Вийдіть із хмари США: Суверенні SaaS пропонує за оглядом + рекомендації щодо дії

Необхідність цифрового суверенітету для європейських компаній

Цифрова трансформація невпинно прогресує, і хмарні обчислення, особливо програмне забезпечення як послуга (SaaS), стали незамінним інструментом для бізнесу будь-якого розміру. Вони забезпечують гнучкість, масштабованість та доступ до інноваційних технологій. Водночас цей розвиток призвів до значної залежності від кількох, переважно американських, постачальників хмарних послуг.

Підходить для цього:

• Чому Закон про хмару США є проблемою та ризиком для Європи та решти світу: Закон з далекосяжними наслідками

Постановка проблеми: Зростаюча залежність від постачальників хмарних послуг із США

Європейський ринок хмарних послуг явно домінують основні американські гіперскейлери: Amazon Web Services (AWS), Microsoft Azure та Google Cloud Platform (GCP). Ці провайдери контролюють значну частку світового ринку. Навіть провідні європейські провайдери, такі як SAP та Deutsche Telekom, досягають лише невеликих ринкових часток у Європі порівняно. Така концентрація несе в собі невід'ємний ризик: значна частина глобальної, і особливо європейської, хмарної інфраструктури потенційно підпадає під юрисдикцію США. Отже, усвідомлення ризиків, пов'язаних з цією залежністю, зростає в європейських компаніях, а також дедалі більше в державних адміністраціях. На перший план виходять занепокоєння щодо захисту даних, безпеки даних та втрати контролю над критичними даними та процесами. Питання цифрового суверенітету стає стратегічним імперативом.

Актуальність суверенітету даних та дотримання GDPR

В основі європейських проблем лежить Загальний регламент про захист даних (GDPR). З 2018 року він формує сувору правову базу для захисту персональних даних у Європейському Союзі та детально регулює їх обробку та передачу, зокрема до країн за межами ЄС. Для європейських компаній дотримання GDPR є не лише юридичним зобов'язанням, а й вирішальним фактором у підтримці довіри клієнтів та ділових партнерів. Паралельно з цим набуває значення концепція цифрового суверенітету. Вона описує амбіції Європи щодо відновлення або збереження контролю над власними даними, технологіями та цифровими інфраструктурами. Це не лише питання захисту даних, а й мета промислової політики, спрямована на зміцнення європейської економіки та конкурентоспроможності в глобалізованому цифровому світі. Для компаній це означає необхідність переосмислення хмарних стратегій та проактивного пошуку рішень, які є одночасно юридично відповідними та надійними, забезпечуючи їхню операційну спроможність.

Підходить для цього:

• Інтеграція AI незалежної та перехресної платформи AI для всіх питань компанії

Цілі та структура звіту

Цей звіт призначений для європейських керівників у сфері бізнесу та ІТ, які стикаються з проблемою розробки перспективної та ризикоорієнтованої хмарної стратегії. Його метою є забезпечення надійної основи для прийняття рішень шляхом:

• Аналізує конкретні ризики, що виникають для європейських компаній внаслідок використання SaaS-сервісів, що базуються в США, зокрема, з огляду на конфлікт між GDPR та законами США, такими як CLOUD Act та FISA 702.
• Визначає, що мається на увазі під «суверенними пропозиціями SaaS» в європейському контексті та яким критеріям вони повинні відповідати.
• Це огляд ринку європейських SaaS-провайдерів, які позиціонують себе як суверенні альтернативи, класифіковані за сферами застосування.
• У ньому порівнюються важливі альтернативи в ключових категоріях щодо функцій, ціноутворення та, що найважливіше, реалізації суверенітету даних та відповідності GDPR.
• Було виділено спеціалізовані рішення для чутливих секторів, таких як державне управління, охорона здоров'я та фінанси.
• Представляє відповідні ініціативи ЄС (такі як Gaia-X) та сертифікації (такі як EUCS, BSI C5), що сприяють хмарному суверенітету.
• Робиться висновок та виводяться рекомендації щодо стратегічного напрямку розвитку компаній.

Аналіз ризиків: хмарні сервіси США та виклики для європейських компаній

Використання хмарних сервісів, зокрема SaaS-пропозицій, від постачальників, що базуються у Сполучених Штатах, створює для європейських компаній значні правові та операційні проблеми. Вони виникають, головним чином, через фундаментальний конфлікт між суворими європейськими правилами захисту даних та далекосяжними законами США про спостереження та доступ до даних.

Основний конфлікт: GDPR проти законів США про стеження

Загальний регламент про захист даних (GDPR) формує основу європейського захисту даних. Він встановлює високі стандарти обробки персональних даних громадян ЄС. Статті 44 та наступні GDPR, які регулюють передачу таких даних до третіх країн (країн за межами ЄС/ЄЕЗ), є особливо актуальними для використання хмарних технологій. Така передача допустима лише за умови, що третя країна забезпечує «належний рівень захисту» (визначений рішенням Європейської комісії про адекватність) або якщо існують «належні гарантії» (такі як стандартні договірні положення або обов’язкові корпоративні правила), а суб’єкти даних мають доступ до правових засобів та ефективних засобів правового захисту. Крім того, стаття 48 GDPR прямо забороняє передачу даних органам влади третьої країни на основі їхніх рішень або постанов, якщо не існує міжнародної угоди, такої як договір про взаємну правову допомогу. Кілька законів США, які надають органам влади США широкі права доступу до даних, навіть якщо вони зберігаються за межами США, суперечать цьому європейському стандарту захисту

• Закон США CLOUD (Clarifying Lawful Overseas Use of Data Act, Закон про роз'яснення законного використання даних за кордоном): Цей закон, прийнятий у 2018 році, надає правоохоронним органам та розвідувальним службам США право вимагати від американських комунікаційних та технологічних компаній передачі даних, що знаходяться під їхнім контролем, незалежно від того, де у світі ці дані зберігаються. Це безпосередньо включає дані, розташовані в центрах обробки даних у Європейському Союзі. Таким чином, Закон CLOUD підриває принцип територіальності захисту даних та прямо суперечить вимогам GDPR, зокрема статті 48. Він був прийнятий, частково, у відповідь на тривалий судовий спір між Microsoft та урядом США щодо доступу до електронних листів, що зберігаються на серверах в Ірландії, і модернізував старіші правила доступу з епохи після 11 вересня 2001 року, такі як Patriot Act. Хоча Закон CLOUD надає механізми для постачальника, щоб оскаржити наказ про розкриття інформації, якщо він порушує закон іншої держави (наприклад, GDPR), практична ефективність цих механізмів, особливо щодо наказів національної безпеки, є дуже суперечливою та не пропонує надійних гарантій для європейських компаній. Таким чином, постачальники послуг опиняються у скрутному становищі: якщо вони виконують наказ CLOUD Act без правової основи ЄС, вони ризикують отримати величезні штрафи GDPR; якщо вони відмовляються розкривати інформацію, посилаючись на GDPR, їм загрожують санкції згідно із законодавством США.
• Розділ 702 FISA (Закон про спостереження за іноземними розвідданими): Це положення, що є частиною Закону про внесення змін до FISA 2008 року, дозволяє розвідувальним службам США, таким як АНБ, проводити цілеспрямоване спостереження за електронними комунікаціями осіб, які не є громадянами США та знаходяться за межами США. Спостереження здійснюється для отримання «інформації іноземної розвідки». FISA 702 зобов'язує американських постачальників послуг електронного зв'язку (ECSP), до яких належать багато великих хмарних постачальників та постачальників SaaS, співпрацювати з владою. Обсяг потенційно зібраних даних дуже широкий і може включати не лише метадані, але й зміст комунікацій, навіть комунікацій незалучених третіх сторін, які лише згадують цільову особу. Програми спостереження згідно з FISA 702 (такі як PRISM та Upstream) були центральним пунктом критики в рішенні Європейського суду у справі Schrems II (див. нижче). Критика також стосується відсутності ефективних засобів правового захисту для постраждалих громадян ЄС та можливості масового спостереження, хоча влада США це заперечує.
• Виконавчий наказ 12333 та інші: Окрім Закону CLOUD та FISA 702, існують інші правові підстави, такі як Виконавчий наказ 12333, який надає розвідувальним службам США широкі повноваження щодо проведення спостереження за кордоном, часто без судового нагляду або конкретних правових обмежень для осіб, які не є громадянами США.

Ця фундаментальна правова колізія створює ситуацію, в якій використання хмарних сервісів від американських постачальників створює невід'ємні ризики для європейських компаній.

