Version 1.2.1 (Oktober 2025) definiert präzise Anforderungen, wie Beschaffungsstellen Cloud-Anbieter entlang acht Souveränitätszielen bewerten. Es dient als Mindestanforderung über SEAL-Levels und als Award-Kriterium über einen gewichteten Score. Der Ansatz kombiniert konkrete Kontrollfragen mit Evidenznachweisen und einem einheitlichen Bewertungsraster – entwickelt im Kontext von CIGREF Trusted Cloud, Gaia-X, NIS2, DORA und nationalen Strategien wie “Cloud de Confiance”.
Acht messbare Dimensionen strukturieren digitale Souveränität – von strategischer Unabhängigkeit bis zur nachhaltigen Betriebsfähigkeit.
Strukturelle Verankerung in der EU
Rechtsschutz gegen extraterritoriale Zugriffe
Technische Kontrolle über Daten und AI
Vendor-unabhängiger Betrieb
Resiliente, nachvollziehbare Lieferketten
Offenheit und Interoperabilität
EU-basierte Security Operations
Nachhaltige, resiliente Betriebsfähigkeit
Jedes Ziel wird über Contributing Factors gemessen. Schwächen in einzelnen Faktoren können das Gesamtniveau eines Ziels deutlich senken.
Das Framework definiert fünf Stufen als gemeinsame “Währung” für Mindestniveaus pro Souveränitätsziel. Beschaffer definieren Mindest-SEAL je SOV-Ziel; Nichterfüllung führt zur Ablehnung des Angebots.
Exklusive Nicht-EU-Kontrolle
Formale EU-Jurisdiktion
Durchsetzbares EU-Recht, mit Abhängigkeiten
Substanzielle EU-Kontrolle
Vollständige EU-Kontrolle
Zusätzlich zum SEAL-Mindestniveau wird ein gewichteter Gesamtscore berechnet. Dieser multipliziert die je Ziel erreichte Punktzahl mit einer Ziel-Gewichtung und summiert über alle acht Souveränitätsziele – zur nuancierten Differenzierung bei mehreren validen Angeboten.
Gesamtscore = Σ (Erreichte Punkte / Max. Punkte) × Gewichtung über alle 8 Ziele. Beispiel: Bei SOV-5 erreicht ein Anbieter 80 von 100 Punkten → (80/100) × 20% = 16% Beitrag zum Gesamtscore. Die Summe über alle Ziele ergibt den finalen Souveränitäts-Score (0-100%).
SOV-1 (15%), SOV-2 (10%), SOV-3 (10%), SOV-4 (15%), SOV-5 (20%), SOV-6 (15%), SOV-7 (10%), SOV-8 (5%). Höhere Gewichtung für Lieferkette, Operations und Technologie; Security/Compliance gelten als ohnehin stark abgesichert.
Beschaffer fordern konkrete Nachweise: Verträge, SOC-Runbooks, Schlüsselmanagement-Architektur, Datenflussschemata, SBOM/Lieferketten-Transparenz, Auditberichte, Nachweise EU-Standorte/-Teams. Öffentliche Dokumentation wird einbezogen.
Jedes Ziel wird anhand spezifischer Faktoren bewertet – z.B. bei SOV-3: BYOK, AI-Auditierbarkeit, EU-Datenlokalisierung; bei SOV-4: Exit-Fähigkeit, EU-Support, vollständige Doku/Source. Materiale Schwächen drücken das SEAL-Level.
Das Framework ist als praktisches Werkzeug für öffentliche Beschaffung konzipiert. Es verbindet Mindestanforderungen (Pass/Fail über SEAL) mit nuancierter Differenzierung (Award-Score) – und fordert durchgängig verifizierbare Evidenzen statt bloßer Absichtserklärungen.
Beschaffer legen für jedes der acht SOV-Ziele ein Mindest-SEAL-Level fest – z.B. SEAL-3 für SOV-4/6/7 (Operations/Technologie/Security), SEAL-2 für SOV-2/3 (Recht/Daten). Angebote, die ein Mindest-SEAL nicht erreichen, werden ausgeschlossen.
