
• Упоређује важне алтернативе у кључним категоријама у погледу карактеристика, цена и, што је најважније, имплементације суверенитета података и усклађености са GDPR-ом.
• Истакнута су специјализована решења за осетљиве секторе као што су јавна управа, здравство и финансије.
• Представља релевантне иницијативе ЕУ (као што је Gaia-X) и сертификате (као што су EUCS, BSI C5) који промовишу суверенитет облака.
• Изводи закључак и изводи препоруке за стратешки правац компанија.

Анализа ризика: Америчке услуге у облаку и изазови за европске компаније

Коришћење услуга у облаку, посебно SaaS понуда, од добављача са седиштем у Сједињеним Државама представља значајне правне и оперативне изазове за европске компаније. Они произилазе првенствено из фундаменталног сукоба између строгих европских прописа о заштити података и далекосежних америчких закона о надзору и приступу подацима.

Кључни сукоб: GDPR наспрам америчких закона о надзору

Општа уредба о заштити података (GDPR) чини темељ европске заштите података. Она успоставља високе стандарде за обраду личних података грађана ЕУ. Чланови 44. и даље GDPR-а, који регулишу пренос таквих података у треће земље (земље ван ЕУ/ЕЕА), посебно су релевантни за коришћење облака. Такав пренос је дозвољен само ако трећа земља пружа „одговарајући ниво заштите“ (како је утврђено одлуком о адекватности Европске комисије) или ако су на снази „одговарајуће мере заштите“ (као што су стандардне уговорне клаузуле или обавезујућа корпоративна правила) и ако су субјектима података доступна извршна права и ефикасна правна средства. Штавише, члан 48 GDPR-а изричито забрањује пренос података органима треће земље на основу њихових одлука или пресуда, осим ако не постоји међународни споразум, као што је уговор о међусобној правној помоћи. Неколико закона САД, који дају америчким органима широка права приступа подацима, чак и ако се чувају ван САД, противрече овом европском стандарду заштите

• Амерички CLOUD закон (Закон о разјашњењу законите употребе података у иностранству): Овај закон, усвојен 2018. године, овлашћује америчке агенције за спровођење закона и обавештајне службе да захтевају од америчких компанија за комуникације и технологију да предају податке који су под њиховом контролом – без обзира где се у свету ти подаци чувају. Ово експлицитно укључује податке који се налазе у центрима података унутар Европске уније. CLOUD закон стога поткопава принцип територијалности заштите података и директно је у супротности са захтевима GDPR-а, посебно са чланом 48. Донет је, делимично, као одговор на дуготрајни правни спор између Мајкрософта и владе САД око приступа имејловима који се чувају на серверима у Ирској, и модернизовао је старије прописе о приступу из ере након 11. септембра 2001. године, као што је Патриотски закон. Иако CLOUD закон пружа механизме за добављача да оспори налог за откривање података ако крши закон друге државе (као што је GDPR), практична ефикасност ових механизама, посебно у погледу налога националне безбедности, је веома контроверзна и не нуди поуздану гаранцију за европске компаније. Провајдери се стога налазе у дилеми: ако се придржавају наредбе Закона CLOUD без правног основа ЕУ, ризикују огромне казне за GDPR; ако одбију откривање података позивајући се на GDPR, суочавају се са санкцијама према закону САД.
• Члан 702 FISA-е (Закон о надзору страних обавештајних служби): Ова одредба, део Закона о изменама FISA-е из 2008. године, дозвољава америчким обавештајним агенцијама, као што је NSA, да спроводе циљани надзор електронских комуникација лица која нису држављани САД, а налазе се ван САД. Надзор се спроводи ради добијања „страних обавештајних информација“. FISA 702 обавезује америчке добављаче електронских комуникационих услуга (ECSP), који укључују многе велике добављаче услуга у облаку и SaaS-у, да сарађују са властима. Обим потенцијално прикупљених података је веома широк и може да укључује не само метаподатке већ и садржај комуникација, чак и оних неукључених трећих страна које само помињу циљану особу. Програми надзора у складу са FISA 702 (као што су PRISM и Upstream) били су централна тачка критике у пресуди Европског суда правде у случају Schrems II (видети доле). Критике се такође усмеравају на недостатак ефикасних правних лекова за погођене грађане ЕУ и потенцијал за масовни надзор, иако америчке власти то поричу.
• Извршна наредба 12333 и друге: Поред Закона CLOUD и FISA 702, постоје и друге правне основе, као што је Извршна наредба 12333, која даје америчким обавештајним агенцијама широка овлашћења за спровођење надзора у иностранству, често без судског надзора или посебних законских ограничења за особе које нису држављани САД.

Овај фундаментални правни сукоб ствара ситуацију у којој коришћење услуга у облаку од америчких добављача представља инхерентне ризике за европске компаније.

Специфични ризици за европске компаније

Описани правни сукоб представља опипљиве ризике за европске компаније које користе SaaS услуге са седиштем у САД:

• Кршење података и казне: Откривање личних података америчким властима у складу са Законом CLOUD или FISA 702, без ваљаног правног основа према закону ЕУ (нпр. уговор о међусобној правној помоћи), представља јасно кршење Опште уредбе о заштити података (GDPR), посебно члана 48. То може довести до значајних казни до 4% глобалног годишњег промета, као и до грађанских тужби за одштету од стране носилаца података. Само коришћење америчке услуге у облаку може се сматрати потенцијално неусклађеним са GDPR-ом ако добављач не може да гарантује да неће открити податке кршећи GDPR.
• Губитак суверенитета и контроле над подацима: Уговорне гаранције америчких добављача да се подаци чувају само у центрима података ЕУ не пружају ефикасну заштиту од приступа САД према Закону CLOUD или FISA. Амерички закони могу да пониште ове гаранције, па чак и техничке мере заштите. Чак ни шифровање података није панацеја ако амерички добављач контролише кључеве за шифровање, јер би могао бити приморан да их открије. Слично томе, механизми контроле приступа могу се заобићи, а евиденције ревизије могу се прегледати без знања власника података, кршећи захтеве за транспарентност GDPR-а. Европске компаније тако ефикасно губе контролу над тим ко приступа њиховим подацима и под којим околностима.
• Индустријска шпијунажа и губитак пословних тајни: Потенцијални одлив осетљивих података компаније представља посебно озбиљан ризик. То укључује интелектуалну својину, податке о истраживању и развоју, прототипове, стратешке планове, финансијске податке и поверљиве податке и комуникације са купцима. Забринутост да би америчке власти могле да искористе своја права приступа у економске сврхе (индустријска шпијунажа) главни је покретач европских компанија да траже алтернативе или примењују додатне заштитне мере. Губитак таквих информација може довести до значајних финансијских губитака, штете по репутацију и губитка конкурентских предности.
• Правна несигурност и губитак поверења: Нерешени сукоб између европског закона о заштити података и права приступа у САД ствара значајну правну несигурност за компаније које користе америчке услуге. Ова несигурност компликује дугорочно планирање и напоре за усклађеност. Штавише, континуирано коришћење услуга тамо где се заштита података не може гарантовати може озбиљно поткопати поверење купаца, запослених и пословних партнера.
• Геополитички ризици: Закони попут Закона CLOUD се посматрају у контексту глобалних трендова ка повећаном државном надзору и потенцијалној фрагментацији интернета („Splinternet“). Поређења се праве са сличним законима у другим земљама, као што је кинески Закон о националној обавештајној служби. Штавише, прекомерна зависност од добављача технологије из једног неевропског региона представља стратешке ризике за дигиталну аутономију и отпорност Европе.

Ризици коришћења америчких клауд сервиса далеко превазилазе потенцијалне казне за GDPR. Они укључују губитак критичних пословних података, штету по репутацију и претњу по конкурентност због потенцијалне злоупотребе права приступа за индустријску шпијунажу. Ови често тешки за квантификовање, али потенцијално егзистенцијални, „колатерални“ ризици се лако потцењују када се фокусирамо искључиво на усклађеност са GDPR-ом.