Специфічні ризики для європейських компаній

Описаний юридичний конфлікт створює відчутні ризики для європейських компаній, які користуються SaaS-сервісами, що базуються в США:

• Витоки даних та штрафи: Розкриття персональних даних органам влади США відповідно до Закону CLOUD або FISA 702 без дійсної правової підстави згідно із законодавством ЄС (наприклад, договору про взаємну правову допомогу) є явним порушенням GDPR, зокрема статті 48. Це може призвести до суттєвих штрафів у розмірі до 4% від світового річного обороту, а також до цивільних позовів про відшкодування збитків від суб’єктів даних. Саме використання хмарного сервісу США може вважатися потенційно невідповідним GDPR, якщо постачальник не може гарантувати, що він не розголошуватиме дані з порушенням GDPR.
• Втрата суверенітету та контролю над даними: Договірні гарантії від постачальників американських даних про те, що дані зберігатимуться лише в центрах обробки даних ЄС, не забезпечують ефективного захисту від доступу з боку США згідно із Законом CLOUD або FISA. Закони США можуть скасувати ці гарантії та навіть технічні запобіжні заходи. Навіть шифрування даних не є панацеєю, якщо постачальник американських даних контролює ключі шифрування, оскільки його можуть змусити їх розкрити. Аналогічно, механізми контролю доступу можна обійти, а журнали аудиту можна переглядати без відома власника даних, що порушує вимоги прозорості GDPR. Таким чином, європейські компанії фактично втрачають контроль над тим, хто отримує доступ до їхніх даних і за яких обставин.
• Промислове шпигунство та втрата комерційної таємниці: Потенційний відтік конфіденційних даних компанії становить особливо серйозну загрозу. Це включає інтелектуальну власність, дані досліджень та розробок, прототипи, стратегічні плани, фінансові дані, а також конфіденційні дані та комунікації клієнтів. Занепокоєння тим, що влада США може використовувати свої права доступу в економічних цілях (промислове шпигунство), є основним рушійним фактором для європейських компаній, які шукають альтернативи або впроваджують додаткові захисні заходи. Втрата такої інформації може призвести до значних фінансових втрат, репутаційної шкоди та втрати конкурентних переваг.
• Правова невизначеність та втрата довіри: Невирішений конфлікт між європейським законодавством про захист даних та правами доступу США створює значну правову невизначеність для компаній, які користуються послугами США. Ця невизначеність ускладнює довгострокове планування та дотримання вимог. Крім того, подальше використання послуг, де захист даних не може бути гарантований, може серйозно підірвати довіру клієнтів, співробітників та ділових партнерів.
• Геополітичні ризики: такі закони, як Закон CLOUD, розглядаються в контексті глобальних тенденцій до посилення державного спостереження та потенційної фрагментації інтернету («Splinternet»). Проводяться порівняння з аналогічними законами в інших країнах, такими як Закон Китаю про національну розвідку. Крім того, надмірна залежність від постачальників технологій з одного неєвропейського регіону створює стратегічні ризики для цифрової автономії та стійкості Європи.

Ризики використання хмарних сервісів у США виходять далеко за межі потенційних штрафів за GDPR. Вони включають втрату критично важливих бізнес-даних, репутаційну шкоду та загрозу конкурентоспроможності через потенційне зловживання правами доступу для промислового шпигунства. Ці часто важко кількісно оцінювані, але потенційно екзистенційні, «супутні» ризики легко недооцінити, якщо зосередитися виключно на дотриманні GDPR.

Рішення у справі Шремса II та Рамкова політика конфіденційності даних (DPF)

Правова невизначеність навколо трансатлантичної передачі даних значно загострилася рішенням Європейського суду (ЄС) у справі Schrems II у липні 2020 року. ЄС визнав чинну на той час угоду про захист конфіденційності між ЄС та США недійсною. Обґрунтування: закони США про стеження, зокрема FISA 702 та пов'язані з ними програми, дозволяють порушення основних прав громадян ЄС (захист даних, конфіденційність), які не обмежуються тим, що є суворо необхідним, і не пропонують еквівалентного захисту, що надається в ЄС. Крім того, у США бракує ефективних засобів правового захисту для постраждалих осіб від таких заходів стеження. Хоча рішення підтвердило загальну дійсність стандартних договірних положень (СДП) як альтернативного інструменту для передачі даних, ЄС уточнив, що експортери даних не можуть сліпо покладатися на СДП. В рамках оцінки кожного окремого випадку (Оцінка впливу передачі – TIA) необхідно перевірити, чи гарантують законодавство та практика країни призначення (у цьому випадку США) рівень захисту, який «по суті еквівалентний» захисту в ЄС. Якщо це не так через закони про стеження – як запропонував Суд ЄС для США – необхідно вжити додаткових заходів (додаткових заходів) (наприклад, надійне шифрування, коли одержувач не має доступу до ключів) для забезпечення захисту. Якщо навіть це неможливо, передачу даних необхідно призупинити. Закон CLOUD розглядався в цьому контексті як фактор, що ще більше підриває аргумент на користь еквівалентного рівня захисту. У відповідь на правову невизначеність, створену законом Schrems II, та для того, щоб поставити потоки даних між ЄС та США на більш міцну основу, Європейська комісія та уряд США домовилися про Рамкову угоду про конфіденційність даних між ЄС та США (DPF). Вона набула чинності в липні 2023 року завдяки новому рішенню Європейської комісії про адекватність. Структура захисту даних (DPF) має на меті вирішити проблеми, порушені Європейським судом (ЄС) у рішенні у справі Schrems II, шляхом забезпечення додаткових гарантій з боку США: доступ розвідувальних служб США до даних громадян ЄС має бути обмежений тим, що є необхідним та пропорційним, а для громадян ЄС було створено новий дворівневий механізм правового захисту (включаючи Суд з перегляду рішень щодо захисту даних – DPRC). Компанії в США можуть отримати сертифікацію DPF, і передача даних з ЄС цим сертифікованим компаніям вважається допустимою без необхідності використання додаткових інструментів, таких як Стандартні договірні положення (SCC) або інші заходи. Однак залишаються значні сумніви та ризики щодо стабільності та ефективності DPF

• Основні закони США залишаються чинними: Закон CLOUD та FISA 702 не були змінені DPF. Основні повноваження органів влади США щодо доступу до даних продовжують існувати.
• Сумніви щодо перевірки Європейського суду (ЄС): Багато експертів та активістів із захисту даних сумніваються, що гарантії, передбачені Фондом захисту даних (ФЗД) та новим механізмом правового захисту, витримають повторну перевірку з боку ЄС. Зокрема, під сумнів ставляться незалежність та правозастосовчі повноваження Комісії з регулювання захисту даних (РКЗД).
• Потрібен постійний моніторинг: Відповідно до статті 45(4) GDPR, Європейська Комісія зобов'язана постійно стежити за подіями в США та регулярно переглядати їхню адекватність. Перший огляд відбувся влітку 2024 року. Нещодавні події, такі як розширення та потенційне розширення FISA 702, можуть знову поставити під загрозу основу DPF.
• Ризик для компаній: Компанії, які покладаються виключно на DPF, беруть на себе значний ризик. Якщо Європейський суд також визнає DPF недійсним у майбутньому (сценарій «Шремс III»), передача даних на його основі знову стане незаконною за одну ніч. Компанії, які тоді не мають «Плану Б» (наприклад, перехід до постачальника з ЄС або впровадження ефективних додаткових заходів), не можуть розраховувати на пом’якшення покарання.

Таким чином, основний конфлікт між законодавством США про широкий доступ до даних та фундаментальним правом ЄС на захист даних залишається навіть за Законом про захист даних (DPF). Закони США, які спричиняють проблему, залишаються чинними. DPF є радше політичним і потенційно тимчасовим заходом, ніж остаточним юридичним рішенням. Фундаментальна проблема доступу влади США до даних європейських громадян та компаній, що потенційно порушує GDPR, не вирішена.

Визначення та критерії: Що означає «суверенний SaaS»?

З огляду на описані ризики, європейські компанії дедалі частіше шукають альтернативи, які пропонують їм більший контроль, безпеку та дотримання законодавства. У цьому контексті часто використовуються терміни «суверенна хмара» або «суверенний SaaS». Але що саме означають ці терміни та яким критеріям має відповідати пропозиція, щоб вважатися суверенною в європейському контексті?

