Vinge Insights

Tech Sovereignty Package – Kommissionens förslag för att stärka Europas digitala oberoende och motståndskraft

Navigate The AI Landscape (1)
Inledning

Bakgrunden är att EU under senare år har uppmärksammat sårbarheter kopplade till beroenden av ett begränsat antal globala teknikaktörer, särskilt från USA och Kina. Amerikanska molnföretag står för omkring 70 procent av den europeiska molnmarknaden och amerikanska aktörer driver även en stor del av den storskaliga infrastruktur som ligger till grund härför.  Dessa beroenden har aktualiserat frågor om informationssäkerhet, leveranskedjor, exportrestriktioner, jurisdiktionell kontroll och möjligheten för tredjeländer att indirekt påverka europeiska aktörer.

Paketet innehåller två förslag till förordningar, Cloud and AI Development Act (CADA) (molntjänster) och Chips Act 2.0 (halvledare), samt The EU Open Source Strategy (Strategin för öppen källkod) och Strategic Roadmap for Digitalisation and AI in the Energy Sector (Färdplanen för digitalisering och AI inom energisektorn).

Genom CADA vill Kommissionen stärka Europas moln- och AI-kapacitet, stödja forskning och innovation, förenkla förutsättningarna för utbyggnad av datacenter och införa ett gemensamt EU-ramverk för att bedöma moln- och AI-suveränitet.  Förslaget om Chips Act 2.0 bygger vidare på EU:s befintliga halvledarpolitik och ska öka kapaciteten inom avancerad halvledarteknik, stärka försörjningstryggheten, påskynda tillståndsprocesser och skapa bättre incitament för investeringar och industriell användning av europeiska chip. The EU Open Source Strategy (Strategin för öppen källkod) ska stärka Europas öppna digitala ekosystem genom att främja utveckling, uppskalning, användning och långsiktigt underhåll av öppna teknologier. Strategic Roadmap for Digitalisation and AI in the Energy Sector (Färdplanen för digitalisering och AI inom energisektorn) kompletterar paketet och syftar till att knyta samman digital infrastruktur med energisystemets omställning.

Paketet bör också ses i ljuset av EU:s befintliga digitala regelverk och politiska initiativ, såsom Digital Decade, Affordable Energy Action Plan, AI Act, The AI Continent Action Plan, samt Mario Draghis rapport The future of European competitiveness och Konkurrenskraftskompassen. Tech Sovereignty Package betonar tydligare kapacitet, kontroll och industriell uppbyggnad, snarare än enbart reglering av digitala marknader och risker. Det bygger även vidare på Kommissionens bredare konkurrenskraftsagenda, inklusive ambitionen att bli en AI-kontinent och satsningar på AI-fabriker, AI-gigafabriker och europeisk beräkningskapacitet. Tillsammans med dessa initiativ syftar paketet till att skapa ett ramverk för att stärka Europas digitala oberoende, motståndskraft och konkurrenskraft.

Nedan sammanfattas de fyra delarna i paketet.

Cloud and AI Development Act (CADA): Regelverk för suveräna molntjänster och digital kapacitetsuppbyggnad

Kärnan i paketet är den föreslagna förordningen om moln- och AI-utveckling (CADA), som syftar till att skala upp EU-baserad moln- och AI-infrastruktur. Enligt Kommissionen utgör EU:s beroende av ett begränsat antal molntjänsteleverantörer från länder utanför EU en betydande sårbarhet för unionens kritiska digitala infrastruktur och en risk för dess digitala autonomi och motståndskraft. För att adressera dessa utmaningar kombinerar exempelvis CADA åtgärder såsom ökad datacenterkapacitet och innovationsstöd och nya ramverk för moln- och AI-suveränitet. Förordningen kommer att vara av särskild betydelse för molntjänstleverantörer, datacenteroperatörer, AI-utvecklare, offentliga beställare av sådana tjänster samt företag vars verksamhet är beroende av kritisk digital infrastruktur i Europa.

