Bryssel sätter ett datum på molnsuveränitet

Moln- och AI-lagen, den förordning som Europeiska kommissionen lade fram i juni, publiceras i officiella tidningen den 15 juli 2026 och träder i kraft den 4 augusti. Det är det första EU-omfattande ramverket som talar om för myndigheter i känsliga sektorer, försvar, rättsväsen, säkerhet och kritisk infrastruktur, hur de ska väga vem som kontrollerar deras moln innan de köper det.

Skälet är ett marknadsfaktum. Tre amerikanska leverantörer, Microsoft, Amazon Web Services och Google, har mer än 70 procent av den europeiska molnmarknaden, medan europeiska leverantörer ligger kring 15 procent. I åratal vilade suveränitetsdebatten på frivilliga märkningar och poängramverk. Detta är punkten där den blir en daterad lag med en inköpsskyldighet.

Fyra nivåer, och var pengarna faktiskt landar

Lagen fastställer fyra säkerhetsnivåer. Nivå 1 kräver data hostade på EU-servrar och en garanti att ingen lag tvingar leverantören att avslöja programvarusårbarheter för ett tredjeland. Nivå 2 lägger till att ingen främmande stat kan nå datan eller slå på en nödströmbrytare. Nivå 3 kräver att leverantören är fri från tredjelandskontroll, ända ner till personalen. Nivå 4 kräver komponenter och produkter utan någon utländsk inblandning och den högsta cybersäkerhetscertifieringen.

Fördelningen är den del de flesta rubriker missar. Kommissionen väntar sig omkring 70 procent av kontrakten på Nivå 1, cirka 20 procent på Nivå 2, under 10 procent på Nivå 3 och omkring 1 procent på Nivå 4. Med andra ord släpper det mesta av det offentliga molnet i Europa fortfarande in hyperscalarna. Lagen kör inte ut dem, den betygsätter dem och reserverar de stränga nivåerna för den lilla andel arbetslaster där kontroll inte är förhandlingsbar.

Nödutgångarna skrevs in med flit

Två undantag dämpar smällen med flit. Artikel 30 tillåter ett undantag där ingen lämplig eller rimlig alternativ tjänst finns, ett eko av fallet från 2023 där Frankrike drog slutsatsen att bara Microsoft kunde driva landets Health Data Hub. Artikel 18 öppnar en väg för leverantörer från associerade tredjeländer som omfattas av ett EU-beslut om adekvat skyddsnivå, en dörr som i princip skulle kunna inkludera USA, även om kraven mot nödströmbrytaren ändå kan diskvalificera dem.

Den strukturen visar hur man läser det korta perspektivet. En europeisk köpare är inte tvungen att slita ut AWS eller Azure i år. Det omedelbara arbetet är indelning: att knyta varje kontrakt till en nivå, dokumentera varför och försvara valet. Suveränitetsfrågan går från slogan till en rad i en upphandlingsakt, en mindre förändring än retoriken antyder och en mer varaktig.

Den verkliga hävstången är betong, inte lag

Lagens hårdare ambition är fysisk. Den siktar på att minst tredubbla EU:s datacenterkapacitet inom fem till sju år och försöker röja vägen med snabbare tillstånd och bättre tillgång till energi, mark, vatten och finansiering. Dess tre pelare, forskning, kapacitet och autonomi, ställer bygget på samma nivå som regelboken, för en suveränitet du inte kan hosta är ett papperspåstående.

Tidsplanen bekräftar var tänderna sitter. Förordningen träder i kraft den 4 augusti 2026, men den första nivån av suveränitetskrav gäller från februari 2028 och den högsta nivån blir obligatorisk senast augusti 2029. Efterlevnadsklockan och byggklockan går ihop, och leverantörerna med EU-kontrollerad kapacitet på marken 2028 är de som de stränga nivåerna skrevs för att gynna.

Vad en ägare gör före augusti

Det praktiska draget är en molninventering läst genom de fyra nivåerna: vilka arbetslaster skulle ett utländskt beslut kunna störa, vilka ligger i känsliga sektorer och vilka skulle i dag inte klara ett Nivå 3-test. Företag som säljer moln eller mjukvara till europeiska offentliga organ möter baksidan av den frågan, för deras köpare kommer snart att be om en nivå, inte en logga. Den transatlantiska konflikten är verklig: en leverantör klämd mellan en begäran enligt US CLOUD Act och en CADA-garanti står inför ett omöjligt val, och den risken hör nu hemma i leverantörsgranskningar.

Det är värt att hålla taket ärligt. Som den juridiska analytikern Kenneth Propp noterar har EU tidigare prövat suveränitetsinstrument, från en blockeringsstadga till Data Act, med begränsad praktisk verkan, och själva CADA:s existens läses mer som ett symptom på lågt transatlantiskt förtroende än som ett botemedel. Lagen stänger inte av de amerikanska molnen i år. Den hänger ett daterat, betygsatt pris på beroendet, och de ägare som kartlägger det priset nu blir inte de som springer 2028.