Hvad udkastet faktisk foreslaar
Den 3. juni 2026 vedtog Europa-Kommissionen et forslag til Cloud and AI Development Act, kendt som CADA. Det er et forslag, ikke en gældende lov. Det skal stadig igennem forhandling mellem Europa-Parlamentet og Raadet, og ordlyden kan ændre sig, foer nogen del af det bliver bindende. Saa dette er et signal om retning, ikke en regel, du skal overholde i dag. Retningen er dog klar nok til at planlægge efter.
Den del, der betyder noget for koebere, er en enkelt EU-dækkende ramme, der klassificerer sky- og AI-udbydere paa tvaers af fire EU-sikkerhedsniveauer. Det laveste niveau er tænkt som minimumsgrundlaget for at betjene den offentlige sektor, med snævre undtagelser. Hoejere niveauer gælder, hvor en udbyder understoetter funktioner knyttet til den offentlige orden, efter en risikovurdering foretaget af medlemsstaterne og EU-organer, paa tvaers af sektorer som energi, sundhed, transport, vand, retshaandhævelse, grænseforvaltning, national sikkerhed og forsvar. Kort sagt: jo mere foelsom rollen er, jo hoejere er den barre, en udbyder skal klare.
Hvorfor amerikanske hyperscalere rammer et loft
De hoejere sikkerhedsniveauer rapporteres at se ud over placeringen af datacentret og ind i, hvem der ejer udbyderen, hvem der kontrollerer dens drift, og om tjenesten kan afskærmes fra ikke-EU-ret. Netop den sidste test er, hvor de store amerikanske udbydere stoeder ind i en strukturel grænse. Under den amerikanske CLOUD Act kan et selskab med hovedsæde i USA tvinges til at udlevere data, det kontrollerer, uanset hvor i verden de data fysisk befinder sig. En europæisk dataregion fjerner ikke den rækkevidde.
Dette er ikke en paastand om, at AWS, Microsoft eller Google er usikre, eller at de fleste arbejdsbyrder er beroert. For langt hovedparten af forretningsdata forbliver de stærke, gængse valg. Pointen er snævrere, og den handler om toppen af skalaen. For de mest foelsomme kategorier, udkastet retter sig mod, kan en amerikansk-kontrolleret udbyder ikke fuldt ud garantere retlig isolering, fordi en udenlandsk retsorden stadig kan goere krav gældende over dataene. Det er et spoergsmaal om jurisdiktion, ikke om teknik, og derfor er de præcise kriterier for hvert niveau i udkastets bilag værd at holde oeje med, mens teksten forhandles.
Goer afhængighed til et indkoebstjek
I aarevis blev skysuverænitet behandlet som en abstrakt afhængighedsrisiko, let at notere og let at udskyde. CADA omformulerer det til noget konkret: en port paa underskriftstidspunktet. Hvis en kontrakt beroerer regulerede eller reelt foelsomme data, bliver den jurisdiktion, din udbyder svarer til, et vilkaar i aftalen, ikke en fodnote. Det skift beloenner de koebere, der stiller spoergsmaalet tidligt, og straffer dem, der opdager det under en revision eller en fornyelse.
Det afmaalte svar er en jurisdiktionsrisikovurdering, foer du underskriver eller fornyer. Kortlæg hvilke af dine data der ville falde i de foelsomme kategorier, udkastet beskriver, identificer hvem der i sidste ende ejer og kontrollerer hver udbyder, og tjek hvad dine kontrakter siger om udenlandsk retlig adgang, dataplacering og exit. Hvor risikoen er reel, kan du beholde de daglige arbejdsbyrder, hvor de er, og kun sende det foelsomme niveau til en udbyder, der kan opfylde et hoejere sikkerhedsniveau. Intet af dette er juridisk raadgivning, og teksten kan ændre sig, men selve vurderingen koster lidt og placerer dig godt, uanset hvordan den endelige lov lander.
Læs videre: Din AI taler nu for dig i retten · En amerikansk kvantefrist nar din forsyningskaede