AB Komisyonu’nun veri merkezi pazarını 5 ila 7 yıl içinde üçe katlama hedefi, piyasaya ağır müdahale olmadan mümkün değil; CADA tam da bunu yapıyor.
Avrupa Komisyonu, altyapıyı, Avrupa bulut pazarını ve kamu kurumlarının gelecekte nasıl çalışabileceğini yeniden şekillendirerek yerel bulut ve yapay zekâ sektörünü canlandırmayı amaçlayan Bulut ve Yapay Zekâ Geliştirme Yasası'na (CADA) ilişkin teklifini kısa süre önce açıkladı.
REKLAM
REKLAM
CADA üç ana sütuna odaklanıyor: araştırma, geliştirme ve yeniliğe yatırım; kapasite oluşturma (önümüzdeki beş ila yedi yıl içinde Avrupa veri merkezi pazarının üç katına çıkarılması hedefi); ve egemenlik ile güvenliğe ilişkin dört düzey ve AB üyesi devletler için yeni yükümlülükler içeren kapsamlı bir özerklik çerçevesi.
CADA karışık tepkilerle karşılandı
Şimdiye kadar teklif farklı çevrelerden karışık değerlendirmeler aldı. CCIA Europe gibi sektör birlikleri, CADA'nın AB üyesi devletlerin hangi kullanım senaryolarının, AB üyesi olmayan tedarikçilerin “kendiliğinden karşılayamayacağı” belirli egemenlik düzeyleri gerektirdiğini belirlemesini zorunlu kılacağı gerekçesiyle taslağı ayrımcı olarak nitelendirdi.
Polonyalı teknoloji hukukçusu Mikolaj Barcenciewicz daha önce, CADA'nın kategorik değil, risk temelli olması gerektiğini; üye devletlerin bireysel yaklaşımı ve yetki ikamesi ilkesinin genelleştirilmek yerine korunması gerektiğini söylemişti.
İsveçli AP milletvekili Jörgen Warborn, kısa süre önce LinkedIn'de CADA tasarısıyla ilgili görüşlerini paylaştı ve Avrupa'nın dijital egemenlik hedeflerinin, daha fazla basitleştirme, iyileştirilmiş iş yapma koşulları ve güçlendirilmiş bir “prospect of return on investment” ile desteklenmesi gerektiğini savundu.
Ayrıca, ulusal güvenlikle bağlantılı ulusal uygulamalarda AB'nin egemenlik hedeflerinin gerçekten de güçlendirilmesi gerektiğini, ancak daha az hassas alanların doğrudan yabancı yatırımlara açık olması gerektiğini belirtti; zira “küresel servetin çok büyük bir kısmı AB dışında bulunuyor” ve AB'nin bu yatırımları kendine çekmek için çalışması, tersinin olmaması gerektiğini vurguladı.
Finlandiyalı AP milletvekili Aura Salla ise, üye devlet düzeyinde teknoloji bağımlılıklarını stres testine tabi tutmak ve riskleri değerlendirmek için daha da merkezileşmiş bir yaklaşım çağrısında bulundu.
Son olarak, Alman yazılım sağlayıcısı Nextcloud gibi bazı paydaşlar, mevcut taslağın yeterince iddialı olmadığını ve özel sektörü de kapsayacak şekilde genişletilmesi gerektiğini dile getirdi.
İzinlerde 12 aylık tavan, ama daha fazla yükümlülük
CADA'nın III. Başlığı, AB'nin veri merkezi kapasitesini hızla artırmak için iki temel mekanizma öngörüyor: Veri Merkezi Hızlandırma Bölgeleri ve Veri Merkezi Stratejik Projeleri.
Düzenlemenin yürürlüğe girmesinden itibaren altı ay içinde her üye devlet, şebeke erişilebilirliği, ağ kapasitesi ve öncelikle mevcut sanayi alanlarının (brownfield sahalar) tercih edilmesi gibi unsurları dikkate alarak, yerel imar ve bölge planlarına entegre edilmiş en az bir hızlandırma bölgesi belirlemek zorunda.
Bir projenin bu ön onaylı bölgeler içinde yer alması ya da münferit bir stratejik proje statüsü kazanması fark etmeksizin, en fazla 12 ay sürecek izin süreçleri öngören bir “yeşil koridor”dan yararlanması gerekiyor.
