Het persbericht arriveerde op vrijdag 17 april 2026, drie dagen voordat de Hannover Messe opende. Rolf Schumann en Christian Müller, de co-CEO’s van Schwarz Digits, presenteerden de European Sovereign Stack Standard — ES³ — met de expliciete ambitie om de Europese maatstaf voor digitale soevereiniteit te worden. Het formaat: een volwassenheidsmodel in vier niveaus — Basic, Initial, Advanced, Future-Proof. Het mechanisme: een catalogus van meer dan 100 criteria. De geloofwaardigheidsmarker: onafhankelijke verificatie door BDO AG, wiens voorzitter van de raad van bestuur Parwäz Rafiqpoor de attestatie tekende.

Schumann vatte het voorstel samen: “We are transforming the need for digital sovereignty into a measurable standard for industry companies, SMEs and regulated sectors.” BDO’s verificatieverklaring volgde: “The audit of the sovereignty maturity model by BDO confirms: The ES³ maturity model provides an independent, practical basis for strengthening digital sovereignty in Europe.”

Dit is het eerste Europese soevereiniteitsscorebord dat met audit-infrastructuur arriveert. Het is ook geschreven door een bedrijf dat concurreert in de markt die het nu beoordeelt.

Wat ES³ voorstelt

De vier volwassenheidsniveaus zijn bedoeld als progressief. Basic dekt minimale data-residency-claims. Initial vestigt operationele onafhankelijkheid van niet-EU-controle. Advanced vereist volledige architectonische scheiding van niet-EU-afhankelijkheden. Future-Proof claimt verifieerbare continuïteit onder vijandige geopolitieke omstandigheden.

De catalogus omspant volgens de publieke samenvatting jurisdictie, eigendom, operationele controle, toeleveringsketen en sleutelbeheer. BDO’s verificatie betreft de methodologie in plaats van individuele productbeoordelingen — een betekenisvol onderscheid. Een geverifieerde methodologie is niet hetzelfde als een geverifieerde productscore; ES³ certificeert hoe te scoren, niet wie goed heeft gescoord.

Publieke kopers kunnen aanbestedingsvoorwaarden schrijven die verwijzen naar een specifiek ES³-niveau en biedingen daaronder weigeren. Dat alleen al verandert prikkelstructuren. Tot ES³ was soevereiniteit in Europese aanbesteding ofwel een binaire claim ofwel een vibes-gebaseerde score. Er bestaat nu een getal.

Het pleidooi ervoor

Drie dingen die ES³ doet die niets op dit moment doet.

Het zet een getal op soevereiniteit. Vóór ES³ was soevereiniteit in aanbestedingstaal een marketingwoord zonder gedefinieerde inhoud. Een volwassenheidsmodel met audit betekent dat een publieke koper een bieding kan weigeren die niet voldoet aan een vermeld niveau. Het meest vergelijkbare Europese kader — Gaia-X-labeling — is bekritiseerd om vaagheid en trage uitvoering. ES³ is sneller en concreter.

Het vestigt een verificatielaag die concurrenten moeten adresseren. Zodra een meetbare standaard bestaat, moeten alternatieven of de criteria evenaren of publiekelijk uitleggen waarom ze andere hebben gekozen. Zo worden regulatieve kaders operationeel.

Het arriveerde op een moment waarop de Europese aanbesteding actief op zoek was naar criteria. Het Duitse Vergabebeschleunigungsgesetz, zes dagen later aangenomen, maakte soevereiniteit een toegestaan gunningscriterium. ES³ levert de criteria die de wet toelaatbaar maakt. De timing is geen toeval.

Het conflict in het hart ervan

Schwarz Digits is de IT- en digitale tak van de Schwarz Gruppe — het moederbedrijf van Lidl en Kaufland — en exploiteert StackIT, een grote Europese cloudaanbieder die rechtstreeks concurreert met AWS, Azure en Google Cloud op Europese aanbestedingen. Bernd Wagner, de Schwarz Digits-CSO die het technische detail introduceerde op de Hannover Messe-stand, leidt een beveiligingsarchitectuur die is gebouwd tegen criteria die het moederbedrijf nu ook heeft geschreven. Schwarz Digits is geen neutrale standaardenorganisatie. Het is een marktdeelnemer die de regels van zijn eigen markt schrijft.

Dit is op zich niet diskwalificerend. ISO-, IEEE- en IETF-standaarden ontstaan routinematig bij leveranciers met belangen. Maar het is structureel identiek aan Microsoft dat de standaard schrijft waaraan Microsoft Sovereign Cloud wordt afgemeten, of AWS dat de criteria publiceert voor European Sovereign Cloud-certificering. Dezelfde scepsis zou hier moeten gelden die vanzelfsprekend voor die zou gelden.

Twee verdedigingen worden routinematig aangeboden en elk schiet tekort.

De eerste verdediging: iemand moest dit doen, en de markt zou niet wachten op een neutraal lichaam. Dit is werkelijk waar. Europees formeel standaardenwerk beweegt op de tijdschaal van CEN-CENELEC en ETSI — jaren tot decennia. Een werkbare leverancier-geleide standaard nu is plausibel nuttiger dan een trage neutrale in 2032. Maar “plausibel nuttiger” is niet “neutraal”. De adoptie van de standaard moet dienovereenkomstig worden besproken.

