Utanför USA:s molntjänster: En översikt över suveräna SaaS-erbjudanden + åtgärdsrekommendationer

Xpert-förhandsversion

Available in 27 languages 📢

Föredra Xpert.Digital på Google

Publicerad den: 19 april 2025 / Uppdaterad den: 19 april 2025 – Författare: Konrad Wolfenstein

Utanför USA:s moln: En översikt över suveräna SaaS-erbjudanden

Ut ur det amerikanska molnet: En översikt över suveräna SaaS-erbjudanden – Bild: Xpert.Digital

Hur CLOUD Act undergräver förtroendet för amerikansk teknologi (Lästid: 43 min / Ingen reklam / Ingen betalvägg)

Behovet av digital suveränitet för europeiska företag

Den digitala transformationen fortskrider oavbrutet, och molntjänster, särskilt Software-as-a-Service (SaaS), har blivit ett oumbärligt verktyg för företag av alla storlekar. Det möjliggör flexibilitet, skalbarhet och tillgång till innovativa tekniker. Samtidigt har denna utveckling lett till ett betydande beroende av ett fåtal, mestadels USA-baserade, molnleverantörer.

Relaterat till detta:

Problembeskrivning: Växande beroende av amerikanska molnleverantörer

Den europeiska molnmarknaden domineras tydligt av de stora amerikanska hyperskalningsleverantörerna: Amazon Web Services (AWS), Microsoft Azure och Google Cloud Platform (GCP). Dessa leverantörer kontrollerar en stor andel av den globala marknaden. Även ledande europeiska leverantörer som SAP och Deutsche Telekom uppnår endast små marknadsandelar i Europa i jämförelse. Denna koncentration medför en inneboende risk: en stor del av den globala, och särskilt den europeiska, molninfrastrukturen är potentiellt föremål för amerikansk jurisdiktion. Följaktligen växer medvetenheten om riskerna med detta beroende hos europeiska företag och i allt högre grad även inom offentliga förvaltningar. Oro kring dataskydd, datasäkerhet och förlust av kontroll över kritiska data och processer blir allt viktigare. Frågan om digital suveränitet blir en strategisk imperativ.

Relevansen av datasuveränitet och GDPR-efterlevnad

I centrum för europeiska frågor ligger den allmänna dataskyddsförordningen (GDPR). Sedan 2018 har den utgjort det strikta rättsliga ramverket för skyddet av personuppgifter i Europeiska unionen och reglerar i detalj deras behandling och överföring, särskilt till länder utanför EU. För europeiska företag är efterlevnad av GDPR inte bara en rättslig skyldighet utan också en avgörande faktor för att upprätthålla kunders och affärspartners förtroende. Parallellt får begreppet digital suveränitet allt större betydelse. Det beskriver Europas ambition att återta eller behålla kontrollen över sina egna data, tekniker och digitala infrastrukturer. Detta är inte bara en fråga om dataskydd utan också ett industripolitiskt mål som syftar till att stärka den europeiska ekonomin och konkurrenskraften i en globaliserad digital värld. För företag innebär detta behovet av att ompröva molnstrategier och proaktivt söka lösningar som både är lagligt kompatibla och pålitliga, vilket säkerställer deras operativa kapacitet.

Relaterat till detta:

Rapportens mål och struktur

Denna rapport riktar sig till europeiska företags- och IT-beslutsfattare som står inför utmaningen att utveckla en framtidssäker och riskmedveten molnstrategi. Målet är att ge en sund grund för beslutsfattande genom att:

  • Analyserar de specifika risker som uppstår för europeiska företag vid användning av USA-baserade SaaS-tjänster, särskilt med avseende på konflikten mellan GDPR och amerikanska lagar som CLOUD Act och FISA 702.
  • Definierar vad som avses med ”suveräna SaaS-erbjudanden” i europeiskt sammanhang och vilka kriterier de måste uppfylla.
  • Detta är en marknadsöversikt över europeiska SaaS-leverantörer som positionerar sig som suveräna alternativ, kategoriserade efter tillämpningsområden.
  • Den jämför viktiga alternativ i nyckelkategorier med avseende på funktioner, prissättning och, viktigast av allt, implementeringen av datasuveränitet och GDPR-efterlevnad.
  • Specialiserade lösningar för känsliga sektorer som offentlig förvaltning, hälso- och sjukvård och finans lyftes fram.
  • Presenterar relevanta EU-initiativ (såsom Gaia-X) och certifieringar (såsom EUCS, BSI C5) som främjar molnsuveränitet.
  • Den drar en slutsats och härleder rekommendationer för företagens strategiska inriktning.

Riskanalys: Amerikanska molntjänster och utmaningarna för europeiska företag

Användningen av molntjänster, särskilt SaaS-erbjudanden, från leverantörer baserade i USA ställer europeiska företag inför betydande juridiska och operativa utmaningar. Dessa uppstår främst på grund av den grundläggande konflikten mellan strikta europeiska dataskyddsregler och långtgående amerikanska övervaknings- och dataåtkomstlagar.

Kärnkonflikten: GDPR kontra amerikanska övervakningslagar

Den allmänna dataskyddsförordningen (GDPR) utgör grunden för det europeiska dataskyddet. Den fastställer höga standarder för behandling av EU-medborgares personuppgifter. Artiklarna 44 och följande i GDPR, som reglerar överföring av sådana uppgifter till tredjeländer (länder utanför EU/EES), är särskilt relevanta för molnanvändning. En sådan överföring är endast tillåten om tredjelandet tillhandahåller en "adekvat skyddsnivå" (enligt ett beslut om adekvat skydd från EU-kommissionen) eller om "lämpliga skyddsåtgärder" (såsom standardavtalsklausuler eller bindande företagsregler) finns på plats och verkställbara rättigheter och effektiva rättsmedel finns tillgängliga för registrerade. Dessutom förbjuder artikel 48 i GDPR uttryckligen överföring av uppgifter till myndigheter i ett tredjeland baserat på deras beslut eller domar, såvida inte ett internationellt avtal, såsom ett avtal om ömsesidig rättslig hjälp, finns. Flera amerikanska lagar, som ger amerikanska myndigheter omfattande åtkomsträttigheter till uppgifter, även om de lagras utanför USA, strider mot denna europeiska skyddsstandard

  • Den amerikanska CLOUD Act (Clarifying Lawful Overseas Use of Data Act): Denna lag, som antogs 2018, ger amerikanska brottsbekämpande myndigheter och underrättelsetjänster befogenhet att kräva att amerikanska kommunikations- och teknikföretag lämnar ut data under deras kontroll – oavsett var i världen dessa data lagras. Detta inkluderar uttryckligen data som finns i datacenter inom Europeiska unionen. CLOUD Act undergräver således territorialitetsprincipen för dataskydd och strider direkt mot kraven i GDPR, särskilt artikel 48. Den antogs delvis som ett svar på en utdragen rättslig tvist mellan Microsoft och den amerikanska regeringen om åtkomst till e-postmeddelanden som lagras på servrar i Irland, och den moderniserade äldre åtkomstregler från tiden efter den 11 september 2001, såsom Patriot Act. Medan CLOUD Act tillhandahåller mekanismer för en leverantör att bestrida ett utlämnandebeslut om det bryter mot lagen i en annan stat (såsom GDPR), är den praktiska effektiviteten av dessa mekanismer, särskilt med avseende på nationella säkerhetsbeslut, mycket kontroversiell och erbjuder ingen tillförlitlig garanti för europeiska företag. Leverantörer sitter därmed i ett dilemma: om de följer en CLOUD Act-order utan EU-rättslig grund riskerar de massiva GDPR-böter; om de vägrar att lämna ut uppgifter med hänvisning till GDPR riskerar de sanktioner enligt amerikansk lag.
  • FISA avsnitt 702 (Foreign Intelligence Surveillance Act): Denna bestämmelse, som är en del av FISA Amendments Act från 2008, tillåter amerikanska underrättelsetjänster som NSA att utföra riktad övervakning av elektronisk kommunikation från icke-amerikanska personer som befinner sig utanför USA. Övervakningen utförs för att erhålla "utländsk underrättelseinformation". FISA 702 ålägger amerikanska leverantörer av elektroniska kommunikationstjänster (ECSP), vilka inkluderar många stora moln- och SaaS-leverantörer, att samarbeta med myndigheterna. Omfattningen av potentiellt insamlad data är mycket bred och kan omfatta inte bara metadata utan även innehållet i kommunikationen, även de från icke-inblandade tredje parter som bara nämner en målindivid. Övervakningsprogrammen enligt FISA 702 (såsom PRISM och Upstream) var en central kritikpunkt i Schrems II-domen från EU-domstolen (se nedan). Kritik riktas också mot bristen på effektiva rättsmedel för berörda EU-medborgare och potentialen för massövervakning, även om amerikanska myndigheter förnekar detta.
  • Executive Order 12333 och andra: Utöver CLOUD Act och FISA 702 finns det andra rättsliga grunder, såsom Executive Order 12333, som ger amerikanska underrättelsetjänster omfattande befogenheter att utföra övervakning utomlands, ofta utan rättslig tillsyn eller specifika rättsliga begränsningar för icke-amerikanska personer.

