Цель Еврокомиссии — утроить рынок дата-центров ЕС в течение пяти–семи лет — была бы недостижима без жёсткого вмешательства в рынок, и именно этим занимается CADA.
Европейская комиссия недавно представила проект закона о развитии облачных технологий и искусственного интеллекта (Cloud and AI Development Act, CADA). Его цель — поддержать европейскую индустрию облачных решений и ИИ за счёт преобразования инфраструктуры, рынка облаков в ЕС и правил работы государственных органов в будущем.
РЕКЛАМА
РЕКЛАМА
CADA опирается на три ключевых направления: инвестиции в исследования, разработки и инновации; наращивание мощностей — за счёт утроения рынка европейских дата-центров в ближайшие пять–семь лет; а также всеобъемлющую рамку цифровой автономии, предполагающую четыре уровня суверенитета и безопасности и новые обязательства для государств-членов ЕС.
CADA встретили неоднозначно
Пока что проект вызвал смешанную реакцию. Отраслевые ассоциации, такие как CCIA Europe, назвали его дискриминационным, поскольку CADA обязывает страны ЕС определять, для каких сценариев необходимы конкретные уровни цифрового суверенитета, «которые поставщики из стран вне ЕС по умолчанию не смогут обеспечить».
Польский IT-юрист Миколай Барценкевич ранее заявлял, что CADA должен быть основан на оценке рисков, а не на жёстком делении по категориям, и что индивидуальный подход государств-членов и принцип субсидиарности должны сохраняться, а не подменяться общими правилами.
Шведский депутат Европарламента Йёрген Ворборн недавно поделился своими размышлениями о проекте CADA в LinkedIn, отметив, что цели ЕС в сфере цифрового суверенитета необходимо дополнить дальнейшим упрощением регулирования и улучшением условий ведения бизнеса, обеспечив более привлекательные «перспективы окупаемости инвестиций».
Он также подчеркнул, что цели ЕС в области суверенитета действительно следует усиливать в национальных приложениях, связанных с национальной безопасностью. Однако менее чувствительные сферы, по его мнению, должны быть открыты для прямых иностранных инвестиций, поскольку «подавляющее большинство мирового богатства находится за пределами ЕС», и задача Евросоюза — привлекать эти инвестиции, а не отталкивать их.
Финский депутат Европарламента Аура Салла, напротив, выступила за ещё более централизованный подход к стресс-тестированию технологической зависимости и оценке рисков на уровне государств-членов.
Наконец, некоторые заинтересованные компании — например, немецкий разработчик программного обеспечения Nextcloud — заявили, что нынешний проект недостаточно амбициозен и его действие следует распространить и на частный сектор.
Предел в 12 месяцев на разрешения, но больше требований
Титул III CADA предусматривает два основных механизма быстрого наращивания мощностей европейских дата-центров: зоны ускоренного размещения дата-центров и стратегические проекты в области дата-центров.
В течение шести месяцев с момента вступления регламента в силу каждое государство-член ЕС должно обозначить как минимум одну такую зону, интегрировав её в местные градостроительные и районные планы с учётом доступности энергосетей, пропускной способности сетевой инфраструктуры и явного приоритета для уже застроенных промышленных территорий (brownfield).
Если объект строится в пределах заранее утверждённой зоны или получает статус отдельного стратегического проекта, он попадает в «зелёный коридор» с ограниченным максимумом продолжительности разрешительной процедуры — не более 12 месяцев.
Однако перечень требований по соблюдению норм CADA весьма суров: операторы инфраструктуры должны внедрить стандартизированные общеевропейские показатели устойчивого развития, а распределение местных ресурсов будет строго контролироваться, чтобы предотвратить спекулятивное «захватывание» мощностей или антиконкурентную блокировку.
Фактически это оставляет государствам-членам очень узкий шестимесячный коридор для создания зон, соответствующих новым требованиям, в рамках сложных местных градостроительных процедур, а затем столь же сжатый 12-месячный срок для выдачи конкретных разрешений на строительство.
Реальное строительство дата-центров уже сегодня сильно ограничено физическими факторами: лишь небольшое число специализированных подрядчиков обладает необходимыми сертификатами, каждый этап реализации сопровождается жёсткими аудитами, а возведение даже относительно небольших объектов иногда занимает годы.
Добавляя столь широкий комплекс новых обязательств как для государств-членов, так и для операторов инфраструктуры, европейские законодатели рискуют свести провозглашённый «максимальный срок в 12 месяцев» к второстепенной, мало что меняющей отметке в изначально сложном процессе.
Кардинальные изменения в сфере госзакупок
Титул IV CADA и прилагаемые приложения описывают жёсткую новую рамку, которая детализирует, какие именно виды программного обеспечения и облачных услуг государства-члены ЕС смогут закупать.
Спрос со стороны государственного сектора будет строго соотнесён с четырьмя уровнями гарантий, определёнными в Приложении II к CADA.
Уровень 1 охватывает базовый уровень суверенитета и безопасности и допускает владение поставщиком из третьих стран.
Уровень 2 относится к существенному цифровому суверенитету: собственник может находиться в третьей стране, но все операции, инфраструктура, персонал и поддержка должны оставаться строго в пределах ЕС, быть обеспечены «существенной» сертификацией в области кибербезопасности, а данные клиентов не могут использоваться для обучения систем ИИ за пределами ЕС.
Уровень 3 предусматривает высокий уровень суверенитета и национальной безопасности: корпоративный контроль со стороны третьих стран по умолчанию запрещён и может быть разрешён лишь в исключительных случаях, одобренных Европейской комиссией. Уровень 4 означает максимальную автономию и критическую безопасность, где контроль со стороны компаний из третьих стран полностью исключён.
Как государствам-членам ЕС предстоит воплощать новую рамку CADA на практике? Прежде всего, назначить один или несколько национальных компетентных органов, которые будут обеспечивать соблюдение правил, проводить проверки поставщиков и рассматривать заявки на признание облачных провайдеров.
В течение года страны ЕС должны провести оценку рисков (с повторением каждые два года), чтобы определить, какие виды деятельности государственного сектора зависят от облачных сервисов, и установить соответствующий уровень гарантий безопасности.
Действующий проект CADA полностью меняет привычный порядок госзакупок облачных услуг.
Ранее структуры государственного сектора в странах ЕС могли свободно выбирать поставщиков облаков исходя из цены, качества сервиса, внутренних потребностей организаций и национальных норм о риск-ориентированном управлении данными.
Если прежде при выборе победителей в тендерах решающую роль играли цена и стандартные технические характеристики, то теперь государствам-членам придётся учитывать и нефинансовые критерии, например, степень вклада поставщика в развитие европейской цифровой экосистемы.
Эта статья впервые была опубликована на EU Tech Loop (источник на английском языке) и перепубликована на Euronews в рамках соглашения.