Ключові елементи суверенітету в хмарному контексті

Цифровий суверенітет у хмарному середовищі – це багатогранна концепція, яка виходить за рамки простого технічного надання послуг. Її можна зрозуміти через кілька основних елементів:

• Суверенітет даних: це центральний принцип. Він стверджує, що дані підпадають під дію законів і правил юрисдикції, в якій вони знаходяться або були зібрані. Для Європи це, перш за все, означає повне застосування законодавства ЄС про захист даних (особливо GDPR) та захист від доступу органів влади третіх країн на основі екстериторіальних законів, таких як Закон США про хмарні технології (CLOUD Act). Клієнт зберігає повний контроль над тим, хто може отримувати доступ до його даних і за яких умов.
• Локалізація та місцезнаходження даних:
  • Резидентність даних означає, що дані клієнта (включаючи метадані та резервні копії) гарантовано зберігатимуться та оброблятимуться у визначеному географічному регіоні, зазвичай у ЄС або ЄЕЗ. Це необхідна умова для суверенітету даних у контексті ЄС, але сама по собі недостатня, якщо постачальник підпадає під дію неєвропейського законодавства.
  • Локалізація даних – це суворіша вимога, яка передбачає, що дані не можуть залишати межі певної країни. Такі закони рідко зустрічаються в ЄС, але можуть бути актуальними для конкретних національних норм або секторів.
• Операційний суверенітет: Цей елемент стосується контролю над роботою хмарної інфраструктури та сервісів, що працюють на ній. Ключові аспекти включають:
  • Експлуатація персоналом ЄС та юридичними особами ЄС: Необхідно забезпечити, щоб персонал, який має фізичний або логічний доступ до хмарного середовища та даних клієнтів, знаходився в ЄС та підпадав під дію законодавства ЄС. Доступ з-за меж ЄС має бути запобігнутий або суворо контрольований за допомогою технічних та організаційних заходів.
  • Штаб-квартира та структура компанії в ЄС: Сам постачальник хмарних послуг або принаймні юридична особа, відповідальна за діяльність в ЄС, повинна мати штаб-квартиру в державі-члені ЄС/ЄЕЗ і, таким чином, підпадати під дію переважно європейського законодавства. Також важливо, щоб не було залежності від материнських компаній або дочірніх компаній у третіх країнах (особливо в США), які могли б вимагати дотримання своїх законів (таких як Закон CLOUD або FISA).
  • Прозорість та можливість аудиту: Клієнти потребують прозорості щодо операційних процесів, субпідрядників та впроваджених заходів безпеки. Здатність незалежно перевіряти та перевіряти доступ і процеси є ключовою характеристикою операційної суверенітету.
• Технологічний суверенітет: це стосується здатності розуміти, контролювати, перевіряти та, в ідеалі, також (подальше) розвивати основні ключові технології. Аспекти цього включають:
  • Використання відкритих стандартів та програмного забезпечення з відкритим вихідним кодом: Відкриті стандарти та програмне забезпечення з відкритим вихідним кодом сприяють взаємодії між різними постачальниками та рішеннями, підвищують прозорість (оскільки код можна перевіряти), зменшують ризик прив'язки до певного постачальника та сприяють аудитам безпеки. Вони часто формують основу для європейських технологічних стеків, таких як Sovereign Cloud Stack (SCS).
  • Взаємосумісність та портативність: можливість легко переносити дані та програми між різними хмарними постачальниками або назад до власної інфраструктури (локальної) є ознакою незалежності та гнучкості.
  • Контроль над технологічним стеком: У довгостроковій перспективі технологічний суверенітет спрямований на зменшення залежності від власних апаратних та програмних компонентів з неєвропейських джерел та нарощування європейської експертизи.

Підходить для цього:

• Незалежні платформи AI як стратегічна альтернатива для європейських компаній

Розмежування та непорозуміння

Термін «суверенна хмара» не захищений законодавством і часто використовується різними постачальниками як маркетинговий інструмент, причому основні концепції та заходи значно відрізняються. Тому компаніям вкрай важливо ретельно вивчити, що має на увазі постачальник під суверенітетом і які конкретні гарантії він пропонує. Поширеною помилкою є те, що зберігання даних у центрі обробки даних у межах ЄС достатньо для гарантії суверенітету. Це не так. Як пояснюється в розділі II, Закон США про хмарні технології (CLOUD Act) дозволяє доступ до даних, що належать американським компаніям, незалежно від того, де вони зберігаються. Таким чином, місцезнаходження даних в ЄС не захищає від доступу США, якщо сам постачальник або його материнська компанія базується в США або іншим чином підпадає під юрисдикцію США. Ще однією помилкою є те, що пропозиції суверенної хмари неминуче тягнуть за собою функціональні обмеження або повільніші темпи інновацій порівняно з глобальними гіперскейлерами. Хоча в деяких випадках це може бути правдою, оскільки місцеві постачальники часто не мають такої ж економії масштабу та дослідницьких бюджетів, основною метою суверенних рішень є не обмеження, а поєднання переваг хмарних обчислень (гнучкість, масштабованість) з вимогами контролю, безпеки та відповідності. Багато європейських постачальників покладаються на відкриті технології, щоб забезпечити інновації та адаптивність.

Критерії для суверенних SaaS-провайдерів з точки зору ЄС

Виходячи з основних елементів суверенітету, можна вивести конкретні критерії, за якими європейські компанії можуть оцінювати постачальників SaaS:

• Захист даних та відповідність: Постачальник повинен демонстративно дотримуватися вимог GDPR. Це має бути задокументовано угодою про обробку даних (DPA) відповідно до статті 28 GDPR та відповідними технічними та організаційними заходами (TOM). Також має бути забезпечено дотримання інших відповідних норм ЄС та національних норм (наприклад, для певних секторів).
• Розташування та обробка даних: Повинно бути договірно гарантовано, що всі дані клієнта, включаючи метадані, дані конфігурації та резервні копії, зберігаються та обробляються виключно в межах ЄС або ЄЕЗ.
• Експлуатація та контроль доступу: Експлуатація послуг та доступ до даних клієнтів повинні здійснюватися персоналом, що базується в ЄС та належить до юридичної особи ЄС. Необхідно впроваджувати суворі технічні та організаційні заходи для запобігання несанкціонованому доступу, особливо з-за меж ЄС.
• Корпоративна структура та юрисдикція: Постачальник повинен мати свою штаб-квартиру та основний юридичний контроль у межах ЄС/ЄЕЗ. Не повинно бути жодних корпоративних афілійованих осіб або філій у третіх країнах (особливо в США), які могли б помістити постачальника під їхню юрисдикцію та потенційно вимагати розкриття даних (наприклад, через Закон CLOUD або FISA).
• Прозорість: Постачальник повинен бути прозорим щодо своїх операційних процесів, використання субпідрядників, місць обробки даних та впроваджених заходів безпеки. Слід забезпечити можливість аудиту замовником або незалежними третіми сторонами.
• Технології та сумісність: Переважне використання відкритих стандартів (наприклад, API) та/або програмного забезпечення з відкритим вихідним кодом полегшує інтеграцію, тестування та потенційний перехід до інших постачальників (уникаючи прив'язки до певного постачальника).
• Сертифікати та атестації: Визнані сертифікати та атестації можуть служити доказом відповідності стандартам безпеки та комплаєнсу, а також зміцнювати довіру. Особливо актуальними є ISO 27001, BSI C5 (у Німеччині) та, в майбутньому, EUCS.

Стає очевидним, що цифровий суверенітет у контексті SaaS – це багатовимірне поняття. Йдеться не лише про те, де зберігаються дані, але й про те, хто і як їх обробляє, яким законам підпорядковується постачальник, і які технологічні основи використовуються. Тому компанії повинні враховувати, які виміри суверенітету є для них найважливішими під час вибору постачальника та наскільки добре постачальник відповідає цим конкретним вимогам. Простого перебування даних у ЄС часто недостатньо для ефективного зменшення ризиків, особливо тих, що виникають через законодавство США. Водночас компанії часто стикаються з дилемою: прагнення до максимального суверенітету та контролю має бути збалансоване з потенційними недоліками з точки зору функціональності, швидкості інновацій або витрат, які можуть виникнути у деяких європейських або суворо суверенних постачальників порівняно з глобальними гіперскейлерами. Багато європейських постачальників розглядають використання програмного забезпечення з відкритим кодом як стратегічний підхід до забезпечення прозорості, довіри та адаптивності, навіть якщо вони можуть не бути на передовій кожного нового технологічного розвитку.

Скористайтеся перевагами великого, п'ятикратного досвіду Xpert.Digital у комплексному пакеті послуг | Дослідження та розробки, XR, PR та оптимізація цифрової видимості - Зображення: Xpert.Digital

Xpert.digital має глибокі знання в різних галузях. Це дозволяє нам розробити кравці, розроблені стратегії, пристосовані до вимог та проблем вашого конкретного сегменту ринку. Постійно аналізуючи тенденції на ринку та здійснюючи розвиток галузі, ми можемо діяти з передбаченням та пропонувати інноваційні рішення. З поєднанням досвіду та знань ми створюємо додаткову цінність та надаємо своїм клієнтам вирішальну конкурентну перевагу.

Детальніше про це тут:

• Використовуйте 5 -разову компетентність xpert.digital в одній упаковці - від 500 € на місяць

Огляд ринку: альтернативи суверенному SaaS з ЄС

Європейський ринок програмного забезпечення як послуги (SaaS) пропонує зростаючу кількість постачальників, які позиціонують себе як альтернативу домінуючим американським гравцям. Багато з них приділяють особливу увагу захисту даних, дотриманню GDPR та цифровому суверенітету для задоволення конкретних потреб європейського бізнесу та організацій.