Пресуда у случају Шремс II и Оквир за заштиту података (DPF)

Правна несигурност у вези са трансатлантским преносом података значајно је погоршана пресудом Европског суда правде (ЕСП) у случају Шремс II у јулу 2020. године. ЕСП је прогласио тада важећи споразум о заштити приватности између ЕУ и САД неважећим. Образложење: Закони САД о надзору, посебно FISA 702 и повезани програми, дозвољавају кршење основних права грађана ЕУ (заштита података, приватност) које није ограничено на оно што је строго неопходно и не нуди еквивалентну заштиту оној која се пружа у ЕУ. Штавише, недостају ефикасна правна средства за погођене појединце у САД против таквих мера надзора. Иако је пресуда потврдила општу валидност Стандардних уговорних клаузула (SCC) као алтернативног инструмента за пренос података, ЕСП је појаснио да извозници података не могу слепо да се ослањају на SCC. Као део процене сваког случаја појединачно (Transfer Impact Assessment – ​​TIA), мора се испитати да ли закон и пракса у земљи одредишта (овде, САД) гарантују ниво заштите који је „у суштини еквивалентан“ оном у ЕУ. Ако то није случај због закона о надзору – као што је Суд правде Европске уније предложио за САД – морају се предузети додатне мере (допунске мере) (нпр. јака енкрипција где прималац нема приступ кључевима) како би се осигурала заштита. Ако чак ни то није могуће, пренос података мора бити обустављен. Закон CLOUD је у овом контексту виђен као фактор који додатно поткопава аргумент за еквивалентан ниво заштите. Као одговор на правну несигурност коју је створио Schrems II и како би се проток података између ЕУ и САД поставио на чвршћу основу, Европска комисија и влада САД су се сложиле око Оквира за заштиту приватности података између ЕУ и САД (DPF). Он је ступио на снагу у јулу 2023. године путем нове одлуке о адекватности коју је донела Европска комисија. Оквир за заштиту података (DPF) има за циљ да одговори на забринутости које је изнео Европски суд правде (ECJ) у пресуди у случају Schrems II пружањем додатних заштитних мера са стране САД: приступ америчких обавештајних агенција подацима грађана ЕУ треба да буде ограничен на оно што је неопходно и сразмерно, а за грађане ЕУ је успостављен нови, двостепени механизам правног лека (укључујући Суд за преиспитивање заштите података – DPRC). Компаније у САД могу добити DPF сертификат, а пренос података из ЕУ овим сертификованим компанијама се тада сматра дозвољеним без потребе за додатним инструментима као што су Стандардне уговорне клаузуле (SCC) или друге мере. Међутим, остају значајне сумње и ризици у вези са стабилношћу и ефикасношћу DPF-а

• Основни закони САД остају на снази: Закон CLOUD и FISA 702 нису измењени DPF-ом. Основна овлашћења америчких власти за приступ подацима и даље постоје.
• Сумње у погледу контроле Европског суда правде (ЕСП): Многи стручњаци и активисти за заштиту података сумњају да би заштитне мере предвиђене Фондом за заштиту података (ФЗП) и новим механизмом правних лекова издржале поновну контролу ЕСП. Посебно се доводе у питање независност и моћ спровођења Регулаторне комисије за заштиту података (РКЗП).
• Потребно је континуирано праћење: У складу са чланом 45(4) GDPR-а, Европска комисија је обавезна да континуирано прати дешавања у САД и да редовно преиспитује њихову адекватност. Прва ревизија је обављена лета 2024. године. Недавна дешавања, као што су проширење и потенцијално проширење FISA 702, могла би поново да угрозе основу DPF-а.
• Ризик за компаније: Компаније које се ослањају искључиво на DPF преузимају значајан ризик. Уколико Европски суд правде такође прогласи DPF неважећим у будућности (сценарио „Schrems III“), пренос података заснован на њему би поново постао незаконит преко ноћи. Компаније које тада немају „План Б“ (нпр. прелазак на добављача из ЕУ или спровођење ефикасних додатних мера) не могу очекивати попуст.

Кључни сукоб између закона САД о широком приступу подацима и основног права ЕУ на заштиту података стога остаје чак и у оквиру Заштитног механизма за заштиту података (DPF). Закони САД који узрокују проблем остају на снази. DPF представља више политичко и потенцијално привремено решење него коначно правно решење. Фундаментални проблем приступа америчких власти подацима европских грађана и компанија, који потенцијално крши Општу уредбу о заштити података (GDPR), није решен.

Дефиниција и критеријуми: Шта значи „суверени SaaS“?

С обзиром на описане ризике, европске компаније све више траже алтернативе које им нуде већу контролу, безбедност и усклађеност са законом. У овом контексту, често се користе термини „суверени облак“ или „суверени SaaS“. Али шта тачно значе ови термини и које критеријуме мора да испуни понуда да би се сматрала сувереном у европском контексту?

Кључни елементи суверенитета у контексту облака

Дигитални суверенитет у облачном окружењу је вишеслојан концепт који превазилази пуко техничко пружање услуга. Може се разумети кроз неколико кључних елемената:

• Суверенитет података: Ово је централни принцип. Он наводи да подаци подлежу законима и прописима јурисдикције у којој се налазе или су прикупљени. За Европу, то првенствено значи пуну примену закона ЕУ о заштити података (посебно GDPR-а) и заштиту од приступа власти из трећих земаља на основу екстериторијалних закона као што је амерички CLOUD закон. Корисник задржава потпуну контролу над тим ко може приступити његовим подацима и под којим условима.
• Резиденција података и локализација података:
  • Резиденцијалност података значи да је загарантовано да се подаци о клијентима (укључујући метаподатке и резервне копије) чувају и обрађују унутар дефинисаног географског региона, обично ЕУ или ЕЕА. Ово је неопходан услов за суверенитет података у контексту ЕУ, али сам по себи није довољан ако добављач подлеже законима ван Европске уније.
  • Локализација података је строжији захтев који прописује да подаци не смеју да напусте границе одређене земље. Такви закони су ретки унутар ЕУ, али могу бити релевантни за одређене националне прописе или секторе.
• Оперативни суверенитет: Овај елемент се односи на контролу над радом клауд инфраструктуре и услуга које се на њој покрећу. Кључни аспекти укључују:
  • Управљање од стране особља ЕУ и правних лица из ЕУ: Мора се осигурати да особље са физичким или логичким приступом облачном окружењу и подацима о клијентима буде са седиштем у ЕУ и да подлеже законима ЕУ. Приступ изван ЕУ мора бити спречен или строго контролисан техничким и организационим мерама.
  • Седиште и структура компаније у ЕУ: Сам добављач услуга у облаку, или барем правни субјект одговоран за пословање у ЕУ, требало би да има седиште у држави чланици ЕУ/ЕЕА и стога би првенствено требало да подлеже европском праву. Такође је кључно да не постоји зависност од матичних компанија или подружница у трећим земљама (посебно у САД) које би могле да приморају на поштовање њихових закона (као што су Закон о CLOUD-у или FISA).
  • Транспарентност и могућност ревизије: Клијентима је потребна транспарентност у вези са оперативним процесима, подизвођачима и имплементираним безбедносним мерама. Могућност независног прегледа и ревизије приступа и процеса је кључна карактеристика оперативног суверенитета.
• Технолошки суверенитет: Ово се односи на способност разумевања, контроле, валидације и идеално (даљег) развоја основне кључне технологије. Аспекти овога укључују:
  • Употреба отворених стандарда и софтвера отвореног кода: Отворени стандарди и софтвер отвореног кода промовишу интероперабилност између различитих добављача и решења, повећавају транспарентност (пошто се код може ревидирати), смањују ризик од везаности за добављача и олакшавају безбедносне ревизије. Они често чине основу за европске технолошке стекове као што је Sovereign Cloud Stack (SCS).
  • Интероперабилност и преносивост: Могућност лаког премештања података и апликација између различитих добављача услуга у облаку или назад на сопствену инфраструктуру (локално) је знак независности и флексибилности.
  • Контрола над технолошким стеком: Дугорочно гледано, технолошки суверенитет има за циљ смањење зависности од власничких хардверских и софтверских компоненти из неевропских извора и изградњу европске стручности.