En av de viktigaste ambitionerna i förslaget är att tredubbla EU:s datacenterkapacitet inom fem till sju år, med siktet inställt på att unionen ska ha en tillräcklig kapacitet senast 2035. För att uppnå detta etablerar CADA ett ramverk kallat ”Cloud and AI Leadership Initatives”, vars syfte är att främja forskning, innovation och storskalig kapacitetsuppbyggnad inom EU:s moln- och AI-ekosystem. Detta initativ täcker ett brett spektrum av mål, inklusive (i) mer energi- och resurseffektiv datacenterteknik; (ii) större autonomi över molnstacken; (iii) utveckling av frontlinje-, fysisk och industriell AI; (iv) användning av AI inom den offentliga sektorn; (v) plattform för AI-agenter; och (vi) samarbetsinriktade europeiska industrimodeller. Medlemsstaterna ska också vara skyldiga att anta nationella moln- och AI-strategier som är i linje med dessa mål.

Utöver målet att öka datacenterkapaciteten inför förslaget ett EU-ramverk för molnsuveränitet som är byggt kring fyra så kallade "säkringsnivåer" (”Union assurance levels”). Molntjänstleverantörer måste uppfylla dessa säkerhetsnivåer för att kunna leverera tjänster till offentliga aktörer. Kraven skärps progressivt från nivå 1 till nivå 4 och nivåerna bestäms utifrån kriterier såsom kontroll över tjänsten, kontroll över leveranskedjan, hur data behandlas, var infrastrukturen är lokaliserad samt cybersäkerhet. Leverantörer som söker erkännande på nivå 1 genomför en självstyrd överensstämmelsebedömning, medan nivåerna 2-4 kräver oberoende tredjepartsgranskning. Upphandlande myndigheter vars verksamhet bedömts ha betydelse för den allmänna ordningen, inom sektorer som energi, hälsa, försvar och rättsväsende, blir skyldiga att upphandla enbart tjänster som uppnått minst nivå 2. Såväl medlemsstater som EU-institutioner åläggs att genomföra individuella riskbedömningar av suveränitet för att avgöra vilken säkerhetsnivå som är lämplig för olika användningsfall inom den offentliga sektorn.

Förslaget ger därmed utrymme för nationella variationer i tillämpningen av EU:s ramverk för molnsuveränitet, snarare än att föreskriva en fullt harmoniserad strategi. Enligt utkastet tilldelas Kommissionen befogenhet att anta genomförandeakter med krav på att privata företag i sektorer som omfattas av EU:s övergripande cybersäkerhetslagstiftning, det reviderade direktivet om nätverks- och informationssystem (NIS2), utför liknande bedömningar. 

Chips Act 2.0: En uppdaterad EU-strategi för ekosystemet för halvledare

Halvledare är en vital komponent inom den digitala utvecklingen som återfinns i allt från wearables och bilar till utrustning inom militären och sjukvården. Genom den allt snabbare integreringen av avancerade digitala tekniker, specifikt AI, har även den globala efterfrågan på halvledare ökat markant. Halvledarsektorn anses därför idag vara en hörnsten i EU:s ekonomiska stabilitet, teknologiska suveränitet och säkerhet.

Med denna strategiska betydelse följer också en ökad oro för de geopolitiska spänningarna i världen, där tillverkningen och försörjningen av halvledare inte bara utgör en nationell tillgång utan även innebär en sårbarhet i det fall exempelvis flaskhalsar uppstår.

Mot denna bakgrund antogs redan 2023 en första European Chips Act. Även om denna ansetts leda till konkreta och betydande resultat, såsom exempelvis mobiliserandet av privata och offentliga investeringar samt en samordnings- och krishanteringsmekanism, kvarstår såväl kapacitetluckor som strukturella sårbarheter.

I förslaget till Chips Act 2.0 uppställs två övergripande mål. För det första att öka konkurrenskraften för europeiska halvledare i syfte att vidare stärka teknologisk suveränitet och motståndskraft. För det andra att stärka EU:s krisberedskap för att säkerställa dess försörjningstrygghet och ekonomiska säkerhet. Genomförandet härav kommer ske genom åtgärder på utbudssidan, något som den ursprungliga chipsakten redan fokuserade på, men även genom åtgärder på efterfrågesidan.

