Ihre Cloud-Abhängigkeit ist jetzt ein reguliertes Risiko. Die meisten Unternehmen können die eigene nicht einmal sehen.

Was hat sich tatsächlich geändert?

Jahrelang war die Cloud-Frage praktischer Natur: welcher Anbieter, zu welchem Preis. Das European Technological Sovereignty Package 2026 und der darin enthaltene Cloud and AI Development Act verändern die Frage. Es führt ein vierstufiges Souveränitätsmodell ein, das bewertet, wie unabhängig Ihre Infrastruktur von einem einzelnen ausländischen Anbieter ist. Wo Ihre Systeme laufen und wer sie letztlich kontrolliert, ist jetzt eine regulierte Angelegenheit, nicht nur eine Architekturentscheidung.

Es kommt nicht allein. Es legt sich auf DORA, NIS2, den Data Act und den AI Act, die jeweils eigene Pflichten rund um Kontinuität, Sicherheit und Rechenschaft mit sich bringen. Für ein Unternehmen, das in Europa tätig ist, entsteht so ein Compliance-Umfeld, in dem die Konzentration auf einen einzigen Hyperscaler nicht mehr nur bequem ist. Sie ist ein dokumentiertes Risiko.

Warum können die meisten Unternehmen ihr eigenes Risiko nicht sehen?

Weil die Abhängigkeit verborgen ist. Nur wenige Organisationen hängen so von einer einzigen Cloud ab, dass sie es auf einer Seite überblicken können. Die tatsächliche Abhängigkeit verläuft über Managed Services, Compliance-Werkzeuge, die übernommenen KI-Systeme, Analyseplattformen, Identitätsinfrastruktur und Entwicklungspipelines, von denen viele unbemerkt auf dieselben ein oder zwei Anbieter zurückführen.

Wenn ein Vorstand also fragt, ob das Unternehmen weiterlaufen könnte, falls sein Hauptanbieter ausfällt oder als nicht konform eingestuft wird, lautet die ehrliche Antwort meist, dass niemand es abgebildet hat. Genau diese Lücke werden die neuen Regeln gleich offenlegen, und genau jene, die DORA von regulierten Unternehmen bereits zu schließen verlangt.

Was sollte ein ernsthaftes Unternehmen jetzt tun?

Bilden Sie die Abhängigkeitskette ab, bevor eine Aufsichtsbehörde oder ein Ausfall sie für Sie abbildet. Bestimmen Sie, welche kritischen Funktionen auf einen einzigen Anbieter zurücklaufen, wo Sie kein getestetes Failover haben und wo eine Souveränitätsstufe Sie ins Abseits stellen würde. Das ist kein Aufruf, die Hyperscaler aufzugeben. Es ist ein Aufruf, genau zu wissen, was Sie ohne sie tun würden, und es belegen zu können.

Bei Resilienz ging es schon immer um die Abhängigkeit, die Sie nicht ersetzen können. Die neuen Regeln machen diese Abhängigkeit lediglich zu etwas, das Sie nun sehen, dokumentieren und verteidigen müssen. Die Unternehmen, die sie früh abbilden, werden die Fristen als Routine behandeln. Diejenigen, die warten, werden die Gestalt ihrer Abhängigkeit im denkbar schlechtesten Moment entdecken.

Weiterlesen: Warum treibt KI den Preis von Hardware in die Höhe, die Sie nie gekauft haben?  ·  Warum ist der größte KI-Kostenfaktor heute eine monatliche Mietrechnung?