Bieter müssen harte Nachweise liefern: Verträge mit Gerichtsstand, SOC-Runbooks, Schlüsselmanagement-Architektur, Datenflussschemata, SBOMs, ISO-Scopes, Auditberichte, Nachweise zu EU-Standorten/-Teams. Öffentliche Dokumentation wird einbezogen und verifiziert.
Bei mehreren validen Angeboten wird der gewichtete Souveränitäts-Score angewendet: Je SOV-Ziel werden erreichte Punkte (relativ zum Maximum) mit der Ziel-Gewichtung multipliziert und summiert. Der Score ermöglicht nuancierte Rangfolge jenseits “Ja/Nein”.
Das Framework stellt konkrete Kontrollfragen bereit – z.B. “Wo liegen entscheidungsbefugte Organe?”, “Welche Schlüsselverwaltung für Kundendaten?”, “Gibt es Nicht-EU-Sub-Supplier?”. Diese Fragen bilden den roten Faden für Submission und Evaluation.
Das Framework verschiebt den Fokus von bloßer Zertifizierung hin zu nachweisbarer Unabhängigkeit, Kontrolle und Exit-Fähigkeit – technisch, organisatorisch, rechtlich. “Sovereign-Washing” ohne echte technische/organisatorische Entkopplung erreicht voraussichtlich nicht SEAL-4.
Europäische Anbieter können Stärken in Offenheit (Standards, Open Source), EU-basierten Operations, Lieferkettentransparenz und Datensouveränität direkt monetarisieren – als messbarer Vorteil im Award-Score.
Verifizierbare Eigenschaften: EU-basierter Betrieb/Support/Logging (SOV-7), BYOK/HSM und EU-Datenlokalisierung (SOV-3), standardisierte, portierbare Architekturen (SOV-4/6), nachvollziehbare Lieferketten (SOV-5), Governance-Absicherung (SOV-1/2).
“Souveränitäts-Labels” ohne substanzielle technische oder organisatorische Abschirmung werden im Framework voraussichtlich maximal SEAL-2 erreichen – formale Jurisdiktion, aber materielle Abhängigkeiten.
Um SEAL-4 (Full Digital Sovereignty) über alle acht Ziele zu erreichen, sind konkrete technische und organisatorische Maßnahmen erforderlich. Diese gehen weit über klassische ISO-Zertifizierungen hinaus.
BYOK/BYOHSM mit vollständiger Kundenkontrolle
Standardisierte Exit-Runbooks
Betriebsdokumentation
Software Bill of Materials
Strikte EU-Lokalisierung ohne Fallbacks
SOC/NOC/Support in der EU
Unsere Managed Services und unsere Software Delivery Plattform erfüllen die Anforderungen des Frameworks systematisch – von Grund auf designed für echte digitale Souveränität europäischer Organisationen.
Vollständig EU-basierte Organisation
Deutsche und EU-Jurisdiktion
Vollständige Datenkontrolle
Vendor-unabhängig und exit-fähig
Transparente, EU-basierte Lieferketten
100% Open Source, standardbasiert
EU-basierte Security Operations
Nachhaltige Rechenzentren
Vollständige digitale Souveränität
Das Cloud Sovereignty Framework ist eingebettet in das umfassende EU-Digital-/Cybersecurity-Ökosystem. Es verzahnt sich mit NIS2, DORA, CRA, Data Act, GDPR und weiteren EU-Verordnungen.
Souveränität als Resilienzfaktor
NIS-2 fordert BCP/DR und Supply-Chain-Management für kritische Infrastrukturen. Das Framework bewertet Unabhängigkeit und Kontrolle – direkt relevant für NIS-2-Lieferkettenrisiken und die Resilienz kritischer Infrastrukturen. EU-basierte, souveräne Stacks reduzieren Jurisdiktions- und Konzentrationsrisiken.
Digitale Souveränität als Risikominderer
DORA fordert IKT-Drittparteirisiko-Management inkl. Exit-Fähigkeit. Das Framework bewertet Exit-Fähigkeit, Kontrolle und Unabhängigkeit – Faktoren, die DORA-Drittparteirisiken direkt adressieren. EU-basierte, souveräne IKT-Stacks reduzieren Jurisdiktions- und Konzentrationsrisiken.