У вези са овим:

• Независне платформе за вештачку интелигенцију као стратешка алтернатива за европске компаније

Разграничење и неспоразуми

Термин „суверени облак“ није законски заштићен и често га користе различити добављачи као маркетиншки алат, при чему се основни концепти и мере значајно разликују. Стога је кључно да компаније пажљиво испитају шта добављач подразумева под суверенитетом и које конкретне гаранције нуди. Уобичајена заблуда је да је складиштење података у дата центру унутар ЕУ довољно да гарантује суверенитет. То није случај. Као што је објашњено у Одељку II, амерички Закон о облаку (CLOUD Act) дозвољава приступ подацима који припадају америчким компанијама без обзира на то где се чувају. Боравак података у ЕУ стога не штити од приступа САД ако сам добављач или његова матична компанија имају седиште у САД или на други начин подлежу јурисдикцији САД. Још једна заблуда је да понуде сувереног облака неизбежно подразумевају функционална ограничења или спорији темпо иновација у поређењу са глобалним хиперскалерима. Иако ово може бити тачно у неким случајевима, јер локални добављачи често немају исте економије обима и истраживачке буџете, примарни циљ суверених решења није ограничење, већ комбиновање предности рачунарства у облаку (флексибилност, скалабилност) са захтевима контроле, безбедности и усклађености. Многи европски добављачи се ослањају на отворене технологије како би омогућили иновације и прилагодљивост.

Критеријуми за суверене SaaS добављаче из перспективе ЕУ

На основу основних елемената суверенитета, могу се извести конкретни критеријуми помоћу којих европске компаније могу да процене SaaS добављаче:

• Заштита података и усклађеност: Добављач мора доказиво да се придржава захтева Опште уредбе о заштити података (GDPR). Ово треба да буде документовано уговором о обради података (DPA) у складу са чланом 28 GDPR-а и одговарајућим техничким и организационим мерама (TOM). Такође мора бити обезбеђена усклађеност са другим релевантним прописима ЕУ и националним прописима (нпр. за одређене секторе).
• Локација и обрада података: Мора бити уговорно гарантовано да се сви подаци о клијентима, укључујући метаподатке, податке о конфигурацији и резервне копије, чувају и обрађују искључиво унутар ЕУ или ЕЕА.
• Контрола рада и приступа: Рад услуга и приступ подацима корисника мора да обавља особље са седиштем у ЕУ и које припада правном лицу из ЕУ. Морају се применити строге техничке и организационе мере како би се спречио неовлашћени приступ, посебно изван ЕУ.
• Корпоративна структура и надлежност: Пружалац услуга треба да има седиште и главну правну контролу унутар ЕУ/ЕЕА. Не смеју постојати корпоративне афилијације или филијале у трећим земљама (посебно у САД) које би добављача ставиле под своју јурисдикцију и потенцијално приморале на откривање података (нпр. путем Закона CLOUD или FISA).
• Транспарентност: Добављач треба да буде транспарентан у вези са својим оперативним процесима, коришћењем подизвођача, локацијама обраде података и имплементираним безбедносним мерама. Треба обезбедити могућност ревизије од стране купца или независних трећих лица.
• Технологија и интероперабилност: Пожељна употреба отворених стандарда (нпр. API-ја) и/или софтвера отвореног кода олакшава интеграцију, тестирање и потенцијално прелазак на друге добављаче (избегавајући везаност за добављача).
• Сертификати и атести: Признати сертификати и атести могу послужити као доказ о усклађености са безбедносним и стандардима усаглашености и изградити поверење. Посебно су релевантни ISO 27001, BSI C5 (у Немачкој) и, у будућности, EUCS.

Постаје јасно да је дигитални суверенитет у SaaS контексту вишедимензионални концепт. Не ради се само о томе где се подаци чувају, већ и о томе ко их обрађује и како, којим законима подлеже добављач и које технолошке основе се користе. Компаније стога морају размотрити које су им димензије суверенитета најважније при избору добављача и колико добро добављач испуњава ове специфичне захтеве. Само поседовање података унутар ЕУ често није довољно за ефикасно ублажавање ризика, посебно оних које представљају закони САД. Истовремено, компаније се често суочавају са дилемом: жеља за максималним суверенитетом и контролом мора бити уравнотежена са потенцијалним недостацима у погледу функционалности, брзине иновација или трошкова, који могу настати код неких европских или строго суверених добављача у поређењу са глобалним хиперскалерима. Многи европски добављачи сматрају употребу софтвера отвореног кода стратешким приступом обезбеђивању транспарентности, поверења и прилагодљивости, чак и ако можда нису у првом плану сваког новог технолошког развоја.

Искористите предности Xpert.Digital-овог опсежног, петоструког стручног знања у свеобухватном пакету услуга | Истраживање и развој, XR, односи с јавношћу и оптимизација дигиталне видљивости - Слика: Xpert.Digital

Xpert.Digital поседује дубинско знање у различитим индустријама. То нам омогућава да развијемо прилагођене стратегије прецизно усклађене са захтевима и изазовима вашег специфичног тржишног сегмента. Континуираном анализом тржишних трендова и праћењем развоја у индустрији, можемо деловати проактивно и понудити иновативна решења. Комбинација искуства и стручности ствара додатну вредност и пружа нашим клијентима одлучујућу конкурентску предност.

Више информација овде:

• Искористите предности 5 области стручности компаније Xpert.Digital у једном пакету – већ од 500 евра месечно

Преглед тржишта: Суверене SaaS алтернативе из ЕУ

Европско тржиште софтвера као услуге (SaaS) нуди све већи број добављача који се позиционирају као алтернатива доминантним америчким играчима. Многи од њих посебан фокус стављају на заштиту података, усклађеност са GDPR-ом и дигитални суверенитет како би задовољили специфичне потребе европских предузећа и организација.

Критеријуми за избор добављача

Следећи преглед се фокусира на SaaS добављаче који испуњавају следеће критеријуме:

• Порекло: Седиште компаније налази се у држави чланици Европске уније (ЕУ), Европског економског простора (ЕЕА) или Швајцарској (CH), јер Швајцарска има одлуку о адекватности од стране ЕУ комисије и често је блиско интегрисана у Европски економски простор.
• Позиционирање: Провајдер се експлицитно позиционира као суверена или алтернатива која је у складу са прописима о заштити података или показује битне карактеристике дигиталног суверенитета (нпр. ексклузивно хостовање у ЕУ/ЕЕА, доказива усклађеност са GDPR-ом, непоступање по законима САД као што је CLOUD Act/FISA, коришћење отвореног кода).
• Релевантност: Провајдер је поменут у основним истраживачким изворима или је познат као релевантна алтернатива у својој категорији.

Ради боље јасноће, провајдери су груписани према уобичајеним SaaS категоријама.

Категоризовани преглед европских SaaS добављача

Следећа табела даје преглед одабраних европских SaaS добављача, организованих по функционалним областима. Она служи као полазна тачка за детаљнију евалуацију.

Преглед европских SaaS добављача по категоријама

Преглед европских SaaS добављача по категоријама – Слика: Xpert.Digital

(Напомена: Ова табела је избор и није исцрпна. Информације се заснивају на доступним изворима и подложне су променама. Независна верификација од стране компаније је неопходна.)

