Ο στόχος της Ευρωπαϊκής Επιτροπής για τριπλασιασμό της αγοράς κέντρων δεδομένων της ΕΕ σε πέντε έως επτά χρόνια δεν είναι εφικτός χωρίς βαθιά παρέμβαση στην αγορά, και ο CADA ακριβώς αυτό κάνει.
Η Ευρωπαϊκή Επιτροπή παρουσίασε πρόσφατα την πρότασή της για τον Νόμο για την Ανάπτυξη του Cloud και της Τεχνητής Νοημοσύνης (CADA), που αποσκοπεί στην ενίσχυση της ευρωπαϊκής βιομηχανίας cloud και ΤΝ μέσα από την αναδιαμόρφωση των υποδομών, της ευρωπαϊκής αγοράς cloud και του τρόπου λειτουργίας των δημόσιων φορέων στο μέλλον.
ΔΙΑΦΉΜΙΣΗ
ΔΙΑΦΉΜΙΣΗ
Η CADA στηρίζεται σε τρεις βασικούς πυλώνες: επενδύσεις στην έρευνα, την ανάπτυξη και την καινοτομία, ενίσχυση των δυνατοτήτων – με στόχο τον τριπλασιασμό της ευρωπαϊκής αγοράς κέντρων δεδομένων μέσα στα επόμενα πέντε έως επτά χρόνια – και ένα ολοκληρωμένο πλαίσιο αυτονομίας, που προβλέπει τέσσερα επίπεδα κυριαρχίας και ασφάλειας και νέες υποχρεώσεις για τα κράτη μέλη της ΕΕ.
Η CADA συναντά ανάμεικτες αντιδράσεις
Μέχρι στιγμής, η πρόταση έχει προκαλέσει ανάμεικτες αντιδράσεις. Κλαδικοί φορείς όπως η CCIA Europe την έχουν χαρακτηρίσει μέτρο που εισάγει διακρίσεις, καθώς η CADA θα υποχρέωνε τα κράτη μέλη να αξιολογούν ποιες χρήσεις απαιτούν συγκεκριμένα επίπεδα κυριαρχίας, τα οποία οι προμηθευτές εκτός ΕΕ «δεν θα μπορούσαν εκ προοιμίου να καλύψουν».
Ο Πολωνός νομικός τεχνολογίας Μικόλαϊ Μπαρτσεντσιέβιτς έχει επισημάνει στο παρελθόν ότι η CADA θα πρέπει να βασίζεται στην αξιολόγηση κινδύνου και όχι σε κατηγοριοποιήσεις, ώστε να διατηρείται η μεμονωμένη προσέγγιση των κρατών μελών και η αρχή της επικουρικότητας, αντί να γενικεύονται οι ρυθμίσεις.
Ο Σουηδός ευρωβουλευτής Γέργκεν Βάρμπορν δημοσίευσε πρόσφατα στο LinkedIn τις απόψεις του για την πρόταση CADA, υποστηρίζοντας ότι τους στόχους της ευρωπαϊκής ψηφιακής κυριαρχίας πρέπει να συνοδεύσουν περαιτέρω απλοποίηση και καλύτερες συνθήκες για τις επιχειρήσεις, με ενισχυμένη «προοπτική απόδοσης των επενδύσεων».
Πρόσθεσε ακόμη ότι, ενώ οι στόχοι κυριαρχίας της ΕΕ πρέπει πράγματι να ενισχυθούν σε εθνικές εφαρμογές που σχετίζονται με την εθνική ασφάλεια, οι λιγότερο ευαίσθητοι τομείς θα πρέπει να παραμείνουν ανοικτοί σε άμεσες ξένες επενδύσεις, καθώς «η συντριπτική πλειονότητα του παγκόσμιου πλούτου βρίσκεται εκτός ΕΕ» και η Ένωση θα πρέπει να επιδιώκει να προσελκύσει αυτές τις επενδύσεις, όχι το αντίστροφο.
Η Φινλανδή ευρωβουλευτής Άουρα Σάλα, αντιθέτως, ζήτησε ακόμη πιο κεντρική προσέγγιση για τη δοκιμή αντοχής των τεχνολογικών εξαρτήσεων και την αξιολόγηση των κινδύνων σε επίπεδο κρατών μελών.