Sichere, souveräne Produkte
CRA fordert Sicherheit über Produktlebenszyklus (Security by Design, SBOM, Vulnerability-Management). Das Framework bewertet Technologie-Souveränität (SOV-6): offene Standards, Open Source, Transparenz. Zusammen: sichere EU-Produkte mit offenen Standards, Transparenz, Exit-Fähigkeit – ohne Lock-in.
Portabilität und Lock-in-Vermeidung
Der Data Act fordert technische/vertragliche Maßnahmen gegen Vendor Lock-in – direkt relevant für Framework-Bewertung operationaler Souveränität (SOV-4). Interoperabilität und standardisierte Schnittstellen werden zum regulatorischen Standard. Offene Standards, Exit-Strategien = maximale Kontrolle.
Datenschutz als Souveränitäts-Enabler
GDPR fordert Datenschutz, Sicherheit (Art. 32), Schutz bei Drittlandübermittlungen (Kap. V). Das Framework bewertet Daten-/AI-Souveränität (SOV-3): EU-Datenhaltung, Kundenschlüssel-Hoheit, Exit-Fähigkeit. EU-only-Stacks mit BYOK = GDPR-native.
Europäische Vorläufer & Initiativen
EU-weite Harmonisierung
Comprehensive Compliance-Ansatz
Wie ayedo Cloud Sovereignty Framework, NIS-2, DORA, CRA, Data Act, GDPR, ISO 27001 und weitere Standards systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen und Audit-Bereitschaft – hier finden Sie unsere vollständige Compliance-Roadmap.
Das Cloud Sovereignty Framework geht weit über klassische ISO/SOC-Zertifizierungen hinaus. Es fordert verifizierbare Unabhängigkeit, Kontrolle und Exit-Fähigkeit – nicht nur “Security Assurance”.
Komplementäre Dimensionen
ISO 27001 fokussiert auf Informationssicherheit (Prozesse, Kontrollen, Risikomanagement). Das Framework bewertet digitale Souveränität: Wer kontrolliert den Anbieter? Welche Jurisdiktion gilt? Gibt es extraterritoriale Zugriffsmöglichkeiten (CLOUD Act, FISA)? Wie exit-fähig sind Sie?
ISO 27001 und Souveränität sind komplementär – das Framework ergänzt Security-Zertifizierungen um die Kontrolldimension.
Harte Nachweise statt Absichtserklärungen
Statt “Ja/Nein”-Checklisten fordert das Framework verifizierbare Evidenzen: Verträge mit Gerichtsstand, Schlüsselmanagement-Architektur, SBOMs, Datenflussschemata, Exit-Runbooks.
Öffentliche Dokumentation wird einbezogen und verifiziert.
Nuancierte Bewertung statt binärer Entscheidung
Klassische Beschaffungen sind oft binär (zertifiziert/nicht zertifiziert). Das Framework ermöglicht nuancierte Rangfolge über den gewichteten Souveränitäts-Score.
Ideal für Best-Value-Vergaben mit differenzierter Bewertung.
Messbare Souveränität statt Marketing-Claims
Das Framework macht “Souveränitäts-Labels” ohne substanzielle Entkopplung sichtbar: Anbieter mit Nicht-EU-Kontrolle erreichen maximal SEAL-2, unabhängig von Marketing-Claims.
Echte Souveränität wird messbar und verifizierbar.
Ob Sie das Cloud Sovereignty Framework für eine Beschaffung anwenden oder einfach Ihre digitale Unabhängigkeit stärken möchten – wir unterstützen Sie mit Beratung, Plattform und langfristigem Betrieb.
Wir helfen Ihnen, die acht Souveränitätsziele auf Ihre Organisation zu übertragen, SEAL-Mindestlevels zu definieren und Award-Kriterien zu gewichten.
Unsere Managed Kubernetes Plattform erfüllt die Framework-Anforderungen out-of-the-box – mit vollständiger Transparenz und Kontrolle.
Sie nutzen bereits andere Cloud-Anbieter? Wir unterstützen Sie bei vendor-unabhängigen Migrationen – ohne Lock-in, mit vollständiger Exit-Fähigkeit.