Några av de mer konkreta åtgärder som föreslås för att bidra till att stimulera efterfrågan är införandet av s.k. ”Demand Accelerators”. Detta innebär att Kommissionen och medlemsstaterna ska kunna stimulera användning av halvledare som designats eller tillverkats inom unionen, särskilt inom strategiska sektorer såsom moln-, fordons-, flyg-, telekom- och försvarsindustrin. Detta kan göras bland annat genom att Kommissionen tar fram gemensamma tekniska färdplaner samt stödjer samarbetsplattformar och designpartnerskap. Det föreslås även åtgärder inom offentlig upphandling, såsom stöttandet av gränsöverskridande gemensamma upphandlingsarrangemang samt inom innovationsupphandling i syfte att samla efterfrågan och effektivisera investeringar. Även inrättandet av ett ”Demand Forum” föreslås, en tilltänkt mötesplats mellan leverantörer och potentiella användare där de senare ges möjlighet att förklara sina behov och önskade specifikationer i syfte att samla efterfrågesignaler och synliggöra utbud.  

På utbudssidan föreslås fortsatt förbättring och utveckling av pilotprojekt för framtagandet och utvecklandet av nya halvledarteknologier och designkoncept samt att den vidare industrialiseringen av lyckade sådana projekt ska påskyndas. Vidare föreslås införandet av en ny kategori av s.k. ”strategic projects” - halvledarprojekt som Kommissionen kan erkänna som strategiska om de bl.a. uppfyller krav på att skapa ett betydande mervärde till unionen, genomförs av inhemska företag och har en gränsöverskridande dimension. Dessa strategiska projekt föreslås tillsammans med europeiska halvledarinitiativ åtnjuta snabbare administrativa tillståndsprocesser med en längsta tid på 12 månader och medlemsstaterna ska centralisera och samordna tillståndsansökningarna. Kommissionen föreslår också införandet av märkningen ”European Semiconductor Regions of Excellence”, vilket Kommissionen kan tilldela regioner vilka uppfyller krav för att ha en strategisk vision. I praktiken syftar detta till att attrahera internationella investeringar till dessa områden.

EU:s strategi för öppen källkod: från tekniskt alternativ till suveränitetsverktyg

The EU Open Source Strategy (Strategin om öppen källkod) placerar öppen källkodsteknik i centrum för Europas strävan efter digitalt oberoende. Öppen källkod ses inte längre bara som ett tekniskt alternativ på europeisk nivå, utan som en strategisk byggsten för digital suveränitet. I detta sammanhang fungerar öppen källkod som ett horisontellt verktyg: halvledare, moln, AI, digital identitet och offentlig digital infrastruktur är alla beroende av mjukvara, standarder och återanvändbara komponenter som EU i högre grad vill kunna kontrollera och vidareutveckla på egna villkor. Kommissionen beskriver också strategin som ett sätt att minska beroenden över hela teknikstacken.

Strategin har fyra övergripande mål.

Främja utvecklingen och införandet av alternativ för öppen källkod som återspeglar EU:s värderingar.

Tillhandahålla vägledning och bästa praxis för offentlig upphandling och stärka hur Kommissionen själv använder öppen källkod.

Bygga ett livskraftigt ekosystem för öppen källkod genom stöd till företag, utvecklargemenskaper, förbättrad styrning, säkerhet och kompetens.

Främja EU:s lösningar för öppen källkod internationellt och integrera dem mer effektivt i standardiseringsprocesser.