Критерії вибору постачальників

Наведений нижче огляд зосереджений на постачальниках SaaS, які відповідають таким критеріям:

• Походження: Штаб-квартира компанії розташована в одній з держав-членів Європейського Союзу (ЄС), Європейської економічної зони (ЄЕЗ) або Швейцарії (CH), оскільки Швейцарія має рішення про адекватність від Комісії ЄС і часто тісно інтегрована в Європейську економічну зону.
• Позиціонування: Постачальник явно позиціонує себе як суверенну або альтернативу, що відповідає вимогам захисту даних, або демонструє суттєві характеристики цифрового суверенітету (наприклад, ексклюзивний хостинг у ЄС/ЄЕЗ, демонстративне дотримання GDPR, відсутність підпорядкування законам США, таким як CLOUD Act/FISA, використання відкритого коду).
• Релевантність: Постачальника було згадано в основних дослідницьких джерелах або він відомий як релевантна альтернатива у своїй категорії.

Для кращої наочності постачальники згруповані за загальними категоріями SaaS.

Огляд європейських SaaS-провайдерів за категоріями

У наступній таблиці наведено огляд вибраних європейських постачальників SaaS, організованих за функціональними напрямками. Вона слугує відправною точкою для більш детальної оцінки.

Огляд європейських SaaS-провайдерів за категоріями

Огляд європейських SaaS-провайдерів за категоріями – Зображення: Xpert.Digital

(Примітка: Ця таблиця є вибіркою та не є вичерпною. Інформація базується на доступних джерелах і може бути змінена. Незалежна перевірка компанією є важливою.)

Огляд європейських SaaS-провайдерів демонструє широкий спектр рішень, класифікованих за типом. У секторі співпраці та офісу такі провайдери, як Nextcloud Hub з Німеччини, пропонують платформу з відкритим кодом для файлів, комунікацій, групового програмного забезпечення та офісних додатків. Ця платформа може бути розміщена самостійно або у провайдера та пріоритезує суверенітет даних. Open-Xchange App Suite, також з Німеччини, надає комплексне рішення для електронної пошти, групового програмного забезпечення, дисків та документів, особливо для провайдерів та бізнесу, та відповідає стандартам ISO 27001. ONLYOFFICE з Латвії пропонує офісний пакет із функціями співпраці та робочим простором (включаючи CRM та електронну пошту). Він сумісний як з хмарою, так і з локальними пристроями та відповідає GDPR. Collabora Online, заснований на LibreOffice, часто інтегрується з такими платформами, як Nextcloud. TeamDrive, також з Німеччини, зосереджується на високобезпечному хмарному сховищі з наскрізним шифруванням та принципом нульового розголошення. Conceptboard, також з Німеччини, пропонує онлайн-дошку для візуальної співпраці з використанням серверів ЄС та без участі США. CryptPad з Франції поєднує спільну роботу з відкритим кодом та наскрізним шифруванням. Stackfield з Німеччини надає платформу, що відповідає вимогам GDPR, для чату, завдань та відео.

У секторі CRM та продажів Zeeg з Німеччини виділяється своїм плануванням зустрічей, що відповідає GDPR, тоді як CentralStationCRM пропонує просте CRM-рішення для малого та середнього бізнесу. SAP CRM, як частина пакету SAP, орієнтований на підприємства. Щодо рішень для хмарного зберігання даних, постачальники, такі як pCloud зі Швейцарії, пропонують додаткове наскрізне шифрування та довічні плани. Tresorit поєднує високий рівень безпеки, доступ з нульовим розголошенням та відповідність вимогам для Європи. Proton Drive, також зі Швейцарії, пропонує хостинг зашифрованих файлів. Німецькі постачальники, такі як IONOS HiDrive, та міжнародні варіанти, такі як Infomaniak kDrive, доповнюють асортимент пропозицій.

Щодо відеоконференцій, варто відзначити OpenTalk з Німеччини, який зосереджується на безпеці та дотриманні GDPR, а також рішення з відкритим кодом Jitsi Meet. eyeson з Австрії пропонує хмарні відеозустрічі, тоді як Univid зі Швеції зосереджується на вебінарах. У веб-аналітиці Matomo пропонує варіант з відкритим кодом та повним контролем даних, Plausible Analytics наголошує на простоті використання та конфіденційності даних, etracker з Німеччини уникає файлів cookie, а Piwik PRO орієнтований на бізнес.

Автоматизацію маркетингу покривають такі постачальники, як Brevo (раніше Sendinblue) із серверами в Німеччині/ЄС, та Evalanche, яка спеціалізується на B2B та має сертифікат ISO. Personio є лідером у сфері програмного забезпечення для управління персоналом, пропонуючи комплексну платформу для малого та середнього бізнесу, доповнену такими рішеннями, як HRworks та Rexx Systems, які пропонують як хмарні, так і локальні моделі. OpenProject – це німецьке рішення для управління проектами з відкритим кодом, тоді як Zenkit виділяється своїми гнучкими робочими просторами. Безпечні постачальники електронної пошти, такі як Tutanota та Proton Mail, надають пріоритет захисту даних та наскрізному шифруванню. Єдиний вхід забезпечується Bare.ID, що базується в Німеччині, з безпекою, що відповідає GDPR. Щодо інструментів для опитувань, LamaPoll та LimeSurvey вражають своєю налаштовуваністю та німецькими стандартами серверів. QuestionPro у своїй версії для ЄС завершує список розширеними функціями та відповідністю GDPR.

Цей огляд підкреслює вражаючу різноманітність та спеціалізацію європейського ринку SaaS. Особливо в галузях, де захист та безпека даних традиційно відігравали важливу роль, – таких як співпраця, безпечний зв'язок, хмарне сховище та веб-аналітика, – існує широкий спектр альтернатив. Багато з цих постачальників є малими або середніми підприємствами (МСП) або спеціалізованими нішевими гравцями з різних європейських країн. Вони часто роблять сильний акцент на дотриманні GDPR та конкретних потреб європейського ринку, що відображається в таких функціях, як хостинг у ЄС, підтримка німецькою мовою або спеціальні сертифікати відповідності.

Стратегічне значення програмного забезпечення з відкритим кодом для багатьох європейських постачальників також вражає. Особливо в сферах співпраці (Nextcloud, CryptPad), офісних додатків (ONLYOFFICE, Collabora), управління проектами (OpenProject), веб-аналітики (Matomo) та відеоконференцій (Jitsi, OpenTalk), технології з відкритим кодом часто формують основу. Це більше, ніж просто технічна деталь; це свідоме рішення, яке сприяє прозорості (завдяки доступному коду), адаптивності, можливості аудиту та уникненню прив'язки до постачальника. Ці аспекти є ключовими складовими цифрового суверенітету та дозволяють європейським постачальникам пропонувати надійні та гнучкі рішення, не маючи обов'язково доступу до величезних бюджетів на розробку глобальних гіперскейлерів. Це дає клієнтам більший контроль та розуміння технологій, які вони використовують.

Порівняння вибраних альтернатив ЄС

Після загального огляду ринку, тепер наведено детальніше порівняння вибраних, репрезентативних європейських альтернатив SaaS у ключових категоріях. Основна увага приділяється основним функціям, моделям ціноутворення, унікальним торговим перевагам та, зокрема, впровадженню суверенітету даних та дотриманню GDPR.

Методологія порівняння

Вибір постачальників для детального порівняння ґрунтується на їхній релевантності та частоті згадування в основних джерелах, а також на їхньому позиціонуванні як прямих європейських альтернатив відомим американським сервісам. Порівняння спирається на інформацію з конкретних фрагментів інформації про постачальників та інші відповідні дані із загальних фрагментів. Критерії включають:

• Основні функції: Що робить програмне забезпечення по суті?
• Модель ціноутворення: Яка структура ціноутворення (підписка, freemium, довічна підписка, локальна версія)?
• Розташування/хостинг даних: Де розміщуються дані (гарантовано ЄС/Німеччина)? Чи є варіанти самостійного розміщення?
• Шифрування: Які методи шифрування використовуються (особливо наскрізне, з нульовим розголошенням)?
• Сертифікації/Відповідність: Які відповідні сертифікати (ISO 27001, BSI C5 тощо) та зобов'язання щодо відповідності (GDPR) існують?
• Сильні/слабкі сторони щодо суверенітету: особливості або обмеження щодо контролю даних, прозорості та незалежності.

