Soevereine cloud voor defensie: EU-alternatieven voor Amerikaanse hyperscalers

Europese defensieorganisaties die afhankelijk zijn van Amerikaanse cloudhyperscalers — Amazon Web Services, Microsoft Azure, Google Cloud Platform — staan voor een soevereiniteitsrisico dat tot voor kort grotendeels theoretisch was: het vermogen van de Amerikaanse overheid om die providers te dwingen gegevens openbaar te maken die zijn opgeslagen door buitenlandse overheden en militairen, of om de toegang tot diensten te beperken onder het Amerikaanse exportcontrole- of sanctieregime.

De CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) stelt Amerikaanse federale wetshandhaving in staat Amerikaanse cloudproviders te dwingen gegevens te produceren die overal ter wereld zijn opgeslagen, ongeacht lokale gegevensbeschermingswetten. Voor Europese defensiegegevens — zelfs niet-geclassificeerde operationele gegevens — creëert dit een juridisch pad voor Amerikaanse overheidstoegang dat onverenigbaar is met gegevenssoevereiniteitsvereisten. Het risico is niet theoretisch: EU-rechtssystemen hebben de juridische basis voor EU-VS-gegevensoverdrachten herhaaldelijk in twijfel getrokken, precies vanwege CLOUD Act-blootstelling.

Het soevereiniteitsprobleem voor Europese defensie

De soevereiniteitsthematiek voor Europese defensieorganisaties die op Amerikaanse hyperscalerinfrastructuur werken, heeft drie dimensies: gedwongen openbaarmaking (de CLOUD Act en vergelijkbare juridische instrumenten verlenen de Amerikaanse overheid toegang tot gegevens), eenzijdige servicebeperkingen (sanctieregimes of politieke beslissingen kunnen ertoe leiden dat Amerikaanse providers de service voor specifieke Europese entiteiten beperken of beëindigen) en technologieafhankelijkheid (diepe technische integratie met propriëtaire Amerikaanse clouddiensten creëert omschakelingskosten en strategische afhankelijkheden die geopolitiek problematisch zijn voor defensieorganisaties).

De eerste dimensie is juridisch en permanent — ze is inherent aan de Amerikaanse bedrijfsstructuur van hyperscalerproviders en kan niet worden beperkt door contractuele gegevensverblijfsclausules alleen. De tweede dimensie is momenteel hypothetisch voor Europese geallieerden, maar de geopolitieke omgeving is voldoende verschoven dat defensieorganisaties die verantwoordelijk zijn voor langlevende infrastructuurbeslissingen scenario's moeten overwegen waarbij de Amerikaans-Europese politieke betrekkingen verslechteren. De derde dimensie is beheersbaar door doelbewuste architectonische keuzes maar vereist discipline vanaf het begin.

EU soeverein cloudlandschap

OVHcloud met SecNumCloud-certificering is de toonaangevende Franse cloudprovider met de hoogste cloudbeveiligingscertificering van ANSSI (SecNumCloud, qualifié niveau élevé). SecNumCloud vereist dat de provider wordt gecontroleerd door EU-entiteiten, dat gegevensverwerking onder Europese juridische jurisdictie blijft, en dat de infrastructuur en operaties van de provider controleerbaar zijn door Franse/EU-autoriteiten. OVHcloud exploiteert datacentra in heel Europa en biedt IaaS-, PaaS- en beheerde Kubernetes-diensten. Zijn SecNumCloud-certificering maakt het de meest geloofwaardige EU-soevereine optie voor Franse defensie- en overheidsworkloads, en in toenemende mate voor EU-brede defensieprogramma's die soevereiniteit prioriteren.

DELOS Cloud (T-Systems/Deutsche Telekom-partnerschap met Microsoft) is een Duits soeverein cloudaanbod dat Azure-diensten uitvoert op infrastructuur die eigendom is van en wordt beheerd door T-Systems (een Deutsche Telekom-dochteronderneming) onder Duits recht, met een technische trusteeregeling die is ontworpen om toegang via de Amerikaanse CLOUD Act te voorkomen. Het DELOS-model biedt toegang tot de cloudserviceportfolio van Microsoft — inclusief Entra ID, Azure Kubernetes Service en Azure Monitor — terwijl het gegevenssoevereiniteitsthema wordt aangepakt via de trusteestructuur. BSI (Bundesamt für Sicherheit in der Informationstechnik) was betrokken bij de beveiligingsbeoordeling van de DELOS-architectuur.

Hetzner en IONOS zijn Duitse cloudproviders die eenvoudige EU-jurisdictie IaaS bieden zonder Amerikaanse moederbedrijfsstructuren. Ze hebben niet de breedte aan beheerde diensten van de grote hyperscalers en hebben niet de diepte aan beveiligingscertificering van OVHcloud SecNumCloud of DELOS, maar voor defensieworkloads met bescheiden clouddienstvereisten en sterke soevereiniteitsbeperkingen bieden ze een schone juridische houding. Beide bezitten ISO 27001-certificering en streven naar aanvullende EU-certificeringsregelingen.

