Avrupa Komisyonu kısa süre önce, altyapıyı, Avrupa bulut pazarını ve kamu kurumlarının gelecekte nasıl faaliyet gösterebileceğini yeniden şekillendirerek yerel bulut ve yapay zeka sektörünü canlandırmayı hedefleyen Bulut ve Yapay Zeka Gelişim Yasası (CADA) tasarısını açıkladı.
CADA üç temel sütuna odaklanıyor: araştırma, geliştirme ve inovasyona yatırım; kapasite artışı – önümüzdeki beş ila yedi yıl içinde Avrupa veri merkezi pazarının üç katına çıkarılması – ve dört egemenlik ve güvenlik düzeyi ile AB üye devletleri için yeni yükümlülükler öngören kapsamlı bir özerklik çerçevesi.
CADA'ya tepkiler karışık
Şimdiye kadar tasarıya verilen tepkiler hayli karışık oldu. CCIA Europe gibi sektör birlikleri, CADA'nın AB üye devletlerinden, AB dışı sağlayıcıların doğası gereği karşılayamayacağı belirli egemenlik düzeyleri gerektiren kullanım alanlarını tespit etmelerini istemesini gerekçe göstererek tasarıyı ayrımcı olmakla suçladı.
Polonyalı teknoloji hukukçusu Mikolaj Barcenciewicz daha önce, CADA'nın kategorik değil risk temelli olması gerektiğini, üye devletlerin bireysel yaklaşımının ve yetki ikamesi ilkesinin genelleştirilmek yerine korunması gerektiğini söylemişti.
İsveçli Avrupa Parlamentosu milletvekili Jörgen Warborn ise LinkedIn'de CADA tasarısına ilişkin görüşlerini paylaşarak, Avrupa'nın dijital egemenlik hedeflerinin daha fazla basitleştirme ve iyileştirilmiş iş yapma koşullarıyla, ayrıca güçlendirilmiş bir yatırım getirisi beklentisiyle desteklenmesi gerektiğini savundu.
Warborn ayrıca, AB'nin egemenlik hedeflerinin ulusal güvenlikle bağlantılı ulusal uygulamalarda gerçekten güçlendirilmesi gerekirken, daha az hassas alanların doğrudan yabancı yatırımlara açık olması gerektiğini, zira küresel servetin çok büyük bir kısmının AB dışında bulunduğunu ve AB'nin bu yatırımları kendine çekmek için çaba göstermesi, tersi yönde hareket etmemesi gerektiğini vurguladı.
Finlandiyalı Avrupa Parlamentosu milletvekili Aura Salla ise, teknoloji bağımlılıklarının stres testinden geçirilmesi ve risklerin üye devlet düzeyinde değerlendirilmesi için çok daha merkezileştirilmiş bir yaklaşım çağrısında bulundu.
Son olarak, Alman yazılım sağlayıcısı Nextcloud'un da aralarında bulunduğu bazı paydaşlar, mevcut tasarının yeterince iddialı olmadığını ve özel sektörü de kapsayacak şekilde genişletilmesi gerektiğini dile getirdi.
İzin süreçlerine 12 aylık tavan, ama daha fazla koşul
CADA'nın III. Başlığı, AB veri merkezi kapasitesini hızla artırmak için iki temel mekanizma öngörüyor: Veri Merkezi Hızlandırma Bölgeleri ve Veri Merkezi Stratejik Projeleri.
Düzenlemenin yürürlüğe girmesinden itibaren altı ay içinde, her üye devlet en az bir hızlandırma bölgesi belirlemek zorunda; bu bölgeler yerel imar ve bölge planlarına entegre edilecek ve şebeke kullanılabilirliği, ağ kapasitesi ile eski sanayi sahalarına (brownfield) açık bir öncelik tanınması gibi unsurlar dikkate alınacak.
Bir proje bu önceden onaylanmış bölgelerin içinde yer alsın ya da bireysel olarak stratejik proje statüsü alsın, her iki durumda da en fazla 12 ay sürecek bir izin prosedürü öngören bir 'yeşil koridor'dan yararlanacak.
Ancak CADA'nın uyum kontrol listesi son derece talepkar: altyapı işletmecilerinin standartlaştırılmış AB sürdürülebilirlik KPI'larını benimsemesi gerekiyor ve yerel kaynak tahsisleri, spekülatif stoklama veya rekabete aykırı engelleme girişimlerini önlemek için sıkı şekilde denetlenecek.