Детальне порівняння за категоріями

Детальне порівняння важливих альтернатив SaaS для ЄС

Детальне порівняння важливих альтернатив SaaS для ЄС – Зображення: Xpert.Digital

Детальне порівняння ключових альтернатив SaaS для ЄС показує, що Nextcloud Hub, як модульна платформа, пропонує такі функції, як синхронізація та обмін файлами, відеоконференції, групове програмне забезпечення та інтеграція з офісом, тоді як Open-Xchange App Suite, як інтегрований пакет, зосереджений на електронній пошті, календарі, контактах та сховищі. Nextcloud Hub забезпечує повний контроль завдяки самостійному хостингу та пропонує додаткове наскрізне шифрування, але має вищі ІТ-вимоги для самостійного хостингу. Open-Xchange виділяється своєю сертифікацією ISO та захистом даних, що відповідає вимогам ЄС, але залежить від хмарних технологій провайдера. У секторі CRM Zeeg отримує бали завдяки чіткій відповідності GDPR та хостингу в Німеччині, тоді як CentralStationCRM вражає своєю простотою та орієнтацією на малий та середній бізнес. Обидва провайдери пропонують freemium-моделі та гарантують розташування даних, що відповідає вимогам GDPR. У секторі хмарного сховища pCloud пропонує переваги з точки зору гнучкості завдяки довічним планам та варіантам сховища для ЄС; однак наскрізне шифрування є необов'язковим та має свою ціну. Tresorit, з іншого боку, отримує бали завдяки послідовному шифруванню з нульовим розголошенням та високій відповідності, але є дорожчим. ONLYOFFICE та Collabora Online пропонують комплексні офісні альтернативи з сильним акцентом на ЄС та варіантами з відкритим кодом, де ONLYOFFICE вирізняється сумісністю з Microsoft та функціями співпраці. Collabora Online тісно інтегрована з такими платформами, як Nextcloud, і тому менш орієнтована на автономну функціональність. У сфері відеоконференцій OpenTalk виділяється такими функціями, як вебінари, опитування та чітким акцентом на GDPR, тоді як Jitsi Meet, як безкоштовне рішення з відкритим кодом, пропонує максимальний самоконтроль та простоту. Обидва рішення пропонують локальні варіанти та надійні функції захисту даних, причому OpenTalk вирізняється печаткою безпеки BSI IT.

Детальне порівняння підкреслює, що рідко існує єдина «найкраща» європейська альтернатива. Вибір значною мірою залежить від конкретних вимог та пріоритетів компанії. Виникають чіткі компроміси, наприклад, між максимальною безпекою та ціною (pCloud проти Tresorit) або між комплексним контролем через власний хостинг та зручністю керованого SaaS-рішення (Nextcloud проти OX App Suite Cloud). Компанії повинні зважити, який аспект — діапазон функцій, простота використання, вартість або ступінь суверенітету та безпеки — є для них найважливішим.

Ключовою характеристикою багатьох європейських постачальників є гнучкість їхніх операційних моделей. Такі рішення, як Nextcloud, ONLYOFFICE, OpenTalk та Jitsi, пропонують як хмарні (SaaS), так і локальні або самостійно розміщені варіанти. Це дає компаніям можливість визначати власний рівень контролю та суверенітету. Вони можуть обрати зручне SaaS-рішення від надійного європейського постачальника або ж максимальний контроль над даними та інфраструктурою, експлуатуючи їх у власному центрі обробки даних. Цей вибір безпосередньо відповідає основній потребі в контролі, яка є рушійною силою дискусії щодо суверенітету.

Інтеграція незалежної та перехресної платформи AI-джерела для всіх матчів компанії: xpert.digital

Ki-Gamechanger: Найбільш гнучкі рішення AI-таїлові рішення, що зменшують витрати, покращують свої рішення та підвищують ефективність

Незалежна платформа AI: інтегрує всі відповідні джерела даних компанії

• Ця платформа AI взаємодіє з усіма конкретними джерелами даних
  • Від SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox та багатьох інших систем управління даними
• Швидка інтеграція AI: індивідуальні рішення AI для компаній у години чи дні замість місяців
• Гнучка інфраструктура: хмарна або хостинг у власному центрі обробки даних (Німеччина, Європа, вільний вибір місця розташування)

• Найвища безпека даних: Використання в юридичних фірмах - це безпечні докази
• Використовуйте в широкому спектрі джерел даних компанії
• Вибір власних або різних моделей AI (DE, EU, США, CN)

Виклики, які вирішує наша платформа AI

• Відсутність точності звичайних рішень AI
• Захист даних та безпечне управління конфіденційними даними
• Високі витрати та складність індивідуального розвитку ШІ
• Відсутність кваліфікованого ШІ
• Інтеграція ШІ в існуючі ІТ -системи

Детальніше про це тут:

• Інтеграція AI незалежної та перехресної платформи AI для всіх питань компанії

Спеціалізовані рішення: Суверенний SaaS для чутливих секторів

Хоча SaaS-рішення, про які йшлося вище, часто застосовуються в різних галузях, існують сектори з особливо високими вимогами до безпеки, відповідності вимогам та цифрового суверенітету. До них належать, зокрема, державне управління, охорона здоров'я та фінансовий сектор. У цих сферах розвиваються спеціалізовані пропозиції та регуляторні бази, які сприяють або навіть зобов'язують використовувати суверенні хмарні рішення.

Державне управління

Державний сектор у Німеччині та Європі має невід'ємну зацікавленість у цифровому суверенітеті для забезпечення контролю над даними громадян та критично важливими урядовими процесами. Вимоги часто виходять за рамки стандартного дотримання GDPR та включають конкретні стандарти безпеки, такі як BSI IT Baseline Protection або каталог критеріїв BSI C5. Важливими аспектами також є сумісність між різними органами влади та рівнями управління, а також перевага програмному забезпеченню з відкритим кодом для уникнення залежностей.

Кілька ініціатив спрямовані на створення суверенної хмарної інфраструктури для адміністрування:

• Німецька адміністративна хмарна стратегія (DVS): Ця стратегія, розроблена Радою з планування ІТ та FITKO, має на меті створити федеральну, безпечну, сумісну та суверенну хмарну екосистему для федерального уряду, земель та муніципалітетів. Вона спирається на відкриті стандарти, багатохмарний підхід та інтеграцію державних постачальників ІТ-послуг (таких як Dataport, AKDB та IT.NRW), які відіграють центральну роль та користуються високим рівнем довіри. У майбутньому також можна буде інтегрувати зовнішніх постачальників, що відповідають вимогам DVC. Ключовим елементом є Портал хмарних послуг (CSP) як ринок стандартизованих та сертифікованих хмарних послуг.
• Федеральна хмарна / Федеральна платформа ІТ-операцій: ITZBund вже експлуатує хмарні платформи (SaaS, PaaS) для федеральних органів влади, які мають бути консолідовані у 2025 році та відповідатимуть високим вимогам безпеки та захисту даних.
• Центр цифрового суверенітету (ZenDiS): ця установа спеціально пропагує використання програмного забезпечення з відкритим кодом у державному управлінні та підтримує такі проекти, як OpenDesk, альтернатива Microsoft 365 з відкритим кодом, яка спеціально розроблена для державного сектору.
• Gaia-X та Sovereign Cloud Stack (SCS): Ці європейські ініціативи забезпечують важливі технічні основи та стандарти для побудови суверенних хмарних інфраструктур, які DVS також має намір використовувати. SCS, стек з відкритим кодом, заснований на OpenStack та Kubernetes, вже використовується кількома німецькими постачальниками (наприклад, plusserver).

Конкретні, суверенні пропозиції SaaS для державного управління надходять як від державних постачальників ІТ-послуг (наприклад, Conceptboard від IT.NRW, dDataBox від Dataport), так і від спеціалізованих комерційних постачальників, які часто мають сертифікати BSI C5 та доступні через такі торговельні майданчики, як govdigital (наприклад, plusserver, STACKIT, IONOS, OVHcloud). Важливу роль також відіграють рішення з відкритим кодом, такі як Nextcloud або OpenDesk.

Підходить для цього:

• Залежно від хмари США? Боротьба Німеччина за хмару: як конкурувати з AWS (Amazon) та Azure (Microsoft)

Охорона здоров'я

Сектор охорони здоров’я обробляє надзвичайно чутливі персональні дані (дані про здоров’я, як визначено у статті 9 GDPR), які підлягають спеціальному захисту. Окрім GDPR та медичної таємниці, застосовуються спеціальні національні закони, такі як Закон про захист даних пацієнтів (PDSG) та, нещодавно, Закон про цифрову охорону здоров’я (DigiG). Безпека, доступність та конфіденційність мають першочергове значення в цьому контексті.

