De zin die het werk deed, was van Henna Virkkunen. Op de persconferentie in Brussel op dinsdag 3 juni 2026 vertelde de Executive Vice-President voor Tech Soevereiniteit, Veiligheid en Democratie verslaggevers waar het Tech Sovereignty Package voor was: “We want to be sure nobody has a kill switch.” Ursula von der Leyen verpakte de politiek eromheen: “We cannot afford to depend on others for the technologies that keep our hospitals running, our energy grids stable and our services secure.”

De instrumenten achter de zin waren vier. Een wetsvoorstel voor de Cloud and AI Development Act (CADA) met een soevereiniteits-beoordelingskader en beperkingen op niet-EU-aanbieders voor gevoelige overheidsdata. Een wetsvoorstel voor Chips Act 2.0 dat het EU-streefcijfer voor de wereldwijde chipproductie verhoogt. Een Open Source Strategie die open source formaliseert als structureel element van EU-digitaal beleid. En een Strategic Roadmap for Digitalisation and AI in Energy. Commissaris Dan Jørgensen, de energieverantwoordelijke, voegde zich bij Virkkunen op het podium.

De Commissie heeft nu gedaan wat de Commissie kan doen. De gevolgrijke beslissingen liggen downstream van deze aankondiging, niet upstream.

Wat CADA feitelijk voorstelt

De cloudcomponent is de meest substantieve. CADA stelt een soevereiniteitsbeoordeling in vier niveaus voor in oplopende volgorde van structurele scheiding van niet-EU-controle. Het hoogste niveau is, op grond van zijn eigen juridische logica, niet bereikbaar voor aanbieders met hoofdkantoor in de VS omdat de CLOUD Act een structureel conflict creëert.

CADA stelt voor dat financiële, gerechtelijke en gezondheidsgegevens van overheden en publieke organisaties moeten draaien op infrastructuur op het hoogste soevereiniteitsniveau. Dit is geen aanbeveling. Het is een bindende verplichting opgenomen in het voorstel, met nationaal aangewezen autoriteiten om het te handhaven.

De rechtsgrondslag is artikel 114 VWEU — harmonisatie van de interne markt. Dit is van belang: artikel 114 produceert direct toepasbare verordeningen met internemarktwerking, geen richtlijn die lidstaten omzetten. Als CADA wordt aangenomen, zijn lidstaten niet vrij om de toepassing ervan individueel te verzwakken.

Wat het pakket goed doet

Het pakket schrijft een niet-US-passeerbare soevereiniteitstest in bindende regelgeving. Eerdere Europese soevereiniteitsinstrumenten misten tanden (Gaia-X-labeling), waren aspirationeel (ENISA-cybersecurityschema), of waren sectorspecifiek. CADA stelt een horizontale regulerende maatregel voor die uitdrukkelijk niet vervulbaar is door Amerikaanse aanbieders zonder architectonische herstructurering. Dat is structureel anders.

Het koppelt soevereiniteitsbeperking aan capaciteitsopbouw. Virkkunen, gevraagd door verslaggevers of het pakket draaide om uitsluiting van Amerikaanse aanbieders, was specifiek: “Europe wants to be in the position to make its own choices, avoiding risky dependencies on single dominant suppliers, one company or one third country.” Chips Act 2.0 en de Open Source Strategie leveren het aanbod-zijdige antwoord op de beperking. Een pure beperking zonder alternatieve capaciteit is onwerkbaar; de Commissie heeft dat vermeden.

Het behandelt open source als infrastructuur in plaats van als beleidstheater. De Open Source Strategie, voortbouwend op de Call for Evidence van januari–februari 2026, framet OSS als langlopend structureel element in plaats van een hobbyzaak. Die taal stond niet in eerdere Commissiemededelingen. Zij opent ruimte voor aanbestedings- en financieringsinstrumenten uitgelijnd op OSS-infrastructuur.

Wat het pakket niet adresseert

CADA pakt cloudinfrastructuur en bepaalde categorieën overheidsgegevens aan. Het pakt in het huidige voorstel niet de lagen onder cloud aan.

Code-hostinginfrastructuur: EU-soevereiniteitsoplossingen worden overwegend gehost op GitHub, eigendom van Microsoft. Dit is het diepste soevereiniteitsgat en het minst geadresseerde. Cryptografische vertrouwensketens: certificaatautoriteiten en DNS-rootserver-operaties blijven Amerikaans gedomineerd. De soevereiniteitsniveaus van CADA noemen vertrouwensketens-criteria niet expliciet. CI/CD-pipelines: GitHub Actions, npm, PyPI, Docker Hub — de build-, pakket- en distributie-infrastructuur waar alles van afhangt, blijft overwegend Amerikaans gehost.