Ancak CADA'nın uyum kontrol listesi oldukça ağır: altyapı işletmecilerinin standartlaştırılmış AB sürdürülebilirlik kilit performans göstergelerini (KPI) benimsemesi gerekiyor ve yerel kaynak tahsisleri, spekülatif stokçuluğu ya da rekabete aykırı engellemeleri önlemek için sıkı şekilde denetlenecek.
Gerçekte bu, karmaşık yerel planlama çerçeveleri içinde uygunluk şartlarını taşıyan bölgeleri belirlemek için üye devletlere dar bir altı aylık süre, bunu da bireysel izin onayları için benzer şekilde sıkıştırılmış 12 aylık bir takvimin izlemesi anlamına geliyor.
Veri merkezlerinin fiili inşası ise zaten fiziksel dünyadaki kısıtlar nedeniyle tıkanmış durumda: gerekli sertifikalara sahip yalnızca birkaç uzman müteahhit bulunuyor, her inşaat aşaması sıkı denetimlerden geçiyor ve nispeten mütevazı tesislerin bile inşası bazen yıllar alıyor.
Hem üye devletlere hem de altyapı sağlayıcılarına kapsamlı yeni uyum yükümlülükleri yükleyen AB politika yapıcıları, yapısal olarak karmaşık bir süreç içinde “en fazla 12 ay”lık izin tavanını önemsiz ve fiilen anlamsız bir hedefe dönüştürme riski alıyor.
Kamu alımlarında köklü değişiklikler
CADA'nın IV. Başlığı ve ona eşlik eden ekler, AB üyesi devletlerin tam olarak hangi tür bulut bilişim yazılımlarını ve hizmetlerini satın alabileceğini belirleyen katı bir çerçeve ortaya koyuyor.
Kamu sektörünün talepleri, CADA'nın Ek II’sinde tanımlanan dört güvence düzeyiyle sıkı şekilde ilişkilendirilecek.
1. düzey, temel egemenlik ve güvenliği kapsıyor ve üçüncü ülke şirket mülkiyetine izin veriyor.
2. düzey, önemli ölçüde dijital egemenliği ifade ediyor; üçüncü ülke şirketlerinin mülkiyeti hâlâ mümkün, ancak tüm operasyonların, altyapının, personelin ve desteğin kesin olarak AB içinde kalması, “önemli” bir siber güvenlik sertifikasıyla desteklenmesi ve müşteri verilerinin üçüncü ülkelerde yapay zekâ eğitimi için kullanılamaması şartıyla.
3. düzey, yüksek egemenlik ve ulusal güvenlik anlamına geliyor; üçüncü ülke şirketlerinin kontrolü kural olarak yasak ve sadece Avrupa Komisyonu’nun vereceği istisnai izinlere tabi. 4. düzey ise azami özerklik ve kritik güvenliği temsil ediyor ve üçüncü ülke şirket kontrolü tamamen yasaklanıyor.
Peki AB üyesi devletler yeni CADA çerçevesini nasıl uygulamaya koyacak? İlk adım, kuralları uygulayacak, tedarikçileri denetleyecek ve bulut sağlayıcıların tanınmasına ilişkin başvuruları işleyecek bir veya daha fazla ulusal yetkili otorite atamak.
Bir yıl içinde üye devletlerin, hangi kamu sektörü faaliyetlerinin bulut hizmetlerine dayandığını tespit etmek ve uygun güvenlik güvence düzeyini belirlemek için risk değerlendirmeleri yapması gerekiyor; bu değerlendirmelerin her 2 yılda bir tekrarlanması öngörülüyor.
Mevcut CADA taslağı, bugüne kadar bulut hizmetlerine yönelik kamu alımlarının işleyişini kökten değiştirecek nitelikte.
Daha önce üye devletlerdeki kamu kurumları, fiyat, hizmet kalitesi, kurumsal ihtiyaçlar ve egemen risk temelli veri yönetimi mevzuatı gibi kriterlere göre bulut hizmeti sağlayıcılarını serbestçe seçebiliyordu.
Eskiden kamu ihalelerinde kararlar büyük ölçüde fiyat ve standart teknik şartnameler tarafından belirlenirken, artık üye devletlerin bir sağlayıcının Avrupa dijital ekosistemine ne ölçüde katkıda bulunduğu gibi fiyat dışı kriterleri de değerlendirmesi gerekecek.
Bu makale ilk olarak EU Tech Loop (kaynak İngilizce) sitesinde yayımlanmış ve bir anlaşma kapsamında Euronews’te paylaşılmıştır.