Christine Knackfuß-Nikolic, de nieuwe Chief Sovereignty Officer bij T-Systems, praat met CIO-redacteur Jürgen Hill over de verschillende vormen van digitale soevereiniteit, de bijbehorende uitdagingen voor bedrijven en de doelen van Europese initiatieven zoals Gaia-X en 8ra.
In klantinteracties stellen wij vast dat de term soevereiniteit momenteel niet gedefinieerd is. Er is een heel ander begrip of bestaan zelfs misverstanden over. We definiëren drie verschillende vormen van soevereiniteit, want soevereiniteit komt in tinten, in "Shades of Grey". Het basisniveau is gegevenssoevereiniteit, d.w.z. de opslag en verwerking van gegevens is onderworpen aan de wettelijke bescherming van het land waarin het bedrijf is gevestigd. Dit zorgt ervoor dat er geen regels worden overtreden waaraan bedrijven in dit land moeten voldoen. Ik denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming. Gegevenssoevereiniteit betekent de mogelijkheid om volledige controle uit te oefenen over je eigen gegevens.
Het tweede niveau is operationele soevereiniteit. De vraag daarbij is of een bedrijf transparantie en controle heeft over de kritieke infrastructuur en operationele processen en deze ook kan handhaven. Met andere woorden: kan ik de mensen instrueren die het systeem bedienen en kan ik bepalen wie toegang heeft tot het datacenter? Het doel is om de fysieke infrastructuur te beschermen tegen manipulatie, toegangsrechten te beheren en te voorkomen dat het systeem wordt gehackt of bedrijfsprocessen worden onderbroken.
Het derde niveau is technologische soevereiniteit. Dit heeft betrekking op de vraag of een bedrijf in staat is om hardware en software tegen eerlijke marktvoorwaarden te kopen of zelf te produceren.
Daar zijn verschillende redenen voor. De klassieke oplossing is het vermijden van een vendor lock-in om te voorkomen dat iemand je prijzen oplegt. Dit komt vaak voor in de interactie tussen bedrijven en hyperscalers wanneer zij hun prijzen verhogen. Om dit te voorkomen, dienen bedrijven zich niet per se vast te pinnen op één provider, maar in plaats daarvan een multi-vendorstrategie nastreven. Dit creëert een competitieve situatie.
Onze ervaring leert dat je niet voor elke workload dezelfde mate van soevereiniteit nodig hebt. Soevereiniteit heeft een hogere prijs omdat er duurdere grondstoffen worden gebruikt en er hogere veiligheidsnormen en meer certificeringen nodig zijn. Dit alles drijft de kosten op. Bovendien gaan de functionaliteit en de schaalbaarheid meestal verloren. Deze afweging is de belangrijkste beslissing voor CIO's. Ze dienen de maximale functionaliteit en ultieme klantervaringen te bereiken voor de specifieke workload, tegen de laagst mogelijke prijs met de vereiste mate van soevereiniteit en beveiliging.
Een gebruiker moet uitgaan van de use case. Niemand zet immers een cloud op alleen om een cloud te hebben.
Christine Knackfuß-Nikolic, Chief Sovereignty Officer bij T-Systems
Naar mijn mening is dit absoluut aan te raden. Een gebruiker moet uitgaan van de use case. Niemand zet immers een cloud op alleen om een cloud te hebben. Het zou hetzelfde zijn als een paard kopen zonder van tevoren te bedenken welke discipline ik ermee wil gaan doen. Ook dan moet ik van tevoren bedenken wat ik met het paard wil doen - dressuur, springen, westernrijden - en op basis daarvan het juiste paard kiezen. De hele soevereiniteitshype wordt vaak van achteren geleid en er wordt geen rekening gehouden met de daadwerkelijke behoefte.
Ja, dat is precies wat je doet. Een use case vindt vaak alleen plaats op het niveau van gegevenssoevereiniteit, waarbij operationele en technologische soevereiniteit niet noodzakelijk vereist zijn. Een voorbeeld hiervan zou een hyperscaler-cloud kunnen zijn die voldoet aan wetgeving inzake gegevensbescherming, zoals de AVG.
De eerste uitdaging is de acceptatie en het gebruik van overeenkomstige soevereine diensten. Hier kan de staat helpen als zogenaamde "anchor client". Als er al discussie is of vertrouwelijke gegevens op een hyperscaler-cloud geplaatst kunnen worden, hoe moet een middelgroot bedrijf met minder vaardigheden en minder tijd dan inzien dat het dat moet doen, als de overheid het zelf niet eens doet? De staat moet een rolmodel zijn om het gebruik van dergelijke diensten te stimuleren.
