ЄС запроваджує нові стандарти для хмар

Нова система оцінки спрямована, передусім, проти домінування на Європейському ринку американських гіперскейлерів. Річ у тім, що в ЄС і раніше існували різні правила, які мали забезпечити «суверенність» сервісів, та їх виявилося недостатньо. Проте американські гіперскейлери змогли повернути ситуацію на свою користь, створивши в Європі умовно автономні структури й пропонуючи сервіси, що обіцяють локальне зберігання даних та повну відповідність вимогам ЄС.

Європейська відповідь на американський Cloud Act

Виникає парадокс: багато критеріїв — від технологічної зрілості до масштабованості — великим гравцям зі США виконати простіше, ніж відносно невеликим провайдерам з ЄС. Попри те, що правила створювалися задля підтримки саме європейських компаній. Тепер же Європейська комісія запропонувала механізм, спрямований на те, щоб в умовах рівної технологічної бази переміг той, хто зможе довести реальну свободу від зовнішнього впливу.

Нова концепція, що отримала назву Cloud Sovereignty Framework (CSF), вписується в загальну цифрову стратегію ЄС, що включає GDPR, ініціативу Gaia-X та майбутній Cloud and AI Development Act. Якщо Gaia-X була спробою створити федеративну інфраструктуру даних, то CSF робить акцент на чітких, вимірюваних критеріях, придатних для державних закупівель — із фокусом на суверенному контролі. Концепція з’явилася якраз напередодні нової великої держзакупівлі, у межах якої європейські держструктури планують придбати хмарних послуг на €180 млн. 

CSF уже працює, його можна застосовувати в тендерах. Держструктури та комерційні компанії отримують, таким чином, універсальний набір критеріїв для власних хмарних стратегій. Контроль відповідності операторів планується забезпечувати шляхом регулярних аудитів від акредитованих організацій, хоча деталі цього механізму поки що перебувають у розробці.

Відкритим також лишається питання про те, як новий підхід буде поєднуватися з чинною європейською системою сертифікації хмар у межах Cybersecurity Act. Чи можлива уніфікація? Чи готовий ринок до кількох паралельних систем оцінки? Поки що ясності немає. Але одне можна сказати точно: обсяг обов’язкової документації для провайдерів зросте. Щоб позиціонуватися як «суверенний» постачальник, компанії мають надати докази за кожним із восьми основних критеріїв CSF.

Оцінити «суверенність»

Документ уперше переводить рівень хмарного суверенітету в метрики — від стратегічних і правових до операційних та технологічних. Центральний елемент — вісім «цілей суверенності», кожна з яких оцінюється через SEAL (Sovereign European Assurance Level). Це рейтинг, що визначає, наскільки провайдер відповідає стандартам ЄС та здатен працювати в умовах регульованого європейського середовища.

Серед ключових параметрів — контроль над розташуванням даних, стійкість до екстериторіального застосування іноземного законодавства, прозорість ланцюгів постачання та технологічна незалежність у критичних компонентах. Особливо важливим стає питання захисту від доступу з боку органів третіх країн — прямої відповіді ЄС на американський Cloud Act та аналогічні нормативи.

Механізм SEAL використовує кілька рівнів оцінки, які деталізують ступінь суверенності й операційної незалежності хмарного провайдера. Постачальник зобов’язаний надати переконливі докази відповідності — починаючи з опису корпоративної структури та географії обробки даних і закінчуючи аналізом використовуваних технологій й можливими юридичними ризиками, пов’язаними з впливом третіх країн.

Система охоплює як «залізо», так й процеси. Перевіряється, наприклад, де зберігаються ключі шифрування, звідки надходять процесори, GPU, компоненти зберігання, мережеві компоненти та наскільки прозорим є весь виробничий цикл. Особлива увага — дочірнім компаніям та структурам володіння: кому вони підпорядковуються, хто має повноваження ухвалювати юридично значущі рішення, під які регуляції підпадають тощо.

Логіка проста: без прозорого ланцюга постачання та без управлінської незалежності неможливо побудувати хмару, яка справді відповідає європейським вимогам до суверенності, й новий CSF спрямований на те, щоб забезпечити в цьому питанні повне розуміння та прозорість.