Τέλος, ορισμένοι ενδιαφερόμενοι – όπως η γερμανική εταιρεία λογισμικού Nextcloud – θεωρούν ότι η τρέχουσα πρόταση δεν είναι αρκετά φιλόδοξη και θα πρέπει να επεκταθεί και στον ιδιωτικό τομέα.
Ανώτατο όριο 12 μηνών για τις άδειες, αλλά με περισσότερες απαιτήσεις
Ο Τίτλος ΙΙΙ της CADA θεσπίζει δύο βασικούς μηχανισμούς για την ταχεία αύξηση της χωρητικότητας κέντρων δεδομένων στην ΕΕ: τις Ζώνες Επιτάχυνσης Κέντρων Δεδομένων και τα Στρατηγικά Έργα Κέντρων Δεδομένων.
Εντός έξι μηνών από την έναρξη ισχύος του κανονισμού, κάθε κράτος μέλος οφείλει να ορίσει τουλάχιστον μία ζώνη επιτάχυνσης, ενταγμένη στα τοπικά πολεοδομικά και χωροταξικά σχέδια, λαμβάνοντας υπόψη τη διαθεσιμότητα του δικτύου ηλεκτροδότησης, τη χωρητικότητα των τηλεπικοινωνιακών δικτύων και σαφή προτίμηση σε χώρους brownfield, δηλαδή ήδη δομημένες ή βιομηχανικά αξιοποιημένες εκτάσεις.
Είτε ένα έργο χωροθετείται μέσα σε αυτές τις προεγκεκριμένες ζώνες είτε λαμβάνει μεμονωμένο χαρακτηρισμό ως στρατηγικό έργο, επωφελείται από έναν «πράσινο διάδρομο» με ανώτατο όριο διαδικασίας αδειοδότησης τους 12 μήνες.
Ωστόσο, οι απαιτήσεις συμμόρφωσης της CADA είναι ιδιαίτερα αυστηρές: οι φορείς εκμετάλλευσης υποδομών πρέπει να υιοθετήσουν εναρμονισμένους δείκτες βιωσιμότητας της ΕΕ (KPIs), ενώ οι τοπικές κατανομές πόρων θα παρακολουθούνται στενά ώστε να αποτρέπεται η κερδοσκοπική αποθεματοποίηση ή ο αντιανταγωνιστικός αποκλεισμός.
Ρεαλιστικά, αυτό αφήνει στα κράτη μέλη ένα πολύ στενό περιθώριο έξι μηνών για να θεσπίσουν ζώνες που να συμμορφώνονται, μέσα σε περίπλοκα τοπικά χωροταξικά πλαίσια, και στη συνέχεια ένα εξίσου περιορισμένο διάστημα 12 μηνών για την έκδοση των επιμέρους αδειών.
Η ίδια η κατασκευή κέντρων δεδομένων αντιμετωπίζει ήδη σοβαρά εμπόδια στον φυσικό κόσμο: μόνο λίγοι εξειδικευμένοι κατασκευαστές διαθέτουν τις απαραίτητες πιστοποιήσεις, κάθε στάδιο ανάπτυξης υπόκειται σε αυστηρούς ελέγχους και ακόμη και εγκαταστάσεις μέτριου μεγέθους συχνά χρειάζονται χρόνια για να ολοκληρωθούν.
Επιβαρύνοντας με εκτεταμένες νέες υποχρεώσεις συμμόρφωσης τόσο τα κράτη μέλη όσο και τους παρόχους υποδομών, οι ευρωπαίοι νομοθέτες διακινδυνεύουν να καταστήσουν το «ανώτατο όριο των 12 μηνών» για την αδειοδότηση έναν δευτερεύοντα, ουσιαστικά κενό στόχο μέσα σε μια δομικά περίπλοκη διαδικασία.