Преглед европских SaaS добављача приказује широк спектар решења, категорисаних по типу. У сектору сарадње и канцеларијских услуга, добављачи попут Nextcloud Hub-а из Немачке нуде платформу отвореног кода за датотеке, комуникацију, групни софтвер и канцеларијске апликације. Ова платформа може бити самостално хостована или хостована од стране добављача и даје приоритет суверенитету података. Open-Xchange App Suite, такође из Немачке, пружа свеобухватно решење за е-пошту, групни софтвер, диск и документе, посебно за добављаче и предузећа, и у складу је са стандардима ISO 27001. ONLYOFFICE из Летоније нуди канцеларијски пакет са функцијама сарадње и радним простором (укључујући CRM и е-пошту). Компатибилан је и са облаком и локалним коришћењем и компатибилан са GDPR-ом. Collabora Online, базиран на LibreOffice-у, често се интегрише са платформама попут Nextcloud-а. TeamDrive, такође из Немачке, фокусира се на високо безбедно складиштење у облаку са енкрипцијом од краја до краја и принципом нултог знања. Conceptboard, такође из Немачке, нуди онлајн таблу за визуелну сарадњу користећи сервере ЕУ и без учешћа САД. CryptPad из Француске комбинује сарадњу отвореног кода и енкрипцију од краја до краја. Стекфилд из Немачке пружа платформу за ћаскање, задатке и видео у складу са GDPR-ом.

У сектору CRM-а и продаје, Zeeg из Немачке се истиче својим заказивањем термина у складу са GDPR-ом, док CentralStationCRM нуди једноставно CRM решење за мала и средња предузећа. SAP CRM, као део SAP пакета, намењен је предузећима. За решења за складиштење у облаку, добављачи попут pCloud-а из Швајцарске нуде опциону енкрипцију од почетка до краја и доживотне планове. Tresorit комбинује високу безбедност, приступ без сазнања и усклађеност за Европу. Proton Drive, такође из Швајцарске, нуди хостинг шифрованих датотека. Немачки добављачи попут IONOS HiDrive-а и међународне опције попут Infomaniak kDrive-а употпуњују асортиман понуде.

За видео конференције, вреди истаћи OpenTalk из Немачке, са посебним фокусом на безбедност и усклађеност са GDPR-ом, и решење отвореног кода Jitsi Meet. eyeson из Аустрије нуди видео састанке засноване на облаку, док се Univid из Шведске концентрише на вебинаре. У веб аналитици, Matomo нуди опцију отвореног кода са потпуном контролом података, Plausible Analytics наглашава једноставност коришћења и приватност података, etracker из Немачке избегава колачиће, а Piwik PRO је намењен предузећима.

Аутоматизацију маркетинга покривају провајдери попут Brevo (раније Sendinblue) са серверима у Немачкој/ЕУ и Evalanche, који се фокусира на B2B и поседује ISO сертификат. Personio је лидер у HR софтверу, нудећи свеобухватну платформу за мала и средња предузећа, допуњену решењима попут HRworks и Rexx Systems, који нуде и cloud и on-premises моделе. OpenProject је немачко решење за управљање пројектима отвореног кода, док се Zenkit истиче својим флексибилним радним просторима. Безбедни провајдери е-поште попут Tutanota и Proton Mail дају приоритет заштити података и енкрипцији од почетка до краја. Једнократно пријављивање обезбеђује Bare.ID, са седиштем у Немачкој, уз безбедност у складу са GDPR-ом. Што се тиче алата за анкетирање, LamaPoll и LimeSurvey импресионирају својом прилагодљивошћу и немачким стандардима сервера. QuestionPro, у својој ЕУ верзији, употпуњује листу са опсежним функцијама и усклађеношћу са GDPR-ом.

Овај преглед истиче изузетну разноликост и специјализацију унутар европског SaaS тржишта. Посебно у областима где су заштита и безбедност података традиционално играли главну улогу – као што су сарадња, безбедна комуникација, складиштење у облаку и веб аналитика – постоји широк спектар алтернатива. Многи од ових добављача су мала или средња предузећа (МСП) или специјализовани нишни играчи из различитих европских земаља. Они често стављају снажан нагласак на усклађеност са GDPR-ом и специфичним потребама европског тржишта, што се огледа у карактеристикама као што су хостинг у ЕУ, подршка на немачком језику или посебни сертификати о усклађености.

Стратешки значај софтвера отвореног кода за многе европске добављаче је такође запањујући. Посебно у областима сарадње (Nextcloud, CryptPad), канцеларијских апликација (ONLYOFFICE, Collabora), управљања пројектима (OpenProject), веб аналитике (Matomo) и видео конференција (Jitsi, OpenTalk), технологије отвореног кода често чине основу. Ово је више од само техничког детаља; то је свесна одлука која промовише транспарентност (кроз приступачан код), прилагодљивост, могућност ревизије и избегавање везаности за добављача. Ови аспекти су кључни градивни блокови за дигитални суверенитет и омогућавају европским добављачима да понуде поуздана и флексибилна решења без нужног приступа огромним буџетима за развој глобалних хиперскалера. Ово даје купцима већу контролу и увид у технологију коју користе.

Поређење одабраних алтернатива ЕУ

Након општег прегледа тржишта, следи детаљније поређење одабраних, репрезентативних европских SaaS алтернатива у кључним категоријама. Фокус је на основним функцијама, моделима цена, јединственим продајним предностима, а посебно на имплементацији суверенитета података и усклађености са GDPR-ом.

Методологија поређења

Избор добављача за детаљно поређење заснива се на њиховој релевантности и учесталости помињања у основним изворима, као и на њиховом позиционирању као директних европских алтернатива познатим америчким услугама. Поређење се ослања на информације из специфичних исечака добављача и друге релевантне податке из општих исечака. Критеријуми укључују:

• Основне функције: Шта софтвер ради у својој суштини?
• Модел цена: Каква је структура цена (претплата, фримијум, доживотна претплата, локална верзија)?
• Локација/хостовање података: Где се подаци хостују (гаранција ЕУ/НЕ)? Да ли постоје опције самосталног хостовања?
• Шифровање: Које методе шифровања се користе (посебно енкрипција од почетка до краја, нулто знање)?
• Сертификати/Усклађеност: Који релевантни сертификати (ISO 27001, BSI C5 итд.) и обавезе усклађености (GDPR) постоје?
• Снаге/слабости у погледу суверенитета: Посебне карактеристике или ограничења у вези са контролом података, транспарентношћу и независношћу.

Детаљно поређење по категоријама

Детаљно поређење важних SaaS алтернатива у ЕУ

Детаљно поређење важних SaaS алтернатива у ЕУ – Слика: Xpert.Digital

Детаљно поређење кључних SaaS алтернатива у ЕУ открива да Nextcloud Hub, као модуларна платформа, нуди функције као што су синхронизација и дељење датотека, видео конференције, групни софтвер и интеграција са канцеларијским софтвером, док се Open-Xchange App Suite, као интегрисани пакет, фокусира на е-пошту, календар, контакте и складиштење. Nextcloud Hub омогућава потпуну контролу путем самосталног хостинга и нуди опциону енд-то-енд енкрипцију, али има веће ИТ захтеве за самостални хостинг. Open-Xchange се истиче својом ISO сертификацијом и заштитом података у складу са ЕУ, али је cloud-зависим од провајдера. У CRM сектору, Zeeg постиже поене својом јасном GDPR усклађеношћу и хостингом у Немачкој, док CentralStationCRM импресионира својом једноставношћу и фокусом на мала и средња предузећа. Оба провајдера нуде freemium моделе и гарантују локације података у складу са GDPR-ом. У сектору складиштења у облаку, pCloud нуди предности у погледу флексибилности са доживотним плановима и опцијама складиштења у ЕУ; међутим, енд-то-енд енкрипција је опционална и долази са ценом. Tresorit, с друге стране, постиже поене конзистентном енкрипцијом нултог знања и високом усклађеношћу, али је скупљи. ONLYOFFICE и Collabora Online нуде свеобухватне канцеларијске алтернативе са снажним фокусом на ЕУ и опцијама отвореног кода, при чему ONLYOFFICE истиче своју компатибилност са Microsoft-ом и функције за сарадњу. Collabora Online је чврсто интегрисан са платформама попут Nextcloud-а и стога је мање фокусиран на самосталну функционалност. У области видео конференција, OpenTalk се истиче функцијама као што су вебинари, анкете и јасан фокус на GDPR, док Jitsi Meet, као бесплатно решење отвореног кода, нуди максималну самоконтролу и једноставност. Оба решења нуде локалне опције и снажне функције заштите података, при чему се OpenTalk одликује својим BSI IT безбедносним печатом.