Denna grundläggande rättsliga konflikt skapar en situation där användningen av molntjänster från amerikanska leverantörer innebär inneboende risker för europeiska företag.

Specifika risker för europeiska företag

Den beskrivna rättsliga konflikten innebär konkreta risker för europeiska företag som använder USA-baserade SaaS-tjänster:

  • Dataintrång och böter: Att lämna ut personuppgifter till amerikanska myndigheter enligt CLOUD Act eller FISA 702, utan giltig rättslig grund enligt EU-lagstiftningen (t.ex. ett avtal om ömsesidig rättslig hjälp), utgör ett klart brott mot GDPR, särskilt artikel 48. Detta kan leda till betydande böter på upp till 4 % av den globala årsomsättningen, samt civilrättsliga skadeståndskrav från registrerade. Enbart användningen av en amerikansk molntjänst kan anses potentiellt bristande överensstämmelse med GDPR om leverantören inte kan garantera att den inte kommer att lämna ut uppgifter i strid med GDPR.
  • Förlust av datasuveränitet och kontroll: Avtalsmässiga garantier från amerikanska leverantörer om att data endast lagras i EU:s datacenter erbjuder inte ett effektivt skydd mot amerikansk åtkomst enligt CLOUD Act eller FISA. Amerikansk lag kan åsidosätta dessa garantier och till och med tekniska skyddsåtgärder. Inte ens datakryptering är ett universalmedel om den amerikanska leverantören kontrollerar krypteringsnycklarna, eftersom de kan tvingas att lämna ut dem. På liknande sätt kan åtkomstkontrollmekanismer kringgås och revisionsloggar kan ses utan dataägarens vetskap, vilket bryter mot transparenskraven i GDPR. Europeiska företag förlorar därmed i praktiken kontrollen över vem som har åtkomst till deras data och under vilka omständigheter.
  • Industrispionage och förlust av affärshemligheter: Det potentiella utflödet av känsliga företagsuppgifter utgör en särskilt allvarlig risk. Detta inkluderar immateriella rättigheter, forsknings- och utvecklingsdata, prototyper, strategiska planer, finansiella data och konfidentiella kunddata och kommunikation. Oron för att amerikanska myndigheter kan använda sina åtkomsträttigheter för ekonomiska ändamål (industrispionage) är en viktig drivkraft för europeiska företag att söka alternativ eller genomföra ytterligare skyddsåtgärder. Förlusten av sådan information kan leda till betydande ekonomiska förluster, anseendeskador och förlust av konkurrensfördelar.
  • Rättslig osäkerhet och förlorat förtroende: Den olösta konflikten mellan europeisk dataskyddslagstiftning och amerikanska åtkomsträttigheter skapar betydande rättslig osäkerhet för företag som använder amerikanska tjänster. Denna osäkerhet komplicerar långsiktig planering och efterlevnadsarbete. Dessutom kan fortsatt användning av tjänster där dataskydd inte kan garanteras allvarligt undergräva kunders, anställdas och affärspartners förtroende.
  • Geopolitiska risker: Lagar som CLOUD Act ses i samband med globala trender mot ökad statlig övervakning och en potentiell fragmentering av internet ("Splinternet"). Jämförelser görs med liknande lagar i andra länder, såsom Kinas nationella underrättelselag. Dessutom utgör ett alltför stort beroende av teknikleverantörer från en enda icke-europeisk region strategiska risker för Europas digitala autonomi och motståndskraft.

Riskerna med att använda amerikanska molntjänster sträcker sig långt bortom potentiella GDPR-påföljder. De inkluderar förlust av kritisk affärsdata, skadat rykte och hot mot konkurrenskraften på grund av potentiellt missbruk av åtkomsträttigheter för industrispionage. Dessa ofta svårkvantifierade, men potentiellt existentiella, "säkerhetsrisker" underskattas lätt när man enbart fokuserar på GDPR-efterlevnad.

Schrems II-domen och dataskyddsramverket (DPF)

Den rättsliga osäkerheten kring transatlantiska dataöverföringar förvärrades avsevärt av EU-domstolens Schrems II-dom i juli 2020. EU-domstolen ogiltigförklarade det då gällande EU-USA Privacy Shield-avtalet. Resonemanget: Amerikanska övervakningslagar, särskilt FISA 702 och relaterade program, tillåter intrång i EU-medborgarnas grundläggande rättigheter (dataskydd, integritet) som inte är begränsade till vad som är strikt nödvändigt och inte erbjuder motsvarande skydd som det som ges i EU. Dessutom saknas effektiva rättsmedel för berörda individer i USA mot sådana övervakningsåtgärder. Medan domen bekräftade den allmänna giltigheten av standardavtalsklausuler (SCC) som ett alternativt instrument för dataöverföringar, klargjorde EU-domstolen att dataexportörer inte kan förlita sig blint på SCC. Som en del av en bedömning från fall till fall (Transfer Impact Assessment – ​​​​TIA) måste det undersökas om lagen och praxis i destinationslandet (här USA) garanterar en skyddsnivå som är "väsentligen likvärdig" med den i EU. Om detta inte är fallet på grund av övervakningslagar – vilket EU-domstolen föreslog för USA – måste ytterligare åtgärder (kompletterande åtgärder) vidtas (t.ex. stark kryptering där mottagaren inte har tillgång till nycklarna) för att säkerställa skyddet. Om inte ens detta är möjligt måste dataöverföringen avbrytas. CLOUD Act sågs i detta sammanhang som en faktor som ytterligare undergräver argumentet för en likvärdig skyddsnivå. Som svar på den rättsliga osäkerhet som skapades av Schrems II och för att ge dataflöden mellan EU och USA en mer solid grund, enades EU-kommissionen och den amerikanska regeringen om EU-US Data Privacy Framework (DPF). Detta trädde i kraft i juli 2023 genom ett nytt beslut om adekvat skyddsnivå från EU-kommissionen. Dataskyddsramen (DPF) är avsedd att ta itu med de farhågor som Europeiska domstolen (ECJ) tog upp i Schrems II-domen genom att tillhandahålla ytterligare skyddsåtgärder från amerikansk sida: amerikanska underrättelsetjänsters tillgång till EU-medborgares uppgifter ska begränsas till vad som är nödvändigt och proportionerligt, och en ny, tvådelad rättsmedelsmekanism (inklusive Data Protection Review Court – DPRC) har inrättats för EU-medborgare. Företag i USA kan erhålla DPF-certifiering, och dataöverföringar från EU till dessa certifierade företag anses då tillåtna utan behov av ytterligare instrument såsom standardavtalsklausuler eller andra åtgärder. Det kvarstår dock betydande tvivel och risker när det gäller DPF:s stabilitet och effektivitet

  • Grundläggande amerikanska lagar gäller fortfarande: CLOUD Act och FISA 702 ändrades inte av DPF. Amerikanska myndigheters grundläggande befogenheter att få tillgång till data fortsätter att gälla.
  • Tvivel kring EU-domstolens granskning: Många dataskyddsexperter och aktivister tvivlar på att de skyddsåtgärder som föreskrivs i dataskyddsfonden och den nya rättsmedelsmekanismen skulle klara en förnyad granskning från EU-domstolen. I synnerhet ifrågasätts Dataskyddskommissionens (DPRC) oberoende och verkställighetsbefogenheter.
  • Kontinuerlig övervakning krävs: Enligt artikel 45(4) i GDPR är Europeiska kommissionen skyldig att kontinuerligt övervaka utvecklingen i USA och regelbundet granska dess tillräcklighet. Den första granskningen ägde rum sommaren 2024. Den senaste utvecklingen, såsom förlängningen och den potentiella utvidgningen av FISA 702, skulle återigen kunna äventyra grunden för DPF.
  • Risk för företag: Företag som enbart förlitar sig på DPF tar en betydande risk. Om EU-domstolen i framtiden också skulle ogiltigförklara DPF (ett ”Schrems III”-scenario) skulle dataöverföringar baserade på den bli olagliga igen över en natt. Företag som då saknar en ”plan B” (t.ex. byte till en EU-leverantör eller genomförande av effektiva ytterligare åtgärder) kan inte förvänta sig mild behandling.

Kärnkonflikten mellan amerikansk lag om bred dataåtkomst och EU:s grundläggande rätt till dataskydd kvarstår således även under DPF. De amerikanska lagar som orsakar problemet förblir i kraft. DPF representerar mer en politisk och potentiellt tillfällig nödlösning än en slutgiltig rättslig lösning. Det grundläggande problemet med amerikanska myndigheters potentiellt GDPR-brytande åtkomst till europeiska medborgares och företags data har inte lösts.

Definition och kriterier: Vad betyder ”suverän SaaS”?

Med tanke på de beskrivna riskerna söker europeiska företag i allt högre grad alternativ som erbjuder dem större kontroll, säkerhet och efterlevnad av lagar och förordningar. I detta sammanhang används ofta termerna "sovereign cloud" eller "sovereign SaaS". Men vad betyder dessa termer exakt, och vilka kriterier måste ett erbjudande uppfylla för att betraktas som suveränt i europeiskt sammanhang?