Gerçekçi olmak gerekirse bu durum, üye devletlere karmaşık yerel planlama çerçeveleri içinde uyumlu bölgeler belirlemek için dar bir altı aylık zaman dilimi, ardından bireysel izin onayları için aynı ölçüde sıkıştırılmış 12 aylık bir geri dönüş süresi bırakıyor.
Veri merkezlerinin fiili inşası ise zaten fiziksel dünyadaki kısıtlar nedeniyle tıkanmış durumda: gerekli sertifikalara sahip yalnızca az sayıda uzman yüklenici bulunuyor, her geliştirme aşaması sıkı denetimlerden geçiyor ve mütevazı tesislerin inşası bile kimi zaman yıllar alıyor.
Hem üye devletlere hem de altyapı sağlayıcılarına kapsamlı yeni uyum yükümlülükleri yükleyen AB politika yapıcıları, yapısal olarak zaten karmaşık olan bu süreçte 12 ay azami süre hedefini önemsiz ve anlamını yitirmiş bir kilometre taşına dönüştürme riskiyle karşı karşıya.
Kamu alımlarında köklü değişiklikler
CADA'nın IV. Başlığı ve ona eşlik eden ekler, AB üye devletlerinin tam olarak hangi tür bulut bilişim yazılımlarını ve hizmetlerini satın alabileceğini belirleyen katı bir çerçeve çiziyor.
Kamu sektörünün talebi, CADA'nın Ek II'sinde tanımlanan dört güvence düzeyiyle sıkı sıkıya eşleştirilecek.
1. seviye temel egemenlik ve güvenlik gereksinimlerini kapsıyor ve üçüncü ülke şirket sahipliğine izin veriyor.
2. seviye, tüm operasyonların, altyapının, personelin ve desteğin kesin olarak AB sınırları içinde kalması, 'önemli' bir siber güvenlik sertifikasıyla desteklenmesi ve müşteri verilerinin üçüncü ülkelerdeki yapay zeka eğitimlerinde kullanılamaması şartıyla üçüncü ülke şirket sahipliğine hâlâ izin verilen, kayda değer dijital egemenlik düzeyine karşılık geliyor.
3. seviye yüksek egemenlik ve ulusal güvenlik anlamına geliyor; burada üçüncü ülke şirket kontrolü kural olarak yasak, yalnızca Avrupa Komisyonu'nun vereceği istisnai izinler mümkün. 4. seviye ise üçüncü ülke şirket kontrolünün tamamen yasak olduğu azami özerklik ve kritik güvenlik düzeyini ifade ediyor.
Peki AB üye devletleri yeni CADA çerçevesini nasıl hayata geçirecek? Öncelikle kuralları uygulamak, tedarikçileri denetlemek ve bulut sağlayıcı tanıma başvurularını işlemekle görevli bir veya daha fazla ulusal yetkili otorite atamak zorundalar.
Bir yıl içinde, üye devletlerin bulut hizmetlerine dayanan kamu sektörü faaliyetlerini belirlemek ve bunlar için uygun güvenlik güvencesi düzeyini tayin etmek üzere risk değerlendirmeleri yapmaları gerekecek; bu değerlendirmeler her 2 yılda bir tekrarlanacak.
Mevcut CADA tasarısı, bulut hizmetlerine ilişkin kamu alımlarının bugüne kadar işleyiş biçimini kökten değiştirecek.
Daha önce üye devletlerdeki kamu kurumları, fiyat, hizmet kalitesi, kurumsal ihtiyaçlar ve egemenlik odaklı risk temelli veri yönetimi mevzuatını gözeterek bulut hizmeti sağlayıcılarını serbestçe seçebiliyordu.
Kamu alımı ihalelerinde kararlar geçmişte büyük ölçüde fiyat ve standart teknik özellikler üzerinden verilirken, artık üye devletlerin bir sağlayıcının Avrupa dijital ekosistemine ne ölçüde katkı sunduğu gibi fiyat dışı kriterleri de değerlendirmesi gerekecek.
Bu makale ilk olarakEU Tech Loop(kaynak İngilizce)sitesinde yayımlanmış ve bir anlaşma kapsamında Euronews'te paylaşılmıştır.