Ключовим фактором використання суверенних хмарних рішень у німецькій системі охорони здоров'я є Закон про цифрові технології (DigiG), який набув чинності у березні 2024 року. Хоча новий розділ 393 книги V Соціального кодексу Німеччини (SGB V) прямо дозволяє обробку соціальних та медичних даних за допомогою хмарних обчислень, він пов'язує це з дуже суворими умовами:

• Обробка даних лише в ЄС/ЄЕЗ/Швейцарії або країні, що приймає рішення про адекватність: Обробка даних може відбуватися лише всередині країни, в державі ЄС/ЄЕЗ, Швейцарії або третій країні, що має рішення про адекватність, прийняте Комісією ЄС.
• Сертифікація BSI C5 стає обов’язковою: з 1 липня 2024 року постачальники хмарних послуг, які обробляють соціальні або медичні дані від імені постачальників медичних послуг (лікарів, лікарень, фондів медичного страхування тощо), повинні мати можливість пред’явити дійсну сертифікацію BSI C5. До 30 червня 2025 року достатньо сертифікації типу 1 (адекватність контролю); з 1 липня 2025 року обов’язковою є сертифікація типу 2 (підтвердження ефективності протягом певного періоду часу).
• Це також стосується постачальників SaaS: це зобов'язання поширюється не лише на постачальників інфраструктури (IaaS) або платформи (PaaS), але й безпосередньо на постачальників програмного забезпечення як послуги (SaaS), чиї програми використовуються в хмарі (наприклад, інформаційні системи лікарень (HIS), системи управління практикою (PMS), системи бронювання прийомів, DiGA).
• Впровадження засобів контролю для клієнтів: Установа-користувач (клініка, практика тощо) повинна, у свою чергу, впровадити засоби контролю для кінцевих користувачів, згадані у звіті аудиту постачальника хмарних послуг.

Цей регламент значно посилює вимоги до хмарних сервісів у секторі охорони здоров'я, фактично роблячи сертифікацію BSI C5 обов'язковою умовою для постачальників на цьому ринку. Хмарні постачальники, такі як Open Telekom Cloud, AWS (регіон Франкфурта), Azure, GCP, а також німецькі постачальники, такі як plusserver, STACKIT та IONOS, вже мають сертифікати C5 для своїх інфраструктур. Тепер SaaS-рішення для охорони здоров'я, побудовані на цих інфраструктурах (HIS, системи управління практикою, компоненти електронних карток пацієнтів тощо), також повинні надавати цю сертифікацію. Прикладами компаній, які працюють у хмарному середовищі охорони здоров'я та/або прагнуть отримати відповідні сертифікати, є Gini, Doctolib та Kite Consult. За даними Gematik, сама електронна карта пацієнта розміщується на серверах у Німеччині та ЄС відповідно до GDPR.

Фінансування

Фінансовий сектор (банки, страхові компанії, постачальники фінансових послуг) також є суворо регульованим та обробляє надзвичайно конфіденційні дані. Тут застосовуються суворі регуляторні вимоги, встановлені Федеральним управлінням фінансового нагляду Німеччини (BaFin) (наприклад, BAIT, KAIT, VAIT, ZAIT), а також дедалі гармонізованіші європейські правила. Високі стандарти ІТ-безпеки, управління ризиками, стійкості та аудиту є стандартною практикою.

Ключові регуляторні рушійні сили для розгортання безпечних та суверенних хмарних рішень включають:

• Директива NIS2: Банки та інфраструктури фінансового ринку загалом належать до категорій «важливих» або «істотних» суб’єктів згідно з NIS2. Тому вони повинні відповідати суворішим вимогам щодо управління ризиками, безпеки ланцюга поставок (включаючи постачальників хмарних послуг), звітності про інциденти та управлінської відповідальності.
• DORA (Закон про цифрову операційну стійкість): Цей регламент ЄС спеціально спрямований на посилення цифрової операційної стійкості у фінансовому секторі. Він визначає детальні вимоги до управління ризиками ІКТ, звітності про серйозні інциденти, пов'язані з ІКТ, тестування цифрової стійкості та, зокрема, управління ризиками сторонніми постачальниками послуг ІКТ, включаючи постачальників хмарних послуг. DORA вимагає, серед іншого, чітких договірних угод з постачальниками хмарних послуг та прав на аудит.

Постачальники хмарних послуг, які прагнуть обслуговувати фінансові установи, повинні продемонструвати свою здатність відповідати цим регуляторним вимогам. Це часто досягається за допомогою сертифікацій, таких як BSI C5 або ISO 27001, конкретних договірних гарантій та прозорого розкриття інформації про свою архітектуру та процеси безпеки. Такі постачальники, як plusserver, T-Systems, Microsoft з його EU Data Boundary та AWS з його European Sovereign Cloud, спеціально позиціонують себе для цього регульованого ринку.

Крім того, існують спеціалізовані постачальники SaaS, які пропонують рішення для забезпечення відповідності вимогам для фінансового сектору, такі як боротьба з відмиванням грошей (AML), система «Знай свого клієнта» (KYC), перевірка списку санкцій, виявлення шахрайства та моніторинг зловживань на ринку. Прикладами постачальників з європейською присутністю є ACTICO (Німеччина), Pelican AI (Велика Британія?), Sopra Financial Technology (Німеччина/Франція), Otris (Німеччина) та ViClarity (Ірландія/США?).

У цих надзвичайно чутливих секторах стає очевидним, що рішення щодо використання суверенних хмарних рішень більше не є виключно питанням мінімізації ризиків, а все більше зумовлене правовими вимогами та суворими зобов'язаннями щодо дотримання вимог. Необхідність демонстрації сертифікацій, таких як BSI C5, зміщує основу для прийняття рішень з добровільної оцінки ризиків на обов'язкову передумову для участі в ринку.

Це ставить перед постачальниками SaaS нові виклики. Хоча раніше постачальник інфраструктури (IaaS/PaaS) часто мав відповідні сертифікати, такі нормативні акти, як Розділ 393 Німецького соціального кодексу, книга V (SGB V), тепер чітко вимагають від постачальників SaaS також надавати відповідну документацію, таку як сертифікат BSI C5. Витрати та зусилля, пов'язані з отриманням та підтримкою таких сертифікатів, є значними та можуть становити суттєву перешкоду, особливо для менших, інноваційних SaaS-компаній, що потенційно може призвести до консолідації ринку в цих регульованих секторах.

Підходить для цього:

• Політика США надихає технологічні компанії ЄС? Дані суверенітет домінування США: майбутнє хмари в Європі

Сприяння суверенітету: ініціативи та сертифікації ЄС

Для зміцнення цифрового суверенітету Європи та створення надійної системи для хмарних обчислень на європейському та національному рівнях було започатковано різні ініціативи та стандарти сертифікації. Вони спрямовані на сприяння взаємодії, гармонізацію стандартів безпеки та підвищення довіри до хмарних сервісів.

Gaia-X: Бачення федеративної європейської інфраструктури даних

Gaia-X – одна з найвизначніших європейських ініціатив щодо зміцнення цифрового суверенітету. Запущена у 2019 році Німеччиною та Францією, вона зараз об’єднує численних партнерів з бізнесу, науки та політики в багатьох європейських країнах.

• Цілі: Основна мета Gaia-X полягає у створенні безпечної, об’єднаної та сумісної інфраструктури даних, що базується на європейських цінностях, таких як захист даних (GDPR), прозорість, довіра та самовизначення. Вона спрямована на підвищення цифрової незалежності Європи від неєвропейських постачальників, забезпечення інновацій завдяки безпечному обміну даними та посилення конкурентоспроможності європейських компаній.
• Архітектура та підхід: Важливо розуміти, що Gaia-X сама по собі не є хмарним постачальником і не створює власну «європейську суперхмару». Натомість Gaia-X визначає набір правил, загальних стандартів та архітектурних елементів для децентралізованої екосистеми мережевих, сумісних просторів даних та хмарних інфраструктурних послуг. Вона базується на таких принципах, як відкритість, прозорість, модульність та використання відкритих стандартів і програмного забезпечення з відкритим кодом. Асоціація Gaia-X з даних та хмари (AISBL) розробляє специфікації, правила, політики та систему перевірки відповідності (Gaia-X Compliance), яка має бути впроваджена через так звані цифрові інформаційні центри Gaia-X (GXDCH).
• Компоненти та проекти: У рамках Gaia-X з'являються конкретні будівельні блоки та проекти. Важливим прикладом є Sovereign Cloud Stack (SCS): стандартизований технологічний стек з відкритим вихідним кодом (на основі OpenStack, Kubernetes тощо) для побудови Gaia-X-сумісних, суверенних хмарних інфраструктур (IaaS/PaaS). Він призначений для того, щоб служити технічною основою для сумісних та суверенних хмарних пропозицій, включаючи Німецьку адміністративну хмару.
• Варіанти використання: Щоб продемонструвати переваги Gaia-X, розробляються конкретні простори даних та програми в різних галузях. Приклади можна знайти в Індустрії 4.0 (наприклад, Catena-X для автомобільної промисловості), мобільності, енергетиці, фінансах, державному управлінні та особливо в охороні здоров'я. Такі проекти, як TEAM-X, Health-X dataLOFT та GAIA-Med, спрямовані на забезпечення безпечного та суверенного обміну медичними даними для покращення медичного обслуговування та досліджень.
• Проблеми: Незважаючи на свої амбітні цілі, Gaia-X також стикається з труднощами та критикою. До них належать складність проекту, повільний прогрес у практичному впровадженні, іноді нечіткі визначення та побоювання, що ініціатива може бути домінована визнаними глобальними гіперскейлерами. Також критикували за те, що занадто довго надто багато уваги приділялося інфраструктурному рівню (IaaS/PaaS), нехтуючи прикладним рівнем (SaaS).

