Kategorie: IT-Strategie / Compliance

1. The „Tech-Sovereignty“ Package: Targeting Critical Infrastructure

European policymakers are determined to curb the continent’s heavy reliance on US tech giants, who currently command roughly 70% of the EU cloud market. Through billions in infrastructure investments, Brussels is attempting to triple domestic data center capacity over the next decade.

However, the core restrictions introduced by CADA will primarily impact the public sector, healthcare, judicial systems, and core critical government infrastructure. By utilizing a mandatory Sovereignty Score, European public entities will be systematically pushed toward native European cloud alternatives over the medium term. The state is effectively positioning itself as the anchor tenant for domestic infrastructure.

2. The Private Sector: No Ban, but the End of the „Carefree Era“

For commercial enterprises—including the highly regulated banking and insurance sectors operating under the Digital Operational Resilience Act (DORA)—US cloud platforms remain accessible. A full ban would immediately paralyze European digital commerce, given the current lack of scalable European alternatives.

Supply Chain Security: Under both NIS2 and DORA, companies must guarantee the cybersecurity of their entire vendor network. Unencrypted US cloud environments are increasingly flagged as persistent operational risks due to the extraterritorial reach of the US CLOUD Act, which allows US authorities to request data even if the servers are located in Frankfurt or Vienna.

3. The Countermeasure: „Sovereign Clouds“

Recognizing the regulatory headwinds, US hyperscalers are rapidly deploying European „Sovereign Cloud“ models. Operated via independent European subsidiaries or tech partners (such as Orange in France or SAP in Germany), these frameworks ensure that operational personnel, data residency, and cryptographic keys remain entirely within the EU. This architecture is specifically designed to legally circumvent the US CLOUD Act.

Strategic Outlook for Executives

A panic-driven migration away from cloud technology is unnecessary. Instead, modern enterprises must transition toward a Sovereign Hybrid Architecture.

The path forward requires strict data classification: non-sensitive workloads can remain in standard public clouds, while high-value client data and core operations must be safeguarded using advanced encryption (such as Hold Your Own Key models) or migrated to dedicated European sovereign cloud instances. The era of unchecked, unencrypted data storage in global clouds has officially come to an end.

In den Führungsetagen europäischer Unternehmen herrscht spürbare Nervosität. Mit dem jüngst von der EU-Kommission auf den Weg gebrachten „Cloud and AI Development Act“ (CADA) und der heißen Phase der NIS2-Umsetzung im Herbst stellen sich IT-Verantwortliche quer durch alle Branchen eine kritische Frage: Stehen wir mittelfristig vor dem erzwungenen Abschied von Microsoft Azure, AWS und Google Cloud?

Die klare Antwort vorweg: Ein pauschales Verbot für die Privatwirtschaft zeichnet sich keineswegs ab. Die regulatorische Realität ist jedoch deutlich differenzierter und erzwingt ab sofort eine scharfe Zweiteilung der IT-Infrastruktur-Strategie.

1. Das „Tech-Sovereignty-Paket“: Wo der Wind wirklich herweht

Die Europäische Union verfolgt mit ihren aktuellen Initiativen zur Technologiesouveränität ein klares Ziel: Die massive Abhängigkeit von US-Hyperscalern – die derzeit rund 70 % des europäischen Marktes kontrollieren – soll systematisch reduziert werden.

Die regulatorische Daumenschraube zieht jedoch primär dort an, wo es um den Staat und vitale Funktionen geht. Der neue CADA sieht ein strenges, vierstufiges Bewertungssystem (den sogenannten Sovereignty Score) vor. Für den öffentlichen Sektor, das Gesundheitswesen, die Justiz und hochkritische staatliche Kerninfrastrukturen wird ein Umstieg auf rein europäische Betreiber mittelfristig unumgänglich werden. Der Staat agiert hier künftig als „Ankermieter“ für europäische Cloud-Alternativen.

2. Die Privatwirtschaft: Kein Verbot, aber das Ende der „Sorglos-Ära“

Für die kommerzielle Wirtschaft, inklusive des stark regulierten Finanz- und Versicherungswesens (das ohnehin unter der strengen DORA-Verordnung agiert), gibt es kein Nutzungsverbot. Ein solcher Schritt würde die europäische Wirtschaft digital handlungsunfähig machen, da adäquate europäische Alternativen in dieser Skalierung fehlen.

Der indirekte Druck über die Lieferkette (Supply Chain Security): Unter NIS2 und DORA müssen Unternehmen die Cybersicherheit ihrer gesamten Dienstleister lückenlos nachweisen. Ein unverschlüsselter US-Cloud-Dienst mutiert im IT-Audit schnell zum Dauerrisiko, da der US CLOUD Act amerikanischen Behörden theoretisch Zugriff gewährt – selbst wenn die Server in Frankfurt oder Wien stehen.

3. Die Antwort der Hyperscaler: „Sovereign Clouds“

Die großen US-Anbieter reagieren strategisch agil. Sie rollen mit Hochdruck dedizierte europäische „Sovereign Cloud“-Zweige aus. Über eigenständige europäische Partnerunternehmen (wie Orange in Frankreich oder SAP in Deutschland) und eine strikte, lokale Schlüsselverwaltung (Hold Your Own Key) versuchen sie, den US CLOUD Act rechtlich auszuhebeln. Das Betriebspersonal, die Datenresidenz und die Hoheit über die Verschlüsselung bleiben damit komplett in der EU.

Fazit für Entscheider

Ein überstürzter Cloud-Ausstieg ist für Unternehmen nicht notwendig. Notwendig ist hingegen der Übergang zu einer souveränen Hybrid-Architektur. Unternehmen müssen ihre Datenströme klassifizieren: Unkritische Prozesse verbleiben in der globalen Cloud; sensible Kundendaten und Kernprozesse hingegen müssen auf europäische Sovereign-Zweige migriert oder so verschlüsselt werden, dass der US-Anbieter selbst keinen Zugriff mehr darauf hat. Die Ära des blinden Vertrauens in die Standard-Cloud ist vorbei.