Vad utkastet faktiskt föreslår

Den 3 juni 2026 antog Europeiska kommissionen ett förslag till Cloud and AI Development Act, känt som CADA. Det är ett förslag, inte en gällande lag. Det måste fortfarande passera förhandlingar mellan Europaparlamentet och rådet, och dess formuleringar kan ändras innan någon del av det blir bindande. Detta är alltså en signal om riktning, inte en regel du måste följa i dag. Riktningen är dock tydlig nog för att planera utifrån.

Den del som betyder mest för köpare är ett enda EU-omfattande ramverk som graderar moln- och AI-leverantörer över fyra säkerhetsnivåer. Den lägsta nivån är tänkt som golvet för att betjäna den offentliga sektorn, med snäva undantag. Högre nivåer gäller där en leverantör stödjer funktioner knutna till allmän ordning, efter en riskbedömning av medlemsstaterna och unionsorgan, över sektorer som energi, hälso- och sjukvård, transport, vatten, brottsbekämpning, gränsförvaltning, nationell säkerhet och försvar. Kort sagt, ju känsligare roll, desto högre ribba måste en leverantör klara.

Varför amerikanska hyperscalers når ett tak

De högre säkerhetsnivåerna rapporteras se bortom var datacentret ligger och in i vem som äger leverantören, vem som styr dess verksamhet och om tjänsten kan skyddas från lagstiftning utanför EU. Just det sista testet är där de stora amerikanska leverantörerna stöter på en strukturell gräns. Enligt den amerikanska CLOUD Act kan ett företag med huvudkontor i USA tvingas lämna ut data som det kontrollerar, oavsett var i världen den datan fysiskt finns. En europeisk dataregion tar inte bort den räckvidden.

Detta är inte ett påstående om att AWS, Microsoft eller Google är osäkra eller att de flesta arbetslaster påverkas. För den överväldigande majoriteten av företagsdata förblir de starka, etablerade val. Poängen är snävare och den handlar om toppen av skalan. För de mest känsliga kategorier som utkastet siktar mot kan en amerikanskt kontrollerad leverantör inte fullt ut garantera rättslig isolering, eftersom en utländsk rättsordning fortfarande kan göra anspråk på datan. Det är en fråga om jurisdiktion, inte teknik, och det är därför de exakta kriterierna per nivå i utkastets bilagor är värt att följa när texten förhandlas.

Gör beroendet till en upphandlingskontroll

I år behandlades molnsuveränitet som en abstrakt beroenderisk, lätt att notera och lätt att skjuta upp. CADA omformulerar det till något konkret: en grind vid tidpunkten för undertecknandet. Om ett kontrakt rör reglerad eller genuint känslig data blir den jurisdiktion din leverantör svarar under ett villkor i avtalet, inte en fotnot. Det skiftet belönar köpare som ställer frågan tidigt och straffar dem som upptäcker den under en revision eller en förnyelse.

Det avvägda svaret är en jurisdiktionsriskbedömning innan du undertecknar eller förnyar. Kartlägg vilka av dina data som skulle falla in i de känsliga kategorier utkastet beskriver, identifiera vem som ytterst äger och kontrollerar varje leverantör, och kontrollera vad dina kontrakt säger om utländsk rättslig åtkomst, dataplacering och exit. Där risken är verklig kan du behålla vardagliga arbetslaster där de är och styra endast den känsliga nivån till en leverantör som kan möta en högre säkerhetsnivå. Inget av detta är juridisk rådgivning, och texten kan ändras, men själva bedömningen kostar lite och positionerar dig väl oavsett hur den slutliga lagen landar.