Bruxelles sætter en dato på cloudsuverænitet

Cloud- og AI-loven, den forordning Europa-Kommissionen fremlagde i juni, offentliggøres i EU-Tidende den 15. juli 2026 og træder i kraft den 4. august. Det er den første EU-dækkende ramme, der fortæller myndigheder i følsomme sektorer, forsvar, retsvæsen, sikkerhed og kritisk infrastruktur, hvordan de skal veje, hvem der kontrollerer deres cloud, før de køber den.

Grunden er et markedsfaktum. Tre amerikanske udbydere, Microsoft, Amazon Web Services og Google, holder mere end 70 procent af det europæiske cloudmarked, mens europæiske udbydere ligger omkring 15 procent. I årevis kørte suverænitetsdebatten på frivillige mærker og scoringsrammer. Dette er punktet, hvor den bliver til en dateret lov med en indkøbspligt.

Fire niveauer, og hvor pengene faktisk lander

Loven fastsætter fire sikringsniveauer. Niveau 1 kræver data hostet på EU-servere og en garanti for, at ingen lov tvinger udbyderen til at afsløre softwaresårbarheder til et tredjeland. Niveau 2 tilføjer, at ingen fremmed stat kan nå dataene eller udløse en nødafbryder. Niveau 3 kræver, at udbyderen er fri for tredjelandskontrol, helt ned til personalet. Niveau 4 kræver komponenter og produkter uden nogen udenlandsk indblanding og den højeste cybersikkerhedscertificering.

Fordelingen er den del, de fleste overskrifter overser. Kommissionen forventer omkring 70 procent af kontrakterne på Niveau 1, cirka 20 procent på Niveau 2, under 10 procent på Niveau 3 og omkring 1 procent på Niveau 4. Med andre ord lukker det meste af den offentlige cloud i Europa stadig hyperscalerne ind. Loven fordriver dem ikke, den bedømmer dem og reserverer de strenge niveauer til den lille andel af arbejdslaster, hvor kontrol ikke er til forhandling.

Nødudgangene blev skrevet ind med vilje

To undtagelser dæmper virkningen med vilje. Artikel 30 tillader en undtagelse, hvor der ikke findes en passende eller rimelig alternativ tjeneste, et ekko af sagen fra 2023, hvor Frankrig konkluderede, at kun Microsoft kunne drive landets Health Data Hub. Artikel 18 åbner en vej for udbydere fra associerede tredjelande, der er omfattet af en EU-tilstrækkelighedsafgørelse, en dør der i princippet kunne omfatte USA, selv om kravene mod nødafbryderen stadig kan udelukke dem.

Den struktur viser, hvordan man læser den korte bane. En europæisk køber er ikke forpligtet til at rive AWS eller Azure ud i år. Det umiddelbare arbejde er indplacering: at knytte hver kontrakt til et niveau, dokumentere hvorfor og forsvare valget. Suverænitetsspørgsmålet går fra slogan til en linje i et udbudsdokument, en mindre ændring end retorikken antyder og en mere holdbar en.

Den rigtige løftestang er beton, ikke lov

Lovens hårdere ambition er fysisk. Den sigter mod mindst at tredoble EU's datacenterkapacitet inden for fem til syv år og forsøger at rydde vejen med hurtigere tilladelser og bedre adgang til energi, jord, vand og finansiering. Dens tre søjler, forskning, kapacitet og autonomi, stiller byggeriet på lige fod med regelbogen, for suverænitet, man ikke kan hoste, er en påstand på papir.

Tidsplanen bekræfter, hvor tænderne sidder. Forordningen træder i kraft den 4. august 2026, men det første niveau af suverænitetskrav gælder fra februar 2028, og det højeste niveau bliver obligatorisk senest august 2029. Compliance-uret og byggeuret løber sammen, og udbyderne med EU-kontrolleret kapacitet på jorden i 2028 er dem, de strenge niveauer blev skrevet for at begunstige.

Hvad en ejer gør før august

Det praktiske træk er en cloudoptælling læst gennem de fire niveauer: hvilke arbejdslaster kunne en udenlandsk ordre forstyrre, hvilke ligger i følsomme sektorer, og hvilke ville i dag ikke bestå en Niveau 3-test. Firmaer, der sælger cloud eller software til europæiske offentlige organer, står over for bagsiden af det spørgsmål, for deres købere vil snart bede om et niveau, ikke et logo. Den transatlantiske konflikt er reel: en udbyder fanget mellem en anmodning under US CLOUD Act og en CADA-garanti står over for et umuligt valg, og den risiko hører nu til i leverandørvurderinger.

Det er værd at holde loftet ærligt. Som juridisk analytiker Kenneth Propp bemærker, har EU før forsøgt suverænitetsinstrumenter, fra en blokeringsstatut til Data Act, med begrænset praktisk virkning, og selve CADA's eksistens læses mere som et symptom på lav transatlantisk tillid end som en kur. Loven slukker ikke de amerikanske clouds i år. Den hænger en dateret, bedømt pris på afhængigheden, og de ejere, der kortlægger den pris nu, bliver ikke dem, der løber i 2028.