ЕС вводит новые стандарты для облаков

Система оценки направлена, в первую очередь, против доминирования на Европейском рынке американских гиперскейлеров. Дело в том, что в ЕС и ранее существовали различные правила, которые должны были обеспечить «суверенность» сервисов, но их оказалось недостаточно. Но, американские гиперскейлеры сумели повернут дело в свою пользу, создав в Европе условно автономные структуры и предлагая сервисы, которые обещают локальное хранение данных и полное соответствие требованиям ЕС.

Европейский ответ на американский Cloud Act

Возникает парадокс: многие критерии — от технологической зрелости до масштабируемости — крупным игрокам из США выполнить проще, чем относительно небольшим провайдерам из ЕС. Притом, что правила создавались ради поддержки именно европейских компаний. Теперь же Европейская комиссия предложила механизм, направленный на то, чтобы в условиях равной технологической базы победил тот, кто сможет доказать реальную свободу от внешнего влияния.

Новая концепция, получившая название Cloud Sovereignty Framework (CSF) вписывается в общую цифровую стратегию ЕС, которая включает GDPR, инициативу Gaia-X и будущий Cloud and AI Development Act. Если Gaia-X была попыткой создать федеративную инфраструктуру данных, то CSF делает упор на чёткие, измеримые критерии, подходящие для государственных закупок — с фокусом на суверенном контроле. Концепция появилась как раз накануне новой крупной госзакупки в рамках которой европейские госструктуры планируют приобрести облачных услуг на €180 млн евро.

CSF уже работает, его можно применять в тендерах. Госструктуры и коммерческие компании получают, таким образом, универсальный набор критериев для собственных облачных стратегий. Контроль соответствия операторов планируется обеспечивать путем регулярных аудитов от аккредитованных организаций, хотя детали данного механизма пока находятся в разработке.

Открытым также остаётся вопрос о том, как новый подход будет сочетаться с существующей европейской системой сертификацией облаков в рамках Cybersecurity Act. Возможна ли унификация? Готов ли рынок к нескольким параллельным системам оценки? Пока ясности нет. Но одно можно сказать точно: объём обязательной документации для провайдеров вырастет. Чтобы позиционироваться как «суверенный» поставщик, компании должны будут предъявить доказательства по каждому из восьми основных критериев CSF.

Оценить «суверенность»

Документ впервые переводит уровень облачного суверенитета в метрики — от стратегических и правовых до операционных и технологических. Центральный элемент — восемь «целей суверенности», каждая из которых оценивается через SEAL (Sovereign European Assurance Level). Это рейтинг, который определяет, насколько провайдер соответствует стандартам ЕС и способен работать в условиях регулируемой европейской среды.

Среди ключевых параметров — контроль над местоположением данных, устойчивость к экстерриториальному применению иностранного законодательства, прозрачность цепочек поставок и технологическая независимость в критических компонентах. Особенно важным становится вопрос защиты от доступа со стороны органов третьих стран — прямой ответ ЕС на американский Cloud Act и аналогичные нормативы.

Механизм SEAL использует несколько уровней оценки, которые детализируют степень суверенности и операционной независимости облачного провайдера. Поставщик обязан предоставить убедительные доказательства соответствия — начиная с описания корпоративной структуры и географии обработки данных и заканчивая анализом используемых технологий и возможными юридическими рисками, связанными с влиянием третьих стран.

Система охватывает как «железо», так и процессы. Проверяется, например, где хранятся ключи шифрования, откуда поступают процессоры, GPU, компоненты хранения, сетевые компоненты и насколько прозрачен весь производственный цикл. Особое внимание — дочерним компаниям и структурам владения: кому они подчиняются, кто имеет полномочия принимать юридически значимые решения, под какие регуляции подпадают и т.д.

Логика проста: без прозрачной цепочки поставок и без управленческой независимости невозможно построить облако, которое действительно соответствует европейским требованиям к суверенности и новый CFS направлен на то, чтобы обеспечить в этом вопросе полное понимание и прозрачность.