Öppen källkod lyfts fram som ett sätt att minska leverantörsinlåsning och stärka transparens, interoperabilitet och europeisk kontroll över digitala system. För offentlig sektor påverkar detta upphandling, licenshantering samt bedömningar av säkerhet, kontinuitet och långsiktig förvaltningsbarhet. Kommissionen betonar behovet av upphandlingsvägledning och rättvisare bedömning av öppna lösningar. Samtidigt garanterar öppen källkod inte teknologisk suveränitet: utan långsiktig finansiering, säkerhetsunderhåll och europeisk industriell förankring kan beroenden kvarstå. Strategin fokuserar därför på styrning, kritiska beroenden, Open Source Maintenance Instrument och långsiktig förvaltning. Genom det så kallade Digital Commons European Digital Infrastructure Consortium (DC-EDIC), som möjliggör för medlemsstaterna att gemensamt utveckla, införa och driva gränsöverskridande digital infrastruktur, ska öppna, interoperabla lösningar utvecklas och återanvändas över gränserna.

En strategisk färdplan för digitalisering och AI inom energisektorn

Den fjärde och sista komponenten i paketet utgörs av Strategic Roadmap on digitalisation and AI in the energy sector (färdplanen för digitalisering och AI inom energisektorn), vilken binder samman målsättningen om att påskynda unionens digitalisering och AI-baserade lösningar med unionens klimat- och energimål. I färdplanen åskådliggörs två parallella utmaningar. Å ena sidan möjligheten att använda digitalisering och AI för att effektivisera energisystem, minska kostnader och i längden ge en mer konkurrenskraftig industri, ge hushållen finansiell lättnad och skapa ett mer motståndskraftigt energisystem. Å andra sidan riskerar den snabba tillväxten av den digitala infrastrukturen, särskilt datacenter, att leda till en ökad belastning på elnäten med en eventuell inverkan på energipriser, behovet av vattenresurser och tillgången till elnätet för konsumenter. Samtidigt poängteras möjligheten att med hjälp av AI-system kunna skapa ett mer flexibelt, datadrivet och motståndskraftigt energisystem där konsumenter, industri och nätoperatörer bättre kan reagera på prissignaler, optimera förbrukning och delta i flexibilitetsmarknader. 

Färdplanen vilar på tre pelare:

En hållbar integration av datacenter i energisystemet genom bland annat trepartsavtal mellan datacenteroperatörer, energiaktörer och offentliga myndigheter. Härunder introduceras även ett kommande EU-system för hållbarhetsklassificering av datacenter.

Påskynda användningen av digitala och AI-lösningar, genom att främja nätförbättrande teknik, smarta mätare och AI-modeller för att kunna ge nätplanering, prognoser och hantera flaskhalsar.

Inrättandet av ett EU-ramverk för att underlätta delning av energidata över EU:s interna gränser, både för primär användning, alltså det operativa datautbytet mellan identifierade aktörer, och sekundär användning, såsom för forskning och träning av AI-modeller.  

Dessa tre delar kompletteras även av horisontella insatser avseende cybersäkerhet och bekämpningen av hybridhot, tillit, kompetensförsörjning och internationellt samarbete. Åtgärderna i färdplanen planeras vara genomförda senast år 2030 och under tiden kommer Kommissionen, med start i år, att sammankalla ett årligt forum för digitalisering av energisektorn, som ska fungera som en uppföljnings- och samordningsmekanism för att utvärdera framsteg, identifiera kvarstående hinder, sprida god praxis och fånga upp nya utvecklingar som kan motivera ytterligare åtgärder.

Kommentar

Tekniksuveränitetspaketet är ambitiöst i både bredd och ansats. Till skillnad från tidigare EU-initiativ på det digitala området, som huvudsakligen har inriktats på att reglera marknader och risker, betonar paketet i stället kapacitet, kontroll och industriell uppbyggnad. Det bör därför inte förstås som en enskild lagstiftningsakt, utan som en strategi som spänner över infrastruktur, industripolitik, upphandling och energi och vars särskilda kännetecken är erkännandet av att digitalt beroende utgör en strategisk sårbarhet.