Viktiga element för suveränitet i molnkontexten

Digital suveränitet i molnmiljön är ett mångfacetterat koncept som går utöver det enkla tekniska tillhandahållandet av tjänster. Det kan förstås genom flera kärnelement:

  • Datasuveränitet: Detta är den centrala principen. Den slår fast att data omfattas av lagar och förordningar i den jurisdiktion där de finns eller samlades in. För Europa innebär detta främst en fullständig tillämpning av EU:s dataskyddslagstiftning (särskilt GDPR) och skydd mot åtkomst från myndigheter från tredjeländer baserat på extraterritoriella lagar som US CLOUD Act. Kunden behåller full kontroll över vem som får åtkomst till deras data och under vilka villkor.
  • Datauppehållstillstånd och datalokalisering:
    • Dataresidens innebär att kunddata (inklusive metadata och säkerhetskopior) garanteras lagras och behandlas inom en definierad geografisk region, vanligtvis EU eller EES. Detta är ett nödvändigt villkor för datasuveränitet i EU-sammanhang, men inte tillräckligt i sig om leverantören omfattas av icke-europeiska lagar.
    • Datalokalisering är ett strängare krav som föreskriver att data inte får lämna ett specifikt lands gränser. Sådana lagar är sällsynta inom EU, men kan vara relevanta för specifika nationella regler eller sektorer.
  • Operativ suveränitet: Detta element avser kontroll över driften av molninfrastrukturen och de tjänster som körs på den. Viktiga aspekter inkluderar:
    • Drift av EU-personal och EU-juridiska enheter: Det måste säkerställas att personal med fysisk eller logisk åtkomst till molnmiljön och kunddata är baserad i EU och omfattas av EU-lagstiftningen. Åtkomst från länder utanför EU måste förhindras eller strikt kontrolleras genom tekniska och organisatoriska åtgärder.
    • EU:s huvudkontor och struktur: Molnleverantören själv, eller åtminstone den juridiska enhet som ansvarar för verksamheten i EU, bör ha sitt huvudkontor i en EU/EES-medlemsstat och därmed i första hand omfattas av europeisk lagstiftning. Det är också avgörande att det inte finns några beroenden till moderbolag eller dotterbolag i tredjeländer (särskilt USA) som skulle kunna tvinga fram efterlevnad av deras lagar (såsom CLOUD Act eller FISA).
    • Transparens och granskningsbarhet: Kunder behöver transparens gällande operativa processer, underleverantörer och implementerade säkerhetsåtgärder. Möjligheten att oberoende granska och granska åtkomst och processer är en viktig egenskap hos operativ suveränitet.
  • Teknologisk suveränitet: Detta avser förmågan att förstå, kontrollera, validera och helst även (vidare)utveckla de underliggande nyckelteknologierna. Aspekter av detta inkluderar:
    • Användning av öppna standarder och programvara med öppen källkod: Öppna standarder och programvara med öppen källkod främjar interoperabilitet mellan olika leverantörer och lösningar, ökar transparensen (eftersom koden är granskningsbar), minskar risken för leverantörslåsning och underlättar säkerhetsrevisioner. De utgör ofta grunden för europeiska teknikstackar som Sovereign Cloud Stack (SCS).
    • Interoperabilitet och portabilitet: Möjligheten att enkelt migrera data och applikationer mellan olika molnleverantörer eller tillbaka till sin egen infrastruktur (on-premise) är ett tecken på oberoende och flexibilitet.
    • Kontroll över teknikstacken: På lång sikt syftar teknologisk suveränitet till att minska beroendet av proprietära hårdvaru- och mjukvarukomponenter från icke-europeiska källor och att bygga upp europeisk expertis.

Relaterat till detta:

Avgränsning och missförstånd

Termen ”suveränt moln” är inte rättsligt skyddad och används ofta av olika leverantörer som ett marknadsföringsverktyg, där de underliggande koncepten och måtten varierar avsevärt. Det är därför avgörande för företag att noggrant undersöka vad en leverantör menar med suveränitet och vilka specifika garantier de erbjuder. En vanlig missuppfattning är att lagring av data i ett datacenter inom EU är tillräckligt för att garantera suveränitet. Så är inte fallet. Som förklaras i avsnitt II tillåter den amerikanska CLOUD Act åtkomst till data som tillhör amerikanska företag oavsett var den lagras. Datahemvist i EU skyddar därför inte mot amerikansk åtkomst om leverantören själv eller dess moderbolag är baserad i USA eller på annat sätt omfattas av amerikansk jurisdiktion. En annan missuppfattning är att suveräna molnerbjudanden oundvikligen medför funktionella begränsningar eller en långsammare innovationstakt jämfört med globala hyperskalare. Även om detta kan vara sant i vissa fall, eftersom lokala leverantörer ofta saknar samma stordriftsfördelar och forskningsbudgetar, är det primära målet med suveräna lösningar inte begränsning, utan snarare att kombinera fördelarna med molntjänster (flexibilitet, skalbarhet) med kraven på kontroll, säkerhet och efterlevnad. Många europeiska leverantörer förlitar sig på öppna tekniker för att möjliggöra innovation och anpassningsförmåga.

Kriterier för suveräna SaaS-leverantörer ur ett EU-perspektiv

Baserat på de centrala elementen i suveränitet kan konkreta kriterier härledas utifrån vilka europeiska företag kan utvärdera SaaS-leverantörer:

  • Dataskydd och efterlevnad: Leverantören måste påvisbart följa kraven i GDPR. Detta bör dokumenteras genom ett databehandlingsavtal i enlighet med artikel 28 i GDPR och lämpliga tekniska och organisatoriska åtgärder. Efterlevnad av andra relevanta EU- och nationella bestämmelser (t.ex. för specifika sektorer) måste också säkerställas.
  • Datalokalisering och behandling: Det måste garanteras avtalsenligt att all kunddata, inklusive metadata, konfigurationsdata och säkerhetskopior, lagras och behandlas uteslutande inom EU eller EES.
  • Drift och åtkomstkontroll: Driften av tjänsterna och åtkomsten till kunddata måste utföras av personal baserad i EU och tillhörande en juridisk enhet inom EU. Strikta tekniska och organisatoriska åtgärder måste implementeras för att förhindra obehörig åtkomst, särskilt från länder utanför EU.
  • Företagsstruktur och jurisdiktion: Leverantören bör ha sitt huvudkontor och sin huvudsakliga juridiska kontroll inom EU/EES. Det får inte finnas några företagsanknutna bolag eller filialer i tredjeländer (särskilt USA) som skulle kunna placera leverantören under deras jurisdiktion och potentiellt tvinga fram utlämnande av data (t.ex. genom CLOUD Act eller FISA).
  • Transparens: Leverantören bör vara transparent om sina operativa processer, användningen av underleverantörer, platserna för databehandling och de implementerade säkerhetsåtgärderna. Möjlighet till granskning av kunden eller oberoende tredje parter bör tillhandahållas.
  • Teknik och interoperabilitet: Den föredragna användningen av öppna standarder (t.ex. API:er) och/eller programvara med öppen källkod underlättar integration, testning och potentiellt byte till andra leverantörer (och undviker leverantörslåsning).
  • Certifieringar och intyg: Erkända certifieringar och intyg kan fungera som bevis på efterlevnad av säkerhets- och efterlevnadsstandarder och bygga förtroende. Särskilt relevanta är ISO 27001, BSI C5 (i Tyskland) och, i framtiden, EUCS.

Det blir allt tydligare att digital suveränitet i SaaS-sammanhang är ett flerdimensionellt koncept. Det handlar inte bara om var data lagras, utan också om vem som behandlar den och hur, vilka lagar leverantören lyder under och vilka tekniska grunder som används. Företag måste därför överväga vilka dimensioner av suveränitet som är viktigast för dem när de väljer en leverantör och hur väl leverantören uppfyller dessa specifika krav. Att enbart ha dataregistrering inom EU är ofta otillräckligt för att effektivt minska risker, särskilt de som följer av amerikansk lagstiftning. Samtidigt står företag ofta inför ett dilemma: önskan om maximal suveränitet och kontroll måste balanseras mot potentiella nackdelar när det gäller funktionalitet, innovationshastighet eller kostnader, vilket kan uppstå hos vissa europeiska eller strikt suveräna leverantörer jämfört med globala hyperskalare. Många europeiska leverantörer ser användningen av öppen källkodsprogramvara som ett strategiskt tillvägagångssätt för att säkerställa transparens, förtroende och anpassningsförmåga, även om de kanske inte ligger i framkant av varje ny teknisk utveckling.

 

🎯🎯🎯 Dra nytta av Xpert.Digitals omfattande, femfaldiga expertis i ett heltäckande tjänstepaket | BD, R&D, XR, PR och optimering av digital synlighet

Dra nytta av Xpert.Digitals omfattande, femfaldiga expertis i ett heltäckande tjänstepaket | FoU, XR, PR och optimering av digital synlighet

Dra nytta av Xpert.Digitals omfattande, femfaldiga expertis i ett heltäckande tjänstepaket | FoU, XR, PR och optimering av digital synlighet - Bild: Xpert.Digital

Xpert.Digital besitter djupgående kunskap inom olika branscher. Detta gör det möjligt för oss att utveckla skräddarsydda strategier som är exakt anpassade till kraven och utmaningarna inom just ditt marknadssegment. Genom att kontinuerligt analysera marknadstrender och övervaka branschutvecklingen kan vi agera proaktivt och erbjuda innovativa lösningar. Kombinationen av erfarenhet och expertis genererar mervärde och ger våra kunder en avgörande konkurrensfördel.