Детаљно поређење наглашава да ретко постоји само једна „најбоља“ европска алтернатива. Избор у великој мери зависи од специфичних захтева и приоритета компаније. Јављају се јасни компромиси, на пример, између максималне безбедности и цене (pCloud наспрам Tresorit) или између свеобухватне контроле путем самосталног хостинга и погодности управљаног SaaS решења (Nextcloud наспрам OX App Suite Cloud). Компаније морају да одмере који аспект – распон функција, једноставност коришћења, трошкови или степен суверенитета и безбедности – им је најважнији.

Кључна карактеристика многих европских провајдера је флексибилност њихових оперативних модела. Решења попут Nextcloud, ONLYOFFICE, OpenTalk и Jitsi нуде и cloud-базиране (SaaS) и локалне или самостално хостоване опције. Ово компанијама даје могућност да одреде сопствени ниво контроле и суверенитета. Могу се одлучити за погодност SaaS решења од поузданог европског провајдера или изабрати максималну контролу над подацима и инфраструктуром тако што ће је користити у сопственом дата центру. Овај избор директно одговара на основну потребу за контролом која покреће дебату о суверенитету.

Интеграција независне и унакрсне AI платформе за све пословне потребе - Слика: Xpert.Digital

AI мењач правила игре: Најфлексибилнија AI платформа - Решења по мери која смањују трошкове, побољшавају ваше одлуке и повећавају ефикасност

Независна AI платформа: Интегрише све релевантне изворе података компаније

• Ова AI платформа интерагује са свим специфичним изворима података
  • Од SAP-а, Microsoft-а, Jira-е, Confluence-а, Salesforce-а, Zoom-а, Dropbox-а и многих других система за управљање подацима
• Брза интеграција вештачке интелигенције: Прилагођена решења за вештачку интелигенцију за предузећа за сате или дане, уместо месеци
• Флексибилна инфраструктура: базирана на облаку или хостинг у вашем сопственом дата центру (Немачка, Европа, слободан избор локације)

• Максимална безбедност података: његова употреба у адвокатским канцеларијама је непобитан доказ
• Примена у широком спектру извора података предузећа
• Избор сопствених или различитих AI модела (Немачка, ЕУ, САД, Кина)

Изазови које наша вештачка интелигенција решава

• Недостатак компатибилности конвенционалних вештачких интелигенција
• Заштита података и безбедно управљање осетљивим подацима
• Високи трошкови и сложеност индивидуалног развоја вештачке интелигенције
• Недостатак квалификованих стручњака за вештачку интелигенцију
• Интеграција вештачке интелигенције у постојеће ИТ системе

Више информација овде:

• Интеграција независне и међусобно повезане платформе за све пословне потребе засноване на вештачкој интелигенцији

Специјализована решења: Суверени SaaS за осетљиве секторе

Иако су SaaS решења о којима се до сада говорило често применљива у различитим индустријама, постоје сектори са посебно високим захтевима за безбедношћу, усклађеношћу и дигиталним суверенитетом. То укључује, посебно, јавну управу, здравство и финансијски сектор. У овим областима се развијају специјализоване понуде и регулаторни оквири, који промовишу или чак налажу употребу суверених cloud решења.

Јавна управа

Јавни сектор у Немачкој и Европи има инхерентни интерес за дигитални суверенитет како би осигурао контролу над подацима грађана и критичним владиним процесима. Захтеви често превазилазе стандардну усклађеност са GDPR-ом и укључују специфичне безбедносне стандарде као што су BSI IT Baseline Protection или BSI C5 каталог критеријума. Интероперабилност између различитих органа власти и нивоа власти, као и преференција за софтвер отвореног кода како би се избегле зависности, такође су важни аспекти.

Неколико иницијатива има за циљ стварање суверене cloud инфраструктуре за администрацију:

• Немачка стратегија за административни облак (DVS): Ова стратегија, коју покрећу Савет за ИТ планирање и FITKO, има за циљ успостављање федералног, безбедног, интероперабилног и сувереног екосистема облака за савезну владу, државе и општине. Ослања се на отворене стандарде, вишеоблачни приступ и интеграцију јавних добављача ИТ услуга (као што су Dataport, AKDB и IT.NRW), који играју централну улогу и уживају висок ниво поверења. У будућности ће се моћи интегрисати и екстерни добављачи који су у складу са DVC стандардима. Кључни елемент је Портал за облачне услуге (CSP) као тржиште за стандардизоване и сертификоване облачне услуге.
• Федерална платформа за облак / Федералне ИТ операције: ITZBund већ управља платформама за облак (SaaS, PaaS) за савезне власти, које ће бити консолидоване 2025. године и које ће испуњавати високе захтеве за безбедност и заштиту података.
• Центар за дигитални суверенитет (ZenDiS): Ова институција посебно промовише употребу софтвера отвореног кода у јавној управи и подржава пројекте као што је OpenDesk, алтернатива отвореног кода за Microsoft 365, која је посебно развијена за јавни сектор.
• Gaia-X и Sovereign Cloud Stack (SCS): Ове европске иницијативе пружају важне техничке основе и стандарде за изградњу суверених cloud инфраструктура, које DVS такође намерава да користи. SCS, стек отвореног кода заснован на OpenStack-у и Kubernetes-у, већ користи неколико немачких провајдера (нпр. plusserver).

Конкретне, суверене SaaS понуде за јавну управу долазе и од јавних добављача ИТ услуга (нпр. Conceptboard од IT.NRW, dDataBox од Dataport) и од специјализованих комерцијалних добављача, који често поседују BSI C5 сертификате и доступни су преко тржишта као што је govdigital (нпр. plusserver, STACKIT, IONOS, OVHcloud). Решења отвореног кода попут Nextcloud или OpenDesk такође играју важну улогу.

У вези са овим:

• Зависни од америчког облака? Немачка се бори за облак: Како планирају да се такмиче са AWS (Amazon) и Azure (Microsoft)

здравствена заштита

Здравствени сектор обрађује изузетно осетљиве личне податке (здравствене податке како је дефинисано у члану 9. Опште уредбе о заштити података), који подлежу посебној заштити. Поред Опште уредбе о заштити података и медицинске поверљивости, примењују се и посебни национални закони, као што су Закон о заштити података пацијената (PDSG) и, у скорије време, Закон о дигиталној здравственој заштити (DigiG). Безбедност, доступност и поверљивост су од највеће важности у овом контексту.

Кључни покретач за коришћење суверених облачних решења у немачком здравственом систему је Дигитални закон (DigiG), који је ступио на снагу у марту 2024. године. Иако нови члан 393. немачког Социјалног законика, књига V (SGB V), експлицитно дозвољава обраду социјалних и здравствених података коришћењем облачног рачунарства, он за то поставља веома строге услове:

• Обрада података само у ЕУ/ЕЕА/Швајцарској или земљи до које је донета одлука о адекватности: Обрада података може се одвијати само у земљи, у држави ЕУ/ЕЕА, Швајцарској или трећој земљи са одлуком о адекватности коју је донела Европска комисија.
• Сертификација BSI C5 постаје обавезна: Од 1. јула 2024. године, добављачи услуга у облаку који обрађују социјалне или здравствене податке у име здравствених установа (лекари, болнице, здравствени осигуравајући фондови итд.) морају бити у могућности да представе важећу BSI C5 сертификацију. До 30. јуна 2025. године довољна је сертификација типа 1 (адекватност контрола); од 1. јула 2025. године обавезна је сертификација типа 2 (доказ ефикасности током одређеног временског периода).
• Ово се односи и на SaaS добављаче: Ова обавеза се односи не само на добављаче инфраструктуре (IaaS) или платформе (PaaS), већ и експлицитно на добављаче софтвера као услуге (SaaS) чије се апликације користе у облаку (нпр. болнички информациони системи (HIS), системи за управљање праксом (PMS), системи за заказивање термина, DiGA).
• Имплементација контрола за кориснике: Институција корисник (клиника, ординација итд.) мора заузврат имплементирати контроле за крајње кориснике поменуте у извештају о ревизији добављача услуга у облаку.

