Organizațiile europene de apărare care se bazează pe hyperscalerele cloud SUA — Amazon Web Services, Microsoft Azure, Google Cloud Platform — se confruntă cu un risc de suveranitate care a fost în mare parte teoretic până recent: capacitatea guvernului SUA de a obliga acei furnizori să divulge date stocate de guverne și armate străine sau de a restricționa accesul la servicii conform regimurilor de control al exporturilor SUA sau sancțiunilor.

Legea CLOUD (Clarifying Lawful Overseas Use of Data Act, 2018) permite forțelor de ordine federale SUA să oblige furnizorii cloud cu sediu în SUA să producă date stocate oriunde în lume, indiferent de legile locale de protecție a datelor. Pentru datele de apărare europene — chiar și datele operaționale neclasificate — aceasta creează o cale juridică pentru accesul guvernului SUA incompatibilă cu cerințele de suveranitate a datelor. Riscul nu este teoretic: sistemele judiciare UE au pus în mod repetat sub semnul întrebării baza juridică pentru transferurile de date UE-SUA tocmai din cauza expunerii la Legea CLOUD.

Problema SuveranitДѓИ›ii pentru ApДѓrarea EuropeanДѓ

Preocuparea de suveranitate pentru organizaИ›iile europene de apДѓrare care opereazДѓ pe infrastructura hyperscaler SUA are trei dimensiuni: divulgarea obligatorie (Legea CLOUD И™i instrumente juridice similare permit accesul guvernului SUA la date), restricИ›iile unilaterale de servicii (regimurile de sancИ›iuni sau deciziile politice ar putea determina furnizorii SUA sДѓ restricИ›ioneze sau sДѓ termine serviciile pentru entitДѓИ›i europene specifice) И™i dependenИ›a tehnologicДѓ (integrarea tehnicДѓ profundДѓ cu serviciile cloud proprietare SUA creeazДѓ costuri de schimbare И™i dependenИ›e strategice care sunt geopolitic problematice pentru organizaИ›iile de apДѓrare).

Prima dimensiune este juridică și permanentă — este inerentă în structura corporativă SUA a furnizorilor hyperscaler și nu poate fi atenuată numai prin clauze contractuale de rezidență a datelor. A doua dimensiune este în prezent ipotetică pentru aliații europeni, dar mediul geopolitic s-a schimbat suficient încât organizațiile de apărare responsabile pentru decizii de infrastructură de lungă durată trebuie să ia în considerare scenarii în care relațiile politice SUA-UE se deteriorează. A treia dimensiune este gestionabilă prin alegeri arhitecturale deliberate, dar necesită disciplină de la bun început.

Peisajul Cloud Suveran UE

OVHcloud cu certificarea SecNumCloud este principalul furnizor cloud francez cu cea mai Г®naltДѓ certificare de securitate cloud a ANSSI (SecNumCloud, qualifiГ© niveau Г©levГ©). SecNumCloud impune ca furnizorul sДѓ fie controlat de entitДѓИ›i UE, ca procesarea datelor sДѓ rДѓmГўnДѓ sub jurisdicИ›ie juridicДѓ europeanДѓ И™i ca infrastructura И™i operaИ›iunile furnizorului sДѓ fie auditabile de autoritДѓИ›ile franceze/UE. OVHcloud opereazДѓ centre de date Г®n Г®ntreaga EuropДѓ И™i oferДѓ servicii IaaS, PaaS И™i Kubernetes gestionat. Certificarea sa SecNumCloud o face cea mai credibilДѓ opИ›iune suveranДѓ UE pentru sarcinile de lucru franceze de apДѓrare И™i guvernamentale И™i din ce Г®n ce mai mult pentru programele de apДѓrare la nivel UE care prioritizeazДѓ suveranitatea.

DELOS Cloud (parteneriat T-Systems/Deutsche Telekom cu Microsoft) este o ofertă cloud de suveranitate germană care rulează servicii Azure pe infrastructură deținută și operată de T-Systems (o subsidiară Deutsche Telekom) sub legea germană, cu un aranjament de mandatar tehnic conceput pentru a preveni accesul Legii CLOUD al guvernului SUA. Modelul DELOS permite accesul la portofoliul de servicii cloud Microsoft — inclusiv Entra ID, Azure Kubernetes Service și Azure Monitor — abordând preocuparea de suveranitate a datelor prin structura mandatarului.

Hetzner И™i IONOS sunt furnizori cloud germani care oferДѓ IaaS simplu sub jurisdicИ›ie UE fДѓrДѓ structuri corporative-mamДѓ SUA. Le lipsesc amploarea serviciilor gestionate ale hyperscalerelor majore И™i nu au profunzimea certificДѓrilor de securitate ale OVHcloud SecNumCloud sau DELOS, dar pentru sarcinile de lucru din apДѓrare cu cerinИ›e modeste de servicii cloud И™i constrГўngeri puternice de suveranitate, oferДѓ o posturДѓ juridicДѓ clarДѓ. Ambele deИ›in certificarea ISO 27001 И™i urmДѓresc scheme suplimentare de certificare UE.

GAIA-X: Ce LivreazДѓ de Fapt

GAIA-X, lansat Г®n 2019 ca iniИ›iativДѓ franco-germanДѓ И™i extins la un efort UE mai larg, urmДѓreИ™te sДѓ creeze un ecosistem de infrastructurДѓ cloud europeanДѓ federatДѓ И™i interoperabilДѓ. Este important sДѓ fim preciИ™i cu privire la ce este И™i ce nu este GAIA-X.