Mer information här:

 

Digital suveränitet: En översikt över de bästa europeiska SaaS-alternativen

Marknadsöversikt: Suveräna SaaS-alternativ från EU

Den europeiska marknaden för programvara som en tjänst (SaaS) erbjuder ett växande antal leverantörer som positionerar sig som alternativ till de dominerande amerikanska aktörerna. Många av dem lägger särskilt fokus på dataskydd, GDPR-efterlevnad och digital suveränitet för att möta de specifika behoven hos europeiska företag och organisationer.

Kriterier för att välja leverantörer

Följande översikt fokuserar på SaaS-leverantörer som uppfyller följande kriterier:

  • Ursprung: Företagets huvudkontor ligger i en medlemsstat i Europeiska unionen (EU), Europeiska ekonomiska samarbetsområdet (EES) eller Schweiz (CH), eftersom Schweiz har ett beslut om adekvat skyddsnivå från EU-kommissionen och ofta är nära integrerat i Europeiska ekonomiska samarbetsområdet.
  • Positionering: Leverantören positionerar sig uttryckligen som ett suveränt eller dataskyddskonformt alternativ eller uppvisar väsentliga egenskaper av digital suveränitet (t.ex. exklusiv hosting i EU/EES, påvisbar GDPR-efterlevnad, ingen underkastelse av amerikanska lagar såsom CLOUD Act/FISA, användning av öppen källkod).
  • Relevans: Leverantören nämndes i de underliggande forskningskällorna eller är känd som ett relevant alternativ i sin kategori.

För tydlighetens skull är leverantörerna grupperade enligt vanliga SaaS-kategorier.

Kategoriserad översikt över europeiska SaaS-leverantörer

Följande tabell ger en översikt över utvalda europeiska SaaS-leverantörer, organiserade efter funktionsområde. Den fungerar som utgångspunkt för en mer detaljerad utvärdering.

Översikt över europeiska SaaS-leverantörer per kategori
Översikt över europeiska SaaS-leverantörer per kategori

Översikt över europeiska SaaS-leverantörer per kategori – Bild: Xpert.Digital

(Obs: Denna tabell är ett urval och är inte uttömmande. Informationen är baserad på tillgängliga källor och kan komma att ändras. Oberoende verifiering av företaget är avgörande.)

Översikten över europeiska SaaS-leverantörer visar ett brett utbud av lösningar, kategoriserade efter typ. Inom samarbets- och kontorssektorn erbjuder leverantörer som Nextcloud Hub från Tyskland en öppen källkodsplattform för filer, kommunikation, groupware och kontorsapplikationer. Denna plattform kan vara självhostad eller hostas av en leverantör och prioriterar datasuveränitet. Open-Xchange App Suite, också från Tyskland, erbjuder en omfattande lösning för e-post, groupware, Drive och dokument, särskilt för leverantörer och företag, och uppfyller ISO 27001-standarderna. ONLYOFFICE från Lettland levererar en kontorssvit med samarbetsfunktioner och en arbetsyta (inklusive CRM och e-post). Den är både moln- och lokalkompatibel och GDPR-kompatibel. Collabora Online, baserat på LibreOffice, integreras ofta med plattformar som Nextcloud. TeamDrive, också från Tyskland, fokuserar på mycket säker molnlagring med end-to-end-kryptering och en nollkunskapsprincip. Conceptboard, också från Tyskland, erbjuder en online-whiteboard för visuellt samarbete med EU-servrar och utan amerikansk inblandning. CryptPad från Frankrike kombinerar öppen källkod och end-to-end-krypterat samarbete. Stackfield från Tyskland tillhandahåller en GDPR-kompatibel plattform för chatt, uppgifter och video.

Inom CRM- och försäljningssektorn utmärker sig Zeeg från Tyskland med sin GDPR-kompatibla mötesbokning, medan CentralStationCRM erbjuder en enkel CRM-lösning för små och medelstora företag. SAP CRM, som en del av SAP-sviten, är inriktad på företag. För molnlagringslösningar erbjuder leverantörer som pCloud från Schweiz valfri end-to-end-kryptering och livstidsabonnemang. Tresorit kombinerar hög säkerhet, nollkunskapsåtkomst och efterlevnad för Europa. Proton Drive, också från Schweiz, erbjuder krypterad filhosting. Tyska leverantörer som IONOS HiDrive och internationella alternativ som Infomaniak kDrive kompletterar utbudet.

För videokonferenser är OpenTalk från Tyskland, med sitt särskilda fokus på säkerhet och GDPR-efterlevnad, och öppen källkodslösningen Jitsi Meet värda att lyfta fram. Eyeson från Österrike erbjuder molnbaserade videomöten, medan Univid från Sverige koncentrerar sig på webbseminarier. Inom webbanalys erbjuder Matomo ett öppen källkodsalternativ med full datakontroll, Plausible Analytics betonar användarvänlighet och datasekretess, etracker från Tyskland undviker cookies och Piwik PRO riktar sig till företag.

Marknadsautomation täcks av leverantörer som Brevo (tidigare Sendinblue) med servrar i Tyskland/EU och Evalanche, som fokuserar på B2B och är ISO-certifierat. Personio är ledande inom HR-programvara och erbjuder en omfattande plattform för små och medelstora företag, kompletterat av lösningar som HRworks och Rexx Systems, som erbjuder både moln- och lokala modeller. OpenProject är en tysk projektledningslösning med öppen källkod, medan Zenkit utmärker sig med sina flexibla arbetsytor. Säkra e-postleverantörer som Tutanota och Proton Mail prioriterar dataskydd och end-to-end-kryptering. Single sign-on tillhandahålls av Bare.ID, baserat i Tyskland, med GDPR-kompatibel säkerhet. För enkätverktyg imponerar LamaPoll och LimeSurvey med sin anpassningsbarhet och tyska serverstandarder. QuestionPro, i sin EU-version, kompletterar listan med omfattande funktioner och GDPR-efterlevnad.

Denna översikt belyser den anmärkningsvärda mångfalden och specialiseringen inom den europeiska SaaS-marknaden. Särskilt inom områden där dataskydd och säkerhet traditionellt har spelat en viktig roll – såsom samarbete, säker kommunikation, molnlagring och webbanalys – finns det ett brett utbud av alternativ. Många av dessa leverantörer är små eller medelstora företag (SMF) eller specialiserade nischaktörer från olika europeiska länder. De lägger ofta stor vikt vid GDPR-efterlevnad och den europeiska marknadens specifika behov, vilket återspeglas i funktioner som EU-hosting, tyskspråkigt stöd eller specifika efterlevnadscertifieringar.

Den strategiska betydelsen av öppen källkodsprogramvara för många europeiska leverantörer är också slående. Särskilt inom områdena samarbete (Nextcloud, CryptPad), kontorsapplikationer (ONLYOFFICE, Collabora), projektledning (OpenProject), webbanalys (Matomo) och videokonferenser (Jitsi, OpenTalk) utgör öppen källkodsteknik ofta grunden. Detta är mer än bara en teknisk detalj; det är ett medvetet beslut som främjar transparens (genom tillgänglig kod), anpassningsbarhet, granskningsbarhet och undvikande av leverantörsbundenhet. Dessa aspekter är viktiga byggstenar för digital suveränitet och gör det möjligt för europeiska leverantörer att erbjuda pålitliga och flexibla lösningar utan att nödvändigtvis ha tillgång till de enorma utvecklingsbudgetarna hos globala hyperskalare. Detta ger kunderna större kontroll och insikt i den teknik de använder.

Jämförelse av utvalda EU-alternativ

Efter den allmänna marknadsöversikten följer nu en mer detaljerad jämförelse av utvalda, representativa europeiska SaaS-alternativ i nyckelkategorier. Fokus ligger på kärnfunktioner, prissättningsmodeller, unika försäljningsargument och i synnerhet implementeringen av datasuveränitet och GDPR-efterlevnad.

Jämförelsemetodik

Valet av leverantörer för den detaljerade jämförelsen baseras på deras relevans och hur ofta de omnämns i de underliggande källorna, samt deras positionering som direkta europeiska alternativ till välkända amerikanska tjänster. Jämförelsen bygger på information från specifika leverantörssnuttar och andra relevanta datapunkter från de allmänna snuttarna. Kriterierna inkluderar:

  • Kärnfunktioner: Vad gör programvaran i grunden?
  • Prismodell: Vilken är prisstrukturen (prenumeration, freemium, livstids, on-premise)?
  • Dataplats/hosting: Var lagras informationen (EU/DE garanteras)? Finns det alternativ för egenhosting?
  • Kryptering: Vilka krypteringsmetoder används (särskilt end-to-end, nollkunskap)?
  • Certifieringar/Efterlevnad: Vilka relevanta certifikat (ISO 27001, BSI C5 etc.) och efterlevnadsåtaganden (GDPR) finns?
  • Styrkor/svagheter gällande suveränitet: Särskilda egenskaper eller begränsningar gällande datakontroll, transparens och oberoende.