Ова регулатива значајно пооштрава захтеве за услуге у облаку у сектору здравства, чиме се BSI C5 сертификација ефикасно ставља у услов за пружаоце услуга на овом тржишту. Провајдери услуга у облаку као што су Open Telekom Cloud, AWS (регион Франкфурт), Azure, GCP и немачки провајдери попут plusserver, STACKIT и IONOS већ поседују C5 сертификате за своје инфраструктуре. Сада, SaaS решења за здравство изграђена на овим инфраструктурама (HIS, системи за управљање праксом, компоненте електронског картона пацијената итд.) такође морају да обезбеде овај сертификат. Примери компанија које су активне у клауд окружењу здравства и/или траже релевантне сертификате укључују Gini, Doctolib и Kite Consult. Према Gematik-у, сам електронски картон пацијената се хостује на серверима у Немачкој и ЕУ у складу са GDPR-ом.

Финансије

Финансијски сектор (банке, осигуравајућа друштва, пружаоци финансијских услуга) је такође високо регулисан и обрађује изузетно осетљиве податке. Овде се примењују строги регулаторни захтеви, које је наметнуо немачки Савезни орган за финансијски надзор (BaFin) (нпр. BAIT, KAIT, VAIT, ZAIT), као и све више хармонизовани европски прописи. Високи стандарди за ИТ безбедност, управљање ризицима, отпорност и могућност ревизије су стандардна пракса.

Кључни регулаторни покретачи за примену безбедних и суверених облачних решења укључују:

• Директива NIS2: Банке и инфраструктуре финансијског тржишта генерално спадају у категорије „битних“ или „важних“ ентитета према NIS2. Стога морају да испуњавају строже захтеве у вези са управљањем ризицима, безбедношћу ланца снабдевања (укључујући добављаче услуга у облаку), извештавањем о инцидентима и одговорношћу менаџмента.
• DORA (Закон о дигиталној оперативној отпорности): Ова уредба ЕУ посебно има за циљ јачање дигиталне оперативне отпорности у финансијском сектору. Она утврђује детаљне захтеве за управљање ИКТ ризицима, пријављивање озбиљних инцидената повезаних са ИКТ-ом, тестирање дигиталне отпорности и, посебно, управљање ризицима од стране трећих страна које пружају ИКТ услуге, укључујући и добављаче услуга у облаку. DORA захтева, између осталог, јасне уговорне споразуме са добављачима услуга у облаку и права на ревизију.

Добављачи услуга у облаку који желе да опслужују финансијске институције морају да покажу своју способност да испуне ове регулаторне захтеве. То се често постиже кроз сертификације као што су BSI C5 или ISO 27001, посебне уговорне гаранције и транспарентно објављивање своје безбедносне архитектуре и процеса. Добављачи попут plusserver-а, T-Systems-а, Microsoft-а са својим EU Data Boundary-јем и AWS-а са својим European Sovereign Cloud-ом се посебно позиционирају за ово регулисано тржиште.

Поред тога, постоје специјализовани SaaS добављачи који нуде решења за усклађеност са прописима за финансијски сектор, као што су спречавање прања новца (AML), познавање свог клијента (KYC), провера листе санкција, откривање превара и праћење злоупотребе тржишта. Примери добављача са европским присуством укључују ACTICO (Немачка), Pelican AI (УК?), Sopra Financial Technology (Немачка/Француска), Otris (Немачка) и ViClarity (Ирска/САД?).

У овим веома осетљивим секторима, постаје јасно да одлука о коришћењу суверених облачних решења више није само питање минимизирања ризика, већ је све више вођена законским захтевима и строгим обавезама усклађености. Потреба за демонстрирањем сертификата као што је BSI C5 помера основу за доношење одлука са добровољне процене ризика на обавезни предуслов за учешће на тржишту.

Ово представља нове изазове за SaaS провајдере. Док је раније провајдер инфраструктуре (IaaS/PaaS) често поседовао релевантне сертификате, прописи попут Члана 393 Немачког социјалног законика, Књига V (SGB V) сада експлицитно захтевају од SaaS провајдера да такође доставе одговарајућу документацију, као што је BSI C5 сертификат. Трошкови и напори потребни за добијање и одржавање таквих сертификата су знатни и могли би представљати значајну препреку, посебно за мање, иновативне SaaS компаније, што би потенцијално могло довести до консолидације тржишта у овим регулисаним секторима.

У вези са овим:

• Да ли америчка политика подстиче технолошке компаније из ЕУ? Суверенитет података наспрам доминације САД: Будућност рачунарства у облаку у Европи

Промовисање суверенитета: иницијативе и сертификације ЕУ

Да би се ојачао дигитални суверенитет Европе и створио поуздан оквир за рачунарство у облаку, покренуте су разне иницијативе и стандарди сертификације на европском и националном нивоу. Њихов циљ је промоција интероперабилности, хармонизација безбедносних стандарда и повећање поверења у услуге у облаку.

Gaia-X: Визија федералне европске инфраструктуре података

Gaia-X је једна од најистакнутијих европских иницијатива за јачање дигиталног суверенитета. Покренута 2019. године од стране Немачке и Француске, сада укључује бројне партнере из бизниса, науке и политике у многим европским земљама.

• Циљеви: Главни циљ Gaia-X је стварање безбедне, федеративне и интероперабилне инфраструктуре података засноване на европским вредностима као што су заштита података (GDPR), транспарентност, поверење и самоопредељење. Циљ је повећање дигиталне независности Европе од неевропских добављача, омогућавање иновација кроз безбедну размену података и јачање конкурентности европских компанија.
• Архитектура и приступ: Важно је разумети да сам Gaia-X није добављач услуга у облаку, нити гради сопствени „европски супер-облак“. Уместо тога, Gaia-X дефинише скуп правила, заједничких стандарда и архитектонских елемената за децентрализовани екосистем умрежених, интероперабилних простора података и услуга инфраструктуре облака. Заснован је на принципима као што су отвореност, транспарентност, модуларност и употреба отворених стандарда и софтвера отвореног кода. Gaia-X Удружење за податке и облак (AISBL) развија спецификације, правила, политике и оквир за верификацију усклађености (Gaia-X усклађеност), који ће се имплементирати путем такозваних Gaia-X дигиталних клириншких кућа (GXDCH).
• Компоненте и пројекти: У оквиру Gaia-X оквира, појављују се конкретни градивни блокови и пројекти. Sovereign Cloud Stack (SCS) је важан пример: стандардизовани технолошки стек отвореног кода (базиран на OpenStack-у, Kubernetes-у итд.) за изградњу Gaia-X компатибилних, суверених облачних инфраструктура (IaaS/PaaS). Намењен је да служи као техничка основа за интероперабилне и суверене облачне понуде, укључујући немачки административни облак.
• Случајеви употребе: Да би се демонстрирале предности Gaia-X, развијају се конкретни простори података и апликације у различитим областима. Примери се могу наћи у Индустрији 4.0 (нпр. Catena-X за аутомобилску индустрију), мобилности, енергетици, финансијама, јавној управи, а посебно у здравству. Пројекти као што су TEAM-X, Health-X dataLOFT и GAIA-Med имају за циљ да омогуће безбедну и суверену размену здравствених података ради побољшане неге и истраживања.
• Изазови: Упркос амбициозним циљевима, Gaia-X се такође суочава са изазовима и критикама. То укључује сложеност пројекта, спор напредак у практичној имплементацији, понекад нејасне дефиниције и страх да би иницијативом могли да доминирају успостављени глобални хиперскалери. Такође је критиковано да је фокус превише дуго био на инфраструктурном слоју (IaaS/PaaS), занемарујући апликацијски слој (SaaS).