EUCS: Європейська схема сертифікації кібербезпеки для хмарних сервісів

Європейська схема сертифікації кібербезпеки для хмарних послуг (EUCS) – це система сертифікації, розроблена Європейським агентством з кібербезпеки (ENISA) відповідно до Закону ЄС про кібербезпеку (CSA).

• Мета: Головною метою є гармонізація вимог до кібербезпеки та сертифікацій для хмарних сервісів (IaaS, PaaS, SaaS) по всьому ЄС. Його метою є створення єдиного стандарту для подолання фрагментації, спричиненої різними національними схемами сертифікації (такими як SecNumCloud у Франції або C5 у Німеччині), та зміцнення єдиного цифрового ринку. Для користувачів хмарних технологій EUCS має на меті створити більшу прозорість та довіру, демонструючи, що сертифіковані сервіси відповідають певним стандартам безпеки.
• Рівні гарантії: Схема визначає три (або в попередніх проектах чотири) рівні безпеки («Базовий», «Істотний», «Високий» та, можливо, «Високий+»), які відображають різні рівні ризику та можливості зловмисника. Зі зростанням рівнів також зростають вимоги до впроваджених заходів безпеки (наприклад, мережа, сховище, безпека шифрування, тести на проникнення) та ретельність оцінки акредитованими органами з оцінки відповідності (ООО).
• Добровільна проти обов'язкової: сертифікація EUCS, як правило, є добровільною. Однак Закон про кібербезпеку та Директива NIS2 дозволяють державам-членам ЄС вимагати використання сертифікованих ІКТ-послуг для певних секторів, зокрема для критичної інфраструктури (KRITIS). Тому ймовірно, що EUCS стане фактично обов'язковою вимогою або ключовим критерієм у тендерах, принаймні в регульованих секторах.
• Дебати щодо суверенітету: Центральним і суперечливим моментом у розробці EUCS було питання конкретних вимог до суверенітету, зокрема для найвищого рівня безпеки («Високий» або «Високий+»). Попередні проекти передбачали, що локалізація даних у межах ЄС є обов'язковою для цього рівня, а постачальник повинен мати свою штаб-квартиру та глобальний центр у державі-члені ЄС, щоб забезпечити захист від неєвропейських законів (таких як Закон CLOUD). Однак ці вимоги, очевидно, були вилучені або послаблені в пізніших проектах (станом на 2024 рік). Це викликало різку критику з боку європейських постачальників хмарних послуг (особливо малих і середніх підприємств), галузевих асоціацій та захисників даних, які побоюються, що це послаблює цифровий суверенітет Європи, закріплює залежність від неєвропейських гіперскейлерів та наражає дані європейських громадян та підприємств на підвищений ризик. Дебати щодо остаточного дизайну цих вимог тривають.

BSI C5: Німецький стандарт хмарної безпеки

Каталог критеріїв відповідності хмарним обчисленням (C5) Федерального відомства з інформаційної безпеки Німеччини (BSI) – це встановлений каталог критеріїв, який визначає конкретні мінімальні вимоги до інформаційної безпеки хмарних сервісів.

• Мета та зміст: C5 розроблено, щоб допомогти клієнтам хмарних технологій у виборі безпечних постачальників послуг та створити основу для управління ризиками. Він базується на міжнародно визнаних стандартах, таких як ISO/IEC 27001, але доповнює їх специфічними для хмари вимогами та робить особливий акцент на прозорості за допомогою так званих параметрів середовища. Ці параметри надають інформацію про такі аспекти, як розташування даних, юрисдикція, сертифікації та зобов'язання щодо розкриття інформації державним органам, що має допомогти клієнтам краще оцінювати ризики (наприклад, від промислового шпигунства або витоків даних). Каталог містить 17 предметних областей, включаючи організацію інформаційної безпеки, безпеку персоналу, управління активами, криптографію, управління ідентифікацією та доступом, управління інцидентами та фізичну безпеку.
• Сертифікат аудиту (тип 1 та тип 2): Відповідність критеріям C5 підтверджується сертифікатом аудиту, виданим незалежним кваліфікованим аудитором. Існує два типи сертифікатів аудиту: Тип 1 засвідчує адекватність розробки та впровадження засобів контролю безпеки станом на певну дату. Тип 2 додатково підтверджує операційну ефективність цих засобів контролю протягом визначеного періоду аудиту (зазвичай від 6 до 12 місяців). Сертифікат аудиту типу 2 вважається більш повним і буде вимагатися для подальших аудитів та в секторі охорони здоров'я з липня 2025 року.
• Актуальність: C5 став фактичним стандартом для безпечних хмарних обчислень у Німеччині, особливо для державного управління та високорегульованих секторів, таких як охорона здоров'я та фінанси. Як згадувалося раніше, сертифікація C5 стане юридично обов'язковою для хмарних сервісів у сфері охорони здоров'я згідно із Законом про цифрову інфраструктуру (DigiG), починаючи з липня 2024/2025 років. Багато німецьких та європейських, а також міжнародних постачальників хмарних послуг (для своїх регіонів ЄС) мають сертифікати C5 для своїх послуг.

Інші відповідні стандарти

Окрім вищезгаданих ініціатив та сертифікацій, важливу роль також відіграють встановлені міжнародні стандарти:

• ISO/IEC 27001: Всесвітньо визнаний стандарт для систем управління інформаційною безпекою (СУІБ). Він визначає систематичний підхід до управління конфіденційною бізнес-інформацією для забезпечення її конфіденційності, цілісності та доступності. Сертифікація ISO 27001 часто є обов'язковою умовою для постачальників хмарних послуг і служить основою для більш специфічних стандартів, таких як C5.
• ISO/IEC 27017: Цей стандарт надає кодекс практик зі спеціальними заходами контролю для інформаційної безпеки в хмарних середовищах, доповнюючи ISO/IEC 27002.
• ISO/IEC 27018: Зосереджений на захисті персональної інформації (PII) у публічних хмарах, що діють як обробники даних. Він містить рекомендації, тісно узгоджені з європейськими принципами захисту даних, і може слугувати доповненням до C5, який в основному не охоплює захист даних.

Ці різні ініціативи та стандарти не обов'язково слід розглядати як конкурентів, а радше як взаємодоповнюючі. Gaia-X забезпечує бачення та правила для суверенної екосистеми, EUCS має на меті гармонізувати сертифікацію по всьому ЄС, а національні стандарти, такі як BSI C5, вже пропонують конкретні, встановлені вимоги та механізми тестування. Завдання полягатиме в тому, щоб змістовно інтегрувати ці підходи та створити узгоджену структуру, яка відповідає прагненням Європи щодо суверенітету, а також є практичною для постачальників та користувачів. Однак поточні дебати щодо вимог до суверенітету в EUCS демонструють, що все ще потрібна подальша політична та технічна робота.

Важливо, щоб компанії розуміли, що такі сертифікати, як BSI C5 або ISO 27001, є цінними засадами довіри, створюючи прозорість та сприяючи демонстрації зусиль у сфері безпеки. Однак вони не є панацеєю та не замінюють власну оцінку ризиків та належну перевірку клієнтом. Наприклад, сертифікація C5 для постачальника з США не змінює його підпорядкування Закону CLOUD. Спільна відповідальність за безпеку використання хмарних технологій залишається між постачальником та клієнтом, і компанії повинні завжди перевіряти, чи достатні заходи постачальника для їхніх конкретних вимог та ризиків.

Підходить для цього:

• Системи управління даними в змінах: стратегії успіху компанії в епоху ШІ

Стратегічні переваги переходу на постачальників SaaS з ЄС

Аналіз ризиків, пов'язаних з використанням хмарних сервісів, що базуються в США, та вивчення зростаючого ринку суверенних європейських альтернатив SaaS дозволяють зробити чіткий висновок: для європейських компаній розгляд їхньої хмарної стратегії з точки зору цифрового суверенітету є не лише доцільним, але й дедалі більш стратегічною необхідністю.