Detaljerad jämförelse per kategori

Detaljerad jämförelse av viktiga SaaS-alternativ i EU
Detaljerad jämförelse av viktiga SaaS-alternativ i EU

Detaljerad jämförelse av viktiga SaaS-alternativ inom EU – Bild: Xpert.Digital

En detaljerad jämförelse av viktiga SaaS-alternativ inom EU visar att Nextcloud Hub, som modulär plattform, erbjuder funktioner som filsynkronisering och -delning, videokonferenser, groupware och kontorsintegration, medan Open-Xchange App Suite, som en integrerad svit, fokuserar på e-post, kalender, kontakter och lagring. Nextcloud Hub möjliggör fullständig kontroll genom självhosting och erbjuder valfri end-to-end-kryptering, men har högre IT-krav för självhosting. Open-Xchange utmärker sig med sin ISO-certifiering och EU-kompatibla dataskydd, men är molnberoende av leverantören. Inom CRM-sektorn får Zeeg poäng med sin tydliga GDPR-efterlevnad och hosting i Tyskland, medan CentralStationCRM imponerar med sin enkelhet och fokus på små och medelstora företag. Båda leverantörerna erbjuder freemium-modeller och garanterar GDPR-kompatibla dataplatser. Inom molnlagringssektorn erbjuder pCloud fördelar när det gäller flexibilitet med livstidsabonnemang och EU-lagringsalternativ; end-to-end-kryptering är dock valfritt och har en kostnad. Tresorit, å andra sidan, får poäng med konsekvent nollkunskapskryptering och hög efterlevnad, men är dyrare. ONLYOFFICE och Collabora Online erbjuder heltäckande kontorsalternativ med starkt EU-fokus och öppen källkod, där ONLYOFFICE utmärker sig genom sin Microsoft-kompatibilitet och samarbetsfunktioner. Collabora Online är tätt integrerat med plattformar som Nextcloud och är därför mindre fokuserad på fristående funktionalitet. Inom videokonferenser utmärker sig OpenTalk med funktioner som webbseminarier, omröstningar och ett tydligt GDPR-fokus, medan Jitsi Meet, som en gratis öppen källkodslösning, erbjuder maximal självkontroll och enkelhet. Båda lösningarna erbjuder lokala alternativ och starka dataskyddsfunktioner, där OpenTalk utmärker sig genom sin BSI IT-säkerhetssigill.

En detaljerad jämförelse understryker att det sällan finns ett enda "bästa" europeiskt alternativ. Valet beror starkt på företagets specifika krav och prioriteringar. Tydliga avvägningar framträder till exempel mellan maximal säkerhet och pris (pCloud vs. Tresorit) eller mellan omfattande kontroll genom egenhosting och bekvämligheten med en hanterad SaaS-lösning (Nextcloud vs. OX App Suite Cloud). Företag måste väga vilken aspekt – funktionsutbud, användarvänlighet, kostnad eller graden av suveränitet och säkerhet – som är viktigast för dem.

En viktig egenskap hos många europeiska leverantörer är flexibiliteten i deras verksamhetsmodeller. Lösningar som Nextcloud, ONLYOFFICE, OpenTalk och Jitsi erbjuder både molnbaserade (SaaS) och lokala eller egenhostade alternativ. Detta ger företag möjlighet att bestämma sin egen nivå av kontroll och suveränitet. De kan välja bekvämligheten med en SaaS-lösning från en betrodd europeisk leverantör eller välja maximal kontroll över data och infrastruktur genom att driva den i sitt eget datacenter. Detta val adresserar direkt det centrala behovet av kontroll som driver suveränitetsdebatten.

 

🎯📊 Integrering av en oberoende och dataöverskridande AI-plattform 🤖🌐 för alla affärsbehov

Integrering av en oberoende och dataöverskridande AI-plattform för alla affärsbehov

Integrering av en oberoende och dataöverskridande AI-plattform för alla affärsbehov - Bild: Xpert.Digital

AI-spelförändrare: Den mest flexibla AI-plattformen - Skräddarsydda lösningar som minskar kostnader, förbättrar dina beslut och ökar effektiviteten

Oberoende AI-plattform: Integrerar alla relevanta företagsdatakällor

  • Denna AI-plattform interagerar med alla specifika datakällor
    • Från SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox och många andra datahanteringssystem
  • Snabb AI-integration: Skräddarsydda AI-lösningar för företag på timmar eller dagar, istället för månader
  • Flexibel infrastruktur: Molnbaserat eller hosting i eget datacenter (Tyskland, Europa, fritt val av plats)
  • Maximal datasäkerhet: dess användning i advokatbyråer är ett obestridligt bevis
  • Implementering över en mängd olika företagsdatakällor
  • Val av egna eller olika AI-modeller (Tyskland, EU, USA, Kanada)

Utmaningar som vår AI-plattform löser

  • Bristande passform hos konventionella AI-lösningar
  • Dataskydd och säker hantering av känsliga uppgifter
  • Höga kostnader och komplexitet för individuell AI-utveckling
  • Brist på kvalificerade AI-specialister
  • Integrering av AI i befintliga IT-system

Mer information här:

 

Europeiska alternativ: SaaS-lösningar för maximal digital suveränitet

Specialiserade lösningar: Suverän SaaS för känsliga sektorer

Även om de SaaS-lösningar som hittills diskuterats ofta är tillämpliga inom olika branscher, finns det sektorer med särskilt höga krav på säkerhet, efterlevnad och digital suveränitet. Dessa inkluderar i synnerhet offentlig förvaltning, hälso- och sjukvård och finanssektorn. Specialiserade erbjudanden och regelverk utvecklas inom dessa områden, vilket främjar eller till och med kräver användning av suveräna molnlösningar.

Offentlig förvaltning

Den offentliga sektorn i Tyskland och Europa har ett inneboende intresse av digital suveränitet för att säkerställa kontroll över medborgarnas data och kritiska myndighetsprocesser. Kraven går ofta utöver standard GDPR-efterlevnad och inkluderar specifika säkerhetsstandarder som BSI IT Baseline Protection eller BSI C5-kriteriekatalogen. Interoperabilitet mellan olika myndigheter och förvaltningsnivåer, samt en preferens för öppen källkodsprogramvara för att undvika beroenden, är också viktiga aspekter.

Flera initiativ syftar till att skapa en suverän molninfrastruktur för administration:

  • Tysk strategi för administrativa moln (DVS): Denna strategi, som drivs av IT-planeringsrådet och FITKO, syftar till att etablera ett federalt, säkert, interoperabelt och suveränt molnekosystem för den federala regeringen, delstater och kommuner. Den bygger på öppna standarder, en multimolnstrategi och integration av offentliga IT-tjänsteleverantörer (som Dataport, AKDB och IT.NRW), vilka spelar en central roll och åtnjuter hög förtroendenivå. I framtiden kommer även externa, DVC-kompatibla leverantörer att kunna integreras. En viktig del är Cloud Service Portal (CSP) som en marknadsplats för standardiserade och certifierade molntjänster.
  • Federal Cloud / Federal IT Operations Platform: ITZBund driver redan molnplattformar (SaaS, PaaS) för federala myndigheter, vilka ska konsolideras år 2025 och uppfylla höga krav på säkerhet och dataskydd.
  • Center for Digital Sovereignty (ZenDiS): Denna institution främjar specifikt användningen av öppen källkodsprogramvara inom offentlig förvaltning och stöder projekt som OpenDesk, ett öppen källkodsalternativ till Microsoft 365, som är specifikt utvecklat för den offentliga sektorn.
  • Gaia-X och Sovereign Cloud Stack (SCS): Dessa europeiska initiativ tillhandahåller viktiga tekniska grunder och standarder för att bygga suveräna molninfrastrukturer, vilket även DVS avser att använda. SCS, en öppen källkodsstack baserad på OpenStack och Kubernetes, används redan av flera tyska leverantörer (t.ex. plusserver).

Konkreta, oberoende SaaS-erbjudanden för offentlig förvaltning kommer från både offentliga IT-tjänsteleverantörer (t.ex. Conceptboard av IT.NRW, dDataBox av Dataport) och specialiserade kommersiella leverantörer, som ofta innehar BSI C5-certifieringar och är tillgängliga via marknadsplatser som govdigital (t.ex. plusserver, STACKIT, IONOS, OVHcloud). Lösningar med öppen källkod som Nextcloud eller OpenDesk spelar också en viktig roll.

Relaterat till detta:

sjukvård

Hälso- och sjukvårdssektorn behandlar extremt känsliga personuppgifter (hälsouppgifter enligt definitionen i artikel 9 i GDPR), vilka omfattas av särskilt skydd. Utöver GDPR och medicinsk sekretess gäller specifika nationella lagar, såsom patientdatalagen (PDSG) och, på senare tid, lagen om digital hälso- och sjukvård (DigiG). Säkerhet, tillgänglighet och sekretess är av största vikt i detta sammanhang.