De tweede uitdaging is dat een 100 procent soevereine markt economisch moeilijk is voor infrastructuuraanbieders. De markt is immers klein, maar vereist hoge investeringen. Dit kan veranderen naarmate de vraag toeneemt. De huidige geopolitieke situatie vergroot de vraag en creëert een "Window of Opportunity". Het derde onderwerp, vooral voor Duitsland en Europa, is de vermindering van bureaucratie en silo's. Als goedkeuringsprocessen eeuwig duren of een enorme hoeveelheid inspanning vereisen en als de krachten niet worden gebundeld, dan zullen we niet de noodzakelijke snelheid bereiken.
Ik heb het gevoel dat de omstandigheden nog nooit zo goed waren als nu. Ik denk dan bijvoorbeeld aan het Ministerie van Digitalisering en de wens om bureaucratie te verminderen. Nu moeten we het alleen nog in de praktijk brengen. De bereidheid is er, en het is ook aan elk individu - consumenten, bedrijven en de staat - om Europa en Duitsland vooruit te helpen op het gebied van digitale soevereiniteit.
Gaia-X en 8ra verschillen op twee essentiële punten. 8ra is een infrastructuur voor Cloud- en Edge Computing om een soevereine en interoperabele Europese omgeving te schppen voor gegevensverwerking en -opslag op basis van open standaarden. Gaia-X daarentegen is een Europees initiatief om een data-infrastructuur te creëren. Dit stelt bedrijven in staat om op een betrouwbare en veilige manier gegevens uit te wisselen. De twee vullen elkaar dus aan. Het 8ra-project levert de veilige nodes, terwijl Gaia-X de verbindingen daartussen levert.
8ra bouwt aan een Cloud Edge-continuum, een netwerk van tienduizenden nodes. Een node kan een grote cloud zijn of een chip op het eindapparaat. Deze zijn over de landsgrenzen heen met elkaar verbonden. Hier komt de door ons bedachte term Cloud Roaming om de hoek kijken. Net zoals bij mobiele telefonie, waar je automatisch overschakelt naar het netwerk van een andere provider wanneer je een landsgrens overschrijdt, kun je je een vergelijkbare situatie voorstellen met 8ra. Als je een middelgroot bedrijf bent met fabrieken in verschillende Europese landen, dan kunnen ze automatisch met elkaar communiceren omdat er een Cloud Roaming-service wordt aangeboden.
Als we er als Europa nu niet in slagen om onze digitale achterstand in te halen, gaat dat nooit meer lukken.
Christine Knackfuß-Nikolic, Chief Sovereignty Officer bij T-Systems
Ik denk dat 8ra het voordeel heeft in een ander 'window of opportunity' geboren te zijn. Voor mij is het een beetje "nu of nooit". Als we er als Europa nu niet in slagen om onze digitale achterstand in te halen, gaat dat nooit meer lukken. Dit zorgt voor een stevige wind in de rug bij deze programma's, ook al moeten er nog veel belangen worden geregeld. Bovendien mag het geheel niet opnieuw verzanden in bureaucratie. De druk om te handelen is groot, omdat ons duidelijk is gemaakt dat wij als Europeanen 80 procent van onze technologie uit niet-Europese landen betrekken en dus ongelooflijk afhankelijk zijn. We zullen nooit meer zulke goede randvoorwaarden hebben. Daarom maakt 8ra een heel, heel goede kans en zal het Gaia-X nog een extra duwtje in de rug geven.
Dat hangt ervan af wat je onder een alternatief verstaat. De 8ra-benadering is geen naïeve benadering en dat waardeer ik er zo aan. Alle betrokkenen zijn zich ervan bewust dat we ook de hyperscalers nodig hebben. 8ra is dus een aanvullende benadering die alternatieven creëert. Het biedt veerkracht en onafhankelijkheid waar dat nodig is. Voor zeer soevereine workloads of waar gegevensuitwisseling belangrijk is, zijn er geen hyperscalers nodig, maar deze kunnen elders wel gebruikt worden.
Allereerst dienen gebruikers hun workloads en de vereiste soevereiniteit en beveiligingseisen te analyseren. De tweede stap is kijken naar het aanbod op de markt - bijvoorbeeld bij ons - om de beste infrastructuur voor de betreffende workload te vinden. Veel gebruikers die alleen met hyperscalers een multi-vendorstrategie hebben gevolgd, vragen zich nu af of dit echt soeverein is als bijvoorbeeld de Cloud Act van kracht wordt of diensten worden uitgeschakeld. Zij kiezen dan voor een soevereiner Europees hyperscaler-alternatief. Er zijn tegenwoordig al veel aanbiedingen op de markt, zoals onze T Cloud, waaruit een goede oplossing kan worden samengesteld, vooral omdat we hard werken aan compatibiliteit en migratiemogelijkheden.