De tweede verdediging: BDO’s verificatie mitigeert het belangenconflict. Gedeeltelijk. De attestatietaal van Rafiqpoor is specifiek — zij bevestigt de methodologie, niet individuele productbeoordelingen. Een leverancier-geschreven methodologie die goed audit is nog steeds een leverancier-geschreven methodologie. Het belangenconflict zit in de criteriumselectie, niet in de procedurele juistheid van de audit.

De cui-bono-vraag versimpelt. Schwarz Digits en StackIT profiteren als ES³ het standaardscorebord voor soevereiniteit wordt, omdat hun aanbod is geëngineerd tegen criteria die zij hebben geschreven. BDO profiteert van het zijn van de verificatieautoriteit voor wat een veel geciteerde Europese standaard kan worden. Het Duitstalige soevereine-cloudecosysteem profiteert in den brede als Duits-gekleurde criteria de de facto Europese standaard worden. Franse soevereine-cloudleveranciers — Outscale, OVHcloud, Atos, Linagora — hebben de criteria niet mede vormgegeven; zij verliezen marginaal als ES³ breed wordt aangenomen.

Wat de criteria niet adresseren — en waar ze niet zichtbaar zijn

De 100+ criteria omvatten volgens de publieke samenvatting jurisdictie, operaties, toeleveringsketen en sleutelbeheer. Drie architectuurlagen zijn opvallend afwezig in alle berichtgeving die wij hebben gezien.

Update-kanalen voor de onderliggende open-source componenten — de meeste stromen nog steeds via Amerikaans gecontroleerde hosting, voornamelijk GitHub. Cryptografische root-trust — welke certificaatautoriteiten zitten in de verificatieketen. Continuïteitsgaranties onder sancties — wat gebeurt er als BDO, een wereldwijd opererende professionele-dienstenfirma met Amerikaanse zakelijke blootstelling, zelf zou worden gesanctioneerd voor het verifiëren van Europese soevereiniteit.

Het Future-Proof-niveau claimt geopolitieke continuïteit te adresseren. De criteria voor dat niveau zijn niet publiekelijk opgesomd. Het persbericht van Schwarz Digits linkt niet naar de catalogus. De vakpers beschrijft het model, maar reproduceert de criteriatekst niet. Tot de volledige catalogus is gepubliceerd, is het hoogste niveau van ES³ een aspiratie met een label in plaats van een geverifieerde eigenschap.

Dit zichtbaarheidsprobleem is niet bijkomstig. Publieke scrutiny is het mechanisme dat een soevereiniteitsstandaard scheidt van een marketinginstrument. Een standaard die leeft achter samenvattingen en casestudies is moeilijker te onderzoeken dan een die haar volledige tekst publiceert. ES³ heeft zich in een markt gepositioneerd zonder zichzelf nog onder het soort inspectie te leggen dat de positie rechtvaardigt.

Wat dit artikel niet is

Het is geen bewering dat ES³ slecht is. Europese aanbesteding heeft dringend behoefte aan criteria, en een leverancier-geleide standaard met audit-infrastructuur is betekenisvol beter dan de huidige toestand.

Het is geen bewering dat Schumann of Müller in slechte trouw hebben gehandeld. Het belangenconflict is structureel, niet motivationeel.

Het is geen bewering dat de standaard zal falen. ES³ kan de dominante Europese referentie worden; het kan ook worden vervangen door het regulatieve vier-niveau-systeem van CADA. Beide uitkomsten zijn mogelijk.

Wat te vragen voor adoptie

De vraag voor publieke kopers die ES³ overwegen als aanbestedingscriterium is kort en het waard om hardop te zeggen: zou u een soevereiniteitsvolwassenheidsmodel adopteren geschreven door Microsoft en geverifieerd door KPMG, op dezelfde voorwaarden?

Als het antwoord nee is, vereist de overeenkomstige standaard voor ES³ dezelfde kritische scrutiny. Het belangenconflict verdwijnt niet omdat de schrijvende leverancier Europees is in plaats van Amerikaans. Het wordt verminderd — jurisdictionele blootstelling verandert tussen leveranciers — maar het criteriumselectieprobleem is identiek.

Het volgende signaal om te volgen is de criteriacatalogus zelf. Op het moment van schrijven is de volledige tekst niet openbaar. De nieuwe aanbestedingswetclausule van de Bundestag heeft concrete criteria nodig om haar te verankeren. Als ES³ die anker wordt voordat de catalogus is gepubliceerd, heeft de Duitse publieke aanbesteding haar soevereiniteitsdefinitie uitbesteed aan een Lidl-dochter. Dat is niet noodzakelijk verkeerd. Het is structureel identiek aan het uitbesteden van soevereiniteitsdefinities aan Microsoft, alleen met het accent van een andere jurisdictie.

Bronnen

Themaoverzicht: Digitale soevereiniteit in Europa Gerelateerde artikelen: Soevereiniteitswassing uitgelegd, Soevereiniteit in §58 VgV