En viktig drivkraft för användningen av suveräna molnlösningar i det tyska hälso- och sjukvårdssystemet är den digitala lagen (DigiG), som trädde i kraft i mars 2024. Medan den nya paragraf 393 i den tyska sociallagen, bok V (SGB V) uttryckligen tillåter behandling av sociala och hälsorelaterade data med hjälp av molntjänster, är detta underlagt mycket strikta villkor:

  • Databehandling endast i EU/EES/CH eller landet som har beslutat om adekvat skyddsnivå: Databehandling får endast ske inom landet, i en EU/EES-stat, Schweiz eller ett tredjeland med ett beslut om adekvat skyddsnivå från EU-kommissionen.
  • BSI C5-certifiering blir obligatorisk: Från och med den 1 juli 2024 måste molntjänstleverantörer som behandlar sociala eller hälsorelaterade uppgifter för vårdgivares (läkare, sjukhus, sjukförsäkringskassor etc.) vägnar kunna uppvisa en giltig BSI C5-certifiering. Fram till den 30 juni 2025 räcker en typ 1-certifiering (tillräcklighet av kontroller); från och med den 1 juli 2025 är en typ 2-certifiering (bevis på effektivitet över en tidsperiod) obligatorisk.
  • Detta gäller även SaaS-leverantörer: Denna skyldighet gäller inte bara infrastrukturleverantörer (IaaS) eller plattformsleverantörer (PaaS), utan även uttryckligen SaaS-leverantörer (Software-as-a-Service) vars applikationer används i molnet (t.ex. sjukhusinformationssystem (HIS), praktikhanteringssystem (PMS), tidsbokningssystem, DiGAs).
  • Implementering av kundkontroller: Den användande institutionen (klinik, mottagning etc.) måste i sin tur implementera de slutanvändarkontroller som nämns i molnleverantörens revisionsrapport.

Denna förordning skärper avsevärt kraven för molntjänster inom hälso- och sjukvårdssektorn, vilket i praktiken gör BSI C5-certifieringen till en förutsättning för leverantörer på denna marknad. Molnleverantörer som Open Telekom Cloud, AWS (Frankfurt-regionen), Azure, GCP och tyska leverantörer som plusserver, STACKIT och IONOS har redan C5-certifieringar för sina infrastrukturer. Nu måste även SaaS-lösningar för hälso- och sjukvård som bygger på dessa infrastrukturer (HIS, praxishanteringssystem, komponenter för elektroniska patientjournaler etc.) tillhandahålla denna certifiering. Exempel på företag som är aktiva inom hälso- och sjukvårdens molnmiljö och/eller söker relevanta certifieringar inkluderar Gini, Doctolib och Kite Consult. Enligt Gematik lagras själva den elektroniska patientjournalen på servrar i Tyskland och EU i enlighet med GDPR.

Finansiera

Finanssektorn (banker, försäkringsbolag, finansiella tjänsteleverantörer) är också hårt reglerad och behandlar extremt känsliga uppgifter. Här gäller strikta myndighetskrav från den tyska federala finansinspektionen (BaFin) (t.ex. BAIT, KAIT, VAIT, ZAIT), samt alltmer harmoniserade europeiska regleringar. Höga standarder för IT-säkerhet, riskhantering, motståndskraft och granskningsbarhet är standardpraxis.

Viktiga regulatoriska drivkrafter för implementering av säkra och oberoende molnlösningar inkluderar:

  • NIS2-direktivet: Banker och finansmarknadsinfrastrukturer faller generellt under kategorierna "väsentliga" eller "viktiga" enheter enligt NIS2. De måste därför uppfylla strängare krav gällande riskhantering, säkerhet i leveranskedjan (inklusive molnleverantörer), incidentrapportering och ledningens ansvarsskyldighet.
  • DORA (Digital Operational Resilience Act): Denna EU-förordning syftar specifikt till att stärka den digitala operativa motståndskraften inom finanssektorn. Den anger detaljerade krav för hantering av IKT-risker, rapportering av allvarliga IKT-relaterade incidenter, testning av digital motståndskraft och, i synnerhet, riskhantering av tredjepartsleverantörer av IKT-tjänster, inklusive molnleverantörer. DORA kräver bland annat tydliga avtalsavtal med molnleverantörer och revisionsrättigheter.

Molnleverantörer som vill betjäna finansinstitut måste visa sin förmåga att uppfylla dessa regulatoriska krav. Detta uppnås ofta genom certifieringar som BSI C5 eller ISO 27001, specifika avtalsförsäkran och transparent redovisning av deras säkerhetsarkitektur och processer. Leverantörer som plusserver, T-Systems, Microsoft med sin EU Data Boundary och AWS med sitt European Sovereign Cloud positionerar sig specifikt för denna reglerade marknad.

Dessutom finns det specialiserade SaaS-leverantörer som erbjuder compliance-lösningar för finanssektorn, såsom för bekämpning av penningtvätt (AML), Know Your Customer (KYC), screening av sanktionslistor, bedrägeriupptäckt och övervakning av marknadsmissbruk. Exempel på leverantörer med europeisk närvaro inkluderar ACTICO (Tyskland), Pelican AI (Storbritannien?), Sopra Financial Technology (Tyskland/Frankrike), Otris (Tyskland) och ViClarity (Irland/USA?).

Inom dessa mycket känsliga sektorer blir det allt tydligare att beslutet att använda suveräna molnlösningar inte längre enbart handlar om riskminimering, utan i allt högre grad drivs av lagkrav och stränga efterlevnadsskyldigheter. Behovet av att uppvisa certifieringar som BSI C5 flyttar grunden för beslutsfattande från en frivillig riskbedömning till en obligatorisk förutsättning för marknadsdeltagande.

Detta ställer SaaS-leverantörer inför nya utmaningar. Medan infrastrukturleverantören (IaaS/PaaS) tidigare ofta innehade relevanta certifieringar, kräver bestämmelser som avsnitt 393 i den tyska sociallagen, bok V (SGB V) nu uttryckligen att SaaS-leverantörer också tillhandahåller motsvarande dokumentation, såsom BSI C5-certifieringen. Kostnaderna och ansträngningen för att erhålla och upprätthålla sådana certifieringar är betydande och kan utgöra ett betydande hinder, särskilt för mindre, innovativa SaaS-företag, vilket potentiellt kan leda till marknadskonsolidering inom dessa reglerade sektorer.

Relaterat till detta:

Främjande av suveränitet: EU-initiativ och certifieringar

För att stärka Europas digitala suveränitet och skapa ett tillförlitligt ramverk för molntjänster har olika initiativ och certifieringsstandarder lanserats på europeisk och nationell nivå. Dessa syftar till att främja interoperabilitet, harmonisera säkerhetsstandarder och öka förtroendet för molntjänster.

Gaia-X: Visionen om en federerad europeisk datainfrastruktur

Gaia-X är ett av de mest framstående europeiska initiativen för att stärka digital suveränitet. Det lanserades 2019 av Tyskland och Frankrike och involverar nu ett flertal partners från näringsliv, vetenskap och politik i många europeiska länder.

  • Mål: Gaia-X huvudmål är att skapa en säker, federerad och interoperabel datainfrastruktur baserad på europeiska värden som dataskydd (GDPR), transparens, förtroende och självbestämmande. Det syftar till att öka Europas digitala oberoende från icke-europeiska leverantörer, möjliggöra innovation genom säkert datautbyte och stärka europeiska företags konkurrenskraft.
  • Arkitektur och tillvägagångssätt: Det är viktigt att förstå att Gaia-X i sig inte är en molnleverantör, och inte heller bygger det sitt eget "europeiska supermoln". Istället definierar Gaia-X en uppsättning regler, gemensamma standarder och arkitektoniska element för ett decentraliserat ekosystem av nätverkskopplade, interoperabla datautrymmen och molninfrastrukturtjänster. Det bygger på principer som öppenhet, transparens, modularitet och användning av öppna standarder och programvara med öppen källkod. Gaia-X Association for Data and Cloud (AISBL) utvecklar specifikationer, regler, policyer och ett ramverk för att verifiera efterlevnad (Gaia-X Compliance), vilket ska implementeras genom så kallade Gaia-X Digital Clearing Houses (GXDCH).
  • Komponenter och projekt: Inom Gaia-X-ramverket framträder konkreta byggstenar och projekt. Sovereign Cloud Stack (SCS) är ett viktigt exempel: en standardiserad, öppen källkodsbaserad teknikstack (baserad på OpenStack, Kubernetes, etc.) för att bygga Gaia-X-kompatibla, suveräna molninfrastrukturer (IaaS/PaaS). Den är avsedd att fungera som den tekniska grunden för interoperabla och suveräna molnerbjudanden, inklusive det tyska administrativa molnet.
  • Användningsfall: För att demonstrera fördelarna med Gaia-X utvecklas konkreta datautrymmen och tillämpningar inom olika områden. Exempel finns inom Industri 4.0 (t.ex. Catena-X för bilindustrin), mobilitet, energi, finans, offentlig förvaltning och särskilt inom hälso- och sjukvård. Projekt som TEAM-X, Health-X dataLOFT och GAIA-Med syftar till att möjliggöra säkert och oberoende utbyte av hälsodata för förbättrad vård och forskning.
  • Utmaningar: Trots sina ambitiösa mål möter Gaia-X också utmaningar och kritik. Dessa inkluderar projektets komplexitet, långsamma framsteg i den praktiska implementeringen, ibland oklara definitioner och rädslan för att initiativet kan domineras av etablerade globala hyperskalare. Det har också kritiserats för att fokus låg för starkt på infrastrukturlagret (IaaS/PaaS) under för lång tid och att applikationslagret (SaaS) försummats.

