Não só desde o início do segundo mandato de Donald Trump tem sido discutido que a dependência de fornecedores de nuvem não europeus é demasiado grande – de hiperscaladores como AWS e Azure, bem como de Alibaba ou Huawei Cloud. O seguinte aplica-se especificamente a aplicações críticas para a segurança na administração pública e operadores de infraestruturas e serviços críticos: Ao procurar soluções independentes e de alto desempenho, há muitas promessas – mas muitas vezes há pouca clareza quando se trata de critérios. As soluções em nuvem tornam-se soberanas se forem operadas de forma tecnicamente segura na UE? Independente da infraestrutura corporativa dos EUA? Sem depender de casos externos? A segurança técnica de TI é uma coisa, a soberania técnica nem sempre é um perfil de requisitos consistente.
Leia mais depois do anúncio
O recentemente atualizado Catálogo de Critérios de Conformidade de Computação em Nuvem (C5) definiu a natureza de segurança dos serviços em nuvem de forma mais rigorosa. A proposta que agora é apresentada pelo Escritório Federal de Segurança da Informação (BSI) começa com o segundo mandato: Especialistas da autoridade federal de Bonn apresentaram uma proposta com os “Critérios para Habilitar a Autonomia da Computação em Nuvem” (C3A) publicados hoje. Os utilizadores devem poder verificar desde o início se o serviço corresponde efetivamente aos respetivos riscos soberanos. A autoridade acompanha a discussão há vários anos como prestadora de serviços de segurança de TI da Administração Federal. Acima de tudo, pretende alcançar uma coisa: “Estamos interessados numa solução técnica para criar uma situação concreta”, disse Thomas Caspers, vice-presidente do BSI.
Para o IT Summit 2026, procuramos relatórios práticos de pessoas que planeiam, gerem ou implementam projetos de soberania digital. Palestras e palestras no IT Summit duram 45 minutos, incluindo 5 minutos de perguntas e respostas. Idealmente, eles combinam experiência prática com profundidade técnica para que os ouvintes assumam a liderança do aprendizado concreto. Envie suas ideias de apresentação até 17 de maio de 2026.
Uma interpretação menos diplomática: em vez de uma longa discussão política sobre a independência dos fornecedores, as autoridades querem entrar no debate sobre as consequências da Lei de Desenvolvimento da Nuvem e da IA (CADA) com uma proposta concreta. De acordo com o calendário atual, a Comissão Europeia pretende apresentar a CADA no dia 27 de maio; Os Estados-Membros e o Parlamento Europeu dão então conselhos. Os observadores esperam que a vice-presidente da Comissão Europeia, Henna Virkkunen, apresente critérios mais claros sobre a soberania da nuvem com o CADA – e as discussões e lobby só começarão com a apresentação do projeto em maio.
Experiência prática e critérios da UE
Ao fazê-lo, o BSI baseia-se, entre outros, em seis dos oito critérios que a Direcção Geral da DIGIT, que na verdade é apenas responsável pelas TI da própria Comissão da UE, estabeleceu no ano passado e criou uma experiência mais ampla. As autoridades francesas de segurança informática ANSSI e BSI, em particular, adquiriram vasta experiência com diversas variações de dependência – na Alemanha, por exemplo, com a cooperação da SAP-Microsoft DelosCloud, com Stackit da Schwarz-Digits ou T-Systems Sovereign Cloud em cooperação com o Google, com requisitos, por exemplo, para “Polizei 2020” ou Amazon. Ao mesmo tempo, a autoridade que reporta ao Primeiro-Ministro francês está a testar um caminho diferente, onde as empresas francesas estão sempre envolvidas na administração pública – por exemplo, a empresa de defesa Thales em S3NS, que foi certificada em Dezembro de acordo com os requisitos franceses SecNumCloud e operada em conjunto com o Google, ou SAP em hardware OVH.
