Brussel zet een datum op cloudsoevereiniteit
De Cloud- en AI-wet, de verordening die de Europese Commissie in juni presenteerde, verschijnt op 15 juli 2026 in het Publicatieblad en treedt op 4 augustus in werking. Het is het eerste EU-brede kader dat overheden in gevoelige sectoren, defensie, justitie, veiligheid en kritieke infrastructuur, voorschrijft hoe ze moeten afwegen wie hun cloud controleert voordat ze die kopen.
De reden is een marktfeit. Drie Amerikaanse aanbieders, Microsoft, Amazon Web Services en Google, houden meer dan 70 procent van de Europese cloudmarkt, terwijl Europese aanbieders rond de 15 procent blijven. Jarenlang draaide het soevereiniteitsdebat op vrijwillige keurmerken en scorekaders. Dit is het punt waarop het een gedateerde wet met een inkoopverplichting wordt.
Vier niveaus, en waar het geld echt landt
De wet legt vier zekerheidsniveaus vast. Niveau 1 eist data op EU-servers en de garantie dat geen enkele wet de aanbieder dwingt softwarekwetsbaarheden aan een derde land te melden. Niveau 2 voegt toe dat geen buitenlandse staat bij de data kan of een noodschakelaar kan overhalen. Niveau 3 eist dat de aanbieder vrij is van controle door derde landen, tot aan het personeel. Niveau 4 verlangt componenten en producten zonder enige buitenlandse inmenging en de hoogste cyberbeveiligingscertificering.
De verdeling is het deel dat de meeste koppen missen. De Commissie verwacht ongeveer 70 procent van de contracten op Niveau 1, circa 20 procent op Niveau 2, minder dan 10 procent op Niveau 3 en ongeveer 1 procent op Niveau 4. Met andere woorden, het grootste deel van de publieke cloud in Europa laat de hyperscalers nog toe. De wet verdrijft ze niet, ze beoordeelt ze, en reserveert de strenge niveaus voor het kleine aandeel werklasten waar controle niet onderhandelbaar is.
De nooduitgangen zijn met opzet ingeschreven
Twee uitzonderingen dempen de klap bewust. Artikel 30 staat een uitzondering toe waar geen passende of redelijke alternatieve dienst bestaat, een echo van de zaak uit 2023 waarin Frankrijk concludeerde dat alleen Microsoft zijn Health Data Hub kon draaien. Artikel 18 opent een weg voor aanbieders uit geassocieerde derde landen die onder een EU-adequaatheidsbesluit vallen, een deur die in beginsel de Verenigde Staten zou kunnen omvatten, al kunnen de eisen tegen de noodschakelaar hen alsnog uitsluiten.
Die structuur laat zien hoe je de korte termijn leest. Een Europese koper hoeft AWS of Azure dit jaar niet uit te rukken. Het directe werk is indeling: elk contract aan een niveau koppelen, onderbouwen en de keuze verdedigen. De soevereiniteitsvraag gaat van slogan naar een regel in een aanbestedingsdossier, een kleinere verandering dan de retoriek suggereert en een duurzamere.
De echte hefboom is beton, geen wet
De hardere ambitie van de wet is fysiek. Ze wil de datacentercapaciteit van de EU binnen vijf tot zeven jaar minstens verdrievoudigen en probeert de weg vrij te maken met snellere vergunningen en betere toegang tot energie, grond, water en financiering. Haar drie pijlers, onderzoek, capaciteit en autonomie, zetten de bouw op gelijke voet met het regelboek, want soevereiniteit die je niet kunt hosten is een papieren claim.
De tijdlijn bevestigt waar de tanden zitten. De verordening treedt op 4 augustus 2026 in werking, maar het eerste niveau van soevereiniteitseisen geldt vanaf februari 2028 en het hoogste niveau wordt uiterlijk augustus 2029 verplicht. De nalevingsklok en de bouwklok lopen samen, en de aanbieders met EU-gecontroleerde capaciteit op de grond in 2028 zijn degenen die de strenge niveaus moeten bevoordelen.
Wat een eigenaar voor augustus doet
De praktische stap is een cloudinventaris gelezen door de vier niveaus: welke werklasten zou een buitenlands bevel kunnen verstoren, welke zitten in gevoelige sectoren en welke zouden vandaag een Niveau 3-test niet halen. Bedrijven die cloud of software aan Europese overheden verkopen, staan voor de keerzijde van die vraag, want hun kopers vragen straks om een niveau, niet om een logo. Het transatlantische conflict is reëel: een aanbieder klem tussen een verzoek onder de US CLOUD Act en een CADA-garantie staat voor een onmogelijke keuze, en dat risico hoort nu in leveranciersbeoordelingen.
Het is goed het plafond eerlijk te houden. Zoals de juridisch analist Kenneth Propp opmerkt, heeft de EU eerder soevereiniteitsinstrumenten geprobeerd, van een blokkeringsstatuut tot de Data Act, met beperkt praktisch effect, en het bestaan van CADA leest meer als een symptoom van laag transatlantisch vertrouwen dan als een remedie. De wet schakelt de Amerikaanse clouds dit jaar niet uit. Ze hangt aan afhankelijkheid een gedateerde, becijferde prijs, en de eigenaren die die prijs nu in kaart brengen, zijn in 2028 niet degenen die rennen.
Lees hierna: Een nieuwe drempel voor uw cloudcontracten | PEGI beoordeelt nu je businessmodel