Σημαντικές αλλαγές στις δημόσιες προμήθειες
Ο Τίτλος IV της CADA και τα συνοδευτικά παραρτήματα σκιαγραφούν ένα άκαμπτο νέο πλαίσιο που καθορίζει με ακρίβεια ποια είδη λογισμικού και υπηρεσιών cloud μπορούν να προμηθεύονται τα κράτη μέλη της ΕΕ.
Η ζήτηση του δημόσιου τομέα θα αντιστοιχίζεται αυστηρά στα τέσσερα επίπεδα διασφάλισης που ορίζονται στο Παράρτημα ΙΙ της CADA.
Το επίπεδο 1 καλύπτει τη βασική κυριαρχία και ασφάλεια, επιτρέποντας την εταιρική ιδιοκτησία από τρίτες χώρες.
Το επίπεδο 2 αφορά ουσιαστική ψηφιακή κυριαρχία, όπου η εταιρική ιδιοκτησία από τρίτες χώρες εξακολουθεί να επιτρέπεται, υπό την προϋπόθεση ότι όλες οι λειτουργίες, οι υποδομές, το προσωπικό και η υποστήριξη παραμένουν αυστηρά εντός ΕΕ, συνοδεύονται από «ουσιαστική» πιστοποίηση κυβερνοασφάλειας και ότι τα δεδομένα των πελατών δεν μπορούν να χρησιμοποιηθούν για εκπαίδευση συστημάτων ΤΝ σε τρίτες χώρες.
Το επίπεδο 3 αντιστοιχεί σε υψηλή κυριαρχία και εθνική ασφάλεια, με τον εταιρικό έλεγχο από τρίτες χώρες να απαγορεύεται καταρχήν, με σπάνιες εξαιρέσεις που μπορεί να εγκρίνει η Ευρωπαϊκή Επιτροπή, ενώ το επίπεδο 4 αντιπροσωπεύει τη μέγιστη αυτονομία και την κρίσιμη ασφάλεια, με τον εταιρικό έλεγχο από τρίτες χώρες να αποκλείεται πλήρως.
Πώς αναμένεται να εφαρμόσουν τα κράτη μέλη της ΕΕ το νέο πλαίσιο της CADA στην πράξη; Πρώτον, με τον ορισμό μίας ή περισσότερων εθνικών αρμόδιων αρχών που θα επιβάλλουν τους κανόνες, θα ελέγχουν τους προμηθευτές και θα επεξεργάζονται τις αιτήσεις αναγνώρισης παρόχων cloud.
Εντός ενός έτους, τα κράτη μέλη οφείλουν να διενεργήσουν εκτιμήσεις κινδύνου (οι οποίες θα επαναλαμβάνονται ανά διετία) για να εντοπίσουν ποιες δραστηριότητες του δημόσιου τομέα βασίζονται σε υπηρεσίες cloud και να προσδιορίσουν το κατάλληλο επίπεδο διασφάλισης ασφάλειας.
Η τρέχουσα πρόταση για την CADA θα ανέτρεπε πλήρως τον τρόπο με τον οποίο λειτουργούν μέχρι σήμερα οι δημόσιες προμήθειες υπηρεσιών cloud.
Μέχρι σήμερα, οι δημόσιοι φορείς των κρατών μελών μπορούσαν να επιλέγουν ελεύθερα παρόχους υπηρεσιών cloud με βάση την τιμή, την ποιότητα των υπηρεσιών, τις οργανωτικές ανάγκες και την εκάστοτε εθνική, βασισμένη στην εκτίμηση κινδύνου, νομοθεσία για τη διαχείριση δεδομένων.
Εκεί όπου οι αποφάσεις δημόσιων προμηθειών καθορίζονταν κυρίως από την τιμή και τα τυπικά τεχνικά χαρακτηριστικά, τα κράτη μέλη θα πρέπει πλέον να αξιολογούν και κριτήρια πέρα από την τιμή, όπως το κατά πόσο ένας πάροχος συμβάλλει στο ευρωπαϊκό ψηφιακό οικοσύστημα.
Το άρθρο δημοσιεύτηκε αρχικά στο EU Tech Loop (πηγή στα Αγγλικά) και αναδημοσιεύεται στο Euronews στο πλαίσιο συνεργασίας.