Dit is geen kritiek op de ontworpen reikwijdte van CADA. Het is een observatie dat CADA op zichzelf geen soevereiniteit levert op de lagen onder cloudinfrastructuur. Een lezer die CADA viert als voltooiing van het Europese soevereiniteitsproject zal iets lezen wat het voorstel niet beweert — en wat Virkkunen zelf niet beweerde in Brussel.

De triloog, en wie zich positioneert

De cui-bono-blik is rechttoe-rechtaan. EU-soevereine cloudaanbieders profiteren in den brede — OVHcloud, IONOS, Schwarz Digits/StackIT, Outscale, de soevereine divisie van Atos. Deze bedrijven hebben jarenlang gelobbyd voor precies dit regelgevende kader. Mistral, Aleph Alpha en het Europese AI-infrastructuurcluster profiteren van de KIPITZ-stijl verplichte adoptielogica opgeschaald naar EU-niveau. De Commissie breidt institutioneel haar bevoegdheid uit: artikel 114-verordening produceert direct effect in plaats van nationale omzetting. Frans en Duits industriebeleid profiteren omdat beide sterke leveranciersclusters hebben die overeenkomen met CADA-criteria. Italiaanse, Spaanse en Oost-Europese clusters hebben minder industriële basis om de aanbestedingskans op te vangen.

Drie serieuze bezwaren circuleren, geen ervan kan de Commissie alleen beslechten.

Het eerste is dat artikel 114 de verkeerde rechtsgrondslag is. Internemarkt-harmonisatie is betwistbaar als basis voor beperkingen die primair geopolitiek in plaats van marktfunctioneel zijn. Het Hof van Justitie van de EU is historisch beschermend geweest voor de marktintegratielogica van artikel 114. Een uitdaging bij het HvJ-EU zou de bindende reikwijdte van de regelgeving na vaststelling kunnen versmallen.

Het tweede is dat de triloog het hoogste soevereiniteitsniveau zal verwateren. Raadsvertegenwoordiging omvat lidstaten met diepere Amerikaanse tech-industriële investeringsposities — Ierland, Luxemburg, Nederland. De triloog verzacht doorgaans Commissievoorstellen aan de marges. Het niet-US-passeerbare hoogste tier is precies het soort bepaling dat wordt verzacht.

Het derde is dat de industrie de beperkingen omzeilt via Europese dochters. Een Amerikaanse hyperscaler kan een Europese dochter oprichten, governance en sleutelbeheer binnenlands structureren, en het hoogste soevereiniteitsniveau aanvragen. Of een dergelijke structuur de substantieve test doorstaat, hangt af van hoe streng de beoordelingsautoriteit “controle” interpreteert. Microsofts bestaande Sovereign Cloud-voorstel is in wezen een gok op dat dit omzeilen mogelijk is.

Wat dit artikel niet is

Het is geen bewering dat CADA zoals opgesteld zal worden aangenomen. De triloog zal het voorstel wijzigen; de vraag is met hoeveel.

Het is geen bewering dat de Open Source Strategie leeg is. Zij framet OSS structureel. Of zij financiering oplevert, is een aparte vraag, beslist in de volgende Meerjarig Financieel Kader-cyclus in plaats van in juni 2026.

Het is geen bewering dat Europese soevereiniteit door het pakket is afgehandeld. Het pakket adresseert één laag van afhankelijkheid, laat andere onaangeroerd, en hangt af van een wetgevingsproces dat tot 2027 of 2028 loopt.

Wat als eerste te volgen

Het eerste signaal is de eerste lezing van de Raad. Lidstaten met Amerikaans-uitgelijnde tech-industriële posities zullen via hun algemene benadering aangeven hoeveel ze van plan zijn te strijden over het hoogste soevereiniteitstier.

Het tweede is de benoeming van de rapporteur van het Europees Parlement — welke commissie, welke politieke groep. ITRE, IMCO, LIBE zullen elk een andere versie van CADA produceren, en de keuze van commissiebevoegdheid zal de nadruk van het voorstel op industriebeleid, interne markt of grondrechten respectievelijk vormgeven.

Het derde is of implementatiefinanciering voor de componenten van de Open Source Strategie materialiseert in de volgende EU-begrotingscyclus. Zonder budget blijft OSS-als-infrastructuur retoriek, ongeacht hoe overtuigend de framing van Virkkunen op de persconferentie was.

De Commissie heeft de politieke en juridische voorwaarden gesteld. De volgende twee jaar van inter-institutionele onderhandeling zullen bepalen of de voorwaarden houden.

Bronnen

Themaoverzicht: Digitale soevereiniteit in Europa Gerelateerde artikelen: Microsoft levert Nederlandse namen, Soevereiniteit in §58 VgV