EUCS: Europeiskt system för cybersäkerhetscertifiering för molntjänster

Det europeiska certifieringssystemet för cybersäkerhet för molntjänster (EUCS) är ett certifieringsramverk som utvecklats av Europeiska cybersäkerhetsbyrån (ENISA) enligt EU:s cybersäkerhetslag (CSA).

  • Syfte: Huvudmålet är att harmonisera cybersäkerhetskrav och certifieringar för molntjänster (IaaS, PaaS, SaaS) i hela EU. Det syftar till att skapa en enhetlig standard för att övervinna fragmentering som orsakas av olika nationella certifieringssystem (som SecNumCloud i Frankrike eller C5 i Tyskland) och att stärka den digitala inre marknaden. För molnanvändare är EUCS avsett att skapa större transparens och förtroende genom att visa att certifierade tjänster uppfyller specifika säkerhetsstandarder.
  • Säkerhetsnivåer: Systemet definierar tre (eller i tidigare utkast fyra) säkerhetsnivåer ("Grundläggande", "Betydande", "Hög" och eventuellt "Hög+") som återspeglar olika risknivåer och angriparkapacitet. Med ökande nivåer ökar också kraven på implementerade säkerhetsåtgärder (t.ex. nätverk, lagring, krypteringssäkerhet, penetrationstester) och noggrannheten i utvärderingen av ackrediterade bedömningsorgan för överensstämmelse (CAB).
  • Frivilligt kontra obligatoriskt: EUCS-certifiering är i allmänhet frivillig. Cybersäkerhetslagen och NIS2-direktivet tillåter dock EU:s medlemsstater att kräva användning av certifierade IKT-tjänster för vissa sektorer, särskilt för kritisk infrastruktur (KRITIS). Det är därför troligt att EUCS i praktiken kommer att bli ett obligatoriskt krav eller ett nyckelkriterium i upphandlingar, åtminstone inom reglerade sektorer.
  • Suveränitetsdebatt: En central och kontroversiell punkt i utvecklingen av EUCS var frågan om specifika suveränitetskrav, särskilt för den högsta säkerhetsnivån ("Hög" eller "Hög+"). Tidigare utkast föreskrev att datalokalisering inom EU var obligatorisk för denna nivå, och att leverantören måste ha sitt huvudkontor och globala centrum i en EU-medlemsstat för att säkerställa skydd mot icke-europeiska lagar (såsom CLOUD Act). Dessa krav har dock tydligen tagits bort eller försvagats i senare utkast (från och med 2024). Detta väckte skarp kritik från europeiska molnleverantörer (särskilt små och medelstora företag), branschorganisationer och dataskyddsförespråkare, som befarar att det försvagar Europas digitala suveränitet, cementerar beroendet av icke-europeiska hyperskalare och utsätter europeiska medborgares och företags data för ökad risk. Debatten om den slutliga utformningen av dessa krav fortsätter.

BSI C5: Tysk standard för molnsäkerhet

Kataloget över efterlevnadskriterier för molntjänster (C5) från det tyska federala kontoret för informationssäkerhet (BSI) är en etablerad katalog över kriterier som definierar specifika minimikrav för informationssäkerheten för molntjänster.

  • Syfte och innehåll: C5 är utformat för att vägleda molnkunder i valet av säkra leverantörer och för att skapa en grund för deras riskhantering. Den är baserad på internationellt erkända standarder som ISO/IEC 27001, men kompletterar dessa med molnspecifika krav och lägger särskild vikt vid transparens genom så kallade miljöparametrar. Dessa parametrar ger information om aspekter som datalokalisering, jurisdiktion, certifieringar och upplysningsskyldigheter gentemot myndigheter, vilket bör hjälpa kunder att bättre bedöma risker (t.ex. från industrispionage eller dataintrång). Katalogen omfattar 17 ämnesområden, inklusive informationssäkerhetsorganisation, personalsäkerhet, tillgångshantering, kryptografi, identitets- och åtkomsthantering, incidenthantering och fysisk säkerhet.
  • Revisionsintyg (Typ 1 och Typ 2): Överensstämmelse med C5-kriterierna visas genom ett revisionsintyg utfärdat av en oberoende, kvalificerad revisor. Det finns två typer av revisionsintyg: Typ 1 intygar att säkerhetskontrollernas utformning och implementering är tillräcklig per ett specifikt datum. Typ 2 bekräftar dessutom kontrollernas operativa effektivitet under en definierad revisionsperiod (vanligtvis 6 till 12 månader). Revisionsintyget av Typ 2 anses vara mer omfattande och kommer att krävas för uppföljningsrevisioner och inom hälso- och sjukvårdssektorn från och med juli 2025.
  • Relevans: C5 har blivit en de facto-standard för säker molntjänsthantering i Tyskland, särskilt för offentlig förvaltning och hårt reglerade sektorer som hälso- och sjukvård och finans. Som tidigare nämnts kommer C5-certifiering att bli juridiskt obligatorisk för molntjänster inom hälso- och sjukvården genom Digital Infrastructure Act (DigiG) med början i juli 2024/2025. Många tyska och europeiska, såväl som internationella, molnleverantörer (för sina EU-regioner) har C5-certifieringar för sina tjänster.

Andra relevanta standarder

Utöver de ovannämnda initiativen och certifieringarna spelar även etablerade internationella standarder en viktig roll:

  • ISO/IEC 27001: Den globalt erkända standarden för informationssäkerhetsledningssystem (ISMS). Den definierar en systematisk metod för att hantera känslig affärsinformation för att säkerställa dess konfidentialitet, integritet och tillgänglighet. ISO 27001-certifiering är ofta en förutsättning för molnleverantörer och fungerar som en grund för mer specifika standarder som C5.
  • ISO/IEC 27017: Denna standard tillhandahåller en praxiskod med specifika kontrollåtgärder för informationssäkerhet i molnmiljöer, som kompletterar ISO/IEC 27002.
  • ISO/IEC 27018: Fokuserar på skyddet av personligt identifierbar information (PII) i publika moln som fungerar som databehandlare. Den innehåller riktlinjer som är nära anpassade till europeiska dataskyddsprinciper och kan fungera som ett komplement till C5, som inte primärt täcker dataskydd.

Dessa olika initiativ och standarder bör inte nödvändigtvis ses som konkurrenter, utan snarare som kompletterande åtgärder. Gaia-X tillhandahåller visionen och reglerna för ett suveränt ekosystem, EUCS syftar till att harmonisera certifiering i hela EU, och nationella standarder som BSI C5 erbjuder redan konkreta, etablerade krav och testmekanismer. Utmaningen blir att på ett meningsfullt sätt integrera dessa metoder och skapa ett sammanhängande ramverk som uppfyller Europas suveränitetsambitioner samtidigt som det är praktiskt för leverantörer och användare. Den nuvarande debatten kring suveränitetskraven i EUCS visar dock att ytterligare politiskt och tekniskt arbete fortfarande krävs.

Det är viktigt för företag att förstå att certifieringar som BSI C5 eller ISO 27001 är värdefulla förtroendeankare, som skapar transparens och underlättar demonstration av säkerhetsinsatser. De är dock inte universalmedel och ersätter inte kundens egen riskbedömning och due diligence. Till exempel ändrar inte en C5-certifiering för en amerikansk leverantör dess underkastelse till CLOUD Act. Det delade ansvaret för säkerheten vid molnanvändning kvarstår mellan leverantör och kund, och företag måste alltid kontrollera om leverantörens åtgärder är tillräckliga för deras specifika krav och risker.

Relaterat till detta:

Strategiska fördelar med att byta till SaaS-leverantörer i EU

Analysen av riskerna med att använda USA-baserade molntjänster och undersökningen av den växande marknaden för suveräna europeiska SaaS-alternativ ger en tydlig slutsats: För europeiska företag är det inte bara lämpligt, utan i allt högre grad en strategisk nödvändighet, att hantera sin molnstrategi ur ett digitalt suveränitetsperspektiv.

Sammanfattning av resultaten

De viktigaste resultaten i denna rapport kan sammanfattas enligt följande:

  • Ihållande risker med amerikanska leverantörer: Att använda SaaS-tjänster från företag som lyder under amerikansk jurisdiktion innebär betydande och pågående risker för europeiska företag. Den grundläggande konflikten mellan EU:s GDPR och amerikanska lagar som CLOUD Act och FISA 702 leder till potentiella dataintrång, höga böter, förlust av datakontroll och risk för industrispionage. Inte ens det nuvarande EU-amerikanska ramverket för dataskydd (DPF) löser denna grundläggande konflikt, och dess långsiktiga stabilitet är osäker (se avsnitt II).
  • Suveränitet som ett flerdimensionellt koncept: ”Suverän SaaS” i europeiskt sammanhang innebär mer än att bara lagra data i EU:s datacenter. Det inkluderar efterlevnad av europeisk lagstiftning (särskilt GDPR), skydd mot åtkomst utanför Europa, drift av EU-enheter och personal, och helst teknisk öppenhet och interoperabilitet för att undvika beroenden (se avsnitt III).
  • Växande marknad för EU-alternativ: Det finns en mångsidig och växande marknad av SaaS-leverantörer, med huvudkontor och verksamhet i EU/EES/CH. Dessa leverantörer erbjuder lösningar i många kategorier, ofta med starkt fokus på dataskydd, säkerhet och lokala behov. Många förlitar sig strategiskt på öppen källkod för att maximera transparens och kontroll (se avsnitt IV och V).
  • Regulatoriskt tryck inom känsliga sektorer: Inom områden som offentlig förvaltning, hälso- och sjukvård och finanssektorn blir användningen av påvisbart säkra och suveräna molnlösningar (ofta med BSI C5-certifiering eller jämförbara bevis) alltmer obligatorisk genom lagstiftning (t.ex. DigiG, DORA, NIS2) och strategiska krav (t.ex. DVS) (se avsnitt VI).
  • Ramvillkor genom initiativ och standarder: Europeiska initiativ som Gaia-X och certifieringar som det planerade EUCS, såväl som etablerade nationella standarder som BSI C5, skapar viktiga ramvillkor, främjar interoperabilitet och är avsedda att stärka förtroendet för suveräna molntjänster (se avsnitt VII).