São precisamente estas experiências agora que devem ser relevantes para o futuro. O fato de o BSI não ter desenvolvido o sistema C3A no vácuo, mas também ter conversado com os fornecedores, também é demonstrado pelos próprios padrões de avaliação da indústria, que se baseiam muito. “Usando o exemplo da Nuvem Soberana Europeia da AWS, entre outros, podemos ver quantos mecanismos desempenham um papel na manutenção da nuvem operacional”, explicou Caspers. “Se você estiver completamente dissociado, não poderá continuar a operar tal oferta por anos.”
Critérios de desligamento para o caso de defesa
Leia mais depois do anúncio
No C3A, por exemplo, fica assim: SOV-4-09-C do C3A define o que deve ser garantido em caso de desconexão – ou seja, dissociação da nuvem de operadores não europeus: Em essência, as operações devem continuar sem afetar a disponibilidade, integridade, autenticidade e confidencialidade. Além disso, deve existir um processo documentado para o procedimento e implementação de dissociação e o operador deve testá-lo e documentá-lo pelo menos uma vez por ano, incluindo os resultados dos testes. Qualquer pessoa que deseje atender aos critérios mais abrangentes do SOV-4-09-AC também deve compartilhar a documentação com a autoridade de segurança de TI responsável no local do data center, mediante solicitação.
Estes requisitos também são específicos em termos legais, por exemplo, se o fornecedor não tiver de cumprir uma jurisdição fora da UE ou quando houver uma questão em que os funcionários realizam importantes medidas de manutenção de TI. E também existem critérios relevantes na seleção de funcionários: o SOV-4-01-C1 exige que todos os funcionários que tenham acesso lógico ou físico aos recursos do fornecedor de serviços em nuvem tenham cidadania e residência na UE – os requisitos do SOV-4-01-C2 são ainda mais rigorosos: portanto, todos os funcionários devem não apenas ser cidadãos da UE, mas também ter residência na República Federal.
Este critério é particularmente adequado para aplicações de alta segurança, como autoridades de segurança ou a Bundeswehr. O BSI não tem responsabilidade legal direta a este respeito. Mas, nesse caso, o C3A também contém critérios de teste. Porque o que deve ser feito no caso da defesa regulamentada pela constituição atual também está claramente definido: de acordo com o modelo de todas as leis de emergência, os prestadores de serviços em nuvem devem ser capazes de entregar as suas operações às autoridades federais – “incluindo os materiais e pessoal necessários”.
O impacto pode ser de longo alcance
Tal como acontecia originalmente com o catálogo C5, que agora foi anunciado vinculando a saúde informática no Código da Segurança Social, o mesmo não acontece diretamente com o C3A. “Os critérios para permitir a autonomia da computação em nuvem não são vinculativos”, explicou Caspers. “No entanto, os requisitos mínimos podem ser anunciados no âmbito de legislação ou de concursos.” Porém, disse o vice-presidente da Secretaria Federal de Segurança da Informação, o C3A pode “se tornar a referência da administração federal”.
Também vem de interações entre especificações. “As agências federais são obrigadas a implementar a proteção básica de TI do BSI”, explica Martin Bierwirth, chefe do departamento de segurança em nuvem do BSI. “Se você usa serviços de nuvem externos, também deve aplicar e cumprir o componente OPS 2.2.” O padrão mínimo para utilização de serviços externos em nuvem (MST-NCD) também se baseia nisso. O C3A, por sua vez, se baseará no C5 e agregará critérios de segurança da informação ao tema da soberania digital. Qualquer pessoa que tenha de cumprir não só os requisitos de segurança, mas também os requisitos de soberania, terá dificuldade em contornar esta situação na República Federal. Se um grande hiperescalador poderá atender a esses requisitos dependerá do perfil de requisitos específicos do cliente – e da pressão para escolher uma solução soberana.
Dependendo da evolução do debate europeu, os novos critérios poderão também desempenhar um papel significativo para além do Reno e do Oder. Se, com a Lei de Desenvolvimento de Nuvem e IA da UE, estes critérios forem incluídos nos anexos da legislação de segurança de TI, como o NIS2 ou a Lei de Segurança Cibernética, quase não há como contornar a proposta alemã.
Leia também
(foo)