GAIA-X nu este un furnizor cloud — nu operează infrastructură de calcul. Este un cadru de guvernanță și standarde: un set de specificații pentru modul în care furnizorii cloud și serviciile de date pot înregistra ofertele, certifica conformitatea cu cerințele de guvernanță a datelor și participa la o piață federată. Trust Framework GAIA-X definește cerințele de suveranitate a datelor, portabilitate, transparență și interoperabilitate pe care furnizorii trebuie să le îndeplinească pentru a afișa etichete de conformitate GAIA-X.

Pentru achizițiile de apărare, conformitatea GAIA-X este un indicator — nu o garanție — al posturii de suveranitate aliniate UE. Un furnizor care a atins conformitatea GAIA-X s-a supus unui cadru de guvernanță definit, dar conformitatea GAIA-X nu înlocuiește certificările de securitate naționale precum SecNumCloud sau BSI C5. Organizațiile de apărare ar trebui să trateze statutul GAIA-X ca un punct de date într-o evaluare mai largă a furnizorilor, nu ca un criteriu de calificare suficient în sine.

EUCS: Schema EuropeanДѓ de Certificare a SecuritДѓИ›ii Cibernetice pentru Cloud

Schema EuropeanДѓ de Certificare a SecuritДѓИ›ii Cibernetice pentru Servicii Cloud (EUCS) este elaboratДѓ de ENISA (AgenИ›ia Uniunii Europene pentru Securitate CiberneticДѓ) Г®n temeiul Legii UE privind Securitatea CiberneticДѓ. EUCS va crea o schemДѓ de certificare a securitДѓИ›ii cloud armonizatДѓ Г®n statele membre UE, Г®nlocuind actuala patchwork-ul de certificДѓri naИ›ionale (SecNumCloud al FranИ›ei, C5 al Germaniei etc.).

EUCS defineИ™te trei niveluri de asigurare: Basic, Substantial И™i High. Nivelul de asigurare High este cel relevant pentru sarcinile de lucru din apДѓrare: necesitДѓ control juridic UE al furnizorului, procesare a datelor restricИ›ionatДѓ la UE, mДѓsuri tehnice И™i organizatorice care Г®mpiedicДѓ accesul non-UE la date И™i audit de un organism de evaluare a conformitДѓИ›ii acreditat de un organism naИ›ional de acreditare al unui stat membru UE.

EUCS High este Г®ncДѓ Г®n curs de finalizare Г®n 2026, cu dezbateri politice Г®n desfДѓИ™urare cu privire la dacДѓ hyperscalerele SUA cu subsidiare bazate Г®n UE ar trebui sДѓ fie eligibile pentru nivelul de asigurare High. Pentru organizaИ›iile europene de apДѓrare, ghidajul practic este: favorizaИ›i furnizorii care deИ›in Г®n prezent certificДѓri naИ›ionale de asigurare High (SecNumCloud qualifiГ© Г©levГ©, BSI C5 cu atestare de suveranitate) И™i vor fi bine pozicionaИ›i pentru certificarea EUCS High cГўnd va fi finalizatДѓ.

Criterii de SelecИ›ie pentru ApДѓrarea UE

Selectarea unui furnizor cloud pentru sarcinile de lucru din apДѓrarea UE necesitДѓ evaluare pe cinci criterii: jurisdicИ›ie (furnizorul trebuie sДѓ fie controlat de entitДѓИ›i UE fДѓrДѓ o cale juridicДѓ eficace de acces al unui guvern strДѓin); rezidenИ›a datelor (datele trebuie sДѓ rДѓmГўnДѓ pe teritoriul UE, executabil contractual И™i tehnic); controlul cheilor de criptare (organizaИ›ia de apДѓrare trebuie sДѓ deИ›inДѓ controlul exclusiv al cheilor de criptare, Г®mpiedicГўnd accesul furnizorului la conИ›inutul datelor chiar dacДѓ este obligat); drepturile de audit (organizaИ›ia de apДѓrare trebuie sДѓ poatДѓ audita infrastructura, operaИ›iunile И™i jurnalele de acces ale furnizorului independent sau printr-un terИ› acreditat); И™i certificarea de securitate (furnizorul trebuie sДѓ deИ›inДѓ o certificare naИ›ionalДѓ sau UE relevantДѓ la un nivel adecvat de asigurare pentru clasificarea sarcinii de lucru).

Controlul cheilor de criptare este deosebit de important și adesea subspecificat în achiziții. Un furnizor care stochează date criptate cu chei pe care furnizorul le controlează nu oferă nicio protecție semnificativă împotriva divulgării obligatorii — decriptarea datelor este banală pentru furnizor sub obligație juridică. Organizația de apărare trebuie să opereze propriul HSM (Modul de Securitate Hardware) sau să folosească un serviciu de chei gestionate de client în care furnizorul nu poate accesa cheile în mod demonstrabil și trebuie să verifice prin revizuire tehnică și juridică că această arhitectură este de fapt aplicată end-to-end.

Informație cheie: Piața cloud suveran UE se maturizează, dar rămâne semnificativ în urmă față de hyperscalerele SUA în ceea ce privește amploarea serviciilor, performanța și ecosistemul de servicii gestionate. Organizațiile europene de apărare care aleg furnizori suverani UE din motive de suveranitate vor face față unor costuri operaționale mai mari și disponibilitate redusă a serviciilor pentru unele tipuri de sarcini de lucru. Acesta este un compromis deliberat și justificat — dar trebuie recunoscut explicit în planificarea și bugetarea programelor, nu descoperit ca o surpriză în timpul desfășurării.