Strategiska fördelar med EU SaaS-alternativ

Att byta till eller i första hand välja europeiska SaaS-leverantörer som uppfyller suveränitetskriterier ger företag strategiska fördelar utöver ren riskminimering:

  • Förbättrad efterlevnad och rättssäkerhet: Att använda leverantörer som uteslutande omfattas av EU-lagstiftning och garanterar att uppgifter behandlas inom EU minskar risken för GDPR-överträdelser och konflikter med icke-europeiska lagar avsevärt. Detta skapar en mer stabil och förutsägbar rättslig grund för databehandling.
  • Ökad datakontroll och säkerhet: Europeiska leverantörer med fokus på suveränitet erbjuder ofta en högre nivå av kontroll över dina egna data. Detta kan uppnås genom alternativ för egenhosting, konsekvent end-to-end-kryptering (nollkunskap), transparenta driftsprocesser och uteslutning av åtkomst från myndigheter i tredjeländer.
  • Stärkt digital suveränitet: Att välja europeiska leverantörer minskar strategiska beroenden av icke-europeiska teknikföretag. Det stöder utvecklingen av ett motståndskraftigt digitalt ekosystem i Europa och stärker den lokala digitala ekonomin.
  • Lokalt stöd och kulturell närhet: Europeiska leverantörer kan ofta erbjuda mer tillgänglig och begriplig kundservice på det lokala språket och i den lokala tidszonen. De har ofta en djupare förståelse för de specifika kraven och sederna på den europeiska marknaden, vilket kan underlätta samarbete och kontraktsförhandlingar.
  • Bygga förtroende: Användningen av påvisbart dataskyddskompatibla och suveräna lösningar signalerar ett starkt engagemang för dataskydd och säkerhet för kunder, partners och anställda. Detta kan bli en betydande fördel när det gäller förtroende och konkurrenskraft.

Rekommendationer för europeiska företag

För att utnyttja fördelarna med suveräna SaaS-lösningar och hantera riskerna med molnimplementering bör europeiska företag överväga följande steg:

  • Genomför en individuell riskanalys: Gör en kritisk utvärdering av de SaaS-tjänster du använder för närvarande (särskilt de amerikanska). Analysera typen av data som behandlas (känslighet, personuppgifter), tillämpliga myndighetskrav (GDPR, branschspecifika bestämmelser) och den potentiella effekten av obehörig dataåtkomst eller tjänsteavbrott på din verksamhet.
  • Definiera suveränitetskrav: Bestäm vilken nivå av datasuveränitet, operativ kontroll och tekniskt oberoende som är nödvändig och önskvärd för din organisation. Alla applikationer kräver inte samma nivå av suveränitet. Prioritera baserat på risk och strategisk betydelse.
  • Utvärdera systematiskt marknaden för EU-alternativ: Använd marknadsöversikter (som den i denna rapport) och din egen forskning för att identifiera potentiella europeiska SaaS-leverantörer som uppfyller dina funktionella och suveränitetsrelaterade krav. Överväg leverantörens storlek, specialisering, referenser och framtida lönsamhet.
  • Noggrann due diligence är avgörande när du väljer en leverantör: Förlita dig inte på marknadsföringspåståenden. Granska kritiskt leverantörens information om dataplatser (inklusive säkerhetskopior och metadata), operativ personal, företagsstruktur (ägarskap, registrerat kontor), underleverantörer som används, krypteringstekniker (särskilt end-to-end/nollkunskapskryptering) och säkerhetsåtgärder. Begär databehandlingsavtal, tekniska och organisatoriska åtgärder och relevanta certifikat eller intyg (t.ex. ISO 27001, BSI C5) och granska dem noggrant.
  • Utveckla en migreringsstrategi och exitplan: Planera noggrant alla potentiella migreringar. Tänk på kostnader, den tekniska insats som krävs för datamigrering, nödvändiga gränssnittsjusteringar och ändringshantering för dina anställda. Säkerställ interoperabilitet och definiera en tydlig exitstrategi för att underlätta ett framtida leverantörsbyte eller dataåterföring.
  • Överväg öppen källkod som ett alternativ: Utvärdera om SaaS-lösningar baserade på öppen källkod, antingen som en hanterad tjänst från en EU-leverantör eller självhostade, representerar ett lämpligt alternativ för att uppnå maximal transparens, anpassningsförmåga och kontroll.
  • Övervaka regelverket: Håll dig informerad om utvecklingen inom transatlantisk datatrafik (DPF-verifiering), europeiska certifieringsstandarder (EUCS) och relevanta lagar (NIS2, DORA, branschspecifika regler), eftersom dessa kan påverka din molnstrategi avsevärt.

Beslutet för eller emot användningen av specifika molntjänster, särskilt när det gäller amerikanska leverantörer kontra europeiska alternativ, är mycket mer än en teknisk eller enbart efterlevnadsrelaterad fråga. Det är ett strategiskt beslut med långsiktiga konsekvenser för rättssäkerhet, datasäkerhet, kontroll över kritiska affärsprocesser och i slutändan företagets motståndskraft och konkurrenskraft på den globala digitala arenan. De analyserade riskerna med beroende av icke-europeiska leverantörer är betydande och förvärras snarare än mildras av den nuvarande geopolitiska och juridiska situationen.

Samtidigt är det inte självklart att byta till europeiska alternativ. Företag måste noggrant överväga om fördelarna vad gäller efterlevnad och kontroll överväger de potentiella nackdelarna vad gäller funktionalitet, innovationshastighet eller migreringsarbete. En grundlig analys av deras egna behov, en realistisk bedömning av tillgängliga alternativ och noggrann övergångsplanering är avgörande för framgång. Den europeiska marknaden erbjuder dock i allt högre grad hållbara och pålitliga alternativ som gör det möjligt för företag att utnyttja molnets fördelar utan att kompromissa med sin digitala suveränitet.

 

Vi finns här för dig - Konsulttjänster - Planering - Implementering - Projektledning

☑️ Stöd till små och medelstora företag inom strategi, konsultation, planering och implementering

☑️ Skapande eller omstrukturering av AI-strategin

☑️ Pionjär inom affärsutveckling

 

Digital pionjär - Konrad Wolfenstein

Konrad Wolfenstein

Jag skulle gärna fungera som din personliga rådgivare.

Du kan kontakta mig genom att fylla i kontaktformuläret nedan eller helt enkelt ringa mig på +49 89 89 674 804 (München) .

Jag ser fram emot vårt gemensamma projekt.

 

 

Skriv till mig

Skriv till mig - Konrad Wolfenstein / Xpert.Digital

 
Xpert.Digital - Konrad Wolfenstein

Xpert.Digital är ett nav för industrin med fokus på digitalisering, maskinteknik, logistik/intralogistik och solceller.

Med vår 360° affärsutvecklingslösning stödjer vi välrenommerade företag från nya affärer till eftermarknadsförsäljning.

Marknadsinformation, smarketing, marknadsautomation, innehållsutveckling, PR, utskick, personliga sociala medier och lead nurturing är en del av våra digitala verktyg.

Du hittar mer information på: www.xpert.digital - www.xpert.solar - www.xpert.plus

Håll kontakten

E-post/Nyhetsbrev: Håll kontakten med Konrad Wolfenstein / Xpert.Digital

Andra ämnen

⭐️⭐️⭐️⭐️⭐️ Försäljning/Marknadsföring

Online- och digital marknadsföring | Innehållsutveckling | PR och PR | SEO/SEM | AffärsutvecklingKontakt - Frågor - Hjälp - Konrad Wolfenstein / Xpert.DigitalInformation, tips, stöd och råd - Digitalt nav för entreprenörskap: Startups – FöretagsgrundareUrbanisering, logistik, solceller och 3D-visualiseringar Infotainment / PR / Marknadsföring / MediaOnline-konfigurator för industriell metaverseOnline tak- och ytplanerare för solsystemOnline Solarport Planner - Solar Carport Konfigurator 
  • Materialhantering - lageroptimering - konsulttjänster - med Konrad Wolfenstein / Xpert.DigitalSolenergi/Fotovoltaik - Konsulttjänster, Planering - Installation - Med Konrad Wolfenstein / Xpert.Digital

  • Kontakta mig:

    LinkedIn-kontakt - Konrad Wolfenstein / Xpert.Digital