GAIA-X: wat het werkelijk levert

GAIA-X, in 2019 gelanceerd als een Frans-Duits initiatief en uitgebreid tot een bredere EU-inspanning, heeft tot doel een gefedereerd, interoperabel Europees cloudinfrastructuurecosysteem te creëren. Het is belangrijk precies te zijn over wat GAIA-X is en niet is.

GAIA-X is geen cloudprovider — het exploiteert geen computinginfrastructuur. Het is een governance- en normenkader: een set specificaties voor hoe cloudproviders en gegevensdiensten hun aanbiedingen kunnen registreren, hun naleving van gegevensbeheersvereisten kunnen certificeren en kunnen deelnemen aan een gefedereerde marktplaats. Het GAIA-X Trust Framework definieert vereisten voor gegevenssoevereiniteit, portabiliteit, transparantie en interoperabiliteit waaraan providers moeten voldoen om GAIA-X-nalevingslabels weer te geven.

Voor defensie-inkoop is GAIA-X-naleving een indicator — geen garantie — van EU-conforme soevereiniteitshouding. Een provider die GAIA-X-naleving heeft bereikt, heeft zich onderworpen aan een gedefinieerd governance-framework, maar GAIA-X-naleving vervangt geen nationale beveiligingscertificeringen zoals SecNumCloud of BSI C5. Defensieorganisaties moeten de GAIA-X-status behandelen als één datapunt in een bredere leveranciersbeoordeling, niet als een voldoende kwalificatiecriterium op zichzelf.

EUCS: Europees cybersecuritycertificeringsschema voor cloud

Het European Cybersecurity Certification Scheme for Cloud Services (EUCS) wordt ontwikkeld door ENISA (Europees Agentschap voor Cybersecurity) onder de EU Cybersecurity Act. EUCS zal een geharmoniseerde cloudbeveiligingscertificeringsregeling creëren in de EU-lidstaten, ter vervanging van het huidige lappendeken van nationale certificeringen (SecNumCloud van Frankrijk, C5 van Duitsland, enz.).

EUCS definieert drie zekerheidssniveaus: Basis, Substantieel en Hoog. Het Hoge zekerheidsniveau is het relevante niveau voor defensieworkloads: het vereist EU-juridische controle van de provider, gegevensverwerking beperkt tot de EU, technische en organisatorische maatregelen die toegang door niet-EU-overheden voorkomen, en audit door een conformiteitsbeoordelingsorgaan geaccrediteerd door een EU-lidstaat nationale accreditatie-instantie.

EUCS High wordt per 2026 nog afgerond, met voortdurend politiek debat over of Amerikaanse hyperscalers met EU-gebaseerde dochterondernemingen in aanmerking mogen komen voor het Hoge zekerheidsniveau. Voor Europese defensieorganisaties luidt de praktische richtlijn: geef de voorkeur aan providers die momenteel nationale Hoge zekerheids-certificeringen bezitten (SecNumCloud qualifié élevé, BSI C5 met soevereiniteitsattest) en goed gepositioneerd zullen zijn voor EUCS High-certificering zodra het is afgerond.

Selectiecriteria voor EU-defensie

Het selecteren van een cloudprovider voor EU-defensieworkloads vereist evaluatie op vijf criteria: jurisdictie (de provider moet worden gecontroleerd door EU-entiteiten zonder juridisch effectief buitenlands overheidstoegangspad); gegevensverblijf (gegevens moeten binnen EU-grondgebied blijven, contractueel en technisch afdwingbaar); encryptiesleutelcontrole (de defensieorganisatie moet de exclusieve controle over encryptiesleutels behouden, waardoor toegang door de provider tot gegevensinhoud wordt voorkomen, zelfs als die gedwongen wordt); auditrechten (de defensieorganisatie moet de infrastructuur, operaties en toegangslogs van de provider kunnen controleren, onafhankelijk of via een geaccrediteerde derde partij); en beveiligingscertificering (de provider moet een relevante nationale of EU-certificering bezitten op een passend zekerheidsniveau voor de classificatie van de workload).

Encryptiesleutelcontrole is bijzonder belangrijk en wordt vaak ondergespecificeerd in inkoop. Een provider die gegevens versleuteld met sleutels die de provider beheert, opslaat, biedt geen zinvolle bescherming tegen gedwongen openbaarmaking — de gegevens ontcijferen is triviaal voor de provider onder juridische dwang. De defensieorganisatie moet zijn eigen HSM (Hardware Security Module) exploiteren of een door de klant beheerde sleuteldienst gebruiken waarbij de provider aantoonbaar geen toegang heeft tot de sleutels, en moet door technische en juridische beoordeling verifiëren dat deze architectuur daadwerkelijk end-to-end wordt afgedwongen.