Reaktionerna på förslagen har hittills varit få, men blandade, och kritiken som kommit riktar sig i hög grad mot att paketet inte lever upp till sitt uttalade syfte. I debatten har TechPolicyPress beskrivit Tech Sovereignty Package som ett misslyckande i förhållande till målet att minska beroendet av Big Tech. Kritiken går ut på att paketet rymmer en grundläggande motsägelse: det vill samtidigt främja konkurrenskraft, hållbarhet och suveränitet, men definierar suveränitet i huvudsak geografiskt, det vill säga som en fråga om att köpa AI- och molntjänster som tillhandahålls inom Europa, oavsett vem som ytterst äger leverantören. Den avgörande distinktionen i CADA är att regelverket kräver "kontroll" men inte europeiskt ägande. Det innebär att amerikanska molnaktörer kan kvalificera sig även på den striktaste säkerhetsnivån, förutsatt att deras europeiska dotterbolag är formellt separerade från moderbolaget och att kunddata, personal, infrastruktur och styrning förblir inom Europa. Det öppna fönstret för Big Tech är således att ett utländskt moderbolag kan behålla ägandet så länge den europeiska enheten uppfyller regelverkets lokaliserings- och kontrollkrav. Trots paketets uttalade ambition att stärka Europas digitala oberoende konstaterar kritikerna att förslaget inte lyckas adressera den offentliga sektorns faktiska beroende av amerikanska leverantörer – tvärtom riskerar det att befästa och utvidga detta beroende.

Från andra delar av näringslivet och branschorganisationerna har både stöd och kritik framförts. Flera reaktioner har varit övervägande positiva till paketets grundläggande inriktning, om än med tydliga förbehåll kring genomförande och balans. DIGITALEUROPE, branschorganisationen för den europeiska teknikindustrin, välkomnar, i motsats till ovan, förslaget till CADA och beskriver det som "en bra utgångspunkt för en gemensam europeisk standard för suveränitet och säkerhet". Organisationen framhåller att Europa behöver en enhetlig standard av det slag som andra stora ekonomier redan har, men pekar samtidigt på det fortsatta behovet av starkare åtgärder på efterfrågesidan och på vikten av att fokusera på uppskalning.

Även Bruegel välkomnar den digitala suveräniteten som ett sunt mål att sträva efter, men kritiserar paketet för att utgöra en protektionistisk vändning som härmar USA och Kina genom statliga subventioner, lokala upphandlingsregler och inhemsk preferens. Sådana åtgärder riskerar enligt Bruegel att höja priser, sänka kvalitet, snedvrida marknaden, missgynna mindre länder och provocera fram motåtgärder, och att göra nationalitet till en säkerhetsindikator stänger marknaden i onödan. Eftersom USA:s och Kinas framgångar vilar på billig energi, kapital och stora marknader, förespråkar Bruegels författare i stället att EU utnyttjar den inre marknadens konkurrens och genomför strukturella reformer, snarare än att slå in på isolationismens väg. Att hindra europeiska företag från att anlita utländska leverantörer framstår enligt kritikerna som föga meningsfullt så länge det saknas konkurrenskraftiga europeiska alternativ.

Nästa steg

Förslaget går nu vidare i det ordinarie lagstiftningsförfarandet. Nästa steg är beredning i Rådet och Europaparlamentet, följt av trilogförhandlingar mellan Europaparlamentet, Rådet och Kommissionen innan en politisk överenskommelse kan nås och rättsakterna antas formellt. Inom den interinstitutionella färdplanen "One Europe, One Market" har måldatum för antagande satts till andra kvartalet 2027 för Chips Act 2.0 och till fjärde kvartalet 2027 för Cloud and AI Development Act.

Det återstår att se hur snabbt processen går och i vilken utsträckning förslaget förändras under förhandlingarna. Förslagen är inte okontroversiella, eftersom förhandlingarna väntas beröra frågor som europeisk teknologisk suveränitet, offentlig upphandling, moln- och AI-infrastruktur, halvledarförsörjning, statsstöd, energikapacitet och förhållandet till tredjelandsleverantörer. Samtidigt kan åtgärder som det tidigare, men nu delvis upphävda, amerikanska beslutet att blockera andra länders tillgång till Anthropics nya Mythos-modell påskynda lagstiftningsprocessen.