Зведений зміст результатів

Основні висновки цього звіту можна підсумувати наступним чином:

• Постійні ризики, пов’язані з постачальниками з США: використання SaaS-сервісів від компаній, що підпадають під юрисдикцію США, створює значні та постійні ризики для європейських компаній. Фундаментальний конфлікт між GDPR ЄС та законами США, такими як CLOUD Act та FISA 702, призводить до потенційних витоків даних, високих штрафів, втрати контролю над даними та ризику промислового шпигунства. Навіть чинна Рамкова угода про конфіденційність даних між ЄС та США (DPF) не вирішує цей фундаментальний конфлікт, і її довгострокова стабільність є невизначеною (див. Розділ II).
• Суверенітет як багатовимірне поняття: «Суверенний SaaS» у європейському контексті означає більше, ніж просто зберігання даних у центрах обробки даних ЄС. Він включає дотримання європейського законодавства (особливо GDPR), захист від доступу з-за меж Європи, експлуатацію організаціями та персоналом ЄС, а в ідеалі – технологічну відкритість та сумісність для уникнення залежностей (див. Розділ III).
• Зростаючий ринок для альтернатив ЄС: Існує різноманітний та зростаючий ринок постачальників SaaS, штаб-квартири яких знаходяться та працюють у ЄС/ЄЕЗ/Швейцарії. Ці постачальники пропонують рішення в численних категоріях, часто з сильним акцентом на захист даних, безпеку та місцеві потреби. Багато хто стратегічно покладається на відкритий код для максимізації прозорості та контролю (див. розділи IV та V).
• Регуляторний тиск у чутливих секторах: у таких сферах, як державне управління, охорона здоров'я та фінансовий сектор, використання демонстративно безпечних та суверенних хмарних рішень (часто із сертифікацією BSI C5 або порівнянними доказами) дедалі більше стає обов'язковим через законодавство (наприклад, DigiG, DORA, NIS2) та стратегічні вимоги (наприклад, DVS) (див. Розділ VI).
• Рамкові умови через ініціативи та стандарти: європейські ініціативи, такі як Gaia-X, та сертифікації, такі як запланована EUCS, а також встановлені національні стандарти, такі як BSI C5, створюють важливі рамкові умови, сприяють взаємодії та мають на меті зміцнити довіру до пропозицій суверенних хмарних технологій (див. розділ VII).

Стратегічні переваги альтернатив SaaS у ЄС

Перехід на європейських постачальників SaaS або вибір переважно таких постачальників, що відповідають критеріям суверенітету, пропонує компаніям стратегічні переваги, що виходять за рамки простої мінімізації ризиків:

• Покращена відповідність вимогам та правова визначеність: використання постачальників послуг, які підпадають виключно під дію законодавства ЄС та гарантують обробку даних в межах ЄС, значно знижує ризик порушень GDPR та конфліктів із законодавством країн, що не входять до ЄС. Це створює більш стабільну та передбачувану правову основу для обробки даних.
• Посилений контроль та безпека даних: європейські провайдери, які зосереджені на суверенітеті, часто пропонують вищий рівень контролю над вашими власними даними. Цього можна досягти за допомогою варіантів самостійного хостингу, послідовного наскрізного шифрування (нульове розголошення), прозорих операційних процесів та виключення доступу з боку органів влади третіх країн.
• Зміцнення цифрового суверенітету: вибір європейських постачальників зменшує стратегічну залежність від неєвропейських технологічних компаній. Це підтримує розвиток стійкої цифрової екосистеми в Європі та зміцнює місцеву цифрову економіку.
• Місцева підтримка та культурна близькість: Європейські постачальники часто можуть запропонувати більш доступне та зрозуміле обслуговування клієнтів місцевою мовою та в місцевому часовому поясі. Вони часто мають глибше розуміння специфічних вимог та звичаїв європейського ринку, що може сприяти співпраці та переговорам щодо контрактів.
• Зміцнення довіри: Використання рішень, що перевірено відповідають вимогам захисту даних та є суверенними, сигналізує про тверду відданість захисту та безпеці даних клієнтам, партнерам та співробітникам. Це може стати значною перевагою з точки зору довіри та конкурентоспроможності.

Рекомендації для європейських компаній

Щоб скористатися перевагами суверенних SaaS-рішень та керувати ризиками впровадження хмарних технологій, європейським компаніям слід розглянути такі кроки:

• Проведіть індивідуальний аналіз ризиків: критично оцініть SaaS-сервіси, якими ви зараз користуєтеся (особливо ті, що базуються в США). Проаналізуйте тип оброблюваних даних (чутливість, персональні дані), чинні нормативні вимоги (GDPR, галузеві норми) та потенційний вплив несанкціонованого доступу до даних або перебоїв у наданні послуг на ваш бізнес.
• Визначення вимог до суверенітету: Визначте рівень суверенітету даних, операційного контролю та технологічної незалежності, який є необхідним та бажаним для вашої організації. Не кожна програма вимагає однакового рівня суверенітету. Пріоритети визначайте на основі ризику та стратегічної важливості.
• Систематично оцінюйте ринок на наявність альтернатив ЄС: використовуйте огляди ринку (наприклад, наведений у цьому звіті) та власні дослідження, щоб визначити потенційних європейських постачальників SaaS, які відповідають вашим функціональним вимогам та вимогам, пов'язаним із суверенітетом. Враховуйте розмір постачальника, спеціалізацію, рекомендації та майбутню життєздатність.
• Ретельна перевірка є важливою під час вибору постачальника: не покладайтеся на маркетингові заяви. Критично перевірте інформацію постачальника щодо місця розташування даних (включаючи резервні копії та метадані), операційного персоналу, структури компанії (форма власності, зареєстрований офіс), використаних субпідрядників, технологій шифрування (особливо наскрізного/нульового розголошення) та заходів безпеки. Запитуйте угоди про обробку даних (DPA), технічні та організаційні заходи (TOM) та відповідні сертифікати або атестації (наприклад, ISO 27001, BSI C5) та уважно перегляньте їх.
• Розробіть стратегію міграції та план виходу: Ретельно сплануйте будь-яку потенційну міграцію. Врахуйте витрати, технічні зусилля, необхідні для міграції даних, необхідні налаштування інтерфейсу та управління змінами для ваших співробітників. Забезпечте сумісність та визначте чітку стратегію виходу, щоб полегшити майбутню зміну постачальника або зворотність даних.
• Розгляньте відкрите програмне забезпечення як варіант: оцініть, чи є SaaS-рішення на основі відкритого програмного забезпечення, як керована послуга від постачальника з ЄС, так і самостійно розміщені, придатною альтернативою для досягнення максимальної прозорості, адаптивності та контролю.
• Слідкуйте за регуляторним ландшафтом: будьте в курсі подій у сфері трансатлантичного трафіку даних (перевірка DPF), європейських стандартів сертифікації (EUCS) та відповідних законів (NIS2, DORA, галузевих норм), оскільки вони можуть суттєво вплинути на вашу хмарну стратегію.

Рішення за чи проти використання певних хмарних сервісів, особливо щодо американських постачальників порівняно з європейськими альтернативами, є набагато більшим, ніж просто технічним питанням чи питанням, пов'язаним з дотриманням вимог. Це стратегічне рішення з довгостроковими наслідками для правової визначеності, безпеки даних, контролю над критичними бізнес-процесами та, зрештою, стійкості та конкурентоспроможності компанії на світовій цифровій арені. Проаналізовані ризики залежності від неєвропейських постачальників є суттєвими та радше посилюються, ніж пом'якшуються поточною геополітичною та правовою ситуацією.

Водночас, перехід на європейські альтернативи не є само собою зрозумілим. Компанії повинні ретельно зважити, чи переваги з точки зору відповідності та контролю переважають потенційні недоліки щодо функціональності, швидкості інновацій або зусиль міграції. Ретельний аналіз власних потреб, реалістична оцінка доступних альтернатив та ретельне планування переходу мають вирішальне значення для успіху. Однак європейський ринок дедалі частіше пропонує життєздатні та надійні варіанти, які дозволяють компаніям використовувати переваги хмари, не ставлячи під шкода свій цифровий суверенітет.

☑ Підтримка МСП у стратегії, порадах, плануванні та впровадженні

☑ Створення або перестановка стратегії AI

☑ Піонерський розвиток бізнесу

Konrad Wolfenstein

Я радий допомогти вам як особистого консультанта.

Ви можете зв’язатися зі мною, заповнивши контактну форму нижче або просто зателефонуйте мені за номером +49 89 674 804 (Мюнхен) .

Я з нетерпінням чекаю нашого спільного проекту.

Xpert.digital - це центр для промисловості з фокусом, оцифруванням, машинобудуванням, логістикою/внутрішньологічною та фотоелектричною.

За допомогою нашого рішення щодо розвитку бізнесу на 360 ° ми підтримуємо відомі компанії від нового бізнесу до після продажу.

Ринкова розвідка, маха, автоматизація маркетингу, розвиток контенту, PR, поштові кампанії, персоналізовані соціальні медіа та виховання свинцю є частиною наших цифрових інструментів.

Ви можете знайти більше на: www.xpert.digital - www.xpert.solar - www.xpert.plus