EUCS: Европска шема сертификације сајбер безбедности за услуге у облаку

Европска шема за сертификацију сајбер безбедности за услуге у облаку (EUCS) је оквир за сертификацију који је развила Европска агенција за сајбер безбедност (ENISA) у складу са Законом ЕУ о сајбер безбедности (CSA).

• Сврха: Главни циљ је хармонизација захтева за сајбер безбедност и сертификација за услуге у облаку (IaaS, PaaS, SaaS) широм ЕУ. Циљ је стварање јединственог стандарда за превазилажење фрагментације узроковане различитим националним шемама сертификације (као што су SecNumCloud у Француској или C5 у Немачкој) и јачање јединственог дигиталног тржишта. За кориснике облака, EUCS је намењен стварању веће транспарентности и поверења демонстрирањем да сертификоване услуге испуњавају одређене безбедносне стандарде.
• Нивои сигурности: Шема дефинише три (или у ранијим нацртима четири) нивоа безбедности („Основни“, „Значајан“, „Висок“ и могуће „Висок+“) који одражавају различите нивое ризика и могућности нападача. Са повећањем нивоа, повећавају се и захтеви за имплементиране мере безбедности (нпр. мрежа, складиштење, безбедност шифровања, тестови пенетрације) и ригорозност евалуације од стране акредитованих тела за процену усаглашености (CAB).
• Добровољно наспрам обавезног: EUCS сертификација је генерално добровољна. Међутим, Закон о сајбер безбедности и NIS2 директива дозвољавају државама чланицама ЕУ да пропишу употребу сертификованих ИКТ услуга за одређене секторе, посебно за критичну инфраструктуру (KRITIS). Стога је вероватно да ће EUCS постати де факто обавезни захтев или кључни критеријум у тендерима, барем у регулисаним секторима.
• Дебата о суверенитету: Централна и контроверзна тачка у развоју EUCS-а било је питање специфичних захтева за суверенитет, посебно за највиши ниво безбедности („Висок“ или „Висок+“). Ранији нацрти су предвиђали да је локализација података унутар ЕУ обавезна за овај ниво и да добављач мора имати своје седиште и глобални центар у држави чланици ЕУ како би се осигурала заштита од неевропских закона (као што је CLOUD Act). Међутим, ови захтеви су очигледно уклоњени или ослабљени у каснијим нацртима (од 2024. године). Ово је изазвало оштре критике европских добављача услуга у облаку (посебно малих и средњих предузећа), индустријских удружења и заговорника заштите података, који се плаше да то слаби дигитални суверенитет Европе, учвршћује зависност од неевропских хиперскалера и излаже податке европских грађана и предузећа повећаном ризику. Дебата о коначном дизајну ових захтева се наставља.

BSI C5: Немачки стандард за безбедност у облаку

Каталог критеријума усаглашености за рачунарство у облаку (C5) немачког Савезног завода за безбедност информација (BSI) је утврђени каталог критеријума који дефинише специфичне минималне захтеве за безбедност информација у облаку.

• Сврха и садржај: C5 је дизајниран да води кориснике облака у избору безбедних провајдера и да успостави основу за њихово управљање ризицима. Заснован је на међународно признатим стандардима као што је ISO/IEC 27001, али их допуњује специфичним захтевима за облак и ставља посебан нагласак на транспарентност кроз такозване параметре окружења. Ови параметри пружају информације о аспектима као што су локација података, надлежност, сертификати и обавезе откривања података владиним агенцијама, што би требало да помогне корисницима да боље процене ризике (нпр. од индустријске шпијунаже или кршења безбедности података). Каталог обухвата 17 предметних области, укључујући организацију безбедности информација, безбедност особља, управљање имовином, криптографију, управљање идентитетом и приступом, управљање инцидентима и физичку безбедност.
• Сертификат о ревизији (тип 1 и тип 2): Усклађеност са критеријумима C5 доказује се сертификатом о ревизији који издаје независни, квалификовани ревизор. Постоје две врсте сертификата о ревизији: Тип 1 потврђује адекватност дизајна и имплементације безбедносних контрола на одређени датум. Тип 2 додатно потврђује оперативну ефикасност ових контрола током дефинисаног периода ревизије (обично од 6 до 12 месеци). Сертификат о ревизији типа 2 се сматра свеобухватнијим и биће потребан за накнадне ревизије и у здравственом сектору од јула 2025. године.
• Релевантност: C5 је постао де факто стандард за безбедно рачунарство у облаку у Немачкој, посебно за јавну управу и високо регулисане секторе као што су здравство и финансије. Као што је раније поменуто, C5 сертификација ће постати законски обавезна за услуге у облаку у здравству путем Закона о дигиталној инфраструктури (DigiG) почев од јула 2024/2025. Многи немачки и европски, као и међународни добављачи услуга у облаку (за своје регионе ЕУ) имају C5 сертификате за своје услуге.

Остали релевантни стандарди

Поред горе поменутих иницијатива и сертификата, важну улогу играју и утврђени међународни стандарди:

• ISO/IEC 27001: Глобално признати стандард за системе управљања безбедношћу информација (ISMS). Он дефинише систематски приступ управљању осетљивим пословним информацијама како би се осигурала њихова поверљивост, интегритет и доступност. Сертификација ISO 27001 је често предуслов за добављаче услуга у облаку и служи као основа за специфичније стандарде као што је C5.
• ISO/IEC 27017: Овај стандард пружа кодекс праксе са специфичним контролним мерама за безбедност информација у облачним окружењима, допуњујући ISO/IEC 27002.
• ISO/IEC 27018: Фокусира се на заштиту личних података (PII) у јавним облацима који делују као обрађивачи података. Садржи смернице које су уско усклађене са европским принципима заштите података и може послужити као додатак стандарду C5, који првенствено не покрива заштиту података.

Ове различите иницијативе и стандарди не треба нужно посматрати као конкуренте, већ као комплементарне. Gaia-X пружа визију и правила за суверени екосистем, EUCS има за циљ хармонизацију сертификације широм ЕУ, а национални стандарди као што је BSI C5 већ нуде конкретне, утврђене захтеве и механизме тестирања. Изазов ће бити смислено интегрисати ове приступе и створити кохерентан оквир који испуњава европске тежње ка суверенитету, а истовремено је практичан за пружаоце услуга и кориснике. Међутим, тренутна дебата око захтева за суверенитетом у EUCS-у показује да је и даље потребан даљи политички и технички рад.

Важно је да компаније схвате да су сертификати као што су BSI C5 или ISO 27001 вредни ослонци поверења, стварајући транспарентност и олакшавајући демонстрацију безбедносних напора. Међутим, они нису панацеја и не замењују сопствену процену ризика и дужну пажњу купца. На пример, C5 сертификат за америчког добављача не мења његову подложност Закону CLOUD. Заједничка одговорност за безбедност коришћења облака остаје између добављача и купца, а компаније морају увек да провере да ли су мере добављача довољне за њихове специфичне захтеве и ризике.

У вези са овим:

• Системи за управљање подацима у транзицији: Стратегије за пословни успех у доба вештачке интелигенције

Стратешке предности преласка на SaaS провајдере из ЕУ

Анализа ризика повезаних са коришћењем услуга у облаку са седиштем у САД и испитивање растућег тржишта за суверене европске SaaS алтернативе омогућавају јасан закључак: За европске компаније, решавање њихове стратегије у облаку из перспективе дигиталног суверенитета није само препоручљиво, већ све више и стратешка неопходност.

