Am 3. Juni hat die Europäische Kommission das „Technological Sovereignty Package“ veröffentlicht – ein Maßnahmenpaket zur Stärkung der europäischen Kapazitäten in den Bereichen Halbleiter (Chips Act 2), künstliche Intelligenz (KI), Cloud und Open Source.
Ein zentraler Bestandteil des Packages ist der Cloud and AI Development Act (CADA), welcher darauf abzielt, das Cloud- und KI-Ökosystem sowie Investitionen und Infrastruktur der EU zu stärken. Die Kommission plant, die europäischen Cloud- und Rechenzentrumskapazitäten auszubauen, um den Einsatz und die Verbreitung von KI zu fördern. Damit ergänzt der CADA die Initiative zu KI-Fabriken und KI-Gigafabriken. Ein Ziel der Kommission ist dabei, sensible europäische Daten künftig in der EU zu speichern und zu verarbeiten.
Der CADA ist auf drei Säulen aufgebaut. Derzeit handelt es sich allerdings noch um einen Entwurf der Kommission – der finale Text kann sich im weiteren Gesetzgebungsprozess noch ändern.
1.) Forschung, Entwicklung und Innovation
- Es werden sogenannte Cloud- und KI-Führungsinitiativen geschaffen, um Forschungs- und Innovationsaktivitäten zu fördern.
- Die Initiativen verfolgen acht operative Ziele: energieeffiziente Rechenzentren; Cloud-Computing Stacks; Frontier-KI; physische KI; industrielle KI; KI-Agenten; KI im öffentlichen Sektor; regionale Verbreitung.
- Jeder Mitgliedstaat richtet KI-Erfahrungs- und Beschleunigungszentren ein, um die digitale Transformation und die Einführung von KI zu fördern – insbesondere für KMU und öffentliche Einrichtungen.
- Die Mitgliedstaaten sind zudem verpflichtet, nationale Cloud- und KI-Strategien zu verabschieden, diese der Kommission zu melden und regelmäßig zu überprüfen. Die Strategien müssen Ziele, Umsetzungsmaßnahmen und Beschaffungspläne umfassen.
2.) Kapazitäten von Rechenzentren
- Stellt ein Mitgliedstaat Rechenzentrumskapazitäten bereit, muss er – unter Berücksichtigung von Faktoren wie Energieversorgung, Konnektivität, Nachhaltigkeit und geografischer Verteilung – mindestens eine geeignete Zone auf seinem Hoheitsgebiet festlegen, in der Ausbau von Rechenzentren beschleunigt erfolgen kann.
- Rechenzentrumsprojekte, die in beschleunigtem Ausbau realisiert werden, gelten als strategische Projekte und haben Anspruch auf ein beschleunigtes Genehmigungsverfahren, das höchstens 12 Monate dauert.
- Die Europäische Kommission kann auch einzelne Projekte als strategisch einstufen, sofern diese bestimmte Kriterien erfüllen.
3.) Autonomie
- Die EU führt ein vierstufiges Rahmenwerk der Union zur Souveränität im Bereich Cloud Computing ein – sogenannte „Assurance Levels“. Cloud-Anbieter müssen diese Anforderungen erfüllen, um Dienstleistungen für öffentliche Stellen der EU und Einrichtungen der Union erbringen zu dürfen.
- Ein Cloud-Anbieter, der eine Anerkennung auf Unionsebene anstrebt, muss bei der zuständigen nationalen Behörde seines Niederlassungssitzes einen Antrag auf Anerkennung stellen.
- Für Assurance Level 1 muss der Cloud-Anbieter eine Selbstbewertung der Konformität durchführen.
- Für Assurance Levels 2, 3, und 4 muss sich der Cloud-Anbieter einer unabhängigen Prüfung durch eine dritte Stelle unterziehen.
- Die Mitgliedstaaten und die Einrichtungen der Union sind verpflichtet, alle zwei Jahre Risikobewertungen durchzuführen, um festzustellen, welche Tätigkeiten des öffentlichen Sektors Cloud-Dienste auf einem bestimmten Assurance Level (2, 3, oder 4) erfordern.
- Bei der Risikobewertung wird die Aufrechterhaltung der öffentlichen Ordnung in den unter Anhang I oder II der NIS2 fallenden Sektoren sowie in den Bereichen nationale Sicherheit, innere Sicherheit, Verwaltung der Außengrenzen, Verteidigung, Justiz oder Strafverfolgung berücksichtigt, einschließlich der Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten.
- Auftraggeber sind verpflichtet, ausschließlich Cloud-Dienste zu beschaffen, die einen angemessenen Assurance Level aufweisen, wobei begrenzt Ausnahmen gelten, z.B. wenn kein konformer Dienst verfügbar ist oder die Kosten unverhältnismäßig hoch wären.
- Die in NIS2 Anhang 1 genannten Einrichtungen werden dazu angehalten, eine ähnliche Risikobewertung durchzuführen; die Kommission kann solche Bewertungen in bestimmten begründeten Fällen vorschreiben.
- Die Kommission wird zudem befugt sein, als zentrale Beschaffungsstelle zu fungieren, um im Namen von Einrichtungen der Union und öffentlichen Auftraggebern der Mitgliedstaaten Dienstleistungen im Bereich Rechenzentren, Cloud, Software und KI-Systeme zu beschaffen.
- Die EU und die Mitgliedstaaten sollen öffentliche Stellen dazu anhalten, beim Aufbau ihrer Cloud- und KI-Infrastruktur offenen Standards und Open-Source-Komponenten Vorrang einzuräumen.
Nächste Schritte
Das Europäische Parlament und der Rat erarbeiten nun ihre jeweiligen Positionen zum Vorschlag der Kommission, um anschließend einen gemeinsamen Kompromisstext auszuhandeln.