Резиме резултата

Кључни налази овог извештаја могу се сумирати на следећи начин:

• Стални ризици са америчким добављачима: Коришћење SaaS услуга од компанија које подлежу јурисдикцији САД представља значајне и сталне ризике за европске компаније. Фундаментални сукоб између Опште уредбе о заштити података (GDPR) ЕУ и америчких закона, као што су CLOUD Act и FISA 702, доводи до потенцијалних кршења безбедности података, високих казни, губитка контроле над подацима и ризика од индустријске шпијунаже. Чак ни тренутни Оквир за заштиту приватности података (DPF) између ЕУ и САД не решава овај фундаментални сукоб, а његова дугорочна стабилност је неизвесна (видети Одељак II).
• Суверенитет као вишедимензионални концепт: „Суверени SaaS“ у европском контексту значи више од пуког складиштења података у центрима података ЕУ. То укључује усклађеност са европским законима (посебно GDPR-ом), заштиту од приступа ван Европе, рад од стране ентитета и особља ЕУ и идеално, технолошку отвореност и интероперабилност како би се избегле зависности (видети Одељак III).
• Растуће тржиште за алтернативе из ЕУ: Постоји разноврсно и растуће тржиште SaaS провајдера, са седиштем и пословањем у ЕУ/ЕЕА/Швајцарској. Ови провајдери нуде решења у бројним категоријама, често са снажним фокусом на заштиту података, безбедност и локалне потребе. Многи се стратешки ослањају на отворени код како би максимизирали транспарентност и контролу (видети одељке IV и V).
• Регулаторни притисак у осетљивим секторима: У областима као што су јавна управа, здравство и финансијски сектор, коришћење доказиво безбедних и суверених облачних решења (често са BSI C5 сертификатом или упоредивим доказима) све више постаје обавезно кроз законске прописе (нпр. DigiG, DORA, NIS2) и стратешке захтеве (нпр. DVS) (видети Одељак VI).
• Оквирни услови кроз иницијативе и стандарде: европске иницијативе као што је Gaia-X и сертификати као што је планирани EUCS, као и утврђени национални стандарди као што је BSI C5, стварају важне оквирне услове, промовишу интероперабилност и намењени су јачању поверења у понуде суверених облака (видети одељак VII).

Стратешке предности SaaS алтернатива у ЕУ

Прелазак на или првенствени избор европских SaaS добављача који испуњавају критеријуме суверенитета нуди компанијама стратешке предности које превазилазе пуко минимизовање ризика:

• Побољшана усклађеност и правна сигурност: Коришћење добављача који су искључиво подложни законима ЕУ и гарантују да се подаци обрађују унутар ЕУ значајно смањује ризик од кршења Опште уредбе о заштити података и сукоба са законима ван Европске уније. Ово ствара стабилнију и предвидљивију правну основу за обраду података.
• Повећана контрола и безбедност података: Европски провајдери са фокусом на суверенитет често нуде виши ниво контроле над вашим сопственим подацима. То се може постићи опцијама самосталног хостовања, доследним енкрипцијом од краја до краја (нулто знање), транспарентним оперативним процесима и искључивањем приступа од стране власти трећих земаља.
• Ојачан дигитални суверенитет: Избор европских добављача смањује стратешку зависност од технолошких компанија ван Европе. Подржава развој отпорног дигиталног екосистема у Европи и јача локалну дигиталну економију.
• Локална подршка и културна близина: Европски добављачи често могу да понуде приступачнију и разумљивију корисничку услугу на локалном језику и временској зони. Они често имају дубље разумевање специфичних захтева и обичаја европског тржишта, што може олакшати сарадњу и преговоре о уговорима.
• Изградња поверења: Употреба решења која су очигледно у складу са прописима о заштити података и суверена су решења сигнализира снажну посвећеност заштити и безбедности података купцима, партнерима и запосленима. Ово може постати значајна предност у погледу поверења и конкурентности.

Препоруке за европске компаније

Да би искористиле предности суверених SaaS решења и управљале ризицима усвајања облака, европске компаније би требало да размотре следеће кораке:

• Спроведите индивидуалну анализу ризика: Критички процените SaaS услуге које тренутно користите (посебно оне са седиштем у САД). Анализирајте врсту обрађиваних података (осетљивост, лични подаци), важеће регулаторне захтеве (GDPR, прописи специфични за индустрију) и потенцијални утицај неовлашћеног приступа подацима или прекида услуга на ваше пословање.
• Дефинишите захтеве за суверенитет: Одредите ниво суверенитета података, оперативне контроле и технолошке независности који је неопходан и пожељан за вашу организацију. Није свакој апликацији потребан исти ниво суверенитета. Приоритизујте на основу ризика и стратешког значаја.
• Систематски процените тржиште за алтернативе у ЕУ: Користите прегледе тржишта (као што је онај у овом извештају) и сопствена истраживања да бисте идентификовали потенцијалне европске SaaS добављаче који испуњавају ваше функционалне и захтеве везане за суверенитет. Размотрите величину добављача, специјализацију, референце и будућу одрживост.
• Пажљива анализа је неопходна при избору добављача: Не ослањајте се на маркетиншке тврдње. Критички испитајте информације добављача у вези са локацијама података (укључујући резервне копије и метаподатке), оперативним особљем, структуром компаније (власништво, регистровано седиште), коришћеним подизвођачима, технологијама шифровања (посебно енкрипцијом од почетка до краја/нултим знањем) и безбедносним мерама. Захтевајте уговоре о обради података (DPA), техничке и организационе мере (TOM) и релевантне сертификате или атестације (нпр. ISO 27001, BSI C5) и пажљиво их прегледајте.
• Развијте стратегију миграције и план изласка: Пажљиво испланирајте сваку потенцијалну миграцију. Размотрите трошкове, технички напор потребан за миграцију података, неопходна прилагођавања интерфејса и управљање променама за ваше запослене. Обезбедите интероперабилност и дефинишите јасну стратегију изласка како бисте олакшали будућу промену добављача или реверзибилност података.
• Размотрите отворени код као опцију: Процените да ли SaaS решења заснована на отвореном коду, било као управљана услуга од стране добављача из ЕУ или самостално хостована, представљају одговарајућу алтернативу за постизање максималне транспарентности, прилагодљивости и контроле.
• Пратите регулаторно окружење: Будите информисани о дешавањима у трансатлантском саобраћају података (DPF верификација), европским стандардима сертификације (EUCS) и релевантним законима (NIS2, DORA, прописи специфични за индустрију), јер они могу значајно утицати на вашу стратегију у облаку.

Одлука за или против коришћења одређених услуга у облаку, посебно у вези са америчким добављачима у односу на европске алтернативе, далеко је више од техничког или чисто питања везаног за усклађеност. То је стратешка одлука са дугорочним импликацијама на правну сигурност, безбедност података, контролу над критичним пословним процесима и, коначно, отпорност и конкурентност компаније на глобалној дигиталној арени. Анализирани ризици зависности од неевропских добављача су значајни и погоршавају их, а не ублажавају, тренутна геополитичка и правна ситуација.

Истовремено, прелазак на европске алтернативе није подразумеван. Компаније морају пажљиво да одмере да ли предности у погледу усклађености и контроле надмашују потенцијалне недостатке у погледу функционалности, брзине иновација или напора миграције. Темељна анализа сопствених потреба, реалистична процена доступних алтернатива и пажљиво планирање транзиције кључни су за успех. Међутим, европско тржиште све више нуди одрживе и поуздане опције које омогућавају компанијама да искористе предности облака без угрожавања свог дигиталног суверенитета.

☑️ Подршка малим и средњим предузећима у стратегији, консултацијама, планирању и имплементацији

☑️ Креирање или преусмеравање стратегије вештачке интелигенције

☑️ Пионирски развој пословања

Konrad Wolfenstein

Било би ми драго да вам будем лични саветник.

Можете ме контактирати попуњавањем контакт форме испод или ме једноставно позовите на +49 89 89 674 804 (Минхен) .

Радујем се нашем заједничком пројекту.

Xpert.Digital је центар за индустрију фокусиран на дигитализацију, машинство, логистику/интралогистику и фотонапонске системе.

Са нашим решењем за развој пословања од 360°, пружамо подршку реномираним компанијама, од нових пословања до постпродајних услуга.

Тржишна интелигенција, маркетиншки маркетинг, маркетиншка аутоматизација, развој садржаја, односи с јавношћу, мејлинг кампање, персонализоване друштвене мреже и неговање потенцијалних клијената су део наших дигиталних алата.

Више информација можете пронаћи на: www.xpert.digital - www.xpert.solar - www.xpert.plus